file txt anomali “GINA"-"WLACUGINA”

[rossimario]

Sul mio pc “vecchiagloria”
Ho notato un rallentamento e poi ho riscontrato che in apertura si creano due file txt sul disco C: GINA
[Gina1]
Gina2=EXE

WLACUGINA
[Gina1]
path=InitInstance
return=TRUE

I dati generali del pc sono :
scheda ACORP7KTA1
processore AMDduron, 850 Mhz
so: WIN XP con service pack 3
GRISOFT 8.0
firewall zone alarm e win inserito
Schedarete : Realtek RTL 8185 54m wireless

Altre anomalie riscontrate sono
-problemi con msvcr71.dll
-Firewall ZA bloccato spesso l'accesso pc a “MingLihomenet.telecomitalia.it” (sessione NetBIOS) dal computer (flag tcp:s)

ho utilizzato per i
la pulizia di registro
CCLEANER
REGCLEAN

per la scansione
KILLBOX
EXTERMINATE
SPYBOT
TROJANREMOVER
SPYWAREDOCTOR (che mi ha trovato ; ""SPYWARE.KNOWN_bad_sites")

a seguire c'è il logfile di hijackthis...
potete aiutarmi con qualche indicazione che mi eviti di formattare e reinstallare xp?
grazie e mille





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.34.28, on 18/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\PROGRAMMI\Spyware Doctor\pctsAuxs.exe
D:\PROGRAMMI\Spyware Doctor\pctsSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\PROGRAMMI\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
C:\Programmi\AVG\AVG8\avgupd.exe
C:\Programmi\Windows NT\Accessori\WORDPAD.EXE
C:\Programmi\AVG\AVG8\avgcmgr.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ISTray] "D:\PROGRAMMI\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Programmi\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\PROGRAMMI\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\PROGRAMMI\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3885 bytes

[ryan atwood]

Il log di hijackthis mi sembra pulito.
Scarica Malwarebytes
Esegui la scansione completa del PC
Posta il risultato

[rossimario]

eccoci
perdono per il ritardo, qui sotto il log che mi avevi suggerito,
con MALWAREBITES
che ha segnalato 4 infezioni dovute a Trojan.FakeAlert
è possibile che fosse questo trojan a generare i 2 files txt relativi alle pass degli utenti ?

mi scuso per questa problematica così basic
ma delle volte se si riesce a salvare un pc anche vecchiotto, quando poi si cambia si può fare un bel regalo a chi non a i mezzi per comperarne nessuno...

un saluto e grazie e mille




Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 3

23/02/2009 21.40.42
mbam-log-2009-02-23 (21-40-42).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 138396
Tempo trascorso: 1 hour(s), 26 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\System Volume Information\_restore{29BC6EC8-8E7D-4F45-80D0-C7C60833552A}\RP11\A0006255.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{29BC6EC8-8E7D-4F45-80D0-C7C60833552A}\RP11\A0006258.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\BURNERfree\ROXIOccccrrrr\Roxioy3226.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\BURNERfree\ROXIOburner\ROXIOccccrrrr\Roxioy3226 .exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[rossimario]

MALWAREBITES/Trojan.FakeAlert/txt anomalo GINA

Ryan
qui sotto il log
con MALWAREBITES
che ha segnalato 4 infezioni dovute a Trojan.FakeAlert
è possibile che fosse questo trojan a generare i 2 files txt relativi alle pass degli utenti ?

mi scuso per questa problematica così basic
ma delle volte se si riesce a salvare un pc anche vecchiotto, quando poi si cambia si può fare un bel regalo a chi non a i mezzi per comperarne nessuno...

un saluto e grazie e mille




Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 3

23/02/2009 21.40.42
mbam-log-2009-02-23 (21-40-42).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 138396
Tempo trascorso: 1 hour(s), 26 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\System Volume Information\_restore{29BC6EC8-8E7D-4F45-80D0-C7C60833552A}\RP11\A0006255.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{29BC6EC8-8E7D-4F45-80D0-C7C60833552A}\RP11\A0006258.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\BURNERfree\ROXIOccccrrrr\Roxioy3226.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\BURNERfree\ROXIOburner\ROXIOccccrrrr\Roxioy3226 .exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.




OOO

ryan atwood
Utente di HTML.it
Il log di hijackthis mi sembra pulito.
Scarica Malwarebytes
Esegui la scansione completa del PC
Posta il risultato
OOO



file txt anomali “GINA"-"WLACUGINA” Sul mio pc “vecchiagloria”
Ho notato un rallentamento e poi ho riscontrato che in apertura si creano due file txt sul disco C: GINA
[Gina1]
Gina2=EXE

WLACUGINA
[Gina1]
path=InitInstance
return=TRUE

I dati generali del pc sono :
scheda ACORP7KTA1
processore AMDduron, 850 Mhz
so: WIN XP con service pack 3
GRISOFT 8.0
firewall zone alarm e win inserito
Schedarete : Realtek RTL 8185 54m wireless

Altre anomalie riscontrate sono
-problemi con msvcr71.dll
-Firewall ZA bloccato spesso l'accesso pc a “MingLihomenet.telecomitalia.it” (sessione NetBIOS) dal computer (flag tcp:s)

ho utilizzato per i
la pulizia di registro
CCLEANER
REGCLEAN

per la scansione
KILLBOX
EXTERMINATE
SPYBOT
TROJANREMOVER
SPYWAREDOCTOR (che mi ha trovato ; ""SPYWARE.KNOWN_bad_sites")

a seguire c'è il logfile di hijackthis...
potete aiutarmi con qualche indicazione che mi eviti di formattare e reinstallare xp?
grazie e mille





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.34.28, on 18/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\PROGRAMMI\Spyware Doctor\pctsAuxs.exe
D:\PROGRAMMI\Spyware Doctor\pctsSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\PROGRAMMI\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
C:\Programmi\AVG\AVG8\avgupd.exe
C:\Programmi\Windows NT\Accessori\WORDPAD.EXE
C:\Programmi\AVG\AVG8\avgcmgr.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ISTray] "D:\PROGRAMMI\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Programmi\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.15 V.1.00\WlanCU.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\PROGRAMMI\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\PROGRAMMI\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3885 bytes

[Deifobe]

ciao rossimario,
ho unito i thread...
cortesemente, per postare nella tua discussione clicca su "rispondi "

non aprire altri thred inerenti lo stesso problema

grazie
ciao

Dei

[ryan atwood]

Originariamente inviato da rossimario
è possibile che fosse questo trojan a generare i 2 files txt relativi alle pass degli utenti ?

Si potrebbe ma non ne sono convinto, ma non ho capito cosa intendi relativi alle pass degli utenti...
Vuoi dire che dentro quel file .txt ci sono delle pass??
Fai queste 2 scansioni online:
Kasperky
Panda Active Scan
Posta i risultati
su freefilehosting.net
inserisci sul forum i link ottenuti
Ciao