Salve, dopo aver levato del malware che probabilmente mi son preso col messeger, continuo ad avere dei processi sconosciuti che girano sul PC. Qualcuno ha idea di che cosa siano?
Noto che la navigazione è un pò più lenta del solito...sento puzza di virus!
se ti serve solo la conferma per quei 4 (è consigliabile postare i log per intero, magari..), si, devi fixare le voci ed eliminare i files.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Allora..ho fixato quello che ho potuto, e poi eliminato manualmente un file dal System32
Ieri tutto a posto, oggi il NOD32 mi ha trovato 2 cavalli di troia (come le loro madri..) e rifacendo la scansione con hijack this ho un altro file sospetto!
Questo è il log:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\mm.MARCO\myaxlhj.exe \s
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BM0b36e839] Rundll32.exe "C:\WINDOWS\system32\erelbjfu.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://netphone.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\AD-AWARE PRO\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\ARES\chatServer.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Il file sospetto:
O4 - HKLM\..\Run: [BM0b36e839] Rundll32.exe "C:\WINDOWS\system32\erelbjfu.dll",s
Simile a quello che ho eliminato manualmente ieri...
Aiuto! Ogni volta che riavvio il PC hijackthis mi trova delle DLL sospette...sembra che siano nascoste e che si 'svelino' ad ogni accensione! Per esempio dopo aver fixato il log precedente ho riavviato e adesso c'è quest'altro processo associato a una DLL...non so che fare!
Altra cosa stranissima: prima di eliminare le DLL non riesco ad aprire i siti di Hotmail e Ebay! (solo questi 2!) Dopo, tutto sembra funzionare e invece all'improvviso riappaiono! HELP!
Scarica SystemScan
Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Fatto tutto alla lettera! Il link è:
http://www.freefilehosting.net/download/3f5eb
Ho cercato di fixare qualcosa, riavviato...e non è cambiato niente! Questo è il nuovo report di Systemscan:
http://www.freefilehosting.net/download/3f64h
scarica Avenger e CCleaner
Disconnetti il pc da internet
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
esegui avenger e nel box bianco copia/incolla:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\WINDOWS\system32\ssqNFUMG.dll
C:\WINDOWS\system32\efcDSIAQ.dll
C:\WINDOWS\system32\qoMcbcAS.dll
C:\WINDOWS\system32\qewmlgkx.dll
C:\WINDOWS\system32\mqomwqnv.dll
C:\WINDOWS\system32\npksuvtp.dll
C:\WINDOWS\system32\ptvuskpn.tmp
C:\WINDOWS\system32\ptvuskpn.ini
C:\WINDOWS\system32\ptvuskpn.ini2
C:\WINDOWS\system32\osxxtkiw.dll
C:\WINDOWS\system32\rvxexygj.dll
C:\WINDOWS\system32\swbhjwqd.tmp
C:\WINDOWS\system32\swbhjwqd.ini
C:\WINDOWS\system32\awttronk.dll
C:\WINDOWS\system32\iyypqnrr.dll
C:\WINDOWS\system32\rrnqpyyi.tmp
C:\WINDOWS\system32\rrnqpyyi.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\opnliged.dll
C:\WINDOWS\system32\cbxwwwus.dll
C:\WINDOWS\system32\wvuvspqo.dll
C:\WINDOWS\system32\byxvvvvt.dll
C:\WINDOWS\system32\srkqy.exe
C:\WINDOWS\system32\iiffddcy.dll
C:\WINDOWS\system32\rrnqpyyi.ini2
C:\WINDOWS\system32\wvuvsspo.dll
C:\WINDOWS\system32\erelbjfu.dll
C:\WINDOWS\system32\owuqsjnn.dll
C:\WINDOWS\system32\ifqfflgf.dll
C:\WINDOWS\system32\fglffqfi.tmp
C:\WINDOWS\system32\fglffqfi.ini
C:\WINDOWS\system32\fglffqfi.ini2
C:\WINDOWS\system32\fsimjccc.dll
C:\WINDOWS\system32\fgynynbw.dll
C:\WINDOWS\system32\QAISDcfe.ini2
C:\WINDOWS\system32\wbnynygf.ini
C:\WINDOWS\system32\QAISDcfe.ini
C:\WINDOWS\system32\cirqqju.exe
C:\Documents and Settings\mm.MARCO\myaxlhj.exe
C:\Documents and Settings\mm.MARCO\qebumw.exe
C:\WINDOWS\BM0b36e839.txt
C:\WINDOWS\BM0b36e839.xml
C:\WINDOWS\pskt.ini
C:\U.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | BM0b36e839
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 0805dba5
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {D976B84B-808C-4357-9CBB-55BF1F7CEBE7}
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List | C:\WINDOWS\system32\srkqy.exe
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List | C:\Documents and Settings\mm.MARCO\myaxlhj.exe
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List | C:\Documents and Settings\mm.MARCO\qebumw.exe
SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List | C:\WINDOWS\system32\cirqqju.exe
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqNFUMG
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM0b36e839
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D976B84B-808C-4357-9CBB-55BF1F7CEBE7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{E5327C7F-444E-407E-B44D-7F5657794AD5}
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Svuota C:\WINDOWS\Prefetch (elimina i files, non la cartella)
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".
Posta un nuovo systemscan.
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
GRAZIE!...sembra che adesso l'attività sospetta sia cessata! L'unica stranezza è che non riesco a fare la scansione online con Panda Activescan usando Explorer! Mi da questo errore:
E questo è il nuovo Systemsan:
http://www.freefilehosting.net/download/3f847
apri il blocco note e copiaci dentro questo:
salva il file così:Windows Registry Editor Version 5.00
[-HKCR\CLSID\{D976B84B-808C-4357-9CBB-55BF1F7CEBE7}]
[-HKCR\CLSID\{2b8a206c-4611-4781-841d-0cd6b067fec1}]
[-HKCR\CLSID\{64D777D8-2321-4DEE-8781-BBB288C1CEF9}]
nome: fix.reg
tipo di file: tutti i file
salvalo in c:\
esegui avenger:
Clicca su "execute".files to delete:
C:\WINDOWS\system32\efcDSIAQ.dll
C:\WINDOWS\system32\owuqsjnn.dll
registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\srkqy.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\srkqy.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\Documents and Settings\mm.MARCO\myaxlhj.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\Documents and Settings\mm.MARCO\qebumw.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\WINDOWS\system32\cirqqju.exe
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{64D777D8-2321-4DEE-8781-BBB288C1CEF9}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2b8a206c-4611-4781-841d-0cd6b067fec1}
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Dopo il riavvio, riesegui avenger ed inserisci questo:
Clicca su "execute".Programs to launch on reboot:
c:\fix.reg
Non so se poteva essere il sito di Panda ad avere problemi. Eventualmente riprova oggi e fammi sapere
Ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando
