Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: aiuto malware

Altre pagine della discussione:

SUPERBERO
Principiante

Iscritto dal : 01/Settembre/2007
Status: Offline
Posts: 76

Riporta il testo di: SUPERBERO Rispondi

Topic: Post n° 82.827 - Postato: 10/Agosto/2008 alle 19:37

ciao a tutti, ho un piccolo problema con"presumo" un malware.
premetto che mi si attiva tutte le volte che accendo il pc e temo che mi impedisca l' aggiornamento del mio antivirus NOD 32 e forse è per questo che non lo rileva. ho provato anche con ad-ware ma niente da fare, allora ho scaricato hijackthis e ho seguito la procedura, vi posto cio che ha letto:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.20.46, on 10/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:

****** LOG FILE PARZIALE DELLE SOLE VOCI DA FIXARE *******
Il log file è stato analizzato ed abbiamo mantenuto soltanto le voci
sospette e/o da eliminare
****************************************************

O2 - BHO: (no name) - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\Windows\System32\winsrc.dll

O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [32114359653258737775929539699602] C:\Program Files\AV9\av2009.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

--
End of file - 9205 bytes
aiutatemi......GRAZIE

Modificato da RAVEN - 11/Agosto/2008 alle 19:46

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 82.831 - Postato: 11/Agosto/2008 alle 00:19

Ciao.

Si possono notare due problemi dal log che hai postato.
Il primo è un finto programma Antispyware/Antivirus che hai installato (... o che si è installato senza che tu volessi).
Il secondo sembra un'infezione da Trojan.vundo ... che è stato quasi sicuramente scaricato da quel finto programma antivirus.

Fai così:
- Scarica il seguente tool di rimozione: "FixVundo"
- Scarica e installa "CCleaner" (... se non è già installato)
- Riavvia il sistema in modalità provvisoria
- Disabilita il ripristino di configurazione di sistema
Vedi "Come è possibile attivare o disattivare Protezione sistema?"
- Visualizza i file nascosti/di sistema e le estensioni dei file
Fai clic sul pulsante Start, scegliere "Pannello di controllo", fai clic su "Aspetto e personalizzazione" e quindi su "Opzioni cartella".
Fai clic sulla scheda "Visualizza".
In impostazioni avanzate fare clic su "Visualizza cartelle e file nascosti" e poi, per visualizzare le estensioni di file, deseleziona la casella di controllo "Nascondi le estensioni per i tipi di file conosciuti"
Alla fine fai clic su OK.

-Avvia il programma "FixVundo" ed esegui la scansione con il tasto "Start"
Il programma inizierà la scansione... e ti avviserà se trova/rimuove qualche malware.
-Terminata la scansione ... avvia HijackThis
-Premi il pulsante "Do a system scan only"
-Verifica se sono ancora presenti queste voci ... ed eventualmente selezionale, in modo che sia presente la spunta nella casellina a sinistra della riga:

O2 - BHO: (no name) - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\Windows\System32\winsrc.dll

04 - HKCU\..\Run: [?????????] ??????????????e

O4 - HKCU\..\Run: [32114359653258737775929539699602] C:\Program Files\AV9\av2009.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

... la prima riga potrebbe non essere più presente.
- Premi il pulsante "Fix checked" per fixare le righe e poi chiudi il programma.

- Apri le "Risorse del computer" ed entra nella cartella "C:\Program Files", seleziona la cartella "AV9", tieni premuto il tasto SHIFT e premi il tasto CANC e alla richiesta di cancellazione definitiva ... rispondi di "Si".
- Entra poi nella cartella "C:\Windows\System32" e verifica se è presente il file "winsrc.dll" ... se è presente cancellalo allo stesso modo.

- Avvia CCleaner
Sotto "Opzioni/Avanzate" togli la spunta a "Cancella file di Windows Temp solo se più vecchi di 48 ore"
Sotto "Pulizia" metti la spunta all'opzione "Avanzate" (... per tutte le finestre che appariranno premi OK)
Togli poi tutte le spunte alla caselline sempre sotto "Avanzate" ... tranne che a "Vecchi dati di Prefetch"
- Premi ora il tasto "Avvia Pulizia" di CCleaner
- Passa ora sotto "Registro" e premi "Trova problemi" e, terminata la scansione, "Ripara selezionati"
(... fai eventualmente un Back-up quando richiesto)

- Riavvia il computer in "Modalità normale".
- Se il tool di rimozione "FixVundo" aveva rilevato delle infezioni ... eseguilo nuovamente per verificare che il sistema sia pulito.
- Poi prova ad aggiornare il tuo antivirus e fai una scansione completa
- Alla fine riposta nuovamente il LOG di HijackThis.

Ciao.

PS Quale firewall usi per navigare ... ?
PPS Se è stato rilavato un Trojan.vundo ed hai altri computer collegati in rete ... esegui il tool di rimozione su tutti i computer collegati alla rete ... prima di ricconneterli tra loro.

SUPERBERO
Principiante

Iscritto dal : 01/Settembre/2007
Status: Offline
Posts: 76

Riporta il testo di: SUPERBERO Rispondi

Topic: Post n° 82.908 - Postato: 14/Agosto/2008 alle 21:05

Ho eseguito la procedura che mi hai consigliato, ma ho riscontrato i seguenti problemi tecnici:
- In modalità provvisoria non riesco ad eliminare la cartella e il file che mi hai indicato perché mi si “impalla” il pc
- Sei sicuro che il file sia WINSRC.DLL e non WINSRPC.DLL ? (winsrc non lo trovo)
Quando torno in modalità normale FIXVUNDO, che in modalità provvisoria non aveva trovato niente, non riesco a farlo partire e mi dà questo messaggio: you do not have administrator rights to run the tool. Please contact your network administrator for more information.
Ti posto l’ultima scansione di hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.32.16, on 12/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

O4 - HKCU\..\Run: [?????????] ??????????????e

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

**********************************************

LOG FILE PARZIALE DELLE SOLE VOCI DA FIXARE

Il log file è stato analizzato ed abbiamo mantenuto soltanto le voci
sospette e/o da eliminare

**********************************************

Aspetto notizie, grazie 1000.
Roberto

Modificato da RAVEN - 15/Agosto/2008 alle 19:40

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 82.916 - Postato: 15/Agosto/2008 alle 12:09

Si ... sono sicuro.... anche perché era segnato con quel nome dallo stesso HiJackThis.
Ho fatto inoltre un'ulteriore ricerca ... "winsrc.dll", come temevo, è direttamente collegato a "av2009.exe".
Questo malware inoltre può bloccare e mandare in crash il sistema.
Quindi i file "winsrc.dll" e "av2009.exe", se presenti nel sistema, vanno entrambi cancellati.

Per quanto riguarda il file "WINSRPC.DLL" ... non cancellarlo. Si tratta di un file legittimo del sistema operativo.
(... spesso i malware utilizzano nomi molto simili a servizi e processi validi del sistema operativo ... questo per confondere le idee all'utente)

Se non riesci a cancellare la cartelle ... è possibile che quel malware sia ancora residente in memoria.

Però prima di utilizzare un tool più potente per la rimozione della cartella e dei file al suo interno... farei un'altro tentativo.
Anche perché, con l'ultimo log che hai postato, sono rimaste due voci da fixare...

Fai così:
- Riavvia il sistema in modalità provvisoria
- Assicurati sempre che sia disabilitato il ripristino di configurazione di sistema
- Avvia HiJackThis e premi il pulsante "Do a system scan only"
- seleziona e fixa (tasto "Fix checked") le seguenti righe:

O4 - HKCU\..\Run: [?????????] ??????????????e

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

- Esegui nuovamente una pulizia con CCleaner
- Prova a cancellare manualmente la cartella "C:\Program Files\AV9"
Eventualmente prima prova a cancellare il file al suo interno "av2009.exe" (...senza avviarlo, mi raccomando) e poi la cartella
- Riavvia in modalità normale e riposta il LOG

Poi vediamo se eseguire altri controlli ...

Facci sapere ... Smile

Ciao.

PS
Se il tool "FixVundo" è partito in modalità provvisoria e non ha trovato niente ... è già buona cosa.
In modalità normale il programma non parte perché, come dice il messaggio stesso, il profilo utente con cui accedi al sistema non ha i diritti di amministratore per eseguire determinate applicazioni.

SUPERBERO
Principiante

Iscritto dal : 01/Settembre/2007
Status: Offline
Posts: 76

Riporta il testo di: SUPERBERO Rispondi

Topic: Post n° 82.958 - Postato: 17/Agosto/2008 alle 20:57

ciao spfx
ho fatto ulteriori controlli e il file winsrc.dll non c'è nel sistema, anche con la ricerca non lo trova. la cartella av2009 l'ho eliminata, ho fatto girare ccleaner che ha fatto la sua pulizia, ma usando HiJackThis i files che mi avevi fatto fixare sono ancora presenti.
ti metto quello che secondo me "non ha trovato" fixvundo:
Symantec Trojan.Vundo Removal Tool 1.5.0

****** LOG INVIATO ELIMINATO*******
Il log file è stato analizzato ed è risultato pulito *************************************

aspetto risposta, GRAZIE.

Modificato da RAVEN - 18/Agosto/2008 alle 11:23

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 82.961 - Postato: 18/Agosto/2008 alle 01:59

Il log che hai postato è pulito ... meglio così.
Inoltre sei riuscito a cancellare la cartella "C:\Program Files\AV9" e tutto il suo contenuto ... bene.

Adesso concentriamoci un'attimo su "AV2009"... meglio essere sicuri di aver eliminato tutti i riferimenti a questo malware ... poi verifichiamo quella riga del log che non si cancella.

Questo procedimento manuale che ti posto... potrà sembrarti lungo ... ma è meglio essere sicuri (... comunque non troverai tutti i file che ti indico ... molti sono possibili varianti dei file del malware).
Esegui la procedura in modalità normale ...assicurati che sia sempre disabilitato il ripristino di configurazione di sistema.

Iniziamo:

1) Premi i tasti CTRL+SHIFT+ESC per aprire "Gestione attività" (oppure CTRL+ALT+CANC e premi "Avvia gestione attività").
Passa sulla scheda "Processi" e verifica se in memoria sono presenti uno o più di questi file:

av2009.exe
av2009[1].exe
Antivirus2009.exe
AV2009Install.exe
AV2009Install[1].exe
AV2009Install_880405[1].exe
AV2009Install_880405[2].exe
ieupdates.exe
Power-Antivirus-2009.exe

... se sono presenti ... selezionali e poi premi "Termina processo".

2) Fai una ricerca su tutto il disco dei file che ti indico.
Se vedi una corrispondenza ... selezionali e cancellali.
Per fare la ricerca attiva le opzioni avanzate come: Cerca nelle sottocartelle, cerca nei file e nelle cartelle nascosti e cerca nelle cartelle di sistema.
I file da cercare sono quelli segnati in grassetto.

Per fare questa prima ricerca puoi usare la parola "Antivirus20" (...senza virgolette naturalmente):

Antivirus2009.exe
{sotto la cartella del Desktop}\antivirus 2009.lnk
{sotto la cartella Start menu}\antivirus 2009\antivirus 2009.lnk
{sotto la cartella Start menu}\antivirus 2009\uninstall antivirus 2009.lnk

... invece per la ricerca di queste righe puoi usare la parola "AV20":

av2009.exe
av2009[1].exe
av2009install.exe
av2009install_0011.exe

... per le prossime invece copia e incolla le singole righe da questo post... questi file si dovrebbero trovare sotto la cartella di sistema (...System32) ... sempre se li trovi:

Power-Antivirus-2009.exe
ieupdates.exe
ieupdates[1].exe
shlwapi.dll
winsrc.dll
winsrc[1].dll
scui.cpl

... segnati se trovi ma non riesci a cancellare uno di questi file.

3) Verificare se è presente questo file: c:\WINDOWS\mscornet.exe ... se NON è presente saltare quest'ultimo passaggio ed andare direttamente al 4).

Se è presente cancellarlo.
Poi dalla modalità NORMALE Cancellare il seguente file:

c:\Windows\System32\wininet.dll

... viene subito rigenerato da Windows... in quanto è un file essenziale per il sistema.
L'importante è cancellare SOLO il file presente nella cartella c:\Windows\System32 ... penserà poi Windows a ricreare il file/libreria prelevandola da una cartella di backup ... cioè c:\Windows\System32\dllcache ...da questa cartella NON DEVE ESSERE CANCELLATO.

Chiedere per qualsiasi dubbio !

4) Avvia l'editor di registro di sistema (Start, digita "regedit" nella casella Cerca e quindi premi INVIO)
Cerca sotto il percorso che ti indico e cancella le seguenti chiavi segnate in grassetto (...se presenti):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Antivirus 2009

HKEY_CURRENT_USER\Software\75319611769193918898704537500611

HKEY_CLASSES_ROOT\CLSID\{037C7B8A-151A-49E6-BAED-CC05FCB50328}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "ieupdate"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "75319611769193918898704537500611"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{037C7B8A-151A-49E6-BAED-CC05FCB50328}

... mi raccomando, seleziona solo la chiave che ti ho indicato in grassetto prima di cancellarla.
Se vuoi fare un backup del registro di sistema, prima di cancellare quelle chiavi, guarda QUI (...sempre che tu non sappia già usare l'editor di registro Wink

).
Se hai dei dubbi ... chiedi pure.

5) Riavvia il sistema in modalità provvisoria.
Avvia HiJackThis e premi il solito tasto "Do a system scan only"
seleziona e Fixa le solite voci (...se presenti):

O4 - HKCU\..\Run: [?????????] ??????????????e

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

Fai una pulizia con CCLEANER (Pulizia + Registro) , riavvia il sistema in modalità normale e posta un nuovo log di HiJackThis.

Ciao.

Modificato da Spfx - 26/Novembre/2008 alle 19:47

SUPERBERO
Principiante

Iscritto dal : 01/Settembre/2007
Status: Offline
Posts: 76

Riporta il testo di: SUPERBERO Rispondi

Topic: Post n° 83.059 - Postato: 22/Agosto/2008 alle 21:27

ciao spfx,

ieupdates.exe questo file sono riuscito ad eliminarlo
wininet.dll questo file e i suoi annessi non risco ad eliminarli,mentre tutti gli altri che mi hai fatto ricercare non hanno dato nessun risultato in più non ho trovato nessuna delle chiavi da te indicatimi.
ti posto l' ultimo file log di HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.07.08, on 21/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\Pc\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FC62F18-C8AC-4184-96CF-CF9320F6B829}: NameServer = 85.37.17.10,212.216.112.112
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8891 bytes

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 83.062 - Postato: 23/Agosto/2008 alle 01:50

Ciao SUPERBERO

Va bene così per il file "wininet.dll"...
Una volta cancellato questo file in modalità normale, viene subito rigenerato da Windows... in quanto è un file essenziale per il sistema.
L'importante è che tu abbia cancellato (... ho tentato di cancellare) solo il file presente nella cartella c:\Windows\System32 ... penserà poi Windows a ricreare il file/libreria prelevandola da una cartella di backup, cioè c:\Windows\System32\dllcache (da questa cartella non deve essere cancellato)... avrei dovuto spiegarmi meglio ... scusa (... in realtà è un po' più complicato il discorso ...ma vedrò di aggiornare il post precedente)

Cmq per il momento ... va bene così... non tentare ancora di cancellare questo file.

Verifica invece se è presente questo file: c:\WINDOWS\mscornet.exe ... se non è presente siamo a posto.

[... il post precedente è stato aggiornato ;) ]

Ora che hai cancellato l'ultimo file del malware (ieupdates.exe) ... direi che il log è pulito.

Ho fatto delle verifiche per la riga che non riusciamo a cancellare:

O4 - HKCU\..\Run: [?????????] ??????????????e

.. altre persone hanno questa riga presente nel LOG ... e non riescono a cancellarla.
Tutti i log hanno una cosa in comune però... il tipo di computer... Acer.
'E probabile che questa riga riguardi qualche servizio/programma del Acer...... e forse HiJackthis non è riuscito a tradurre la riga perchè il programma utilizza dei font non standard.

Se vogliamo fare un'ultimo controllo ti consiglierei di scaricare GMer

Scarica e scompatta il file, poi lo esegui.
Dalla sezione "rootkit" premi il pulsante "Scan"
Una volta completata la scansione, copia il risultato sugli appunti di Windows (tasto "Copy").

Incolla sul blocco note e poi, se non ci sono molte righe, incollalo sul prossimo post (...altrimenti usa un sito di file hosting per inviarlo).
Indicaci inoltre se sono state rilevate voci in rosso...

Facci sapere. Smile

Ciao.

Modificato da Spfx - 26/Novembre/2008 alle 19:50

SUPERBERO
Principiante

Iscritto dal : 01/Settembre/2007
Status: Offline
Posts: 76

Riporta il testo di: SUPERBERO Rispondi

Topic: Post n° 83.080 - Postato: 24/Agosto/2008 alle 19:54

ciao spfx
il file mscornet.exe non l'ho trovato, ti posto la scansione fatta con Gmer.
grazie ancora di tutto.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-24 19:38:11
Windows 6.0.6001 Service Pack 1

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs                                                                amon.sys (Amon monitor/Eset )
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0                                               Wdf01000.sys (WDF dinamico/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1                                               Wdf01000.sys (WDF dinamico/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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

---- EOF - GMER 1.0.14 ----

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Riporta il testo di: Spfx Rispondi

Topic: Post n° 83.097 - Postato: 25/Agosto/2008 alle 20:57

Ciao.

Il log che hai postato è pulito ... (... il log è completo o solo una porzione ?)

Noti ancora qualche problema ?
Quale firewall usi per navigare ?

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: aiuto malware

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: aiuto malware

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !