View Full Version : Problema...
moresimon
23-06-2008, 12:53
Ciao,
premetto che HO LETTO le regole di sezione e conosco la trafila per farsi aiutare (sono già "passato" una volta da qui in passato) ma ho un problema e devo aprire una discussione.
Il mio NOD32 ha trovato 3 virus, uno sulla memoria centrale e 2 su una cartella:
- cavallo di troia Win32/Genetik probabilmente modificato in C:\WINDOWS\system32\prmrsr.exe
- 2 cavallidi troia Win32/PSW.Sinowal.Gen probabilmente modificati in una cartella del desktop: \Desktop\Antivirus\SDFix\backups\backups.zip>>ZIP>>bakups\ibm00001.dll (l'altro è 00002.dll).
Ho fatto una scansione con PrevxCsi e il risultato è che il pc è pulito... Inoltre nella cartella system 32 non trovo quel file...
Qualcuno potrebbe aiutarmi?
Grazie.
Chill-Out
23-06-2008, 14:32
Ciao,
premetto che HO LETTO le regole di sezione e conosco la trafila per farsi aiutare (sono già "passato" una volta da qui in passato) ma ho un problema e devo aprire una discussione.
Il mio NOD32 ha trovato 3 virus, uno sulla memoria centrale e 2 su una cartella:
- cavallo di troia Win32/Genetik probabilmente modificato in C:\WINDOWS\system32\prmrsr.exe
- 2 cavallidi troia Win32/PSW.Sinowal.Gen probabilmente modificati in una cartella del desktop: \Desktop\Antivirus\SDFix\backups\backups.zip>>ZIP>>bakups\ibm00001.dll (l'altro è 00002.dll).
Ho fatto una scansione con PrevxCsi e il risultato è che il pc è pulito... Inoltre nella cartella system 32 non trovo quel file...
Qualcuno potrebbe aiutarmi?
Grazie.
Ma che azione hai intrapreso dopo che il Nod ha rilevato i Trojan?
Egiziana
23-06-2008, 14:42
prmrsr.exe fallo verificare su VT a questo link (http://www.virustotal.com/it/) gli altri due rimuovi dal desktop l'intera cartella di sdfix perché come puoi vedere sono rilevati dentro un backup.zip
Desktop\Antivirus\SDFix\backups\backups.zip
Chill-Out
23-06-2008, 15:41
Allega il log del Nod, trovo improbabile che Prevx CSI non rilevi prmrsr.exe come malware, il che vuol dire che hai deletato i file infetti. Se così non fosse per vederlo devi abilitare la visualizzazione dei file nascosti: clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK
Per quanto riguarda questi:
2 cavallidi troia Win32/PSW.Sinowal.Gen probabilmente modificati in una cartella del desktop: \Desktop\Antivirus\SDFix\backups\backups.zip>>ZIP>>bakups\ibm00001.dll (l'altro è 00002.dll).
pur trovandosi nella cartella di Backup di SDFIX è opportuno allegare un log di Gmer http://www2.gmer.net/beta/gmer.exe
moresimon
23-06-2008, 15:52
Ma che azione hai intrapreso dopo che il Nod ha rilevato i Trojan?
Ho cercato di metterlo in quarantena...poi ho fatto la scansione con Prevxcsi
moresimon
23-06-2008, 15:53
prmrsr.exe fallo verificare su VT a questo link (http://www.virustotal.com/it/) gli altri due rimuovi dal desktop l'intera cartella di sdfix perché come puoi vedere sono rilevati dentro un backup.zip
Basta eliminare la cartella dal desktop?
Chill-Out
23-06-2008, 15:56
Ho cercato di metterlo in quarantena...poi ho fatto la scansione con Prevxcsi
http://www.hwupgrade.it/forum/showpost.php?p=23021558&postcount=4
moresimon
23-06-2008, 16:02
Allega il log del Nod, trovo improbabile che Prevx CSI non rilevi prmrsr.exe come malware, il che vuol dire che hai deletato i file infetti. Se così non fosse per vederlo devi abilitare la visualizzazione dei file nascosti: clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK
Per quanto riguarda questi:
pur trovandosi nella cartella di Backup di SDFIX è opportuno allegare un log di Gmer http://www2.gmer.net/beta/gmer.exe
Chill-out scusa l'ignoranza in materia ma cliccando sulla cartella non riesco ad inserire alcun flag: tasto dx - proprietà - ecc.ecc.
Per quanto riguarda il log da Gmer, sto facendo uno scan dalla scheda rootkit: è giusto? Inoltre non sono riuscito a selezionare solo quei file e sta facendo una scansione completa sul disco...
moresimon
23-06-2008, 16:16
Tempo di controllo: 16/06/2008 19.03.22
Rapporto di scansione
Versione NOD32: 3190 (20080616) NT
cavallo di troia Win32/Genetik probabilmente modificato nella memoria operativa.
data: 16.6.2008 tempo: 19:30:33
Dischi, cartelle e file controllati: C:
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00001.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00002.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
C:\WINDOWS\system32\prmrsr.exe - cavallo di troia Win32/Genetik probabilmente modificato
numero di file controllati: 513043
numero di virus trovati: 3
scansione terminata alle: 20:34:08 tempo impiegato: 3815 sec (01:03:35)
Note:
[4] Il file non può essere aperto. E' in uso esclusivo da parte di un'applicazione o del sistema.
Chill-Out
23-06-2008, 16:36
Chill-out scusa l'ignoranza in materia ma cliccando sulla cartella non riesco ad inserire alcun flag: tasto dx - proprietà - ecc.ecc.
Per quanto riguarda il log da Gmer, sto facendo uno scan dalla scheda rootkit: è giusto? Inoltre non sono riuscito a selezionare solo quei file e sta facendo una scansione completa sul disco...
Clicca su una cartella (ovvero apire una cartella a caso) qualsiasi Strumenti (in alto subito sotto il nome della cartella che hai aperto) - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK
Per Gmer segui queste istruzioni: lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log
I log hostali qui http://www.fileqube.com indicando i link dove prelevarli
moresimon
23-06-2008, 17:01
Ok, avevo capito di cliccare col tasto dx...giornataccia!
Il link del log Gmer: http://www.fileqube.com/shared/MbFXY46157
Chill-Out
23-06-2008, 17:10
Ok, avevo capito di cliccare col tasto dx...giornataccia!
ma quale tasto dx non ti seguo
Il link del log Gmer: http://www.fileqube.com/shared/MbFXY46157
Gmer è OK
moresimon
23-06-2008, 17:13
[QUOTE=Chill-Out;23022738]ma quale tasto dx non ti seguo
Niente, avevo capito male (il tasto dx del mouse anzichè aprire la cartella e andare su strumenti). In ogni caso la casella era già spuntata.
Provo a fare un CCleaner?
Chill-Out
23-06-2008, 17:19
[QUOTE=Chill-Out;23022738]ma quale tasto dx non ti seguo
Niente, avevo capito male (il tasto dx del mouse anzichè aprire la cartella e andare su strumenti). In ogni caso la casella era già spuntata.
Provo a fare un CCleaner?
Ok, il che vuol dire che il file non esiste più, che cosa ne hai fatto? Lo hai cancellato o messo in quarantena perchè dal log di Nod datato 16/06/08 non si capisce, inoltre se ripeti la scansione col Nod che cosa ti segnala?
moresimon
23-06-2008, 17:37
[QUOTE=moresimon;23022776]
Ok, il che vuol dire che il file non esiste più, che cosa ne hai fatto? Lo hai cancellato o messo in quarantena perchè dal log di Nod datato 16/06/08 non si capisce, inoltre se ripeti la scansione col Nod che cosa ti segnala?
Il file ho cercato di metterlo in quarantena, non so se ci sono riuscito perchè il nod non è molto intuitivo per me... :) comunque ora faccio una scansione.
Durante la scansione mi dice:"cavallo di troia Win32/Genetik probabilmente modificato trovato nella memoria operativa. NOD32 può eliminare questa infezione. Alle infezioni della memoria non può essere applicata alcuna azione."
Pero' non mi da' la possibilità di spuntare il flag per la quarantena, l'unica opzione è di continuare la scansione, e quindi ignorare.
Chill-Out
23-06-2008, 17:40
[QUOTE=Chill-Out;23022853]
Il file ho cercato di metterlo in quarantena, non so se ci sono riuscito perchè il nod non è molto intuitivo per me... :) comunque ora faccio una scansione.
meglio così ci togliamo i dubbi, terminata la scansione col Nod allega il log poi pulisci gli ADS leggi qui Punto 2 della Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
moresimon
23-06-2008, 19:28
[QUOTE=moresimon;23023104]
meglio così ci togliamo i dubbi, terminata la scansione col Nod allega il log poi pulisci gli ADS leggi qui Punto 2 della Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
Tempo di controllo: 16/06/2008 19.03.22
Rapporto di scansione
Versione NOD32: 3190 (20080616) NT
cavallo di troia Win32/Genetik probabilmente modificato nella memoria operativa.
data: 16.6.2008 tempo: 19:30:33
Dischi, cartelle e file controllati: C:
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00001.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00002.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
C:\WINDOWS\system32\prmrsr.exe - cavallo di troia Win32/Genetik probabilmente modificato
numero di file controllati: 513043
numero di virus trovati: 3
scansione terminata alle: 20:34:08 tempo impiegato: 3815 sec (01:03:35)
Questo è il log del nod...ci sono tutti e tre ancora. Ho pulito gli ADS.
Chill-Out
23-06-2008, 21:28
Elimina manualmente la cartella
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00001.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
C:\Documents and Settings\utente\Desktop\Antivirus\SDFix\backups\backups.zip »ZIP »backups/ibm00002.dll - cavallo di troia Win32/PSW.Sinowal.Gen probabilmente modificato
Successivamente mi alleghi un log di Prevx CSI ed un log di HijackThis, utilizzando http://www.fileqube.com grazie.
Il Nod ti consente di eliminare il Virus e mi riferisco a C:\WINDOWS\system32\prmrsr.exe. si o no!
Egiziana
23-06-2008, 22:11
Elimina manualmente la cartella
ancora al punto di partenza?.
Il Nod ti consente di eliminare il Virus e mi riferisco a C:\WINDOWS\system32\prmrsr.exe. si o no!
evidente che no.
Disabilitare il system restore e fare una scansione con K.removal
Chill-Out
23-06-2008, 22:15
ancora al punto di partenza?.
evidente che no.
Disabilitare il system restore e fare una scansione con K.removal
Sarebbe opportuno che ti leggessi i messaggi
Egiziana
23-06-2008, 22:25
Sarebbe opportuno che ti leggessi i messaggi
vero
prmrsr.exe fallo verificare su VT a questo link (http://www.virustotal.com/it/) gli altri due rimuovi dal desktop l'intera cartella di sdfix perché come puoi vedere sono rilevati dentro un backup.zip
deve essere il 2^ o 3^ post.
Chill-Out
23-06-2008, 22:31
vero
deve essere il 2^ o 3^ post.
Esatto quindi se non si consiglia all'utente di visuallizzare File e cartelle nascosti la vedo dura che possa trovare prmrsr.exe in C:\WINDOWS\system32 per farlo scansionare su VT, inoltre la cartella di Backup di SDFIX non mi preoccupa affatto, semmai il suo contenuto Sinowal ma evidentemente non ti dice nulla, sai il tuo modo di scrivere mi ricorda tanto una persona :D
xcdegasp
23-06-2008, 23:46
ancora al punto di partenza?.
evidente che no.
Disabilitare il system restore e fare una scansione con K.removal
siamo qui per risolvere un problema ad un utente non per fare a gara o farci belli :p , quindi tutti i contributi che si possano dare sono ben accetti ma con rispetto reciproco ;)
moresimon
24-06-2008, 01:17
Elimina manualmente la cartella
Successivamente mi alleghi un log di Prevx CSI ed un log di HijackThis, utilizzando http://www.fileqube.com grazie.
Il Nod ti consente di eliminare il Virus e mi riferisco a C:\WINDOWS\system32\prmrsr.exe. si o no!
Ho eliminato manualmente la cartella SDFix (forse bastava anche la cartella Backups in essa contenuta :confused: ). Ti allego i log di Prevx CSI (secondo il dott. Prevx il pc non è infetto) e HiThis.
HiThis: http://www.fileqube.com/shared/bNEVF46308
Il nod NON mi consente di eliminare l'infezione...
Prevx CSI: http://www.fileqube.com/shared/wAEDhLDy46309
Chill-Out
24-06-2008, 09:13
Ho eliminato manualmente la cartella SDFix (forse bastava anche la cartella Backups in essa contenuta :confused: ).
Nessun problema SDFIX lo puoi riscaricare se necessita in qualsiaisi momento
Da Pannello di controllo - Installazione applicazione disinstalla questa roba C:\Programmi\PermissionResearch\prmrsr.exe
Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:
O4 - HKLM\..\Run: [PermissionResearch] C:\Programmi\PermissionResearch\prmrsr.exe -boot
O4 - HKLM\..\Run: [lsahkahx] "c:\windows\system32\lsahkahx.exe"
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll,C:\Programmi\PermissionResearch\prai.dll
O20 - Winlogon Notify: PermissionResearch - C:\Programmi\PermissionResearch\prls.dll
clicca su Fix checked
Dopodichè dopo aver disabilitato il rirpristino configurazione sistema e fatta pulizia con ATF Cleaner segui i sottoindicati Punti della Guida (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Punto 3 A-Squared dal momento che già lo utilizzi, lo aggiorni e fai una scansione DEEP SCAN
Punto 4 Kaspersky Removal Tool
Punto 5 Dr.Web CureIt presta attenzione dvi fare la scansione COMPLETA SCANSIONE
Punto 9 Prevx CSI devi aggiornare la versione in uso la tua è obsoleta
Al termine oltre ai log dei tool sopraindicati allega anche un nuovo log di HijackThis
moresimon
24-06-2008, 16:02
Nessun problema SDFIX lo puoi riscaricare se necessita in qualsiaisi momento
Da Pannello di controllo - Installazione applicazione disinstalla questa roba C:\Programmi\PermissionResearch\prmrsr.exe
Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:
clicca su Fix checked
Dopodichè dopo aver disabilitato il rirpristino configurazione sistema e fatta pulizia con ATF Cleaner segui i sottoindicati Punti della Guida (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Punto 3 A-Squared dal momento che già lo utilizzi, lo aggiorni e fai una scansione DEEP SCAN
Punto 4 Kaspersky Removal Tool
Punto 5 Dr.Web CureIt presta attenzione dvi fare la scansione COMPLETA SCANSIONE
Punto 9 Prevx CSI devi aggiornare la versione in uso la tua è obsoleta
Al termine oltre ai log dei tool sopraindicati allega anche un nuovo log di HijackThis
Dopo aver rimosso l'applicazione "PermissionResearch" ho lanciato HiThis e delle stringhe elencate ne erano presenti solo 2 (o una e mezza...):
O4 - HKLM\..\Run: [lsahkahx] "c:\windows\system32\lsahkahx.exe"
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
Le ho fissate.
Ho fatto pulizia con ATF Cleaner e, dopo averlo aggiornato, ho lanciato a-squared che ha isolato 19 cookies e 1 file: devo mettere in quarantena o eliminare? Ti allego il log, comunque nel frattempo faccio le restanti scansioni.
Chill-Out
24-06-2008, 16:19
Dopo aver rimosso l'applicazione "PermissionResearch" ho lanciato HiThis e delle stringhe elencate ne erano presenti solo 2 (o una e mezza...):
O4 - HKLM\..\Run: [lsahkahx] "c:\windows\system32\lsahkahx.exe"
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
Le ho fissate.
Ho fatto pulizia con ATF Cleaner e, dopo averlo aggiornato, ho lanciato a-squared che ha isolato 19 cookies e 1 file: devo mettere in quarantena o eliminare? Ti allego il log, comunque nel frattempo faccio le restanti scansioni.
I Trace.TrackingCookie li puoi eliminare tranquillamente mentre la Nero Burning ROM v6.6\Nero Burning ROM v6.6.1.15\Toolbar.exe sarebbe opportuno disinstallarla
moresimon
26-06-2008, 21:11
Ciao...scusate l'assenza ma ho avuto giorni difficili.
Nero Burning ROM v6.6\Nero Burning ROM v6.6.1.15\Toolbar.exe non era presente nelle applicazioni...possibile? C'è solo il programma vero e proprio...
Kaspersky l'ho dovuto interrompere e quando ho provato a rilanciarlo non è più partito...comunque ha individuato qualcosa. Allego il log.
DrWeb si è espresso così:
MCCWrapper.dll C:\Programmi\Common Files\Motive Probabile DLOADER.Trojan
BLEL5MDA.NQF C:\Programmi\ESET\infected BackDoor.IRC.Sdbot.origin
LHFRM1DA.NQF C:\Programmi\ESET\infected Trojan.MulDrop.13638 Cancellato.
moresimon
26-06-2008, 21:22
Dimenticavo...il log di Prevx l'ho hostato qui
http://www.fileqube.com/shared/iFMAAh48654
xcdegasp
26-06-2008, 23:40
prova a fare il log con atf-cleaner, f-secure online, gmer,hijackthis, nuovamente a-squared e sysinspector :)
per prevx:
C:\WINDOWS\system32\lsahkahx.exe
Loaded into: C:\WINDOWS\system32\lsahkahx.exe
Loaded from: FILE
PX5: 6943BA27BC004571342F0067F52CA400B0EF3360
MD5: 74737b55165afceb402c068bec3c76e9
Determination: SUSPICIOUS
C:\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\wordicon.exe
Loaded from: FILE
PX5: C71AFF7200E4C034607F042DDDE82A00619CDD34
MD5: ce923e38fcd460dc17d4f5b11bb9fa18
Determination: SUSPICIOUS
C:\Programmi\PrevxCSI\prevxcsi.exe
Loaded into: C:\Programmi\PrevxCSI\prevxcsi.exe
Loaded into: C:\Programmi\PrevxCSI\prevxcsi.exe
Loaded from: \REGISTRY\Machine\System\CurrentControlSet\Services\CSIScanner\ImagePath "C:\Programmi\PrevxCSI\prevxcsi.exe" /service
Loaded from: \REGISTRY\Machine\SYSTEM\ControlSet001\Services\CSIScanner\ImagePath C:\Programmi\PrevxCSI\prevxcsi.exe
PX5: 4E6789A338B1009C7C7809515B1AFF00B04ACABD
MD5: 97299d3e61f370ae0ddf6888cb5b44a5
Determination: SUSPICIOUS
C:\Documents and Settings\utente\Impostazioni locali\Temporary Internet Files\Content.IE5\HOL7A5F9\PrevxcsiFree[1].EXE
Loaded from: FILE
PX5: 4E6789A338B1009C7C7809515B1AFF00B04ACABD
MD5: 97299d3e61f370ae0ddf6888cb5b44a5
Determination: SUSPICIOUS
fai analizzare su www.virustotal.com i file:
C:\WINDOWS\system32\lsahkahx.exe
C:\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\wordicon.exe
e poi copia e incolla l'url che hai nel browser a fine scansione e se non ti costa troppo falli analizzare anche su http://virusscan.jotti.org/ (in questo caso fai un copia incolla di quelli che identificano qualcosa o ricopia tutta la tabella tra i tag [code ]....[/code ] ) :)
moresimon
27-06-2008, 15:01
Do qualche esito...
Atf-cleaner, f-secure online, gmer,hijackthis fatti...allego i log.
A-squred sta scansionando (deep scan) e ne ha per un po'.
Questo non lo trovo: :\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\wordicon.exe
:muro:
Inoltre sia su virustotal che su virusscan.jotti non riesco a caricare il file e la dicitura è sempre la stessa: "0 bytes size received / Se ha recibido un archivo vacio"; ho provato a disabilitare il firewall (comodo) ma niente...
Gmer: http://www.fileqube.com/shared/OFsCHrcZ49027
moresimon
27-06-2008, 15:06
Non riesco più ad allegare :confused:
HiThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.45.59, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logishrd\lvmvfm\LVPrcSrv.exe
c:\windows\system32\winlogon.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programmi\COMODO\Firewall\cmdagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmi\COMODO\Firewall\cfp.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HThis\HThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NexusServer] "C:\Programmi\File comuni\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programmi\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [is-II3L7] "C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\is-II3L7\is-II3L7.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197399692093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197498393343
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02D18C88-D4F0-4B7B-94E7-7600E9ED71C5}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\PrevxCSI\prevxcsi.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: is-II3L7 - Unknown owner - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\is-II3L7\is-II3L7.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 9826 bytes
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NexusServer] "C:\Programmi\File comuni\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programmi\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
il pc come sta messo ora?
moresimon
28-06-2008, 10:53
HiThis: http://www.fileqube.com/shared/lqqymEJjG49544
Il pc come sta messo? Speravo poteste dirmelo voi!! :D :D
Chill-Out
28-06-2008, 11:16
HiThis: http://www.fileqube.com/shared/lqqymEJjG49544
Il pc come sta messo? Speravo poteste dirmelo voi!! :D :D
Sei riuscito a fare girare i tool indicati e a pubblicare i log, tra l'altro il Nod rileva ancora il problema originario ovvero cavallo di troia Win32/Genetik probabilmente modificato in C:\WINDOWS\system32\prmrsr.exe
moresimon
28-06-2008, 18:02
Non ho capito...cosa dovrei fare?
HiThis: http://www.fileqube.com/shared/lqqymEJjG49544
Il pc come sta messo? Speravo poteste dirmelo voi!! :D :D
potremmo vedere anche log apparentemente puliti, ed avere il pc ancora con problemi ;)
dato che ci sei solo tu davanti allo schermo, ho giusto pensato di chiderlo a te ;)
quella di chill penso sia una domanda senza "?"
nod rileva ancora quel file infetto?
moresimon
29-06-2008, 20:47
potremmo vedere anche log apparentemente puliti, ed avere il pc ancora con problemi ;)
dato che ci sei solo tu davanti allo schermo, ho giusto pensato di chiderlo a te ;)
quella di chill penso sia una domanda senza "?"
nod rileva ancora quel file infetto?
Ho fatto una scansione completa col nod e non ha rilevato virus...dovrei essere a posto secondo voi?
dai log risulti pulito
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
moresimon
30-06-2008, 12:56
dai log risulti pulito
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Ok...con qualcosa sono già "in regola"...per il resto, dopo aver fatto una scansione col nod, ho nuovamente fatto una scansione con prevx e ho lanciato ccleaner. Utilizzo già un firewall, secondo voi come ho preso l'infezione? In ogni caso, ora posso attivare il ripristino configurazione (quindi togliere il flag se non erro..)?
solitamente ci si infetta con la roba che si scarica...
il ripristino se vuoi puoi riattivarlo
moresimon
04-07-2008, 08:31
solitamente ci si infetta con la roba che si scarica...
il ripristino se vuoi puoi riattivarlo
Grazie!
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.