Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 29
  1. #1
    Utente di HTML.it L'avatar di k4k422
    Registrato dal
    Jun 2006
    Messaggi
    220

    Virus e spyware rilevati da nod32 e scansione on-line panda

    Ragazzi, su un notebook il nod32 rileva 9 virus e ne disinfetta 3, gli altri erano stati posti in quarantena ma sia il rapporto virus e i file in quarantena sono stati erroneamente cancellati;
    non avendo altre info ho effettuato una scansione on-line con il panda che mi ha rilevato ben 14 spyware...

    Completando tutti i passi della guida del forum sono riuscito ad eliminarne alcuni con ad-aware e spybot search & destroy ma niente di più;

    Posto il log di hijackthis per capirci qualcosa,
    grazie.

    ecco il log:

    Logfile of HijackThis v1.99.1
    Scan saved at 0.12.45, on 08/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\windows\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Acer\Empowering Technology\admServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\Programmi\Acer\Acer Arcade\PCMService.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\PROGRA~1\LAUNCH~1\LManager.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    C:\Acer\Empowering Technology\admtray.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\Programmi\FreePOPs\freepopsservice.exe
    C:\Programmi\FreePOPs\freepopsd.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    C:\Programmi\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\igfxext.exe
    C:\DOCUME~1\admin\IMPOST~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Acer\Acer Arcade\PCMService.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

  2. #2
    Utente di HTML.it L'avatar di OYS
    Registrato dal
    Apr 2006
    Messaggi
    3,142
    Controlla su www.virustotal.com se questo è dannoso:

    C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM


    Se è dannoso, allora fixa con hijackthis questo:

    O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM



    Poi fai andare CWShredder

  3. #3
    Utente di HTML.it L'avatar di k4k422
    Registrato dal
    Jun 2006
    Messaggi
    220
    Ho fatto analizzare C:\WINDOWS\system32\ToolBand.dll (MENUSEARCH.HTM non lo trovo)

    e non vengono rilevati virus o minacce;

    Niente nemmeno con cwrshredder...

    cmq ho notato,nel rapporto virus di nod32, che ci sono ben 7 maledetti variante modificata WIN32/Dialer.Ru cavallo di troia e 2 varianti di JS/TrojanDownloader.NAC;
    Quest'ultimi indicati come cancellati e gli altri posti in quarantena - cancellati....

    se ti ricordi avevamo già avuto a che fare con il WIN32/DIALER.RU con un altro pc che tuttora sembra essere ok....

    Ora il maledetto mi sta perseguitando in quest'altro pc che,casualmente è dello stesso modello......

    che possiamo fare ancora??

    grazie ciao

  4. #4
    secondo me anche queste voci (ma chiedo conferma a oys, al momento non riesco a googlare sono sospette:
    C:\Programmi\FreePOPs\freepopsservice.exe
    C:\Programmi\FreePOPs\freepopsd.exe
    C:\DOCUME~1\admin\IMPOST~1\Temp\RtkBtMnt.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

  5. #5
    Utente di HTML.it L'avatar di k4k422
    Registrato dal
    Jun 2006
    Messaggi
    220
    Originariamente inviato da undertaker84aa
    secondo me anche queste voci (ma chiedo conferma a oys, al momento non riesco a googlare sono sospette:
    C:\Programmi\FreePOPs\freepopsservice.exe
    C:\Programmi\FreePOPs\freepopsd.exe
    C:\DOCUME~1\admin\IMPOST~1\Temp\RtkBtMnt.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

    Le voci "FreePOPs" appartengono ad un programma che ho installato io;
    le altre non so se gli sono correlate.

  6. #6
    Utente di HTML.it L'avatar di OYS
    Registrato dal
    Apr 2006
    Messaggi
    3,142
    Originariamente inviato da undertaker84aa
    secondo me anche queste voci (ma chiedo conferma a oys, al momento non riesco a googlare sono sospette:
    C:\Programmi\FreePOPs\freepopsservice.exe
    C:\Programmi\FreePOPs\freepopsd.exe
    C:\DOCUME~1\admin\IMPOST~1\Temp\RtkBtMnt.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    FrePops lo hai installato lui come ha detto.


    Questa è la parte di uno sniffer di msn (quindi se lo ha installato lui è ok):

    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


    questo dovrebbe essere del realtek Audio AC9
    C:\DOCUME~1\admin\IMPOST~1\Temp\RtkBtMnt.exe


    k4k422
    Fai una scansione con systemscan.
    Una volta eseguita la scansione portati in C:\suspectfile e carica il file report.txt su www.sendmefile.com e scrivi il link per poterlo scaricare

  7. #7
    Utente di HTML.it L'avatar di k4k422
    Registrato dal
    Jun 2006
    Messaggi
    220
    Ecco il log di systemscan:

    http://www.sendmefile.com/00531318


  8. #8
    Utente di HTML.it L'avatar di OYS
    Registrato dal
    Apr 2006
    Messaggi
    3,142
    Originariamente inviato da k4k422
    Ecco il log di systemscan:

    http://www.sendmefile.com/00531318

    Non so perchè ma sendmefile oggi non mi fa scaricare..
    Caricalo su www.savefile.com



    EDIT
    Non caricarlo su savefile, era un problema mio, ora ho risolto, adesso lo analizzo.

  9. #9
    Utente di HTML.it L'avatar di OYS
    Registrato dal
    Apr 2006
    Messaggi
    3,142
    Non ho visto niente di particolarmente strano nel log,

    Questa comunque elimina, dovrebbe essere una variante del coolwebsearch:
    C:\WINDOWS\system32\ToolBand.dll

    Poi fai una scansione con a-squared.

  10. #10
    Utente di HTML.it L'avatar di k4k422
    Registrato dal
    Jun 2006
    Messaggi
    220
    Originariamente inviato da OYS
    Non ho visto niente di particolarmente strano nel log,

    Questa comunque elimina, dovrebbe essere una variante del coolwebsearch:
    C:\WINDOWS\system32\ToolBand.dll

    Poi fai una scansione con a-squared.

    allora, ho scansionato con a-squared ed ho rilevato ed eliminato 3 oggetti, tra cui C:\WINDOWS\system32\ToolBand.dll


    secondo me il win32/dialer da.ru si farà vivo di nuovo stasera, (qualche post dietro c'è una mia discussione in cui abbiamo faticato non poco per riuscire ad eliminarne uno uguale su un altro notebook... il famoso zig€aa.exe, ricordi?)

    che fare?

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.