Olimpo Informatico

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

R16, potrebbe essere utile un controllo nel cmd con netstat -A ?

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

Ciao.

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Buonasera, essendo l'unica utente si apre direttamente come admin vero ?
Non saprei riconoscerle, posto una copia... se hai del tempo magari puoi darci un'occhiata ? Mi porta tremila TCP

Sennò magari ci provo io dai, devo cercare il nome degli indirizzi ?

edge-star-mini-shv-01 è fb vero ? Non è aperto eppure me lo riporta...

porte.txt

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

P.S. non so come sono finita sul sito virus total, che ha scannerizzato le porte, penso....

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

Salve.
Effettivamente, hai molte porte aperte collegate al tuo IP.
E anche al file Hosts.

Il mio consiglio è di resettare il router.
Se non sai resettare il router, scrivi qui marca e modello.

Reimpostazione del file Hosts predefinito :
link
Nel link c'è anche la reimpostazione automatica del file hosts.

Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta il log.

Poi:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Buona sera, ho rieseguito il netstat come admin,allego il risultato. Nella mia ignoranza, ho notato questo durotar:http , che su google porta come world of warcraft...che non ho mai avuto !!

porteadmn.txt

Extras.Txt
OTL.Txt

TDSSKiller.3.1.0.9_17.02.2016_19.14.20_log.txt

Reporttds.txt

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Una domanda, io ho le versioni precedenti attivate; non è che un eventuale virus si ricrea per questo motivo ?

P.S non ho resettato il router perchè l'ho cambiato da poco, ed ha avuto subito la psw

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

Tanto per cambiare, i log sono puliti. Laughing

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Ma secondo te buttare il computer dalla finestra vale come rimedio ? Ahahah

Comunque un esempio: clicco col destro sulla cartella foto di oggi, vado a proprietà, versioni precedenti e ripristino la cartella di un mese fa.
Magari c'è qualcosa che automaticamente crea il virus per questo motivo ?

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

Maary79 · Inviato: 20 Feb 2016 15:44 Oggetto:

E' un caso molto curioso...per curiosità, come fai la formattazione? Da partizione di ripristino, o da disco del SO? Windows è originale?

PS: comunque prima di buttare il PC, puoi provare a cambiare SO, mettendo Linux...sarebbe il colmo sta storia continuasse anche li!! Shocked

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Ciao !!
Dopo un po' di tempo, ma sono tornata. Sono stata per mesi senza Pc per problemi con la batteria, quest'estate l'ho riattivato, un mese fa ho iniziato a mettere poco per volta i dati per capire che cartelle di foto creavano problemi e.... eccoli qua !!

Scusa il ritardo Maary, comunque faccio la formattazione dal disco del SO con Windows originale.

Vi spiego il problema: ieri ho notato sul desktop un file con il nome di una foto ma senza anteprima, faccio "apri con" e..zac, immagine +18 che risaliva al 28 settembre.
Il 9 settembre avevo inserito sul pc la cartella di foto più vecchia che avevo nell'HD, quindi presumo il problema stia tutto qui... ho trovatu su internet un programma: HiJackThis.
Sicuramente saprete cos'è, anche perchè non saprei come spiegarlo Rolling Eyes

Posso allegarvi il log ? Sono riuscita a capire di un solo file molto sospetto

O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"

Queso depelapik è un file senza anteprima di 17 kb.
In questi giorni ho installato un po' di programmi per cercare di salvare i dati del cellulare, e si è installato anche Chromium ( faccio sempre attenzione a cosa scarico, ma ero troppo disperata per i dati del cellulare e troppo rassegnata ai problemi del pc per farci caso)

Grazie della vostra infinita pazienza <3

PS. in tutto ciò ho cambiato HD interno perchè il precedente si è bruciato, potrebbe sembrare maltratti gli oggetti tecnologici, ma non è così !!
Wikisend non mi carica il log, lo invio normale

C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_23_0_0_162.exe
C:\Users\Utente\Downloads\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
O4 - HKLM\..\Run: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
O4 - HKCU\..\Run: [Chromium] "c:\users\utente\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Program Files (x86)\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Wondershare Application Framework Service (WsAppService) - Wondershare - C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe
O23 - Service: Wondershare Driver Install Service (WsDrvInst) - Wondershare - C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe

--
End of file - 7505 bytes

Maary79

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Nono non l'ho installato. Ho controllato e mi porta esattamente alla data del 28 settembre.
Ma se io elimino questi file, anche grazie a HJT, si elimineranno anche gli script che nascono dalle foto ?

Comunque sai qual è la cosa strana ? Che non ho attaccato nessun dispositivo, perciò E dovrebbe essere un'altra partizione, o no ??

Stasera ho attaccato l'mp3 per passare della musica e me lo portava come "E", ma comunque quando ho fatto l'analisi non era attaccato. Magari anche tra le canzoni c'è qualcosa del genere, visto che mi è già capitato sul PC fisso.
Domani provero ad eliminare il tutto, vediamo cosa ne pensa R16...

Maary79

Intanto puoi fixare quelle 2 voci.
Clicca su:
Do a system scan only
poi cerca le 2 voci, selezionale e premi su fix.

Considera l'installazione di un firewall, ad esempio Comodo.

Ti dico già che R16 ha bisogno di tutti i log nuovi, dunque dovrai ripetere tutte le scansioni, con i tool usati in precedenza. Controlla anche il router, resettalo se possibile.

Un'altra cosa...il pc, a cui hai cambiato l'hdd si è reinfettato a sistema appena reinstallato e senza collegare nessuna periferica usb?

Io sono sempre del parere che il virus è dentro alle tue periferiche usb (chiavette, hdd esterni), e te lo stai diffondendo ovunque, anche sul cellulare e lettore mp3, che dal sistema Windows vengono letti come delle comunissime chiavette dati.

Io ho i miei metodi drastici per controllare le partizioni e salvare eventualmente dati importanti ed essere sicuri di non salvare anche eventuali virus, rendendoli però inaccessibili al sistema Windows, usando Linux e i suoi strumenti.

Se vorrai procedere in tal senso,innanzi tutto ti serve un disco di avvio di Linux (live).
Con questo avvi il pc (come quando reinstalli Windows, dunque passando dal bios, e mettendo il lettore per primo nell'ordine di boot).
Il cd ti darà diverse opzioni, scegli la prima: prova senza installare.
Attendi il caricamento del sistema.
Cerchi e apri l'applicazione Gparted, ti troverai già selezionato il tuo hdd di default, e vedrai tutte le partizioni che ci sono, anche le più piccole.
Puoi postare un immagine di gparted nel dubbio.
Gparted è un tool di partizionamento e formattazione per hdd interni e esterni, chiavette, ecc..
Se opterai per una nuova formattazione fallo con quello, perchè a questo punto se non si riuscirà ad identificare i file infetti sulle unità usb sarebbe meglio formattarle, salvando prima i dati in una partizione non accessibile a Windows (per precauzione) che provvederemo eventualmente a creare poi.
Sempre dal live di Linux, potrai accedere alle tue unità usb, per cercare file infetti (li non c'è nulla di nascosto).
Per scaricare una versione di Linux ti segnalo Xubuntu 16.04 (32 o 64 bit a seconda del tuo sistema), il file .iso poi si masterizza come immagine.

Non credo di aver mai letto un caso come il tuo... Shocked

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10124

Maary79 ha scritto:

balehay · Eroe Registrato: 16/01/16 23:09 Messaggi: 42

Eliminato tutto,
ora ti posto i log. Comunque sono tornati nel momento in cui ho passato le foto, quindi sicuro sono nell'HD esterno. Vediamo se si risolve sennò passo a Linux.. il problema è che dovrei passare tutto sul pc ed analizzare tutto...
O si può fare tutto ciò direttamente sull'HD?

Addition.txt
FRST.txt

Maary79

Aspetta per procedere in qualche modo da Linux.
Sui log ho visto che ci sono ancora quelle 2 voci sospette. Poi ho notato che usi software per aggiornare i driver. Sappi che molti di questi nascondono malware oppure possono causare problemi seri al pc. I driver si scaricano dai siti dei produttori dell'hardware.
Aspettiamo R16, avrà di sicuro un fix.

Poi, non ho capito se hai scansionato i supporti esterni, presumevo di si, e che gli antivirus non trovassero nulla...
Se non lo hai già fatto prova a scansionare i supporti esterni.

Da Microsoft Security Essentials (visto che dal log risulta quello)
Opzioni - personalizzata - selezioni l'unità esterna e premi ok.

Da Malware Bytes:
Scansione - scansione personalizzata - avvia - selezioni l'unità esterna - scansione.

Sempre per le usb ti segnalo:
Panda usb vaccine link
BitDefender Immunizer link