Aiuto nell'interpretazione di un Log di Hijackthis...

[jimmi105]

Facendo una scansione con hijackthis ho trovato delle cose un po' strane... vi alllego tutto e in fondo vi riporterò i file sospetti.. Grazie in Anticipo :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:37, on 06/08/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Users\Alessandro\AppData\Local\Google\Update\1. 3.21.65\GoogleCrashHandler.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\taskhost.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Users\Alessandro\AppData\Local\Google\Chrome\Ap plication\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Alessandro\AppData\Local\Google\Update\G oogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-356710981-877220770-2218524081-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-356710981-877220770-2218524081-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5984386C-7F75-4F77-98BE-EDAF8D13FD6E}: NameServer = 80.79.48.66,80.79.57.129
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SKLService - Award Software, Inc - C:\Windows\system32\KAward\aklservice.exe

--
End of file - 5385 bytes
O23 - Service: SKLService - Award Software, Inc - C:\Windows\system32\KAward\aklservice.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5984386C-7F75-4F77-98BE-EDAF8D13FD6E}: NameServer = 80.79.48.66,80.79.57.129

[R16]

Ciao.
Questa voce:

O23 - Service: SKLService - Award Software, Inc - C:\Windows\system32\KAward\aklservice.exe

Indica che hai installato un possibile Keylogger.


Questa:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5984386C-7F75-4F77-98BE-EDAF8D13FD6E}: NameServer = 80.79.48.66,80.79.57.129

E' la tua connessione, che dice che sei dalle parti di Vicenza.

Esegui questa scansione:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/index.php
Prima di fare la scansione AGGIORNALO . (è molto importante)
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati.
Posta il log.

[jimmi105]

Grazie r16..ma il file del possibile keylogger lo elimino con HJT o prima faccio la scansione?

[jimmi105]

Lascio sansionare Malwarebites la notte per domani ti dico...grazie.E prima che lasciassi il pc MSE mi ha fatto questo avviso non so se importa ma te lo riporto lo stesso. http://imageshack.us/photo/my-images/814/wse.png/

[jimmi105]

Ecco il log,non sembra esserci nulla di male:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Versione database: 7395

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

07/08/2011 01:11:19
mbam-log-2011-08-07 (01-11-19).txt

Tipo di scansione: Scansione completa (C:\|D:\|Z:\|)
Elementi esaminati: 353587
Tempo impiegato: 2 ore, 22 minuti, 55 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
Ah il disco Z e una vecchia partizione di ripristino di windows vista che non sono riuscito ad eliminare.

[R16]

Strano che Mbam non abbia rilevato niente.


Segui attentamente queste indicazioni per eseguire una scansione con Combofix:

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[jimmi105]

Scusa il ritardo ma sono andato al mare un po di giorni.
ComboFix.txt.
P.S. Combofix mi ha avvisato che Microsoft Security Essentials era attivato,ma era disattivato,ho tolto il processo i MSE ma comunque mi diceva che era abilitato.non so

[R16]

Ma usi Avast o Microsoft Security Essentials.
Perchè uno dei due, lo devo eliminare.

[jimmi105]

Be li uso tutto e due,ci sono problemi se li uso tutti e 2?

[R16]

Sì ci sono problemi con 2 antivirus, installati nello stesso pc.