| Precedente :: Successivo |
| Autore |
Messaggio |
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
 Inviato: 21 Lug 2007 19:25 Oggetto: Riskware: Invader |
 |
|
Ciao a tutti... 
Se sono qui, evidentemente ho bisogno di aiuto...
Ho preso una serie di schifezze da qualche parte nella rete, spyware, virus e altre simpatiche cosine del genere... Ho provato ad eliminarle coi soliti rimedi casalinghi della nonna tipo Spyware Doctor, HijackThis, Kaspersky etc... Ho provato anche a lanciarli da modalità provvisoria. Alla fine di tutto questo però Kaspersky mi continua a rilevare un Riskware Invader... e altri anomali comportamenti del pc mi fanno pensare che qualcosa ancora non va...
Vi posto il log di HiajackThis... sarò molto grato a chi avrà voglia di darmi una mano...
Ciao Ciao
Logfile of HijackThis v1.99.1
Scan saved at 19.24.32, on 21/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Manuel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programmi\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programmi\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5046D65E-C92A-4595-BA66-E109EAEF6820}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Lug 2007 20:02 Oggetto: |
|
|
Il log di hijackthis non evidenzia cose strane.
Salva il log di Kaspersky in un file, carica il file su http://www.freefilehosting.net e posta qui il link.
Poi, fai i passaggi indicati qui. |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 10:17 Oggetto: GMER 1 |
|
|
Il LOG della prima scansione di GMER (Autostart) la trovi a questo link:
http://www.freefilehosting.net/download/MzgwMA==
Il LOG della seconda (Rootkit) qui:
http://www.freefilehosting.net/download/MzgwMw==
Nel frattempo sto facendo fare la scansione a Kaspersky, poi te la posto.
Grazie. |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 11:48 Oggetto: kaspersky |
|
|
KASPERSKY mi ha trovato un po' di schifezze...
Ho fatto la scansione online. Il log è qui:
http://www.freefilehosting.net/download/MzgxMA==
Adesso sto provando anche a fare la scansione online di Panda che magari ti può essere utile. Quando mi da il log te lo posto. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Lug 2007 11:53 Oggetto: |
|
|
Scarica questo sul desktop e avvialo.
Al termine, dovrebbe riavviarti il pc e visualizzarti 2 logs. Postali qui.
Intanto vediamo il log di Kaspersky.  |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 12:28 Oggetto: fatto... |
|
|
Ho lanciato il programmino che mi hai indicato...
Al termine non mi ha riavviato il pc e mi ha visualizzato questo log:
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
22/07/2007 12.26.14,71
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 69670
Total size: 69670 bytes.
Attempting to remove ADS...
system32: deleted 69670 bytes in 1 streams.
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
******************* Post-run Status of system *******************
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
******************************* End of Logfile ******************************** |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Lug 2007 15:39 Oggetto: |
|
|
Ottimo, il rootkit rustock era già stato reso innocuo. Andava solo eliminato.
Per le altre voci trovate, comincia a disabilitare il ripristino di sistema.
Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\0c4r5v53.exe
C:\WINDOWS\loadnew.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mssadv.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | mssadv.exe |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.
Posta anche un log aggiornato di hijackthis.
A questo punto puoi riabilitare il ripristino di sistema.
modificato alle 16.01 |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 16:07 Oggetto: OK |
|
|
OK... ho fatto...
ma senza le due righe che hai aggiunto dopo...
adesso rifaccio la procedura con solo le due righe aggiuntive...
intanto il primo log è questo:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qujkudss
*******************
Script file located at: \??\C:\dekqwucs.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\0c4r5v53.exe deleted successfully.
File C:\WINDOWS\loadnew.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 16:11 Oggetto: mmm... |
|
|
 mmm...
adesso però inserendo solo le ultime due righe di istruzione mi ha dato un casino di messaggi di errore... dovevo forse rifare la procedura con tutte e quattro le righe?
Intanto questo è il log:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | mssadv.exe
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ystvpqax
*******************
Script file located at: \??\C:\tkrtotoh.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mssadv.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
|
| Top |
|
|
VORTIKO
Eroe
Registrato: 05/01/07 23:07
Messaggi: 44
|
| Inviato: 22 Lug 2007 16:13 Oggetto: HJT |
|
|
Ah, dimenticavo il nuovo log di HJT:
Logfile of HijackThis v1.99.1
Scan saved at 16.12.56, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Programmi\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Manuel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programmi\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programmi\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5046D65E-C92A-4595-BA66-E109EAEF6820}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Lug 2007 16:21 Oggetto: |
 |
|
Al di là dell'errore che ti ha segnalato, rilevi ancora comportamenti strani del pc?
Il log di hjt sembra pulito (come lo era all'inizio). pensavo che, eliminando quelle voci, qualcosa di nuovo saltasse fuori.
Se vuoi, facciamo un altro controllo...
Clicca qui.
Salva il file, anche sul desktop se vuoi.
(se hai problemi a salvare il file, clicca il link tenendo premuto il tasto CTRL).
Disattiva temporaneamente il tuo antivirus.
Avvia il file appena scaricato (sys#####)
Assicurati che tutte le voci siano spuntate.
clicca su Scan now
L'operazione può durare diversi minuti... abbi pazienza 
Al termine della scansione, ti verrà aperto il blocco note. Puoi chiuderlo tranquillamente.
Chiudi il programma e riattiva il tuo antivirus.
Carica il file c:\suspectfile\report.txt su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
