File rinominati

**P4sticcina** · 19-10-2008, 09:56

Ciao a tutti
Oltre all'avg uso un anti spyware consigliatomi da un amico , un certo Scan Spyware e ieri sera mi ha trovato 5 file infetti.... di questi ne son riuscita a cancellare 3 ma 2 mi son rimasti in quanto mi dice che sono file rinominati

Vi posto il log dello scan dell'antispyware e anche il log di hijackthis ... però l'hijackthis l'ha fatto il mio ragazzo in condivisione

fà niente ?

ok allora :

Application Information

=======================

Application Version: ScanSpyware v3.8 build 3.8.0.1

Original Database: pests09-10-04.db

Updated Database: ssdb101108.db

Current Date: Sunday, October 19, 2008 08:35:13 AM

__________________________________________________

Directories recognized:

=======================

__________________________________________________

Files recognized:

=================

Questi due sono i file infetti :

[CashBack]

E:\DOKUME~1\gioia\LOKALE~1\Temp\blank.gif

[DirSpy]

E:\WINDOWS\_ISENV31.INI

___________________________________________

Questi non sò ...

Registry keys recognized:

=========================

[Boss EveryWare]

HKEY_CLASSES_ROOT\.dbf

[Boss EveryWare]

HKEY_LOCAL_MACHINE\Software\classes\.dbf

[Delf.HAO]

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\taskmgr.exe

-------------------------------------------------------------------------

Ora incollo l'hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:10:24, on 19.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
E:\Programme\Microsoft IntelliType Pro\type32.exe
E:\Programme\Microsoft IntelliPoint\point32.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\ScanSoft\OmniPageSE\opware32.exe
E:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\OpenOffice.org 2.0\program\soffice.exe
E:\Programme\OpenOffice.org 2.0\program\soffice.BIN
E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\PROGRA~1\AVG\AVG8\avgfws8.exe
E:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgam.exe
E:\PROGRA~1\AVG\AVG8\avgrsx.exe
E:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Programme\Windows Live\Messenger\usnsvc.exe
E:\Programme\TeamViewer3\TeamViewer.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [IAAnotif] "E:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [type32] "E:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "E:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] E:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DW6] "E:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = E:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE004BE0-41BD-4F18-9F94-BC86B512F222}: NameServer = 62.109.123.197 213.191.74.19
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - E:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUpUtilities2006\WinStylerThemeSvc .exe
O23 - Service: XAudioService - Conexant Systems, Inc. - E:\WINDOWS\system32\DRIVERS\xaudio.exe

--
End of file - 7110 bytes

Aiutatemi vi prego ...

Devo disabilitare il ripristino di sistema ? devo pulire in modalità provvisoria ???

Ditemi voi ...
Grazie in anticipo

**hell's bells** · 19-10-2008, 10:06

Ho dato uno sguardo, il log di hijackthis è pulito, quei files segnalati sono infetti vero, ma cercando sul web sembrano più dei keylogger che dei veri e propri virus, in ogni caso esegui questa scansione e vediamo cosa trova:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il report segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

Se fai subito la scansione tieni malewarebytes aperto, ti controllo il report subito e ti dico cosa rimuovere, eviti di rifarla una seconda volta.

**P4sticcina** · 19-10-2008, 22:16

Ho fatto la scansione con Malwarebytes e questo è il log :

Malwarebytes' Anti-Malware 1.29
Versione del database: 1290
Windows 5.1.2600 Service Pack 3

19.10.2008 22:11:49
mbam-log-2008-10-19 (22-11-39).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|)
Elementi scansionati: 77844
Tempo trascorso: 24 minute(s), 37 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

Che faccio ??? Rimuovo ?

**hell's bells** · 19-10-2008, 22:19

Rimuovi pure quello che ha trovato, poi per sicurezza fai questa scansione on line, non voglio eliminare files senza avere delle certezze, segui questa procedura:

scansione on line con Kaspersky

1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.

La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.

Posta il report della scansione.

EDIT: nel mentre ho fatto una ricerca più approfondita sui tuoi files infetti, come da rapporto:

[Boss EveryWare]

HKEY_CLASSES_ROOT\.dbf

[Boss EveryWare]

HKEY_LOCAL_MACHINE\Software\classes\.dbf

sono 2 chiavi di registro create da un programma keylogger, verifica se nella tua lista dei programmi installati hai Boss EveryWare

in relazione a questo

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\taskmgr.exe

si tratta del virus W32/Tunggul o Delf.HAO o altri nomi.

Vediamo kaspersky cosa rileva.

**P4sticcina** · 20-10-2008, 04:32

Queste tre cose con il mio ScanSpyware non vanno via nemmeno in modalità provvisoria ...

Le prime due le segnala ad alto rischio, mentre il terzo è un cookies ma non lo elimina

[CashBack]

E:\DOKUME~1\gioia\LOKALE~1\Temp\blank.gif

[DirSpy]

E:\WINDOWS\_ISENV31.INI

[Dokum]

e:\dokumente und einstellungen\gioia\cookies\index.dat

Ora faccio la scansione con il kasper anche se non sò se parte ... il mio ragazzo le ha provate tutte anche trend micro ..

:master:

**P4sticcina** · 20-10-2008, 06:40

Kaspersky non m'ha trovato niente ...

Ho cancellato manualmente i primi due file ... quelli ad alto rischio ...

Lo ScanSpyware non me li trova più, mi trova solo i cookies e non mi cancella questo dokum

M'è rimasto il cookie .... questo :

[Dokum]

e:\dokumente und einstellungen\gioia\cookies\index.dat

non sò dove cercarlo ..................... :master:

**hell's bells** · 20-10-2008, 07:13

Facciamo un poco di pulizia, segui queste istruzioni:

scarica Ccleaner

1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte

poi

scarica Atfcleaner

Avvia ATFCleaner.exe con un doppio click

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta) - (se usi opera o firefox,spunta anche le loro sezioni

In quanto al cookie che ti segnala, il file index.dat contiene le informazioni sui siti visitati, quindi ti sconsiglio di eliminarlo.

**P4sticcina** · 21-10-2008, 01:48

In quanto al cookie che ti segnala, il file index.dat contiene le informazioni sui siti visitati, quindi ti sconsiglio di eliminarlo.

------------

1. Ho fatto le pulizie che hai detto ...

2. Non è che mi son affissata su quel file ... e che quando lancio lo ScanSpyware e vado ad eliminare le infezioni, me le cancella tutte tranne quello e mi dice che c'è una violazione :

A sharing violation occurred while accessing an unnamed file.

e non me lo elimina ...

Questo quì :

[Dokum]

e:\dokumente und einstellungen\gioia\cookies\index.dat

**hell's bells** · 21-10-2008, 07:07

Come ti ho già scritto, quel file è la memoria della navigazione, è un elenco dei siti aperti, visto che è un file di sistema non è possibile eliminarlo, quindi ti consiglio di lasciarlo stare dove è, in ogni caso non è detto che il tuo programma non lo stia scambiando per malevolo quando in realtà non lo è.

**P4sticcina** · 28-10-2008, 02:09

Niente son tornati alla ribalta ...

Il mio Scan Spyware non riesce a cancellarli, mi dice che sono stati rinominati

high risk :

[CashBack]

E:\DOKUME~1\gioia\LOKALE~1\Temp\blank.gif

moderate risk :

[Dokum]

e:\dokumente und einstellungen\gioia\cookies\index.dat

Come li levo ? ? ?

Il mio ragazzo e amici fanno la scansione con scan spy e levano tutto quindi anche l'index.dat è sospetto anche se non ad alto rischio ...

Datemi input

Discussione: File rinominati

Strumenti discussione

Ricerca discussione

Visualizza

File rinominati

File infetti

...

-.-

---

-.-'

Permessi di invio