|
|
#1
19. Giugno 2009, 08:12
| |||
| |||
 Autorun Malware? Ciao, il mio computer sembra avere alcuni malware che ho scoperto quando mio zio collegato la sua chiave USB. Avast scansione trovato alcune cose, ma non ha potuto pulire / rimuoverlo. Difensore scansione si blocca dopo circa 7 minuti. E MBAM scansione completa anche congelato dopo circa 5 minuti, ma la scansione rapida è stata ok. Qui ci sono i log: Plus: 18/06/2009 11:07:37 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Cartelle personali \ Inizio cartelle personali \ Posta in arrivo \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "file. 18/06/2009 11:06:59 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Cartelle personali \ Inizio cartelle personali \ Posta eliminata \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "file. 18/06/2009 11:06:59 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Cartelle personali \ Inizio cartelle personali \ Posta eliminata \ UPS Tracking Number 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "file. 18/06/2009 11:06:58 AM 3652 Iscriviti utente di "Win32: Agent-AAPS [Trj]" è stato trovato in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Cartelle personali \ Inizio cartelle personali \ Posta eliminata \ UPS Tracking Number 3508422599 \ ups_invoice.zip \ ups_invoice.exe "file. 18/06/2009 10:42:55 AM 3652 Iscriviti utente di "Win32: Trojan-gen (Other)" è stato trovato in "C: \ Documents and Settings \ utente \ Impostazioni locali \ Dati applicazioni \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (imap)-00000005.pst \ info@fcagroup.com \ Inizio cartelle personali \ [Gmail] \ Tutti i messaggi \ Really cool foto \ pussy.zip \ pussy.exe "file. 18/06/2009 10:42:41 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "C: \ Documents and Settings \ utente \ Impostazioni locali \ Dati applicazioni \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ Inizio cartelle personali \ [Gmail] \ Tutti i messaggi \ UPS: Il Monitoraggio # 358010698330 \ PDF76512.zip \ PDF76512.exe "file. 18/06/2009 10:42:41 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "C: \ Documents and Settings \ utente \ Impostazioni locali \ Dati applicazioni \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ Inizio cartelle personali \ [Gmail] \ Tutti i messaggi \ UPS: Il Monitoraggio # 145132932471 \ PDF76512.zip \ PDF76512.exe "file. 18/06/2009 10:42:23 AM 3652 Iscriviti utente di "Win32: Ups [Cryp]" è stato trovato in "C: \ Documents and Settings \ utente \ Impostazioni locali \ Dati applicazioni \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ Inizio cartelle personali \ [Gmail] \ Tutti i messaggi \ UPS: Il Monitoraggio # 239293259082 \ EXL6512721.zip \ EXL6512721.exe "file. 17/06/2009 5:36:18 PM SYSTEM 1328 Sign of "BV: AutoRun-T [Wrm]" è stato trovato in "F: \ Autorun.inf" file. SUPERAntiSpyware Scan Entra http://www.superantispyware.com Generata 06/19/2009 alle 10:43 AM Applicazione Versione: 4/26/1004 Core Regole Database Version: 3947 Trace Regole Database Version: 1889 Tipo di scansione: Scansione completa Totale Scan Time: 00:36:36 Memoria oggetti scanditi: 631 Memoria minacce rilevate: 0 Registro di oggetti scanditi: 6110 Registro di minacce rilevate: 0 File oggetti scanditi: 46796 File minacce rilevate: 9 Adware.Tracking Cookie C: \ Documents and Settings \ utente \ Cookies \ utente @ XiTi [1]. Txt C: \ Documents and Settings \ utente \ Cookies \ utente @ revsci [2]. Txt C: \ Documents and Settings \ utente \ Cookies \ utente @ tribalfusion [2]. Txt C: \ Documents and Settings \ utente \ Cookies \ utente @ Realmedia [2]. Txt C: \ Documents and Settings \ utente \ Cookies \ user@microsoftwindows.112.2o 7 [1]. Txt C: \ Documents and Settings \ utente \ Cookies \ user@pandasoftware.112.2o7 [1]. Txt C: \ Documents and Settings \ utente \ Cookies \ user@adopt.euroclick [2]. Txt C: \ Documents and Settings \ utente \ Cookies \ utente @ specificclick [2]. Txt C: \ Documents and Settings \ utente \ Cookies \ utente @ 247realmedia [1]. Txt Malwarebytes' Anti-Malware 1,38 Database versione: 2308 5/1/2600 Windows Service Pack 3 19/06/2009 11:01:44 AM mbam-log-2009-06-19 (11-01-44). txt Tipo di scansione: Quick Scan Oggetti scandita: 87063 Tempo trascorso: 2 minuti (s), 24 secondi (s) Processi di memoria infetti: 0 Moduli di memoria infetti: 0 Chiavi di registro infette: 0 Valori del registro infetti: 0 I dati del Registro di oggetti infetti: 0 Cartelle infette: 0 File infetti: 0 Processi di memoria infetti: (N. oggetti dannosi individuati) Moduli di memoria infetti: (N. oggetti dannosi individuati) Chiavi di registro infette: (N. oggetti dannosi individuati) Valori del registro infetti: (N. oggetti dannosi individuati) I dati del Registro di oggetti infetti: (N. oggetti dannosi individuati) Cartelle infette: (N. oggetti dannosi individuati) I file infetti: (N. oggetti dannosi individuati) Logfile di Trend Micro HijackThis v2.0.2 Scan salvato a 11:04:24 AM, il 19/06/2009 Piattaforma: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Processi in esecuzione: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Windows Defender \ MsMpEng.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ WINDOWS \ system32 \ cisvc.exe C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe C: \ Program Files \ Hamachi \ hamachi.exe C: \ WINDOWS \ system32 \ cidaemon.exe C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ Mdm.exe C: \ WINDOWS \ system32 \ nvsvc32.exe C: \ WINDOWS \ Explorer.EXE C: \ Program Files \ Pervasive Software \ psql \ bin \ w3dbsmgr.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ system32 \ SearchIndexer.exe C: \ WINDOWS \ system32 \ fxssvc.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe C: \ WINDOWS \ RTHDCPL.EXE C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe C: \ WINDOWS \ system32 \ ctfmon.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ Program Files \ Skype \ Phone \ Skype.exe C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe C: \ Program Files \ Hamachi \ hamachi.exe C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe C: \ Program Files \ Skype \ Plugin Manager \ skypePM.exe C: \ WINDOWS \ system32 \ taskmgr.exe C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe C: \ WINDOWS \ system32 \ notepad.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ WINDOWS \ system32 \ SearchProtocolHost.exe C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx F2 - REG: system.ini: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O2 - BHO: Java (tm) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ bin \ jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ deploy \ jqs \ cioè \ jqs_plugin.dll O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE O4 - HKLM \ .. \ Run: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe O4 - HKLM \ .. \ Run: [Windows Defender] "C: \ Program Files \ Windows Defender \ MSASCui.exe"-hide O4 - HKLM \ .. \ Run: [ZoneAlarm Client] "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" O4 - HKLM \ .. \ Run: [Samsung PanelMgr] C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe / autorun O4 - HKLM \ .. \ Run: [4x28 Scan2PC] "C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e xe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" O4 - HKLM \ .. \ RunOnce: [Malwarebytes' Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / install / silent O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe O4 - HKCU \ .. \ Run: [Skype] "C: \ Program Files \ Skype \ Phone \ Skype.exe" / nosplash / minimizzate O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe (User 'SERVIZIO LOCALE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe (User 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe (User 'Default user') O4 - Startup: hamachi.lnk = C: \ Program Files \ Hamachi \ hamachi.exe O4 - Startup: Collegamento a Mappa Drive.lnk = C: \ Documents and Settings \ utente \ Desktop \ Mappa Drive.bat O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe O4 - Global Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe O8 - Extra contesto voce di menu: E & sporta in Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ micros ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra contesto voce di menu: Web Capture - C: \ Program Files \ SmarThru Office \ WebCapture.dll O9 - Extra pulsante: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ micros ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Extra pulsante: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O9 - Extra pulsante: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra pulsante: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe Ø16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab Ø16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 Ø18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMUNE ~ 1 \ Skype \ SKYPE4 ~ 1.DLL Ø20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Sconosciuto proprietario - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Servizio Hamachi (HamachiService) - LogMeIn Inc. - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive psql Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ psql \ bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe -- Fine del file - 7353 bytes |
|
#2
20. Giugno 2009, 06:58
| ||||||||||||
| ||||||||||||
| Autorun Malware? Howdy benvenuto e vi Computer Juice I'm Steve e io sarò il aiutandovi thoughout questa correzione. Prima di iniziare la correzione, leggere questo post completamente. Se c'è qualcosa che non capisci, chiediamo gentilmente le vostre domande prima di procedere. E 'importante che lei non perdere un passo. Si prega di effettuare il tutto in modo corretto / sequenza. Si inizierà con ComboFix.exe. Si prega di visitare questa pagina web per il download link e le istruzioni per il funzionamento dello strumento: http://www.bleepingcomputer.com/comb...o-use-combofix Assicurarsi che tutti i disabili hanno anti virus e anti malware programmi in modo da non interferire con il funzionamento del ComboFix. Si prega di includere il C: \ ComboFix.txt nella prossima risposta per un ulteriore riesame.
__________________
__________________
Orgoglioso membro del ASAP & UNITE Il mio sistema: Steves Rig
|
|
#3
22. Giugno 2009, 07:38
| |||
| |||
| Autorun Malware? Ehi, grazie per l'aiuto. Ecco il log: ComboFix 09-06-21.01 - 22/06/2009 10:29.1 utente - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00] Running da: c: \ Documents and Settings \ utente \ Desktop \ ComboFix.exe AV: avast! 4/8/1335 antivirus [VPS 090621-0] * On-scansione accesso disabili * (Aggiornato) (7591DB91-41F0-48A3-B128-1A293FD8233D) FW: ZoneAlarm Firewall disattivato * * (829BDA32-94B3-44F4-8446-F8FCFF809F8B) . Altri ((((((((((((((((((((((((((((((((((((((( Deletions ))))))))) )))))))))))))))))))))))))))))))))))))))) . c: \ windows \ system32 \ winsusrm.dll . ((((((((((((((((((((((((( I file creati dal 2009/05/22 al 2009/06/22 ))))))))))) )))))))))))))))))))) . 2009-06-19 15:34. 2009-06-19 15:34 d -------- ----- w-C: \ Program Files \ Microsoft ActiveSync 2009-06-19 14:07. 2009-06-19 14:07 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ Malwarebytes 2009-06-19 14:07. 2009-06-17 15:27 38160 ---- aw-c: \ windows \ system32 \ drivers \ mbamswissarmy.sys 2009-06-19 14:07. 2009-06-19 14:07 d -------- ----- w-C: \ Program Files \ Malwarebytes' Anti-Malware 2009-06-19 14:07. 2009-06-19 14:07 d -------- ----- w-c: \ Documents and Settings \ All Users \ Dati applicazioni \ Malwarebytes 2009-06-19 14:07. 2009-06-17 15:27 19096 ---- aw-c: \ windows \ system32 \ drivers \ mbam.sys 2009-06-19 13:58. 2009-06-19 13:58 117760 ---- aw-c: \ Documents and Settings \ utente \ Dati applicazioni \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL 2009-06-19 13:57. 2009-06-19 13:57 d -------- ----- w-c: \ Documents and Settings \ All Users \ Dati applicazioni \ SUPERAntiSpyware.com 2009-06-19 13:57. 2009-06-19 13:57 d -------- ----- w-C: \ Program Files \ SUPERAntiSpyware 2009-06-19 13:57. 2009-06-19 13:57 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ SUPERAntiSpyware.com 2009-06-19 13:57. 2009-06-19 13:57 d -------- ----- w-C: \ Program Files \ Common Files \ Wise Installation Wizard 2009-06-10 17:39. 2009-06-10 17:39 152576 ---- aw-c: \ Documents and Settings \ utente \ Dati applicazioni \ domenica \ Java \ jre1.6.0_14 \ lzma.dll 2009-06-10 00:53. 2009-06-10 00:53 d -------- ----- w-c: \ Documents and Settings \ All Users \ Dati applicazioni \ NCH Software 2009-05-29 11:46. 2008-04-14 09:42 26624 ---- aw-c: \ Documents and Settings \ LocalService \ Dati applicazioni \ Microsoft \ UPnP Device Host \ upnphost \ udhisapi.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Relazione )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2009-06-22 14:22. 2009-04-28 15:03 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ Skype 2009-06-22 13:56. 2008-02-17 21:01 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ Hamachi 2009-06-22 12:02. 2009-04-28 15:18 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ skypePM 2009-06-19 13:35. 2008-02-17 22:39 d -------- ----- w-c: \ Documents and Settings \ All Users \ Dati applicazioni \ Spybot - Search & Destroy 2009-06-18 19:10. 2008-06-19 15:20 31703397 ---- aw-c: \ windows \ Internet Logs \ tvDebug.zip 2009-06-12 07:08. 2008-12-03 14:46 d -------- ----- w-C: \ Program Files \ Windows Desktop Search 2009-06-10 17:39. 2009-03-26 15:12 d -------- ----- w-C: \ Program Files \ Java 2009-06-10 16:58. 2008-12-30 17:22 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ FileZilla 2009-05-30 21:05. 2008-08-28 17:15 d -------- ----- w-C: \ Program Files \ MK PowerTools 2009-05-25 04:24. 2008-05-27 03:18 350208 ---- aw-c: \ windows \ system32 \ mssph.dll 2009-05-21 15:33. 2008-12-06 16:44 410984 ---- aw-c: \ windows \ system32 \ deploytk.dll 2009-05-12 19:12. 2008-02-17 18:05 26144 ---- aw-c: \ windows \ system32 \ spupdsvc.exe 2009-05-07 15:32. 2004-08-03 16:56 345600 ---- aw-c: \ windows \ system32 \ Localspl.dll 2009-05-01 16:37. 2009-02-07 19:53 d -------- ----- w-c: \ Documents and Settings \ utente \ Dati applicazioni \ Unyte 2009-04-29 04:46. 2004-08-03 16:56 666624 ---- aw-c: \ windows \ system32 \ wininet.dll 2009-04-29 04:46. 2004-08-03 16:56 81920 ---- aw-c: \ windows \ system32 \ ieencode.dll 2009-04-28 15:18. 2009-04-28 15:18 56 --- ha-w-c: \ windows \ system32 \ ezsidmv.dat 2009-04-28 15:02. 2009-04-28 15:02 d -------- ----- w-C: \ Program Files \ Common Files \ Skype 2009-04-28 15:02. 2009-04-28 15:02 d -------- ----- r-C: \ Program Files \ Skype 2009-04-28 15:02. 2009-04-28 15:02 d -------- ----- w-c: \ Documents and Settings \ All Users \ Dati applicazioni \ Skype 2009-04-17 12:26. 2004-08-03 15:17 1847168 ---- aw-c: \ windows \ system32 \ win32k.sys 2009-04-15 14:51. 2004-08-03 16:56 585216 ---- aw-c: \ windows \ system32 \ Rpcrt4.dll 2009-04-09 02:09. 2009-04-09 02:04 664 ---- aw-c: \ windows \ system32 \ d3d9caps.dat 2009-04-01 21:57. 2008-02-17 22:30 4212 --- ha-w-c: \ windows \ system32 \ zllictbl.dat 2009-04-01 21:21. 2009-04-01 21:21 152576 ---- aw-c: \ Documents and Settings \ utente \ Dati applicazioni \ domenica \ Java \ jre1.6.0_13 \ lzma.dll 2009-03-31 21:41. 2009-03-31 21:41 0 ---- aw-c: \ windows \ system32 \ WSSPOOL.TMP 2009-03-26 15:11. 2009-03-26 15:11 152576 ---- aw-c: \ Documents and Settings \ utente \ Dati applicazioni \ domenica \ Java \ jre1.6.0_12 \ lzma.dll 2008-06-23 22:36. 2008-06-23 22:36 0 ---- aw-C: \ Program Files \ gditst 2008-05-22 20:04. 2008-05-22 20:04 190 ---- aw-C: \ Program Files \ Common Files \ psasetup.log . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * Nota * vuoto voci & legit default voci non vengono visualizzate REGEDIT4 [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run] "Ctfmon.exe" = "c: \ windows \ system32 \ ctfmon.exe" [2008-04-14 15360] "Skype" = "C: \ Program Files \ Skype \ Phone \ Skype.exe" [2009-04-21 24264488] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run] "NvCplDaemon" = "c: \ windows \ system32 \ NvCpl.dll" [2007-09-17 8491008] "DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840] "avast!" = "C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. exe" [2009-02-05 81000] "ZoneAlarm Client" = "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384] "Samsung PanelMgr" = "C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe" [2008-07-31 536576] "4x28 Scan2PC" = "C: \ Windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan 2pc.exe" [2008-09-29 495616] "SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" [2009-05-21 148888] "RTHDCPL" = "RTHDCPL.EXE" - c: \ windows \ RTHDCPL.exe [2007-04-26 16132608] [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run] "Ctfmon.exe" = "c: \ windows \ system32 \ ctfmon.exe" [2008-04-14 15360] c: \ Documents and Settings \ utente \ Menu Avvio \ Programmi \ Startup \ hamachi.lnk - C: \ Program Files \ Hamachi \ hamachi.exe [2008-2-17 625952] Collegamento a Mappa Drive.lnk - c: \ Documents and Settings \ utente \ Desktop \ Mappa Drive.bat [2008-7-30 42] SyncBack.lnk - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064] c: \ Documents and Settings \ All Users \ Menu Avvio \ Programmi \ Startup \ Windows Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008-5-26 123904] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ ShellExecuteHooks] "(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128] "(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon] 2008-12-22 16:05 356352 ---- aw-C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contro l \ SafeBoot \ Minimal \ WinDefend] @ = "Service" [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ ZoneLabsFirewall] "DisableMonitoring" = dword: 00000001 [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile] "EnableFirewall" = 0 (0x0) [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List] "% windir% \ \ system32 \ \ sessmgr.exe" = "% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" = "c: \ \ WINDOWS \ \ system32 \ \ fxsclnt.exe" = "c: \ \ Program Files \ \ Pervasive Software \ \ psql \ \ bin \ \ w3dbsmgr.exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. exe" = "c: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" = [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List] "3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009 R1 aswSP; avast! Self Protection; c: \ windows \ system32 \ drivers \ aswSP.sys [07/04/2008 10:44 AM 114768] R1 SASDIFSV; SASDIFSV; C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26/05/2009 10:05 AM 9968] R1 SASKUTIL; SASKUTIL; C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26/05/2009 10:05 AM 72944] R2 aswFsBlk; aswFsBlk; c: \ windows \ system32 \ drivers \ aswF sBlk.sys [07/04/2008 10:44 AM 20560] R2 HamachiService; Hamachi Servizio; C: \ Program Files \ Hamachi \ hamachi.exe [17/02/2008 5:01 PM 625952] R2 psqlWGE; Pervasive psql Workgroup motore; C: \ Program Files \ Pervasive Software \ psql \ bin \ w3dbsmgr.exe [06/06/2008 1:03 PM 435488] R2 WinDefend; Windows Defender; C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 PM 13592] R3 SASENUM; SASENUM; C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26/05/2009 10:05 AM 7408] S1 KPSYSDRV; KPSYSDRV; c: \ windows \ system32 \ drivers \ Kpsy sdrv.sys [23/06/2008 6:36 PM 17016] S2 BulkUsb; Genesys Logic Controller USB NT 5.0; c: \ windows \ system32 \ drivers \ usbprn.sys [23/06/2008 6:27 PM 7552] S2 SSPORT; SSPORT; \? \ C: \ windows \ system32 \ drivers \ SSPO RT.sys -> c: \ windows \ system32 \ drivers \ SSPORT.sys [?] S3 Moarer; Moarer; [x] --- Altri Servizi / Driver In memoria --- * * NewlyCreated - SASDIFSV * * NewlyCreated - SASENUM * * NewlyCreated - SASKUTIL . Indice dell ' "Operazioni pianificate' cartella 2009/06/22 c: \ windows \ Tasks \ MP Scheduled Scan.job - C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20] 2009/06/22 c: \ windows \ Tasks \ SyncBack Outlook.job - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19] . . ------- ------- Supplementari Scan . uStart Page = hxxp: / / www.dhl.ca / it / wfHomeLoggedIn.aspx IE: E & sporta in Microsoft Excel - C: \ PROGRA ~ 1 \ micros ~ 2 \ Office11 \ EXCEL.EXE/3000 IE: Web Capture - C: \ Program Files \ SmarThru Office \ WebCapture.dll FF - ProfilePath -- . ************************************************** ************************ catchme 0.3.1398 W2K/XP/Vista - rootkit / stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-22 10:31 5/1/2600 Windows Service Pack 3 NTFS scansione processi nascosti ... scansione entrate autostart nascoste ... scansione di file nascosti ... scansione completata con successo i file nascosti: 0 ************************************************** ************************ . --------------------- --------------------- LOCKED chiavi di registro [HKEY_LOCAL_MACHINE \ SOFTWARE \ Pervasive Software \ psql] @ Negato:) (Everyone) @ = "" . Completamento orario: 2009-06-22 10:32 ComboFix-quarantena-files.txt 2009-06-22 14:32 Pre-Run: 32245211136 bytes libero Post-Run: 32239325184 bytes libero WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe [boot loader] timeout = 2 default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S [operating systems] c: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows Recovery Console" / cmdcons multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Professional" / noexecute = OptIn / fastdetect 164 --- EOF --- 2009-06-18 19:28 |
|
#4
22. Giugno 2009, 09:38
| |||
| |||
| Autorun Malware? Howdy vi In questo post voglio accanto a eseguire una scansione dei virus on-line, in primo luogo consente di rimuovere alcuni indesiderati spazzatura .... Si prega di scaricare ATF Cleaner da Atribune. Questo programma è per Windows XP e Windows 2000 Fare doppio clic su ATF-Cleaner.exe per eseguire il programma. Sotto Principale scegliere: Seleziona tutto Fare clic sul Vuotare selezionati pulsante. Se si utilizza Firefox Fare clic sul pulsante Firefox in alto e scegliere: Seleziona tutto Fare clic sul Vuotare selezionati pulsante. NOTA: Se volete mantenere la vostra password salvate, fare clic No al prompt. Se si utilizza browser Opera Fare clic sul pulsante Opera in alto e scegliere: Seleziona tutto Fare clic sul Vuotare selezionati pulsante. NOTA: Se volete mantenere la vostra password salvate, fare clic No al prompt. Fare clic sul pulsante Esci il menu principale per chiudere il programma. Per Supporto tecnico, Fare doppio clic su l'indirizzo e-mail si trova sul fondo di ogni menù. Stabilire una connessione a Internet e eseguire una scansione on-line con Internet Explorer a Kaspersky Online Scanner. ** Utenti Vista - fate clic destro IE / Firefox icona ed eseguire come amministratore Fare clic sul pulsante Accetta, Quando viene chiesto di scaricare e installare il file di programma e di database di definizioni di malware.
Questa animazione vi guiderà attraverso il processo:  ** Nota ** Per ottimizzare il tempo di scansione e di produrre una più ragionevole relazione di revisione: Chiudere tutti i programmi aperti Spegnere la scansione in tempo reale di qualsiasi programma antivirus esistenti durante l'esecuzione della scansione on-line. È possibile disconnettersi da Internet, una volta di iniziare la scansione. Nota per gli utenti di Internet Explorer 7: Se, in qualsiasi momento avete problemi di visualizzazione del pulsante di accettare la licenza, fare clic su Zoom strumento trova in basso a destra della finestra di Internet Explorer e impostare lo zoom al 75%. Una volta accettata la licenza, ripristinare al 100%. Post indietro con i risultati Kasperksy, anche di aggiornamento su come le cose sono in esecuzione
__________________ Orgoglioso membro del ASAP & UNITE |
|
#5
23. Giugno 2009, 08:40
| |||
| |||
| Autorun Malware? http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab Ø16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 Ø18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMUNE ~ 1 \ Skype \ SKYPE4 ~ 1.DLL ø20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Sconosciuto proprietario - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Servizio Hamachi ( HamachiService) - LogMeIn Inc. - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive psql Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ psql \ bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe - End of file - 7090 bytes |
|
#6
23. Giugno 2009, 12:14
| |||
| |||
| Autorun Malware? Hi there Abbiamo davvero bisogno di eseguire una scansione completa del sistema sul disco per essere sicuri che nulla è rimasto. Una cosa che faccio notare è che la linea di scanner raccolti su un anti-phishing e-mail truffa. Essa non ci dice esattamente quale sia, ma non ci dicono che è nella tua casella di posta. Phishing tentativo di attirare la messa in voi i vostri dati in siti in modo che i criminali possono quindi acquisire informazioni e di usarle per il proprio beneficio. Per ulteriori informazioni sul phishing, leggere questo articolo qui. L'email in questione può apparire come ne è venuto dalla propria banca o da altri istituti finanziari e anche portare i loghi rubato dal sito originale. Non accedere a qualsiasi sito bancaria o qualsiasi altro sito da collegamenti da e-mail. Sempre andare alla home page e accedere da loro. Vorrei consigliare che si svuota la tua cartella Posta eliminata, accanto qualsiasi altra e-mail sospette. Permette di cercare una scansione completa con un altro scanner. Esegue una scansione on-line con Panda ActiveScan
* Spegnere la scansione in tempo reale di qualsiasi programma antivirus esistenti durante l'esecuzione della scansione on-line. Avast utenti nota: Si prega di non continuare con la scansione on-line a Panda se si riceve una segnalazione. Si tratta di un falso positivo da Avast Panda Antivirus perché non cifrare la propria banca dati dei virus. Per qualche ragione la HJT log che hai inviato è illeggibile, invece voglio che tu a postare un diverso tipo di registro Si prega di scaricare DDS e salvarlo sul desktop.
Posta in entrambi i registri la tua prossima risposta Comprendere anche il panda risultati di scansione e di tenermi aggiornato sul tuo stato del sistema
__________________ Orgoglioso membro del ASAP & UNITE |
