Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 13

Discussione: problema Trojan

  1. 12-11-2011, 14:57 #1
    Pancev
    Pancev non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2011
    Messaggi
    25

    Ciao problema Trojan

    Ciao sono Luca e sono quasi nuovo di questo forum avendolo seguito parecchie volte ma senza aver avuto problemi da postarvi fino ad ora..Ho installato nel pc di casa Avg e mi è comparso un messaggio di "Insantshield" che mi informava della presenza di un "Trojan Generic 25.BYRM",ho provveduto a posizionarlo in quarantena poichè non me lo faceva rimuovere ed ho fatto partire la scansione dove mi ha confermato la presenza di questo Trojan.
    Vi chiedo gentilmente se potete aiutarmi informandovi che dopo anni che vi seguo ho installato i programmi che di solito chiedete di utilizzare ad utenti che hanno problemi simili...
    Un ultima cosa..ma perchè Malwairebytes antimalwaire non mi rileva nulla?
    Vi posto il log di Hijackthis.
    Grazie comunque in anticipo.
    "Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13.37.36, on 12/11/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
    C:\Programmi\AVG\AVG2012\avgcsrvx.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\AVG\AVG2012\avgwdsvc.exe
    C:\Programmi\Java\jre6\bin\jqs.exe
    C:\Programmi\Common Files\Motive\McciCMService.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\AVG\AVG2012\AVGIDSAgent.exe
    C:\Programmi\AVG\AVG2012\avgnsx.exe
    C:\Programmi\AVG\AVG2012\avgemcx.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB EE.EXE
    C:\Programmi\File comuni\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
    C:\Programmi\AVG\AVG2012\avgtray.exe
    C:\Programmi\File comuni\Java\Java Update\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Hamlet\Common\RaUI.exe
    C:\Programmi\eMule\emule.exe
    C:\Programmi\uTorrent\uTorrent.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\Programmi\Mozilla Firefox\plugin-container.exe
    C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro0.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngin0.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG2012\avgssie.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro0.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Programmi\Productivity_2.2\prxtbPro0.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngin0.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
    O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB EE.EXE /FU "C:\WINDOWS\TEMP\E_SD4.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Programmi\File comuni\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [AVG_TRAY] "C:\Programmi\AVG\AVG2012\avgtray.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DriverScanner] "C:\Programmi\Uniblue\DriverScanner\launcher.e xe" delay 20000
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Hamlet HNW300NU2.lnk = C:\Programmi\Hamlet\Common\RaUI.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Luca\Desktop\PartyPoker.it.lnk
    O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Documents and Settings\Luca\Desktop\PartyPoker.it.lnk
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{879A10BF-3328-4003-B146-3B9E4424D9E2}: NameServer = 192.168.1.1
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG2012\avgpp.dll
    O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\AVGIDSAgent.exe
    O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\avgwdsvc.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
    O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programmi\Common Files\Motive\McciCMService.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

    --
    End of file - 7212 bytes"
    Rispondi quotando Rispondi quotando
  2. 12-11-2011, 15:19 #2
    R16
    R16 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Ciao.
    Scarica ed installa MalwareBytes:
    http://www.malwarebytes.org/
    Prima di fare la scansione AGGIORNALO. (è molto importante)
    Esegui una scansione completa del sistema.
    Elimina gli eventuali file infetti trovati

    Il log, postalo con questo servizio hosting:
    http://www.freefilehosting.net/


    Poi:
    Scarica Combofix (usa Internet Explorer)

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Salvalo sul desktop. (è obligatorio)

    Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

    Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

    Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

    E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

    Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
    Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
    Postalo qui.

    Il log, postalo con questo servizio hosting:
    http://www.freefilehosting.net/
    Rispondi quotando Rispondi quotando
  3. 13-11-2011, 15:07 #3
    Pancev
    Pancev non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2011
    Messaggi
    25
    Ciao R16,ho scansionato con MalwaireBytes aggiornato e non mi ha trovato nulla io ho postato il log ma se non è arrivato lo copio nuovamente...ora vado con combofix e vediamo..
    Rispondi quotando Rispondi quotando
  4. 13-11-2011, 15:26 #4
    R16
    R16 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Ciao.
    Ecco delle indicazioni più dettagliate per postare i log:
    Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
    Clicca sul bottone "Sfoglia "
    Seleziona il file appena salvato
    Clicca su Upload file
    Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
    Download Link / Forum Link
    Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
    Rispondi quotando Rispondi quotando
  5. 13-11-2011, 15:30 #5
    Pancev
    Pancev non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2011
    Messaggi
    25
    Ciao ho postato anche il log post combofix anche se non lo vedo...comunque te lo copio anche qui.
    Ciao e grazie mille.

    codice:
    ComboFix 11-11-13.01 - Luca 13/11/2011  14.14.09.1.1 - x86 Microsoft Windows XP Home Edition  5.1.2600.3.1252.39.1040.18.511.293 [GMT 1:00] Eseguito da: c:\documents and settings\Luca\Desktop\ComboFix.exe AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF} FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}  * Creato nuovo punto di ripristino . ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !! . . (((((((((((((((((((((((((((((((((((((   Altre eliminazioni   ))))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\Luca\Dati applicazioni\PriceGong c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\1.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\a.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\b.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\c.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\d.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\e.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\f.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\g.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\h.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\i.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\J.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\k.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\l.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\m.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\mru.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\n.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\o.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\p.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\q.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\r.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\s.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\t.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\u.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\v.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\w.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\x.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\y.xml c:\documents and settings\Luca\Dati applicazioni\PriceGong\Data\z.xml D:\install.exe . . (((((((((((((((((((((((((   Files Creati Da 2011-10-13 al 2011-11-13  ))))))))))))))))))))))))))))))))))) . . 2011-11-12 13:16 . 2011-11-12 13:18	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy 2011-11-12 13:16 . 2011-11-12 13:16	--------	d-----w-	c:\programmi\Spybot - Search & Destroy 2011-11-12 12:37 . 2011-11-12 12:37	--------	d-----w-	c:\programmi\Trend Micro 2011-11-01 10:32 . 2011-11-01 10:33	--------	d-----w-	c:\documents and settings\Luca\Impostazioni locali\Dati applicazioni\WinZip 2011-11-01 08:36 . 2011-11-01 10:35	--------	d-----w-	c:\documents and settings\Luca\Dati applicazioni\DAEMON Tools Lite 2011-11-01 08:36 . 2011-11-01 08:36	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\DAEMON Tools Lite 2011-10-27 11:11 . 2011-10-27 11:11	--------	d-----w-	c:\documents and settings\Luca\Dati applicazioni\AVG2012 2011-10-27 11:10 . 2011-10-27 11:30	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\AVG2012 2011-10-21 10:50 . 2011-10-21 10:50	--------	d-----w-	c:\programmi\File comuni\Java 2011-10-20 11:28 . 2011-10-20 11:28	--------	d-----w-	c:\programmi\HD Tune . . . ((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-11-12 09:58 . 2011-05-14 11:27	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl 2011-10-10 14:22 . 2011-01-13 17:54	692736	----a-w-	c:\windows\system32\inetcomm.dll 2011-10-07 05:23 . 2010-12-08 03:12	230608	----a-w-	c:\windows\system32\drivers\avgldx86.sys 2011-10-04 05:21 . 2010-08-03 14:23	16720	----a-w-	c:\windows\system32\drivers\AVGIDSShim.sys 2011-10-03 03:06 . 2011-07-13 11:20	472808	----a-w-	c:\windows\system32\deployJava1.dll 2011-10-03 00:37 . 2011-07-13 11:20	73728	----a-w-	c:\windows\system32\javacpl.cpl 2011-09-28 07:06 . 2008-04-14 12:00	603136	----a-w-	c:\windows\system32\crypt32.dll 2011-09-26 09:41 . 2008-07-29 18:59	613888	----a-w-	c:\windows\system32\uiautomationcore.dll 2011-09-26 09:41 . 2008-04-14 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll 2011-09-26 09:41 . 2008-04-14 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll 2011-09-13 04:30 . 2010-09-07 02:48	32592	----a-w-	c:\windows\system32\drivers\avgrkx86.sys 2011-09-06 14:10 . 2008-04-14 12:00	1858944	----a-w-	c:\windows\system32\win32k.sys 2011-08-31 16:00 . 2011-03-23 15:14	22216	----a-w-	c:\windows\system32\drivers\mbam.sys 2011-08-22 23:41 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll 2011-08-22 23:41 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll 2011-08-22 23:41 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl 2011-08-22 11:56 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec 2011-08-17 13:49 . 2008-04-14 12:00	138496	----a-w-	c:\windows\system32\drivers\afd.sys 2011-11-10 21:52 . 2011-05-07 22:09	134104	----a-w-	c:\programmi\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* i valori vuoti & legittimi/default non sono visualizzati.  REGEDIT4 . [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{e84cc2c1-b722-48fc-a39c-edb8b525c777}"= "c:\programmi\Productivity_2.2\prxtbPro0.dll" [2011-01-17 175912] . [HKEY_CLASSES_ROOT\clsid\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] 2011-01-17 14:54	175912	----a-w-	c:\programmi\ConduitEngine\prxConduitEngin0.dll . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] 2011-01-17 14:54	175912	----a-w-	c:\programmi\Productivity_2.2\prxtbPro0.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{e84cc2c1-b722-48fc-a39c-edb8b525c777}"= "c:\programmi\Productivity_2.2\prxtbPro0.dll" [2011-01-17 175912] "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programmi\ConduitEngine\prxConduitEngin0.dll" [2011-01-17 175912] . [HKEY_CLASSES_ROOT\clsid\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] . [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}] . [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{E84CC2C1-B722-48FC-A39C-EDB8B525C777}"= "c:\programmi\Productivity_2.2\prxtbPro0.dll" [2011-01-17 175912] . [HKEY_CLASSES_ROOT\clsid\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ISUSPM"="c:\documents and settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128] "SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RIMBBLaunchAgent.exe"="c:\programmi\File comuni\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-02-18 79192] "Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "AVG_TRAY"="c:\programmi\AVG\AVG2012\avgtray.exe" [2011-10-24 2415456] "SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\ Hamlet HNW300NU2.lnk - c:\programmi\Hamlet\Common\RaUI.exe [2011-1-18 1515520] . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programmi\\eMule\\emule.exe"= "c:\\Programmi\\uTorrent\\uTorrent.exe"= "c:\\Programmi\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"= "c:\\Programmi\\AVG\\AVG2012\\avgmfapx.exe"= "c:\\Programmi\\AVG\\AVG2012\\avgnsx.exe"= "c:\\Programmi\\AVG\\AVG2012\\avgdiagex.exe"= "c:\\Programmi\\AVG\\AVG2012\\avgemcx.exe"= . R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [13/09/2010 15.27.24 23120] R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [07/09/2010 3.48.50 32592] R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [08/12/2010 4.12.38 230608] R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [12/11/2010 13.19.38 295248] R2 avgwd;AVG WatchDog;c:\programmi\AVG\AVG2012\avgwdsvc.exe [02/08/2011 5.09.08 192776] R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [03/08/2010 15.23.34 134608] R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [03/08/2010 15.23.32 24272] R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [03/08/2010 15.23.36 16720] R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [20/09/2002 18.42.32 296179] R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [20/09/2002 18.43.18 231983] S2 CoSslvpn;ZyXEL ZyWALL SecuExtender Adapter;c:\windows\system32\drivers\secuextender32.sys [15/01/2010 8.49.12 55360] S3 AVGIDSAgent;AVGIDSAgent;c:\programmi\AVG\AVG2012\AVGIDSAgent.exe [12/10/2011 6.25.22 4433248] S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [05/03/2011 11.17.13 112640] S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [05/03/2011 11.23.44 100480] . . ------- Scansione supplementare ------- . uStart Page = hxxp://www.google.it/ IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {{4B21E152-BA59-4ebf-B522-8C55B265EE1A} - c:\documents and settings\Luca\Desktop\PartyPoker.it.lnk IE: {{C4046502-6524-4d87-896C-878F57D1FF07} - c:\programmi\PokerStars.IT\PokerStarsUpdate.exe TCP: Interfaces\{879A10BF-3328-4003-B146-3B9E4424D9E2}: NameServer = 192.168.1.1 FF - ProfilePath - c:\documents and settings\Luca\Dati applicazioni\Mozilla\Firefox\Profiles\z2eexonb.default\ FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=1010ede800000000000000026f52a842&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17982&q= FF - prefs.js: network.proxy.type - 0 . - - - - CHIAVI ORFANE RIMOSSE - - - - . HKCU-Run-DriverScanner - c:\programmi\Uniblue\DriverScanner\launcher.exe HKLM-Run-AlcFDMonitor - c:\windows\ALCFDRTM.EXE . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-11-13 14:20 Windows 5.1.2600 Service Pack 3 NTFS . scansione processi nascosti ...  . scansione entrate autostart nascoste ...  . Scansione files nascosti ...  . Scansione completata con successo Files nascosti: 0 . ************************************************************************** . --------------------- CHIAVI DI REGISTRO BLOCCATE --------------------- . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|˙˙˙˙À•€|ù•9~*] "0140111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . Ora fine scansione: 2011-11-13  14:22:39 ComboFix-quarantined-files.txt  2011-11-13 13:22 . Pre-Run: 5.135.388.672 byte disponibili Post-Run: 5.854.846.976 byte disponibili . - - End Of File - - B450EC1E210060991FBE56185B518655
    Rispondi quotando Rispondi quotando
  6. 13-11-2011, 15:35 #6
    Pancev
    Pancev non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2011
    Messaggi
    25
    Ecco i log di MalwaireBytes e Combofix ...scusami e grazie mille.
    mbam-log-2011-11-13 (14-00-45).txt
    log combofix.txt
    Rispondi quotando Rispondi quotando
  7. 13-11-2011, 15:35 #7
    R16
    R16 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Come non detto....
    Abbi un pò di pazienza che li controllo.
    Rispondi quotando Rispondi quotando
  8. 13-11-2011, 15:41 #8
    R16
    R16 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Direi che i log sono puliti.
    Riscontri problemi?
    Se no, possiamo avviare delle pulizie.

    Per eliminare i vari Tooll scaricati: ( Combofix)
    Scarica OTC by OldTimer sul desktop:
    http://oldtimer.geekstogo.com/OTC.exe
    doppio clic per eseguirlo
    Clicca su CleanUp.
    Ti chiederà di riavviare il pc.
    Clicca sì.


    Disattiva il ripristino configurazione di sistema

    http://support.microsoft.com/kb/310405/it

    Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked ":

    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngin0.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngin0.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    Dai una pulita (registro compreso)con CCleaner
    Poi:
    Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
    Poi:
    Provvedi a svuotare del suo contenuto la cartella Prefetch :
    clicca su Risorse del Computer
    clicca su Disco locale C:
    cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows , aprila ed, al suo interno, cerca la cartella Prefetch , la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
    SVUOTA IL CESTINO
    Poi:
    Lancia Hijackthis e pulisci gli ADS in questo modo: (esclusivamente, su partizioni in NTFS):
    clicca sulla voce Open the misc tool section .
    clicca su Open ads spy .
    togli la spunta alla voce Quick scan (windows base folder only)
    clicca su Scan .
    Aspetta pazientemente la fine della scansione.
    Spunta tutte le caselline e clicca su Remove selected

    Fai uno ScanDisk , e una deframmentazione del HD.

    Riattiva il ripristino configurazione di sistema .

    Se non riscontri problemi abbiamo concluso.
    Rispondi quotando Rispondi quotando
  9. 14-11-2011, 14:15 #9
    Pancev
    Pancev non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2011
    Messaggi
    25
    Ciao R16,ho fatto tutto e concluso le azioni da compiere,l'unica perplessità mi è venuta al momento di fare "Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked "dove due spunte che mi hai indicato non comparivano più....per il resto tutto perfetto.
    Un'ultima informazione Spybot search&destroy è utile tenerlo attivo sul mio pc ora che lo avevo scaricato nel caso avessi dovuto lanciarlo?E come mai Avg rilevava continuamente questo Trojan e lo metteva in quarantena mentre MalwaireBytes no?
    Grazie veramente di tutto!
    Rispondi quotando Rispondi quotando
  10. 14-11-2011, 22:36 #10
    R16
    R16 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Ciao.
    ho fatto tutto e concluso le azioni da compiere,l'unica perplessità mi è venuta al momento di fare "Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked "dove due spunte che mi hai indicato non comparivano più....
    Non è importante.
    Un'ultima informazione Spybot search&destroy è utile tenerlo attivo sul mio pc ora che lo avevo scaricato nel caso avessi dovuto lanciarlo?
    Consiglio di tenere solo Malwarebytes.
    E come mai Avg rilevava continuamente questo Trojan e lo metteva in quarantena mentre MalwaireBytes no?
    Perchè probabilmente, AVG lo riteneva una minaccia, e Malwarebytes no....
    Personalmente (ma è un'opinione mia) sono più propenso a credere di più a Malwarebytes.
    Comunque, se il funziona bene, abbiamo concluso.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.