Precedente :: Successivo |
Autore |
Messaggio |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 19 Set 2008 21:03 Oggetto: [probabile virus] blocchi e crash |
|
|
Salve avrei ancora bisogno di voi:::se potete.
vari blocchi, funzionamento strano, e un riavvio forzato subito all'avvio che dice "....utilità avvio processo server DCOM.
da un pò la finestra di connessione internet si apre in continuazione
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:38, on 2008-09-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\msg32.exe
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Roland\VSC32\vscvol.exe
C:\Programmi\Roland\VSC32\vsc32cnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programmi\Symantec\WinFax\WFXMOD32.EXE
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Doblon2\POWERV~1\POWERV~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Bruno Milano\Desktop\Sicurezza\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [vscvol.exe] C:\Programmi\Roland\VSC32\vscvol.exe
O4 - HKLM\..\Run: [vsc32cnf.exe] C:\Programmi\Roland\VSC32\vsc32cnf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S1FD.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://giul86.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: wamps - C:\WINDOWS\SYSTEM32\wamps.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WAM Proxy Stub (wamps) - Unknown owner - rundll32.exe (file missing)
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
--
End of file - 7860 bytes |
|
Top |
|
 |
baciami Semidio


Registrato: 02/09/07 15:40 Messaggi: 287 Residenza: toscana
|
Inviato: 19 Set 2008 21:21 Oggetto: |
|
|
ciao brumil .. se non li conosci fixali
O20 - Winlogon Notify: wamps - C:\WINDOWS\SYSTEM32\wamps.dll
O23 - Service: WAM Proxy Stub (wamps) - Unknown owner - rundll32.exe (file missing)
cmq prima segui questa procedura
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
Top |
|
 |
baciami Semidio


Registrato: 02/09/07 15:40 Messaggi: 287 Residenza: toscana
|
Inviato: 19 Set 2008 21:25 Oggetto: |
|
|
cmq hijak mettilo in una sua cartella in c: senno' non ti salva il bakup |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 20 Set 2008 16:49 Oggetto: |
|
|
combofix non va, ho fixato i due file che mi hai detto.
di seguito i log
http://wikisend.com/download/608956/mbam-log-2008-09-20 (16-19-18).txt
http://wikisend.com/download/952356/hijackthis.log |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 20 Set 2008 23:14 Oggetto: |
|
|
Vedo che
O23 - Service: WAM Proxy Stub (wamps) - Unknown owner - rundll32.exe (file missing)
non si è fixato.
Ma l'hai fatto da modalità normale? Prova avviando Windows in modalità provvisoria.
Dopo di che riavvia in modalità normale e fai un nuovo log di HijackThis e controlla che quella riga non ci sia più.
Poi, da modlaità normale, riprova con Combofix. |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 21 Set 2008 18:27 Oggetto: |
|
|
niente da fare, quel file è ancora vivo e vegeto nonostante la modalità provvisoria.
http://wikisend.com/download/554094/hijackthis.log
Tra l'altro HijackThis con le sue info mi dice che si tratta di un file essenziale per windows. sarà vero?
altra cosa strana, non riesco a cancellare la cronologia di firefox. Ne con CCcleaner ne con ATF cleaner.
altri blocchi..... |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 21 Set 2008 18:57 Oggetto: |
|
|
baciami ha scritto: | ciao brumil .. se non li conosci fixali
O23 - Service: WAM Proxy Stub (wamps) - Unknown owner - rundll32.exe (file missing) |
chemicalbit ha scritto: | Vedo che O23 - Service: WAM Proxy Stub (wamps) - Unknown owner - rundll32.exe (file missing) non si è fixato. |
Citazione: | niente da fare, quel file è ancora vivo e vegeto nonostante la modalità provvisoria. |
i servizi non si fixano
Per ora, non toccare nulla, controllo il log e vediamo. |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 21 Set 2008 19:06 Oggetto: |
|
|
C:\WINDOWS\SYSTEM32\wamps.dll
Segui il percorso, individua quella dll e falla analizzare qui:
http://www.virustotal.com/it/
Al termine verrà rilasciato un report: pubblica il relativo link. |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 21 Set 2008 19:09 Oggetto: |
|
|
brumil ha scritto: | niente da fare, quel file è ancora vivo e vegeto nonostante la modalità provvisoria. (...)
altra cosa strana, non riesco a cancellare la cronologia di firefox. Ne con CCcleaner ne con ATF cleaner.
altri blocchi..... | Beh, non stupisce più di tanto.
Non sei risucito ad eseguire combofix,
per cui vuol dire che c'è in esecuzione "qualcosa" che si protegge bloccando programmi che potrebbero rimuoverlo,
E MBAM aveva tovato un solo file infetto (un keygen contenente un Trojan.Downloader) che potrebbe non c'entrare nulla con questo problema (soprattutto se non hai mai eseguito quel file),
quindi forse non abbiamo ancora trovato e risolto nulla di ciò che causa il problema.
Aspettiamo la lettura dei log di Riverside.
(Mi sa che non c'è molto in quei log,
dobbiamo trovare un tool di analisi/rimozione che giri sul tuo PC).
EDIT: Riverside ha già risposto. |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 21 Set 2008 19:21 Oggetto: |
|
|
Altra cosa:
Citazione: | File infetti: D:\Documenti\Download\Video\Crack\Sony DVD Architect v4.0 Keygen.exe (Trojan.Downloader) -> No action taken. |
Se non hai usato quel crack, cestinalo e svuota il cestino; se lo hai usato, cestinalo, disinstalla il programma craccato, e dopo lo reinstalli senza crack (ed a questo punto, possiamo già iniziare a parlare di probabile infezione da bagle).
Poi, ripeti una scansione completa con Malwarebytes, ed allega il nuovo log.
Certo che le grane ve le andate proprio a cercare  |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 21 Set 2008 19:43 Oggetto: |
|
|
OT Riverside ha scritto: | Certo che le grane ve le andate proprio a cercare  | Ma 'sti keygen infetti, li mandano in giro apposta per .... incentivare l'uso di software originale? |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 23 Set 2008 09:39 Oggetto: |
|
|
quel file keygen è presente su D: da sempre. Il software Architect è installato da almeno un anno. E' mai possibile che solo ora abbia deciso di dare noie? L'impressione è che sia cominciato qualche giorno fa dopo che nod 32 ha individuato e messo in quarantena alcuni file.
Sento spesso l'hard disk girare da solo. |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Set 2008 09:49 Oggetto: |
|
|
brumil ha scritto: | quel file keygen è presente su D: da sempre. Il software Architect è installato da almeno un anno. E' mai possibile che solo ora abbia deciso di dare noie? L'impressione è che sia cominciato qualche giorno fa dopo che nod 32 ha individuato e messo in quarantena alcuni file. |
Citazione: | File infetti:
D:\Documenti\Download\Video\Crack\Sony DVD Architect v4.0 Keygen.exe (Trojan.Downloader) -> No action taken. |
Se lo vuoi considerare un falso positivo, accomodati
Hai fatto analizzare quella dll che ti avevo indicato, su Virustotal?? |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 23 Set 2008 10:10 Oggetto: |
|
|
chiedo venia.....ho appena fatto come hai detto. combo è partito qui il link
http://wikisend.com/download/513294/ComboFix.txt
A ben pensare saltuari blocchi ce l'ho da sempre, ma ultimamente ho usato di più proprio architect |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Set 2008 10:15 Oggetto: |
|
|
Scusa ma io non ti ho chiesto il log di combofix (che tra l'altro ti faccio, ripetere) ma ti avevo chiesto questo:
Citazione: | C:\WINDOWS\SYSTEM32\wamps.dll
Segui il percorso, individua quella dll e falla analizzare qui:
http://www.virustotal.com/it/
Al termine verrà rilasciato un report: pubblica il relativo link. |
Dopo aver fatto analizzare quella dll, e pubblicato il report, riavvia in sistema in modalità provvisoria, riesegui, in quella modalità, Combofix, ed allega il nuovo log. |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 23 Set 2008 10:21 Oggetto: |
|
|
http://www.virustotal.com/it/analisis/7d513f390a12b16aa08a4654d73d0fc9
procedo con combofix |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Set 2008 10:25 Oggetto: |
|
|
Hum sul risultato di Virustotal.... ci devo ragionare sopra un attimo.
Quella dll, falla analizzare, anche qui, per favore (ed allega il report):
http://virusscan.jotti.org/ |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 23 Set 2008 10:36 Oggetto: |
|
|
Scan taken on 23 Sep 2008 08:32:33 (GMT)
A-Squared
Found Trojan.Agent.AKAE!IK
AntiVir
Found TR/Crypt.XPACK.Gen
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Trojan.Dropper.Crypt.C
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Ikarus
Found Trojan.Agent.AKAE
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
se ti serve illog di comboFix è qui
http://wikisend.com/download/584498/log.txt |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Set 2008 10:40 Oggetto: |
|
|
Allega un nuovo log di Hthis per favore (e lascia disabilitato il ripristino configurazione di sistema). |
|
Top |
|
 |
brumil Semidio

Registrato: 15/08/07 11:32 Messaggi: 238
|
Inviato: 23 Set 2008 10:46 Oggetto: |
|
|
eccolo
http://wikisend.com/download/540692/hijackthis.log |
|
Top |
|
 |
|