possibile intrusione nel mio pc?sono ancora infetta?

[metallara]

Salve a tutti.Ho un grosso problema,non so cosa abbiano combinato i miei fratellini durante la mia assenza ma devono aver scaricato un bel trojan o simile e i risultati sono stati: una shell di cmd.exe che si apriva ogni 5 minuti e probabilmente qualcuno che utilizzava il mio pc a mia insaputa.ho scaricato tanti strumenti e visionato tanti siti,ora provo a rivolgervi a voi perchè ho finito le idee.ho fatto pulizia cn internet staccato con Ccleaner,combofix,malwarebytes,advanced systemcare (che mi aveva pure cancellato dei file di boot,rimessi),windows software malicious tools e seguito una guida x quanto possibile di microsoft/tecnet spyware e malware:chi ci spia.combofix ha messo in quarantena IsUn0410.exe,poi altri .exe sn stati eliminati.vorrei solo sapere se ora posso stare tranquilla.è normale per es che su tcp view avendo aperto su firefox solo questa pagina vedo 4 firefox.exe?prima di tutte queste pulizie con wireshark vedevo tantissimi dns come youtube e centinaia di altri,siti che non erano aperti e tantissime righe di cose sconosciute.ora vedo solo dns query mozilla,rss.adnkronos.com,samsung3.solution.webora ma.fr.www.bing.com che forse centra con questo sito.normale abbia 2 javaw.exe in windows prefecth cn estenzione numerica dopo .exe-2c4bd420 e che javaw abbia creato una casella di eccezioni sul windows firewall.ho tolto la V che c'era in javaw su eccezioni e quando accendo il pc mi appare il messaggio"continuo a bloccare javaw consigliato"...Vi ringrazio dell'attenzione e mi scuso se sono stata prolissa ma vorrei stare tranquilla evitando se possibile la formattazione.Grazie a tutti per la pazienza.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.13.54, on 04/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\CheckPoint\ZoneAlarm\vsmon.exe
C:\Programmi\CheckPoint\ZAForceField\IswSvc.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\Programmi\AVAST Software\Avast\AvastSvc.exe
C:\Programmi\CheckPoint\ZAForceField\ForceField.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVAST Software\Avast\avastUI.exe
C:\Programmi\CheckPoint\ZoneAlarm\zatray.exe
c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programmi\CheckPoint\ZAForceField\TrustChecker\ bin\TrustCheckerIEPlugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programmi\CheckPoint\ZAForceField\TrustChecker\ bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Programmi\CyberLink\PowerDirector\MUITransfer\ MUIStartMenu.exe" "C:\Programmi\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\9.0"
O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [ZoneAlarm] C:\Programmi\CheckPoint\ZoneAlarm\zatray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISW] C:\Programmi\CheckPoint\ZAForceField\ForceField.ex e /icon="hidden"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZAFFRegisterTrustChecker] "C:\WINDOWS\system32\regsvr32.exe" -s "C:\Programmi\CheckPoint\ZAForceField\TrustChecker \bin\TrustChecker.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZAFFRegisterTrustChecker] "C:\WINDOWS\system32\regsvr32.exe" -s "C:\Programmi\CheckPoint\ZAForceField\TrustChecker \bin\TrustChecker.dll" (User 'Default user')
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programmi\File comuni\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Google Update Service (gupdate1ca527c76e585ba) (gupdate1ca527c76e585ba) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programmi\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe
O23 - Service: McciCMService - Unknown owner - C:\Programmi\Common Files\Motive\McciCMService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Programmi\CheckPoint\ZoneAlarm\vsmon.exe

--
End of file - 9017 bytes

[R16]

Ciao.
Disistalla (da Installazione Applicazioni) tutti i programmi di difesa che hai installato.
Compreso SpyBot, con il suo Tea Timer.
Tieni installato solo l'antivirus (Avast) e Malwarebytes.
Disistalla anche McAfee.
Dopo la disistallazione di McAfee, usa questo tool per eliminare gli eventuali rimasugli rimasti:
http://service.mcafee.com/FAQDocumen...7&lc=1040&pf=1

Disistalla Zone Allarm.
Usa questo tool per eliminare gli eventuali rimasugli rimasti:
http://download.zonealarm.com/bin/fr...load/clean.exe

Fai una pulizia con CCleaner. (registro compreso)
Riavvia il pc.
Ripeti la pulizia con CCleaner.

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check and Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.


Per postare i log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

N.B:
I programmi di difesa disistallati, potranno essere reistallati a bonifica completata.

[metallara]

Grazie infinite R16 della pazienza e dell'aiuto, ho seguito tutto passo passo.
Incollo i 2 file che mi ha restuito otl.exe
Extras.Txt
OTL.Txt
Aspetto fiduciosa illuminazioni

[R16]

Ciao.
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui con le modalità precedenti.

[R16]

Finita la scansione con Combofix, segui queste indicazioni:
Avvia OTL.

Sotto "Custom Scans\Fixes " copia-incolla questo codice: (non copiare la parola codice )

codice:

:OTL
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - No CLSID value found.
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-1214440339-1229272821-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-9FA5-A33DE8DBE931} - No CLSID value found.
O3 - HKU\S-1-5-21-1214440339-1229272821-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} Reg Error: Value error. (WUWebControl Class)
[2012/01/03 18.29.07 | 000,014,664 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys
[2011/12/23 08.56.48 | 000,000,000 | ---D | C] -- C:\Programmi\Spybot - Search & Destroy
[2009/10/21 18.41.11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\avg9
[2011/07/20 17.31.07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Dati applicazioni\OpenCandy
@Alternate Data Stream - 97 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
@Alternate Data Stream - 148 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:CB0AACC9

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[Reboot]

Clicca sul pulsante RUN FIX .
Lascia fare la scansione senza interferire.
Il pc si riavvierà

Posta il log.

[metallara]

Scusa il ritardo ma ho avuto una difficoltà a recuperare la password admin, ti faccio i complimenti per la chiarezza e semplicità nello spiegare ogni passaggio.
ComboFix.txt
Ora leggo il post seguente, procederò domani mattina.
Grazie ancora intanto.
e Buona serata.

[R16]

Ciao.
Allora colgo l'occasione per alcuni software che reputo sospetti.
Conosci e usi SafeNet Sentinel ?
Questo servizio:
NetBalancer (è un controllo del traffico internet)
Questo:
PY_Software

Grazie.

[metallara]

c'è un problema...ho lanciato come mi hai detto in otl il run fix del codice che mi hai dato anche chiudendo antivirus,connessione e tutto però il programma si blocca.appare la scritta sotto "killing processes.DO NOT INTERRUPT..." però dopo più di 2 ore che nn succede niente ho forzatamente interrotto cn un riavvio,anche perchè provando a chiudere mi diceva che nn andava..nel pc nn c'era nessuna lucetta lampeggiante di macchinamento.tutto fermo muto.provato 2 volte..dici devo farlo da modalità provvisoria?

Per quanto riguarda invece i programmi che mi hai scritto,posso dirti che net balancer l'avevo installato io sperando mi illuminasse più di tcp view (data la mia ignoranza sulle reti) ma ho visto era pesante invasivo e mi confondeva ancora di più le idee così in teoria l'ho tolto?!
Invece PY_SOFTWARE non so cosa sia?!

[metallara]

ho cercato py software ..credo sia l'arca il programma di contabilità

[R16]

Per quanto riguarda SafeNet Sentinel ?
Vorrei sapere se mi dai l'autorizzazione per eliminarli, oppure no.