Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: Finestra Human Confirmation e programmi strani

Altre pagine della discussione:

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.468 - Postato: 07/Novembre/2010 alle 14:06

Ciao a tutti, ultimamente le finestre pop-up mi danno non pochi problemi...

E' da due giorni che sul pc (solo con Explorer) mi compare una finestra (che proprio finestra non è) che dice:

Human Confirmation!
Devi completare uno di questi per confermare che non sei un robot. In caso contrario non si avra accesso a questa pagina.

Sotto c'è un link: Get A oggi Ipad Gratis.

Inutile dire che esce con qualsiasi sito...

Ho utilizzato ccleaner e successivamente scansionato con Avira, mi ha trovato un malware (eliminato) ma il problema persiste...

Nel mentre utilizzo Mozilla...

L'altra questione riguarda altri programmi che mi son ritrovata su installazione applicazioni che sicuramente son collegati con il problema su descritto. Uno si chiama Akamai NetSession Interface, uno EAX4 Unified Redist ed un altro Al OpenAl.

Non so da dove siano spuntati fuori...

Attendo una mano di aiuto!!

Grazie!

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.471 - Postato: 07/Novembre/2010 alle 16:27

Su internet anche io ho visto che Human Confirmation è un programma, solo che da me, in Installazione Applicazioni, non c'è!!

E mi fa pensare il fatto che sotto questo strano avviso ci sia un link che non ha assolutamente senso!

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 96.473 - Postato: 07/Novembre/2010 alle 21:42

Ciao, penso che "Human confirmation" sia più da intendere nella traduzione letterale e non considerarlo come nome di programma. In pratica ti chiede di dimostrare che non sei un robot, quindi che sei umana.
Ad esempio, i captcha che spesso sono un fastidio... hanno la funzione di determinare la natura umana di chi si serve di quella risorsa.
Adesso bisogna determinare cosa è che ti fa aprire quella finestra... (presumibilmente un componente di internet explorer o comunque un software installato)
Per adesso posta un log di hijackthis
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.474 - Postato: 07/Novembre/2010 alle 22:18

Ora viene il bello!
Dunque...devo scaricare Hijack...vedo se ce l'ho...ok sì c'è, ora guardo la guida per postare il log non mi ricordo mai...

............................................................................. Dead

Spero di aver fatto giusto....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.17.32, on 07/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\svchost.exe
H:\Programmi\Avira\AntiVir Desktop\avguard.exe
H:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
H:\Programmi\Java\jre6\bin\jqs.exe
H:\Programmi\Common Files\Motive\McciCMService.exe
H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
H:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
H:\Programmi\CDBurnerXP\NMSAccessU.exe
H:\WINDOWS\system32\STacSV.exe
H:\WINDOWS\system32\svchost.exe
H:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
H:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\sttray.exe
H:\WINDOWS\vsnpstd2.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\File comuni\Java\Java Update\jusched.exe
H:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
H:\Programmi\iTunes\iTunesHelper.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\Calendario2010.exe
H:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
H:\WINDOWS\nvsvc32.exe
H:\Programmi\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wbem\wmiapsrv.exe
H:\Programmi\Windows Live\Messenger\msnmsgr.exe
H:\Programmi\Mozilla Firefox\firefox.exe
H:\Programmi\Mozilla Firefox\plugin-container.exe
H:\Programmi\Outlook Express\msimn.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)
R3 - URLSearchHook: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - H:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programmi\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - H:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - H:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [SNPSTD2] H:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] H:\Programmi\File comuni\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] H:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [NVIDIA driver monitor] H:\WINDOWS\nvsvc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [www.sardegnaoggi.it] H:\WINDOWS\Calendario2010.exe
O4 - HKCU\..\Run: [swg] "H:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [NVIDIA driver monitor] H:\WINDOWS\nvsvc32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://H:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_A54B7D6FB1DA63EA.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://m.boonty.com/webgames/DinerDashFloOnTheGo/ddfotg.1.0.0.33.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O16 - DPF: {EA6246B4-F380-443F-8727-9AEA3371146C} (CPlayFirstWeddingDashControl Object) - http://games.bigfishgames.com/en_wedding-dash/online/WeddingDash.1.0.0.47.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B985EB2-5B60-423E-B28D-27EDE25DCA00}: NameServer = 85.37.17.45 85.38.28.99
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - H:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - H:\Programmi\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Servizio di Google Update (gupdate1c98eebc9484dec) (gupdate1c98eebc9484dec) - Google Inc. - H:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - H:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - H:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: McciCMService - Motive Communications, Inc. - H:\Programmi\Common Files\Motive\McciCMService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMSAccessU - Unknown owner - H:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SeekappSrch Service - Unknown owner - H:\Documents and Settings\All Users\Dati applicazioni\SeekappSrch\seekapp167.exe (file missing)
O23 - Service: ServiceLayer - Nokia - H:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - H:\WINDOWS\system32\STacSV.exe
O23 - Service: STSService - Unknown owner - H:\Programmi\SoundTaxi Media Suite\STSService.exe (file missing)
O23 - Service: TomTomHOMEService - TomTom - H:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - H:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 10984 bytes

I captcha non li ho neanche mai sentiti, che caspita sono???

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 96.478 - Postato: 08/Novembre/2010 alle 00:31

Postato originariamente da elysa83

I captcha non li ho neanche mai sentiti, che caspita sono???

Servono appunto a verificare se chi si ha davanti (naturalmente al computer) è una persona. Il tutto è costituito da un test... ad esempio.. ti viene fatto vedere un'immagine con una scritta.. e tu devi riscrivere la scritta in una casella di testo... se la scritta corrisponde a quella dell'immagine.. allora sei una persona e puoi usufruire delle risorse messe a disposizione.. altrimenti ti viene riproposta un'altra immagine... (le puoi trovare spesso nelle registrazioni di account... ,oppure quando si tenta di scaricare dei file... ecc. ecc... naturalmente dipende dal sito)

Dal log che hai postato si vedono alcune voci infette, alcune inutili ed un paio che non conosco..

   Voci inutili:

R3 - URLSearchHook: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)

R3 - URLSearchHook: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

   Voci infette:

O4 - HKLM\..\Run: [ASocksrv] SocksA.exe

O23 - Service: Boonty Games - BOONTY - H:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

O23 - Service: SeekappSrch Service - Unknown owner - H:\Documents and Settings\All Users\Dati applicazioni\SeekappSrch\seekapp167.exe (file missing)

   Voci che non conosco:

O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://m.boonty.com/webgames/DinerDashFloOnTheGo/ddfotg.1.0.0.33.cab

O16 - DPF: {EA6246B4-F380-443F-8727-9AEA3371146C} (CPlayFirstWeddingDashControl Object) - http://games.bigfishgames.com/en_wedding-dash/online/WeddingDash.1.0.0.47.cab

-

Prima di fixare queste voci, vorrei fare una scansione completa con Malwarebytes free version.. e poi eliminare gli oggetti rilevati
(scarica il programma, installalo, aggiornalo ed avvia una scansione completa). posta il log che viene prodotto da malwarebytes...

Dopo aver eliminato gli oggetti rilevati da malwarebytes, riavvia e fai una scansione con hijackthis e posta il nuovo log. (se vedi ancora le voci che ti ho indicato in precedenza... fixale pure, ricorda però di chiudere tutte le finestre del browser prima di fixare le voci)

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.480 - Postato: 08/Novembre/2010 alle 16:00

Ehm ehm....ho eliminato già le voci inutili ed infette prima di scansionare con malwarebytes...non avevo letto bene...

Ora vediamo che mi salta fuori sta scansionando ora...tra l'altro oggi l'antivirus mi rileva un trojan: Agent 90112.91, non me lo fa mettere nè in quarantena, non me lo fa eliminare, nulla di nulla, mi appare in continuazione la finestra di avviso finchè non seleziono ricordamelo più tardi...che noia da una cosa all'altra...

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.482 - Postato: 08/Novembre/2010 alle 16:52

Ecco qui la scansione:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 5074

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/11/2010 16.50.42
mbam-log-2010-11-08 (16-50-42).txt

Tipo di scansione: Scansione completa (H:\|)
Elementi esaminati: 253906
Tempo trascorso: 53 minuti, 12 secondi

Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 3
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
H:\WINDOWS\nvsvc32.exe (Trojan.Agent) -> No action taken.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Malware.Trace) -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
H:\WINDOWS\nvsvc32.exe (Trojan.Agent) -> No action taken.

Ora elimino gli oggetti infetti e rifaccio con hijack.

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.483 - Postato: 08/Novembre/2010 alle 17:00

Dunque, ho eliminato le voci, solo che le chiavi di registro me le ha messe in quarantena, mentre il file non l'ha nè eliminato nè messo in quarantena.
Questo il log dopo l'eliminazione:

Processi infetti in memoria: 1
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 3
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
H:\WINDOWS\nvsvc32.exe (Trojan.Agent) -> Failed to unload process.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\nvidia driver monitor (Malware.Trace) -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
H:\WINDOWS\nvsvc32.exe (Trojan.Agent) -> Delete on reboot.

Questo invece il log di Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.59.09, on 08/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\svchost.exe
H:\Programmi\Avira\AntiVir Desktop\avguard.exe
H:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
H:\Programmi\Java\jre6\bin\jqs.exe
H:\Programmi\Common Files\Motive\McciCMService.exe
H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
H:\Programmi\CDBurnerXP\NMSAccessU.exe
H:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
H:\WINDOWS\system32\STacSV.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\sttray.exe
H:\WINDOWS\vsnpstd2.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\File comuni\Java\Java Update\jusched.exe
H:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\Calendario2010.exe
H:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
H:\WINDOWS\system32\svchost.exe
H:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
H:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programmi\Outlook Express\msimn.exe
H:\WINDOWS\system32\wbem\wmiapsrv.exe
H:\Programmi\Mozilla Firefox\firefox.exe
H:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - H:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programmi\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - H:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - H:\Programmi\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [SNPSTD2] H:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] H:\Programmi\File comuni\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] H:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [www.sardegnaoggi.it] H:\WINDOWS\Calendario2010.exe
O4 - HKCU\..\Run: [swg] "H:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://H:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_A54B7D6FB1DA63EA.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://m.boonty.com/webgames/DinerDashFloOnTheGo/ddfotg.1.0.0.33.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O16 - DPF: {EA6246B4-F380-443F-8727-9AEA3371146C} (CPlayFirstWeddingDashControl Object) - http://games.bigfishgames.com/en_wedding-dash/online/WeddingDash.1.0.0.47.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B985EB2-5B60-423E-B28D-27EDE25DCA00}: NameServer = 85.37.17.45 85.38.28.99
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - H:\Programmi\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Servizio di Google Update (gupdate1c98eebc9484dec) (gupdate1c98eebc9484dec) - Google Inc. - H:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - H:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - H:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: McciCMService - Motive Communications, Inc. - H:\Programmi\Common Files\Motive\McciCMService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - H:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMSAccessU - Unknown owner - H:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - H:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - H:\WINDOWS\system32\STacSV.exe
O23 - Service: STSService - Unknown owner - H:\Programmi\SoundTaxi Media Suite\STSService.exe (file missing)
O23 - Service: TomTomHOMEService - TomTom - H:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - H:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 10046 bytes

Che macello........

elysa83
Senior

Iscritto dal : 28/Luglio/2005
Status: Offline
Posts: 404

Riporta il testo di: elysa83 Rispondi

Topic: Post n° 96.489 - Postato: 08/Novembre/2010 alle 18:27

Prgn sto utilizzando Explorer e....non compare più! Human Confirmation è sparita! Così come non compare più l'avviso di Avira! Spero non sia un falso allarme!

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 96.495 - Postato: 09/Novembre/2010 alle 13:25

Ciao, si ma vedo un'altra cosa,trojan.agent.90112... sembra essere un falso driver nvidia, antivir e malwarebites lo rilevano ancora?

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: Finestra Human Confirmation e programmi strani

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: Finestra Human Confirmation e programmi strani

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !