|
| Precedente :: Successivo |
| Autore |
Messaggio |
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
 Inviato: 10 Giu 2008 10:20 Oggetto: [RISOLTO] 31exhmunmlcl18.exe |
 |
|
Che cos'è? Chi è? Mi sta tormentando!!!!
Utilizzo COMODO Firewall e da un pò mi avvisa delle cose che vuore fare quest'applicazione. La maggiorparte delle volte nego il premesso, ma puntualmente me lo ritrovo lì a riprovarci. Su Google non compare niente a rigardo.
Ho acconsentito alle sue richieste e ho annotato i messaggi di COMODO. Ve li scrivo in sequenza, così magari mi potete dire se è un visur, un malware, o se invece non mi devo preoccuapare e posso acconsentire alle sue richieste
1) 31exhmunmlcl18.exe is about to access the Service Control Manager
2) 31exhmunmlcl18.exe is about to access the DNS Client Service directly
3) 31exhmunmlcl18.exe is about to access the loopback network interface
4) 31exhmunmlcl18.exe is about to access Keyboard Directly.
Msn non è in esecuzione automatica con Windows, ma adesso che ci faccio caso, dopo che ho acconsentito alle sue richieste, compare nella barra delle applicazioni (disconnesso), ma io non l'ho usato da quando ho acceso il pc. In verità non lo sto aprendo da diversi giorni, quando ho notato che 31exhmunmlcl18.exe cominciava a chiedere di accedere a msn, perchè mi sono insospettita: perchè mai msn si dovrebbe avviare senza il mio consenso?
Dopo un pò di tempo...
...l'icona di msn non è più presente sulla barra delle applicazioni. inoltre risulta che 31exhmunmlcl18.exe è in esecuzione e che sta utilizzando circa 16 KB di memoria RAM
Allora ho interrotto il processo 31exhmunmlcl18.exe per vedere cosa succede. dopo un pò di tempo un nuovo processo (questa volta si chiama 27exhmunmlcl19.exe) avanza delle richieste di acesso:
1) 2) e 3) -> vedi sopra
4) 27exhmunmlcl19.exe is tryng to access the screen directly
5) 27exhmunmlcl19.exe is tryng to access Keyboard
a questo punto esce una finestra di windows che mi avverte che il server è occupato (o una cosa del genere) e le opzioni che mi presenta sono "passa a" e "riprova"
Quindi si attiva l'icona di msn sulla barra delle applicazioni, ma stavolta è intermittente, si attiva/disattiva ogni 2 secondi, il tutto per una decina di volte (anche in taskmanager il processo va e viene)
6) 27exhmunmlcl19.exe is tryng to access msnmsgr.exe in memory
adesso msn non risulta in esecuzione ma 27exhmunmlcl19.exe lo è
non so se queste informazioni possono esservi utili...
io voto per un malware! |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Giu 2008 19:14 Oggetto: |
|
|
Ciao laghy 
Sicuramente è un malware....
Procedi intanto con pulizie generiche e fai queste scansioni:
CCleaner;
Combofix;
Virit;
Hijackthis; |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 10 Giu 2008 21:02 Oggetto: |
|
|
| Ciao Sante, secondo te quanto può essere stato dannoso? voglio dire, comodo insieme a quegli avvisi spiegava anche l'uso che il processo poteva fare di quelle risorse, tipo prelevare i dati immessi da tastiera o catturare screenshot dallo schermo. Insomma è possibile che siano stati prelevati dei dati, tipo password? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Giu 2008 21:59 Oggetto: |
|
|
Se segui le istruzioni di Sante e posti tutti i logs richiesti, potrà dirti di più.  |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 11 Giu 2008 13:10 Oggetto: |
|
|
Ecco i log (con Virit ne ho fatto più di uno perchè non mi ricordavo mai se avevo disbilitato il monitor e riavviato...). Il tutto è un pò lunghetto... 
CCLEANER:
edit by bdoriano: il log di CCLEANER non serve. 
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
ComboFix 08-06-09.7 - Laghy 2008-06-10 22.20.42.1 - NTFSx86
Eseguito da: C:\Documents and Settings\Laghy.L8645678\Desktop\Combo-Fix.exe
* Creato nuovo punto di ripristino
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Raffy\Dati applicazioni\ezpinst.log
C:\Documents and Settings\Raffy\Dati applicazioni\inst.exe
C:\WINDOWS\system\smvss.exe
C:\WINDOWS\system32\cad2_r.dll
.
((((((((((((((((((((((((( Files Creati Da 2008-05-10 al 2008-06-10 )))))))))))))))))))))))))))))))))))
.
2008-06-10 12:41 . 2008-06-10 12:41 244 --ah----- C:\sqmnoopt19.sqm
2008-06-10 12:41 . 2008-06-10 12:41 244 --ah----- C:\sqmnoopt18.sqm
2008-06-10 12:41 . 2008-06-10 12:41 244 --ah----- C:\sqmnoopt17.sqm
2008-06-10 12:41 . 2008-06-10 12:41 232 --ah----- C:\sqmdata19.sqm
2008-06-10 12:41 . 2008-06-10 12:41 232 --ah----- C:\sqmdata18.sqm
2008-06-10 12:41 . 2008-06-10 12:41 232 --ah----- C:\sqmdata17.sqm
2008-06-10 10:22 . 2008-06-10 10:22 244 --ah----- C:\sqmnoopt16.sqm
2008-06-10 10:22 . 2008-06-10 10:22 232 --ah----- C:\sqmdata16.sqm
2008-06-09 23:00 . 2008-06-09 23:00 244 --ah----- C:\sqmnoopt15.sqm
2008-06-09 23:00 . 2008-06-09 23:00 232 --ah----- C:\sqmdata15.sqm
2008-06-09 22:59 . 2008-06-09 22:59 244 --ah----- C:\sqmnoopt14.sqm
2008-06-09 22:59 . 2008-06-09 22:59 244 --ah----- C:\sqmnoopt13.sqm
2008-06-09 22:59 . 2008-06-09 22:59 232 --ah----- C:\sqmdata14.sqm
2008-06-09 22:59 . 2008-06-09 22:59 232 --ah----- C:\sqmdata13.sqm
2008-06-09 22:44 . 2008-06-09 22:44 244 --ah----- C:\sqmnoopt12.sqm
2008-06-09 22:44 . 2008-06-09 22:44 232 --ah----- C:\sqmdata12.sqm
2008-06-09 20:38 . 2008-06-09 20:38 244 --ah----- C:\sqmnoopt11.sqm
2008-06-09 20:38 . 2008-06-09 20:38 232 --ah----- C:\sqmdata11.sqm
2008-06-09 20:26 . 2008-06-09 20:26 244 --ah----- C:\sqmnoopt10.sqm
2008-06-09 20:26 . 2008-06-09 20:26 232 --ah----- C:\sqmdata10.sqm
2008-06-09 20:13 . 2008-06-09 20:13 244 --ah----- C:\sqmnoopt09.sqm
2008-06-09 20:13 . 2008-06-09 20:13 232 --ah----- C:\sqmdata09.sqm
2008-06-09 19:13 . 2008-06-09 19:13 244 --ah----- C:\sqmnoopt08.sqm
2008-06-09 19:13 . 2008-06-09 19:13 232 --ah----- C:\sqmdata08.sqm
2008-06-05 08:51 . 2008-06-05 08:51 <DIR> d-------- C:\Documents and Settings\Raffy\Dati applicazioni\Ethereal
2008-06-05 08:46 . 2008-06-05 08:48 <DIR> d-------- C:\Programmi\Ethereal
2008-05-22 17:34 . 2008-05-22 18:18 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Babylon
2008-05-19 17:32 . 2008-05-19 17:43 19,554 --a------ C:\WINDOWS\hpoins01.dat
2008-05-19 17:32 . 2003-04-22 20:57 16,606 --------- C:\WINDOWS\hpomdl01.dat
2008-05-19 15:55 . 2008-05-19 15:55 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Hewlett-Packard
2008-05-19 15:54 . 2008-05-19 15:54 <DIR> d-------- C:\Programmi\HP
2008-05-19 15:41 . 2008-05-19 15:41 <DIR> d-------- C:\Documents and Settings\LAGHY~1~L86\IMPOST~1
2008-05-19 15:41 . 2008-05-19 15:41 <DIR> d-------- C:\Documents and Settings\LAGHY~1~L86
2008-05-17 20:14 . 2008-05-17 20:14 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Design Science
2008-05-16 12:02 . 2008-05-16 12:20 <DIR> d-------- C:\Programmi\Look@LAN
2008-05-16 12:02 . 2008-05-16 12:01 720,896 --a------ C:\WINDOWS\iun6002.exe
2008-05-12 15:07 . 2008-05-12 15:07 172 --ah----- C:\sqmnoopt07.sqm
2008-05-12 15:07 . 2008-05-12 15:07 172 --ah----- C:\sqmdata07.sqm
2008-05-12 14:31 . 2008-06-10 12:42 244 --ah----- C:\sqmnoopt06.sqm
2008-05-12 14:31 . 2008-06-10 12:42 232 --ah----- C:\sqmdata06.sqm
2008-05-12 14:21 . 2008-06-10 12:42 244 --ah----- C:\sqmnoopt05.sqm
2008-05-12 14:21 . 2008-06-10 12:42 232 --ah----- C:\sqmdata05.sqm
2008-05-12 09:06 . 2008-06-03 10:35 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Contacts
2008-05-12 08:49 . 2008-05-12 08:49 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\DivX
2008-05-12 08:44 . 2008-06-09 11:29 <DIR> d-------- C:\Downloads
2008-05-12 08:32 . 2008-06-10 21:41 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Thunderbird
2008-05-12 08:27 . 2008-05-12 08:27 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Comodo
2008-05-12 08:25 . 2004-08-31 14:10 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\WINDOWS
2008-05-12 08:25 . 2004-08-31 10:23 <DIR> d--h----- C:\Documents and Settings\Laghy.L8645678\Risorse di stampa
2008-05-12 08:25 . 2007-10-16 20:52 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Risorse di rete
2008-05-12 08:25 . 2008-05-12 08:27 <DIR> dr------- C:\Documents and Settings\Laghy.L8645678\Preferiti
2008-05-12 08:25 . 2004-08-31 08:30 <DIR> d--h----- C:\Documents and Settings\Laghy.L8645678\Modelli
2008-05-12 08:25 . 2004-08-31 10:23 <DIR> dr------- C:\Documents and Settings\Laghy.L8645678\Menu Avvio
2008-05-12 08:25 . 2008-06-10 22:38 <DIR> d--h----- C:\Documents and Settings\Laghy.L8645678\Impostazioni locali
2008-05-12 08:25 . 2008-06-10 21:09 <DIR> dr------- C:\Documents and Settings\Laghy.L8645678\Documenti
2008-05-12 08:25 . 2004-08-31 15:21 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\toshiba
2008-05-12 08:25 . 2004-09-01 06:56 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Symantec
2008-05-12 08:25 . 2004-09-01 07:51 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\AdobeUM
2008-05-12 08:25 . 2008-05-22 17:34 <DIR> dr-h----- C:\Documents and Settings\Laghy.L8645678\Dati applicazioni
2008-05-12 08:25 . 2008-06-10 21:05 <DIR> d-------- C:\Documents and Settings\Laghy.L8645678
2008-05-11 13:50 . 2008-05-11 13:50 668 --a------ C:\WINDOWS\ST6UNST.000
2008-05-11 13:50 . 2008-05-11 13:50 0 --a------ C:\WINDOWS\SETUP.LST
2008-05-11 11:26 . 2008-05-11 11:26 <DIR> d-------- C:\Programmi\Spybot - Search & Destroy
2008-05-11 11:26 . 2008-05-11 13:32 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-11 09:22 . 2008-05-11 09:23 <DIR> d-------- C:\Programmi\Live_TV
2008-05-11 09:19 . 2008-05-11 10:34 <DIR> d-------- C:\Programmi\Lavasoft
2008-05-11 09:02 . 2008-05-11 09:02 <DIR> d-------- C:\Programmi\RegCleaner
2008-05-10 19:27 . 2008-05-10 19:27 <DIR> d-------- C:\Programmi\jv16 PowerTools 2007
2008-05-10 19:27 . 2008-05-10 19:27 23 --a------ C:\WINDOWS\system32\fbcfba_r.ocx
2008-05-10 09:16 . 2007-12-06 18:12 110,592 --a------ C:\WINDOWS\system32\SynTPCo4.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-09 07:23 --------- d-----w C:\Programmi\Java
2008-06-10 20:20 --------- d-----w C:\Programmi\PeerGuardian2
2008-06-10 19:42 --------- d-----w C:\Programmi\eMule
2008-06-10 19:39 --------- d-----w C:\Programmi\Mozilla Thunderbird
2008-06-09 09:32 --------- d-----w C:\Programmi\SpeedFan
2008-06-05 06:51 --------- d-----w C:\Programmi\WinPcap
2008-05-22 18:35 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Babylon
2008-05-11 11:51 --------- d-----w C:\Programmi\Network Stumbler
2008-05-11 07:18 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-05-10 17:05 --------- d-----w C:\Documents and Settings\Raffy\Dati applicazioni\ESTsoft
2008-05-08 15:46 --------- d-----w C:\Programmi\PDFCreator
2008-05-08 07:50 --------- d-----w C:\Programmi\ESTsoft
2008-05-08 07:14 --------- d-----w C:\Programmi\Hewlett-Packard
2008-05-05 15:24 --------- d-----w C:\Programmi\Apoint2K
2008-05-04 13:22 --------- d-----w C:\Programmi\Salvataggio_Posizione_Icone
2008-05-04 12:47 --------- d-----w C:\Programmi\RegSeeker
2008-05-04 07:44 --------- d-----w C:\Programmi\File comuni\Corel
2008-05-04 07:09 --------- d-----w C:\Programmi\ERUNT
2008-05-04 07:00 --------- d-----w C:\Programmi\NT Registry Optimizer
2008-05-03 21:48 --------- d-----w C:\Programmi\The Privacy Guard
2008-05-03 21:41 --------- d-----w C:\Programmi\Nero
2008-05-03 21:41 --------- d-----w C:\Programmi\File comuni\Nero
2008-05-03 21:41 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Nero
2008-04-30 17:12 --------- d-----w C:\Documents and Settings\Raffy\Dati applicazioni\GetRightToGo
2008-04-28 15:32 --------- d-----w C:\Documents and Settings\Raffy\Dati applicazioni\gtk-2.0
2008-04-27 18:22 --------- d-----w C:\Programmi\IrfanView
2008-04-27 11:17 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-27 11:17 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2008-04-27 11:17 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-04-27 08:12 --------- d-----w C:\Programmi\macmakeup195d
2008-04-22 22:27 --------- d-----w C:\Programmi\Windows Media Connect 2
2008-04-22 22:22 --------- d-----w C:\Programmi\Babylon
2008-04-22 22:21 --------- d-----w C:\Programmi\DivX
2008-04-22 22:19 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Skype
2008-04-22 22:14 --------- d-----w C:\Programmi\Yahoo!
2008-04-21 21:21 --------- d-----w C:\Documents and Settings\Raffy\Dati applicazioni\Babylon
2008-04-20 09:27 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\WinZip
2008-04-19 11:10 --------- d-----w C:\Programmi\FreePOPs
2008-04-18 09:31 --------- d-----w C:\Documents and Settings\Raffy\Dati applicazioni\DivX
2008-04-18 08:24 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-04-17 16:02 --------- d-----w C:\Programmi\Wireshark
2008-04-15 18:50 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\FLEXnet
2008-04-15 18:16 --------- d-----w C:\Programmi\Flickr Uploadr
2008-04-11 13:31 --------- d-----w C:\Programmi\File comuni\xing shared
2008-04-11 13:31 --------- d-----w C:\Programmi\File comuni\Real
2008-04-11 12:47 --------- d-----w C:\Programmi\Real
2008-04-02 21:15 32 ----a-w C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-03-21 20:30 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-03-21 20:30 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
2007-11-09 09:34 47,360 -c--a-w C:\Documents and Settings\Raffy\Dati applicazioni\pcouffin.sys
2007-08-19 09:08 556 ----a-w C:\Programmi\TogliLayout.reg
2007-08-19 08:39 552 ----a-w C:\Programmi\InserisciLayout.REG
1996-08-30 15:02 13,824 ----a-w C:\Programmi\LAYOUT.DLL
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 12:00 15360]
"TOSCDSPD"="C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 16:23 65536]
"PeerGuardian"="C:\Programmi\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 23:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-09 21:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 00:00 88363 C:\WINDOWS\agrsmmsg.exe]
"THotkey"="C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe" [2004-08-16 16:08 430080]
"TPSMain"="TPSMain.exe" [2004-08-12 13:44 266240 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"SmoothView"="C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe" [2004-04-30 12:01 118784]
"TFncKy"="TFncKy.exe" []
"COMODO Firewall Pro"="C:\Programmi\Comodo\Firewall\cfp.exe" [2007-11-23 17:40 1481984]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"Apoint"="C:\Programmi\Apoint2K\Apoint.exe" [2001-08-29 21:38 118784]
"Ad-Watch"="C:\Programmi\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe" [2008-05-11 10:36 2476408]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2008-04-11 15:30 180269]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 12:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll
"LoadAppInit_DLLs"=1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\FlashGet\\flashget.exe"=
"C:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programmi\\Look@LAN\\LookAtLan.exe"=
"C:\\Programmi\\Look@LAN\\LookAtHost.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
*Newly Created Service* - CATCHME
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-10 22:38:34
Windows 5.1.2600 Service Pack 2 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll
-> C:\WINDOWS\system32\Ati2evxx.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\guard32.dll
.
Ora fine scansione: 2008-06-10 22.40.23
ComboFix-quarantined-files.txt 2008-06-10 20:40:15
13 Directory 45,775,548,416 byte disponibili
16 Directory 46,077,480,960 byte disponibili
228 --- E O F --- 2008-06-10 17:16:40
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/06/2008 - 10:27:51
[SCANSIONE DEL REGISTRO]
{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} Infetto da Spyware.WeatherBug.A
* * * RIMOSSO * * *
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 14607.
Files Totali: 14607.
Chiavi Registro rimosse: 1.
Virus Rimossi: 0.
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/06/2008 - 10:50:11
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 5546.
Files Totali: 5546.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
--------------------------------------------------------
11/06/2008 - 10:57:03
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 108652.
Files Totali: 108652.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/06/2008 - 12:01:54
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 108839.
Files Totali: 108839.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.01.45, on 11/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Laghy.L8645678\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FGCatchUrl - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programmi\Live_TV\tbLiv1.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programmi\Live_TV\tbLiv1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F494B972-41B2-4DEF-BC93-743ACCD048C9}: NameServer = 193.70.152.15,193.70.152.25
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 7983 bytes |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Giu 2008 09:36 Oggetto: |
|
|
| laghy ha scritto: | | Ciao Sante, secondo te quanto può essere stato dannoso? voglio dire, comodo insieme a quegli avvisi spiegava anche l'uso che il processo poteva fare di quelle risorse, tipo prelevare i dati immessi da tastiera o catturare screenshot dallo schermo. Insomma è possibile che siano stati prelevati dei dati, tipo password? |
Alcuni virus "leggono" i tasti premuti sulla tastiera del computer più che leggere le password criptate all'interno del PC, e li inviano al mittente;
Difficile dire se sia riuscito nell'intento;
Ma se tu non hai acconsentito all'accesso attraverso messenger, non ci dovrebbero essere problemi;
In ogni caso se ritieni di aver "rivelato" dati sensibili, per sicurezza ti conviene prendere precauzioni, ovviamente dipende da ciò che contengono questi dati;
Tenere sempre l'antivirus aggiornato e procedere spesso a scansioni del PC anche con Antispyware;
Non so se adesso riscontri ancora il problema;
fai la scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 12 Giu 2008 11:15 Oggetto: |
|
|
fatto, eccolo qui.
ultimamente non mi sono collegata con msn, ma in precedenza (quando avevo già il problema) l'ho fatto ma non ho inviato nessun dato "sensibile". L'unica cosa che può preoccuparmi è l'accesso alla banca online. ma potrei risolvere cambiando la password di accesso...
l'antivirus è sempre attivato e si aggiorna automaticamente, inoltre ho il firewall e ad-watch/ad-aware, ma questi non hanno mai rivelato niente.
quello che non faccio spesso sono le varie scansioni periodiche. Provvedo subito!
PS: avevo il sospetto che dovessi postare i log con un documento di testo...
chiedo scusa, mi rendo conto che risulta illeggibile queta discussione...  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Giu 2008 12:39 Oggetto: |
|
|
Il log non presenta cose strane...
adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC...
| laghy ha scritto: |
PS: avevo il sospetto che dovessi postare i log con un documento di testo...
chiedo scusa, mi rendo conto che risulta illeggibile queta discussione... |
Bhe, a mio parere non è illegibile  ma non ho ben capito cosa vuoi dire col postare i log con un documento di testo... |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 12 Giu 2008 16:56 Oggetto: |
|
|
Ho appena fatto una scansione approfondita con Avast! Professional, e non ha rilevato niente, devo farla lo stesso quella con Kaspersky?
Cmq non lo vedo più quel processo o processi simili, le scansioni che mi hai fatto fare devono aver risolto il problema...??? adesso sembra tutto normale, nessuna richiesta strana!  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Giu 2008 19:25 Oggetto: |
|
|
| Io consiglierei di farla la scansione con Kaspersky... |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 12 Giu 2008 21:44 Oggetto: |
|
|
ecco fatto, ha impiegato mezza giornata... 
ecco il report (ho messo i separatori ||):
ma non si può capire qual è la mail incriminata?
KASPERSKY ONLINE SCANNER 7 REPORT
Thursday, June 12, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Thursday, June 12, 2008 14:57:30
Records in database: 856010
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
Scan statistics
Files scanned 110301
Threat name 1
Infected objects 0
Suspicious objects 16
Duration of the scan 03:44:40
File name || Threat name || Threats count
C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Thunderbird\Profiles\siqpkwxs.Mamma\Mail\Local Folders\Inbox || Suspicious: Trojan-Spy.HTML.Fraud.gen || 7
C:\Documents and Settings\Laghy.L8645678\Dati applicazioni\Thunderbird\Profiles\siqpkwxs.Mamma\Mail\Local Folders\Junk || Suspicious: Trojan-Spy.HTML.Fraud.gen || 1
C:\Documents and Settings\Raffy\Dati applicazioni\Thunderbird\Profiles\siqpkwxs.Mamma\Mail\Local Folders\Inbox || Suspicious: Trojan-Spy.HTML.Fraud.gen || 7
C:\Documents and Settings\Raffy\Dati applicazioni\Thunderbird\Profiles\siqpkwxs.Mamma\Mail\Local Folders\Junk || Suspicious: Trojan-Spy.HTML.Fraud.gen || 1
The selected area was scanned. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Giu 2008 23:43 Oggetto: |
|
|
| Eliminale tutte, quelle contenute nel report.... |
|
| Top |
|
|
laghy
Utente cancellato
Registrato: 01/07/05 16:32
Messaggi: 158
|
| Inviato: 13 Giu 2008 08:09 Oggetto: |
|
|
Fatto, adesso dovrebbe essere tutto a posto no? Almeno acosì pare, non accadono più cose strane...
GRAZIE Sante... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Giu 2008 09:35 Oggetto: |
 |
|
Prego...  |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
