Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
PC formattato, trojan o conflitto software????
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
MessaggioInviato: 18 Feb 2009 12:37    Oggetto: PC formattato, trojan o conflitto software???? Rispondi citando
Salve a tutti mi sono appena iscritto anche se lo meditavo da un pò dato che leggo zeusnews e lo trovo utilissimo.

Ho un problema e spero possiate chiarirmi le idee VE NE PREGO Rolling Eyes

a casa ho un acer one un netbook con win xp e visto che lo avevo riempito con programmi e cose inutili lo formattato riportandolo alle originali condizioni fabbrica con il tool acer apposito.


ho fatto l'aggiornamento con windows update e installato i programmi sicuri di base (firefox, opera, java, flash, ccleaner ecc.)

e attivato la prova di 60 giorni di mcaffe internet suite antivirus e firewall

e messo anche ad ware e spybot.


Tutto perfetto e ho incominciato ad usarlo su internet e mio fratello lo ha usato per fare acquisti con carta di credito e per accedere a siti importanti per lui concellando poi i file temporanei con ccleaner ecc.


qui cominciano le grane Rolling Eyes Crying or Very sad Rolling Eyes Crying or Very sad

nonostante sia formatato e abbia usato solo siti istituzionali o cmq noti e sicuri mcaffe aggiornato ho fatto una scansione completa con mcaffe e tutto ok, con ad aware segnala solo un file sospetto che però è innocuo e serve al portatile per la connessione wireless

provo per curiosità con spybot e mi avverte che potrebbero esserci blocchi o porblemi perche ho installato mcaffe e ad awre, procedo cmq e.... mi trova un trojan Shocked paura e spavento sono paranoico... ho levato il trojan e rifatto una scansione all'avvio con spybot che mi da tutto ok.

Ma ora che faccio? come ho preso un trojan? e un vero trojan oppure spybot si è confuso e ha preso le definizioni di mcaffe o ad aware come spyware? concellando il trojan tutti i programmi continuano a fare bene il loro lavoro. il trojan che ho preso può aver rubato dati personali o password? mio fratello mi ucciderebbe.

oviamente vi allego il log di spybot:


Citazione:
trojans PartnerBHO

PartnerBHO: [SBI $2FE4A5BE] ID di applicazione (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\AppID\{28A88B70-D874-4f73-BBBA-9B2B222FB7D6}

PartnerBHO: [SBI $BE743C00] ID di applicazione (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\AppID\kt_bho_dll.dll

PartnerBHO: [SBI $F3EE08ED] ID di classe (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

PartnerBHO: [SBI $14904C60] Classe radice (Root) (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\kt_bho.KettleBho

PartnerBHO: [SBI $14904C60] Classe radice (Root) (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\kt_bho.KettleBho.1

PartnerBHO: [SBI $14904C60] ID di classe (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

PartnerBHO: [SBI $14904C60] Assistente del browser (BHO) (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

PartnerBHO: [SBI $6B47FF4E] Libreria dei tipi (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0. 8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-01-26 TeaTimer.exe (1.6.4.26)
2009-02-17 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-01-26 advcheck.dll (1.6.2.15)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-01-22 Includes\Adware.sbi (*)
2009-01-22 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-01-06 Includes\Dialer.sbi (*)
2009-01-22 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-02-10 Includes\Hijackers.sbi (*)
2009-02-10 Includes\HijackersC.sbi (*)
2008-12-09 Includes\Keyloggers.sbi (*)
2009-02-03 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-11-18 Includes\Malware.sbi (*)
2009-02-10 Includes\MalwareC.sbi (*)
2008-12-16 Includes\PUPS.sbi (*)
2009-02-10 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-02-10 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-01-28 Includes\Spyware.sbi (*)
2009-01-28 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2009-02-03 Includes\Trojans.sbi (*)
2009-02-10 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll





Il mio pc è sicuro? aiuto Sad
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 18 Feb 2009 20:30    Oggetto: Rispondi citando
Ciao MaXXX eternal tiare e benvenuto, Ciao

Potrebbe essere un falso positivo... ma, per sicurezza, facciamo le operazioni preliminari:

PS: se vuoi, puoi presentarti al Caffé dell'Olimpo. Very Happy
Top
Profilo Invia messaggio privato
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
MessaggioInviato: 19 Feb 2009 05:36    Oggetto: Rispondi citando
ciao, grazie, domani farò quello che mi dici.

ma in caso non fosse un falso positivo questo partner bho può aver rubato dati o fatto dei danni anche se levato??
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 19 Feb 2009 09:17    Oggetto: Rispondi citando
Ciao MaXXX (abbrevio Razz ), Ciao

ho cercato informazioni su KettleBho (non PartnerBHO) ed è, effettivamente, un trojan.
Spybot l'ha riconosciuto correttamente, mentre McAfee non ha fatto una piega. Shocked

Fai comunque le operazioni sopra descritte e vediamo se ci sono altri soggetti strani. Wink
Top
Profilo Invia messaggio privato
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
MessaggioInviato: 20 Feb 2009 04:49    Oggetto: Rispondi citando
Ciao bdoriano guarda ho tagliato la testa al toro e ho riformattato, reinstallando i programmi ho controllato con: spybot (disattivando ad aware e mcaffe per evitare conflitti) ad aware e mcaffe aggiornati e nulla.

poi ho installato il sicuro superantispyware che consigli tu e ha trovato due voci che chiama sconosciute e io non so se è un falso positivo o no.

come è possibile che appena formattato e mettendo solo programmi sicuri abbia già preso qualcosa Shocked vi posto i log di 2 scansioni fatte e spero che sia un falso positivo:
Citazione:



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/19/2009 at 03:56 PM

Application Version : 4.25.1012

Core Rules Database Version : 3766
Trace Rules Database Version: 1726

Scan type : Complete Scan
Total Scan Time : 00:08:45

Memory items scanned : 499
Memory threats detected : 0
Registry items scanned : 4398
Registry threats detected : 1
File items scanned : 0
File threats detected : 0

Unclassified.Unknown Origin
HKU\S-1-5-21-4051454748-519148762-2347496785-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}



Citazione:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/19/2009 at 04:49 PM

Application Version : 4.25.1012

Core Rules Database Version : 3766
Trace Rules Database Version: 1726

Scan type : Complete Scan
Total Scan Time : 00:51:35

Memory items scanned : 501
Memory threats detected : 0
Registry items scanned : 4680
Registry threats detected : 0
File items scanned : 12966
File threats detected : 1

Unclassified.Unknown Origin
C:\SYSTEM VOLUME INFORMATION\_RESTORE{408F16DC-1AAE-4083-BFF7-4BD231525082}\RP9\A0000811.DLL



che ne dite? ps secondo voi visto che quando avevo il vecchio parnterbho ho comprato un libro su internet con postepay e visitato l'account poste.it che dite voi cambiereste le password oppure partnerbho non rappresentava quel tipo di rischio?


Grazie
Top
Profilo Invia messaggio privato
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
MessaggioInviato: 22 Feb 2009 08:24    Oggetto: Rispondi citando
Ma non cè nessuno? Shocked Sad
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 23 Feb 2009 14:05    Oggetto: Rispondi
Le due scansioni di SAS hanno evidenziato un'infezione del registro e un file nel ripristino di sistema.
Aspetto di vedere anche il log di MBAM e di SystemScan.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi