Precedente :: Successivo |
Autore |
Messaggio |
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 22 Set 2006 16:40 Oggetto: 240113125225.exe dopo cliker.CVM e clicker.CVF |
|
|
Dando un'occhiata ai log dell'antivirus, dopo aver guardato le recenmti discussini in questa sezione, mi sono accorto che ho avuto anche io clicker.CVM e clicker.CVF e che io lmio antivirus aveva tolto senza che io ci facessi troppo caso.
Ora sembra non esserci più
ma ho un file c:\windows\240113125225.exe sospetto.
Andiamo con ordine, ho ricostruito una successione conologica dai log dei vari antimalaware (1 antivirus + 3 antispyware + CSWShredder) perché inzia dall'inzio di settembre:
mar 05 sett - AVG Resident: Trojan horse clicker.CVF in c:\windows\SYSHOST.DLL (cleaned . Nella directory non lo vedo più per cui più che pulito, penso l'abbia propio spostato compeltamente nella "virus vault" (*) )
mar 05 sett - AVG Resident Trojan horse Downloader.Zlob.DEZ in ####\Impostazioni locali\Temporary Internet Files\Content.IE5\0TQRC1UB\dvdcodec1051[1].exe (nel log non c'è segnata alcuna azione. Ma da allora le directory temporanee le ho pulite già più volte. )
dom 10 sett - AVG manuale: Java/ByteVerify e Trojan horse Java/ClassLoader(in uno zip nella chache di Java. AVG non è riusicto ad eleiminarlo, perhcé in uno zip. ho svuotato a mano tutta la cache java.)
dom 10 sett - AVG manuale: Trojan horse cliker.CVM c:\windows\1633810547.exe (nel log non c'è indicato che azione ha fatto . Però il file non è più nella direcorry e non c'è nemmeno nella virus vault)
mar 12 sett - AVG resident: Trojan horse Clicker.CVF C:\WINDOWS\syst32.dll (cleaned - spostato nella virus vault (*) )
dom 17 sett - AVG (presumo resident, non c'è scritto) : mi ha spostato nella virus Vault aboutyou.zip (il log non diceda che directory. E stranamente non dice di aver trovato un virus, né che virus sia. Nella virus vault è "moved object" e dice che il virus è I-Worm/Netsky.B . EDIT: ho capito, era un allegato ad un'email)
lun 18 sett - AVG manuale: Trojan horse cliker.CVM in c:\windows\1633810547.exe (il log non riporta che azione è stata eseguita. comunque ricordo che non c'era più nella directory, e nella virus vault non c'è)
Anzi, avevo guardando nella directory mi sono accorto che esiste anche c:\windows\240113125225.exe . Nessun programma che ho me lo rileva come malaware. Click destro, proprietà, non ha la scheda "versione" (ha solo generale, compatibilità, riepilogo)
mar 19 sett 09:06 - AVG Resident Trojan horse cliker.CVM in c:\windows\1633810547.exe (non so che azione abbia fatto.)
mar 19 sett 09:12 - AVG Resident Trojan horse cliker.CVM in c:\windows\1633810547.exe (cleaned - non c'è più nella directory, ed è stato messo nella virus vault)
A questo putno mi sono insospettito. Oltre agli antispyware che avevo già, cioè:
CWShredder: non ha trovato nulla
Lavasoft Adaware e spybot Search&Destroy: non hanno trovato nulla (se non qualche Tracking Cookie ogni tanto se mi dimenticavo di svuotare la cache prima)
ho agiunto Ewido che era un po' che volevo installare.
gio 21 sett 00:28 Ewido - mi ha trovato vari Not-A-Virus.Exploit.IframeJS , in file che mi ero salvato da alcuni siti per leggerli più con calma. Nonostante man mano che li tovava me l'aveva indicato come rischio "high" (alto), nella spiegazione finale diceva che dipende da come vengono usati nel sito. siccome provengono da siti di cui mi fido, li ho tenuti. Ho fatto bene?
gio 21 sett 09:49: Ewido - C:\WINDOWS\system32\qsws\medo.dl -> Backdoor.Flood , C:\WINDOWS\system32\yckug.exe -> Trojan.DNSChanger.ef , C:\WINDOWS\system32\qsws\ksat.bat -> Trojan.Small
nota (*) = questi 3, la virus vault di AVG me li indica non come "moved object" ma come "backup copy". Però nelle posizione di origine non ci sono file con quel nome.
Tra poco posto il log di Hijackthis
Ho provato anche a fare una scansione con RootkitRevealer di Sysinternals (l'avevo scaricato qualche giorno fa vedendolo segnalato in questo forum "vah, appofittiamo per dare una controllata") ma -impiegnadoci tanto tempo- (dopo giornate in cui avevo potuto usare poco il PC perché "impegnato" dagli antivirus & c.) avevo dovuto interrompere. Appena riesco posto anche quello. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 22 Set 2006 17:28 Oggetto: |
|
|
Ecco il log di HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 18.03.08, on 22/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Merijn\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programmi\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {F9D8FBCB-A6E2-4AEF-8FB4-B16F528D5DD5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://forum.zeusnews.com/link/9750]
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 85.37.17.15,85.38.28.74
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
ho messo in colore rosso scuro le voci che mi sembrano sospette (o che io non conosco)
System32\ctfmon.exe e NvCplDaemon non ho mai capito cosa siano.
Le due toolbar non so cosa siano.
Particolarmente sospette sono le due righe ProtocolDefaults .. .trusted zone.
Tra l'altro meno male che ho rifatto HijackThis con l'utente che uso di solito. Ieri l'avevo fatto con l'accout amministratore e quel problema non c'è. (in effetti era una cosa che avevo notato guardando al barradi stato di Internet exploere. Avevo guardato le impostaizoni di IE ma non trovo nulal che lo provochi).
e in colore oliva quelle che potrebebro sembrarvi insolte ma io so essere corrette.
(ScanSoft\OmniPageSE\opware32.exe è del programma dello scanner. E' un OCR mi pare
Uso alice che ha personalizzato IE , anche se io in realtà come home page ho about:blank
Organizzatore ricerche dev'essere uan roba di encarta che mi sono trovato (mezzo!) pre-installato sul pc quando l'ho comprato
gl'indirizzi ip 85.37.17.15,85.38.28.74 sono i DNS di Alice -li ho impostati "statici" perché altriemnti ho ogni tanto problemi col router)
p.s. per holifay: devo mandarti il file c:\windows\240113125225.exe zippato?
p.s.bis: noto un po' d'immondizia che mi è rimasta dopo aver disinstallato programmi (ad es. F-Secure). La sistemerò dopo che ho ripulito da (eventuali) virus. |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 22 Set 2006 21:25 Oggetto: |
|
|
Ctfmon.exe viene spiegato cos'è qui mentre NvCplDaemon riguarda i driver dell'Nvidia della tua scheda video. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 22 Set 2006 23:43 Oggetto: |
|
|
Ok, almeno quello è a posto ...
Nel frattempo ho finito la scansione con RootkitReveal di Sysinternals
c'ha impeigatopoco più di 4 ore
e il log ha i nomi dei file con percorso+noem file più lunghi troncati
ho 1 riga Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1300003180-1417818515-3399203189-1017\RemoteAccess\InternetProfile 16/11/2004 21.39 13 bytes Data mismatch between Windows API and raw hive data.
ho 2 righe Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\upd7bin\u7avi781u77583.bin 24/07/2006 19.07 63.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\upd7bin\u7iavi405u40383.bin 24/07/2006 19.07 3.63 KB Visible in Windows API, but not in MFT or directory index.
E ho una molte righe Hidden from Windows API. Ne riporto solo alcune. Tra la'ltro sono di 2 tipi.
Di queste alcune hanno anche :KAVICHS alla fien del nome del file
C:\Documents and Settings\amministratore\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 22/09/2006 19.39 68 bytes Hidden from Windows API.
C:\Documents and Settings\amministratore\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat:KAVICHS 14/02/2006 14.35 68 bytes Hidden from Windows API.
C:\Documents and Settings\amministratore\Impostazioni locali\Temp\jusched.log 22/09/2006 19.49 203 bytes Hidden from Windows API.
e altri non hanno :KAVICHS (vedaimo .. ne prendo uno col nome non troncato nel log io però già ceh ci sono l'accorcio)
C:\Documents and Settings\chemicalbit ....\Trenitalia\menus_f5.gif 14/04/2003 23.01 179 bytes Hidden from Windows API.
Devo postare tutto? sono 262 kb di file di testo
E soprattutto, devo preoccuparmi? |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 23 Set 2006 12:45 Oggetto: |
|
|
Ti dico solo di non preoccparti delle voci con :KAVICHS, perchè è Kaspersky che con un nuovo metodo "salva" delle informazioni negli ADS per velocizzare la scansione (spero di averlo spiegato nel modo giusto ). |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 23 Set 2006 15:58 Oggetto: |
|
|
Chemicalbit ha scritto: | Logfile of HijackThis v1.99.1
Scan saved at 18.03.08, on 22/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) |
Come mai non hai aggiornato le protezioni con SP2?
Ciao |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 23 Set 2006 17:50 Oggetto: |
|
|
Ciao Chemical
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
questa dovrebbe essere di McAfee, ma è corrotta, quindi eliminala. Dimmi se hai problemi a cancellarla.
Devi invece assolutamente fixare le voci O15, altrimenti tutte le comunizazioni che usano i protocolli http e https saranno considerate sicure da IE (teusted zone)
Per RKR confermo la diagnosi: niente di preoccupante di quello che hai postato. Purtroppo RKR vede come anomalie i tag che Kaspersky lascia sui file analizzati.
Mandami il file exe, che lo guardo e poi lo invio alle aziende AV. Per il clicker, controlla in questa chiave di registro se vedi qualcosa che è richiamato.
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 24 Set 2006 11:30 Oggetto: |
|
|
Smjert ha scritto: | Ti dico solo di non preoccparti delle voci con :KAVICHS, perchè è Kaspersky che con un nuovo metodo "salva" delle informazioni negli ADS per velocizzare la scansione (spero di averlo spiegato nel modo giusto ). | Kaspersky non lo uso più da tempo (anche perhcé mi pare sia a pagamento giusto? E che quindi quelal fosse solo uan demo a tempo).
Come posso rimuovere quelle informazioni in modo che non compaiano più nei log dell'anti-rootkit?
Jeppo59 ha scritto: | Chemicalbit ha scritto: | Logfile of HijackThis v1.99.1
Scan saved at 18.03.08, on 22/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) |
Come mai non hai aggiornato le protezioni con SP2?
Ciao | Ma l' SP1 nella riga di Internet Explorer si riferisce a quello o a Windows in genere.
SP2 io sapevo che fosse un service pack di windows, non di internet explorer (sbaglio)?
SP2 non l'avevo installato quando era uscito A) perché all'epoca avevo il 56.6 kbps per cui sarebeb stato un danno prelevarlo b) perché ne avevo sentito parlare abbastanza male (in pratica protegge di più, ma "blindando" troppo, rendendo difficilmente utilizzabile il PC).
Avevo intenzione di valutare in seguito con calma se installarlo ma mi sono diemnticato. Anche perhcé il service pack che vorrei aggiungere si chiama Linux (appena trovo il tempo di sistemare alcune cose in windos, e quindi poter poi instalalre linux in dual boot) |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 24 Set 2006 11:41 Oggetto: |
|
|
ciao holifay!
holifay ha scritto: |
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
questa dovrebbe essere di McAfee, ma è corrotta, quindi eliminala. Dimmi se hai problemi a cancellarla. | Infatti io il McAfee l'ho disinstalalto tanto tempo fa. (era una demo a tempo, e per di più non riuscivo ad aggiornarla perché non funzionava l'active-X che avrebbe dovuto farlo)
Tra l'altro vedo che mi è rimasto anche
chemicalbit ha scritto: | O4 - HKLM\..\Run: [AWMON] "C:\Programmi\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe" | che è un altro antivirus che avevo tolto da tempo.
Ora che non ho più fretta di far girare antivirus a tutto spiano , vedo di fixare tutto.
holifay ha scritto: | Devi invece assolutamente fixare le voci O15, altrimenti tutte le comunizazioni che usano i protocolli http e https saranno considerate sicure da IE (teusted zone) | Certo.
Ma la mia domanda è chi le ha inserite? In I.E -> menù struemnti -> opzioni internet -> scheda protezione -> siti attendibili -> sotto il tasto "Siti..." c'è scritto "Non esistono siti in quest'area", e in effetti clickando sul tasto la lista è vuota.
Non avrò ancora qualche malware che me l'ha impostato?
holifay ha scritto: | Per RKR confermo la diagnosi: niente di preoccupante di quello che hai postato. Purtroppo RKR vede come anomalie i tag che Kaspersky lascia sui file analizzati. | Alcuni però non hanno la scritta ":KAVICHS". Ne aveevo riportato un esempio
chemicalbit ha scritto: | Trenitalia\menus_f5.gif 14/04/2003 23.01 179 bytes Hidden from Windows API. | Devopsotare tutto il log kilometrico o bastano gli esempi che ho fatto?
holifay ha scritto: | Mandami il file exe, che lo guardo e poi lo invio alle aziende AV. | Fatto
holifay ha scritto: | Per il clicker, controlla in questa chiave di registro se vedi qualcosa che è richiamato.
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run | sotto policies (con la p minuscola) ho solo Nonenum , Ratings , system . Non ce l'ho proprio Explorer |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 24 Set 2006 12:38 Oggetto: |
|
|
Per rimuovere quelle informazioni scaricati questo programma e scompattalo nel livello + alto della tua partizione (quindi metti l'eseguibile ad esempio in C: ).
Poi devi farlo partire con il parametro -r (quindi o crei un collegamento e in Destinazione alla fine della stringa metti -r oppure usi Start->Esegui).
Aspetti un po' che finisca di lavorare...
Questo lavoro fallo per ogni partizione che hai. |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 24 Set 2006 12:41 Oggetto: |
|
|
Chemicalbit ha scritto: | SP2 io sapevo che fosse un service pack di windows, non di internet explorer (sbaglio)? |
Non ho XP e di conseguenza neanche il service pack 2; però sapevo che il pacchetto comprendeva anche protezioni per la navigazione su Internet e per la posta elettronica e quindi se tu dovessi per qualche motivo utilizzare IE, sarebbe utile che lo installassi.
E comunque credo che Holifay ti potrà essere più di conforto.
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 24 Set 2006 14:48 Oggetto: |
|
|
Smjert ha scritto: | Per rimuovere quelle informazioni scaricati questo programma e (...) |
Sei sempre gentilisismo e preparatissimo
Jeppo59 ha scritto: | Chemicalbit ha scritto: | SP2 io sapevo che fosse un service pack di windows, non di internet explorer (sbaglio)? |
Non ho XP e di conseguenza neanche il service pack 2; però sapevo che il pacchetto comprendeva anche protezioni per la navigazione su Internet e per la posta elettronica | Quello è ovvio
Jeppo59 ha scritto: | e quindi se tu dovessi per qualche motivo utilizzare IE, sarebbe utile che lo installassi. | Sì, lo uso ancora.
Stavo giusto per installare FireFox quando queste ultime "novità" mi hanno tenuto impengato ad instalalre e ad usare antivirus, quindi ho dovuto rimandare. Spero di falro al più presto.
Jeppo59 ha scritto: | E comunque credo che Holifay ti potrà essere più di conforto. | In che senso? Che mi minaccia di venire a cas a pestarmi anceh se sono -presumo- più grande e grosso di lei sen on installo le patch di sicurezza?
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 24 Set 2006 14:51 Oggetto: log HijackThis aggiornato - chemicalbit |
|
|
E' tutto a posto ora?
Logfile of HijackThis v1.99.1
Scan saved at 15.23.44, on 24/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Merijn\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {F9D8FBCB-A6E2-4AEF-8FB4-B16F528D5DD5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 85.37.17.15,85.38.28.74
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
Top |
|
|
Jeppo59 Dio maturo
Registrato: 05/03/06 01:26 Messaggi: 2117
|
Inviato: 24 Set 2006 22:04 Oggetto: |
|
|
Chemicalbit ha scritto: | In che senso? Che mi minaccia di venire a casa a pestarmi anche se sono -presumo- più grande e grosso di lei se non installo le patch di sicurezza?
|
E chi lo può dire...!!!
Immagino che così come è carina e disponibile a risolvere i problemi, così saprà essere severa se ti ostinassi a non seguire i suoi consigli!!!
Un affettuoso saluto a tutti e due.
|
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 25 Set 2006 13:16 Oggetto: |
|
|
i file Kavichs sono ADS: per eliminarli dovrebbe bastare HijackThis selezionando l\'opzione ADS SPY da Misc tools section
Ad ogni modo, chemical, quando hai pulito un po´ il log, posta nuovamente i risultati di Rootkitrevealer, così vediamo meglio. Magari prova a fare il log Rootkit di GMER (www.gmer.net) che forse farà prima.
Qui trovi le risposte delle case antivirus al file che hai inviato
Ciao |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 28 Set 2006 23:03 Oggetto: |
|
|
Smjert ha scritto: | Per rimuovere quelle informazioni scaricati questo programma
(...)
Poi devi farlo partire con il parametro -r
(...) |
holifay ha scritto: | Ad ogni modo, chemical, quando hai pulito un po´ il log, posta nuovamente i risultati di Rootkitrevealer, così vediamo meglio. Magari prova a fare il log Rootkit di GMER (www.gmer.net) che forse farà prima. |
Ci sto impeigando un po', perhcé in alcuni casi il klstreamremover mi crasha (quando trova directory con nomi troppo lunghi o casi simili).
Io spesso -quando avevo il modem 56kbps- salvavo pagien web (con inernet explorer "salva pagina compelata, che mi creava anche la directory esempio_file con le immagini, i file di frame, ecc), spesso lasciando il nome che mi proponeva 8cioè il title della pagina web) che a volte è bello lungo.
Molti di quelli "oran on ho tempo, poi domani li leggo2 e invece erano finiti nel dimenticatoio.
Ora li sto sistemando sia perché hointenzione dibackupparli su cd, e con un nome così mi sa che andrebeb in errore
sia perché mi pare che molti di loro mi erano segnalati da RootkitRevealer , anche senza l tag di kaspersky (probabilemnte il nome troppo lungo manda in "panico" una delle due letture, e quindi non sono uguali e l'antirootkit le segnala)
spero quindi poi di poter postare un log molto più pulito. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 09 Ott 2006 21:51 Oggetto: |
|
|
chemicalbit ha scritto: | spero quindi poi di poter postare un log molto più pulito. | Moooooooolto più pulito:
Citazione: | HKLM\S-1-5-21-1300003180-1417818515-3399203189-1017\RemoteAccess\InternetProfile 16/11/2004 21.39 13 bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\amministratore\Impostazioni locali\Temp\jusched.log 09/10/2006 15.04 204 bytes Hidden from Windows API. |
Spero che le uniche 2 righe rimaste non siano problematiche |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 09 Ott 2006 22:31 Oggetto: |
|
|
Molto meglio
Citazione: | HKLM/S-1-5-21-1300003180-1417818515-3399203189-1017/RemoteAccess/InternetProfile 16/11/2004 21.39 13 bytes Data mismatch between Windows API and raw hive data. |
è un falso positivo di RKR
Citazione: | C:/Documents and Settings/amministratore/Impostazioni locali/Temp/jusched.log |
file aggiornato durante la scansione
Tutto a posto
Quanto tempo ci hai messo però a cancellare gli ADS! :shock
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 09 Ott 2006 23:22 Oggetto: |
|
|
holifay ha scritto: | Tutto a posto | Bene!
holifay ha scritto: | Quanto tempo ci hai messo però a cancellare gli ADS! :shock
| Beh, non ho fatto solo quello.
E poi dovevo trovare un giorno in cui ero a casa ma non mi serviva il PC per 4 ore (mooooolto raro ) |
|
Top |
|
|
|