| Precedente :: Successivo |
| Autore |
Messaggio |
vasquez
Eroe
Registrato: 27/10/10 16:05
Messaggi: 58
|
 Inviato: 27 Ott 2010 16:49 Oggetto: WIN 32 MALWARE |
 |
|
CIAO, X MI SONO BECCATO QUESTO WIN 32MALWARE-gen .
USO XP ,AVAST 5.0
SCHIACCIO TASTO DX MOUSE SU QUALUNQUE ICONA CERCA DI CONFIG.PROGRAMMA ACER\EMPOWERING TECHNOLOGY\eDATA,SPOSTA IL MALW.IN CESTINO. NELLA FINESTRA AVAST C'è SCRITTO"SEGNALA IL FILE ECOME FALSO POSITIVO".
SOLO CON SCANSIONE ALL'AVVIO MI TROVA 3 FILES INFETTI.NON POSSO FARE ALTRO CHE IGNORARE,NON MI ESEGUE ALTRE OPERAZIONI.
I FILE SONO CARTELLE DI WINDOWS
SCARICATO INOLTRE CCLEANER,+ SUPERANTISPYWARE(TROVATO ADWARE) MALWAREBYTES CON SCANSIONE COMPLETA MI TROVA UN TROJAN.DOWNLOAD.  PER ORA.
GRAZIE
PS: Non incollare quì i logs, ma caricali su Wikisend
|
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Ott 2010 22:14 Oggetto: |
|
|
Ciao.
Disattiva il Tea Timer di SpyBot così:
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.
Poi:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked | Citazione: |
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [installnet.exe] "C:\Programmi\Acer\LANScope\Installnet.exe" "C:\Programmi\Acer\LANScope\
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - |
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Riavvia il pc.
Posta il log di Malwarebytes. |
|
| Top |
|
|
vasquez
Eroe
Registrato: 27/10/10 16:05
Messaggi: 58
|
| Inviato: 28 Ott 2010 14:30 Oggetto: |
|
|
Ciao ,ecco i risultati.
Nella tua spunta era presente O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe.
Dopo L'avvio hijackthis non era presente.
Dopo scansione Malwarebytes ok.
Clicco con tasto dx in desktop su icona a caso parte la "configurazione ..di acerdata esecurity
Rifatta scansione all'avvio avast file infetti 5.Tre di questi file dicitura seguente
C:\System volume information\-restore.................>edscp.exe infetti da malware win 32.
Gli altri due.
C:\WINDOWS\Downloaded Installation\............\Acer eDataSecurity Management.msi.....edscp.exe infetto
da malware win 32.
C:\WINDOWS\system\RCDSETUP.EXE|>..........(l'ARCHIVIO INSTALLER è DANNEGGIATO
MBAM.txt
PS: Come sopra |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 28 Ott 2010 17:58 Oggetto: |
|
|
Ciao.
| Citazione: | Nella tua spunta era presente O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe.
Dopo L'avvio hijackthis non era presente. |
Sì, è normale se hai disattivato il Tea Timer, non trovare più quella voce di HJT.
| Citazione: | | :\WINDOWS\system\RCDSETUP.EXE|>..........(l'ARCHIVIO INSTALLER è DANNEGGIATO |
I portatili Acer hanno un proprio software Antivirus pre installato sul loro computer e questo file,(RCDSETUP.EXE) è parte di questa configurazione.
Puoi ignorare la segnalazione.
A mio avviso, si può anche eliminare, non dovrebbe creare problemi.
| Citazione: | | C:\System volume information\-restore.................>edscp.exe infetti da malware win 32. |
Questo, per eliminarlo basta Disattivare il Ripristino configurazione sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084
Riavvia il pc, e riattivi il Ripristino configurazione sistema.
| Citazione: | | C:\WINDOWS\Downloaded Installation\............\Acer eDataSecurity Management.msi.....edscp.exe infetto |
Sinceramente, non mi fido di Avast.
Bisognerebbe fare una prova con un'altro antivirus, e vedere se rileva questa pseuda infezione.
Se vuoi provare, e ti interessa toglierti il dubbio:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Ciao. |
|
| Top |
|
|
vasquez
Eroe
Registrato: 27/10/10 16:05
Messaggi: 58
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Ott 2010 14:37 Oggetto: |
|
|
Ciao.
Qualcosina lo ha eliminato Mbam.
Superantispyware, solo cookie.
Guarda che invece di postare il log di HJT, hai inviato l'installer del programma. |
|
| Top |
|
|
vasquez
Eroe
Registrato: 27/10/10 16:05
Messaggi: 58
|
| Inviato: 30 Ott 2010 18:19 Oggetto: |
|
|
I portatili Acer hanno un proprio software Antivirus pre installato sul loro computer e questo file,(RCDSETUP.EXE) è parte di questa configurazione.
Puoi ignorare la segnalazione.
A mio avviso, si può anche eliminare, non dovrebbe creare problemi.
Citazione:
C:\System volume information\-restore.................>edscp.exe infetti da malware win 32.
Questo, per eliminarlo basta Disattivare il Ripristino configurazione sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084
Riavvia il pc, e riattivi il Ripristino configurazione sistema.
Scusa per errore.
Ti posto il log esatto.
hijackthis.log
Per Ora aspetto a disattivare il ripristino configurazione di sistema.
Ti faccio sapere per avira.
Ciao. |
|
| Top |
|
|
vasquez
Eroe
Registrato: 27/10/10 16:05
Messaggi: 58
|
| Inviato: 01 Nov 2010 19:45 Oggetto: |
 |
|
CIAO,
AVIRA TROVA QUESTO CODICE SOSPETTO
'HEUR/HTML.Malware'[heuristic,ELIMINATO MESSO IN QUARANTENA.
+ UN OGGETTO NASCOSTO (Il processo non è visibile).
c:\programmi\isposure\isposureagent.exe
c:\Programmi\isposure\IsposureAgent.exe
Con nuova scansione tutto ok tranne l'oggetto nascosto.
Devo fare scansione online dell'oggetto o altro ? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
