Salve a tutti. Una mia amica ha un toshiba che monta copia originale Windows Vista Home Premium
All'avvio le parte una finestra che rileva un processo attivato..ise32
cercando in giro ho visto che si tratterebbe di un worm. Il fatto è che sia nel registro di sistema sia facendo una scansione con hijackthis non ho rilevato nulla di strano. Può essere che non si tratti allora di un worm o io devo mettere in campo altri programmi?
Grazie in anticipo :D

ciao

Scarica da qui (http://download.sysinternals.com/Files/ProcessExplorer.zip) Process Explorer.
Estrailo → fallo partire e cerca il processo incriminato → click destro sul processo → seleziona Properties.... → sotto la scheda Image copiati la stringa alla voce Path e incollala qui

ciao

Scarica da qui (http://download.sysinternals.com/Files/ProcessExplorer.zip) Process Explorer.
Estrailo → fallo partire e cerca il processo incriminato → click destro sul processo → seleziona Properties.... → copiati la stringa sotto la voce Path e incollala qui

E' infetto probabile Trojan Backdoor

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/startups/ise32.exe-22719.html

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/startups/ise32.exe-22719.html
Prima di tutto, grazie dell'aiuto che mi state dando!!!! :D
Dunque...il sito che hai postato l'ho visto anche io e ho anche cercato nel registro di sistema come dicono loro...però non ho trovato il riferimento CLSID: {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Per quello ad un certo punto mi son domandato se era veramente una backdoor
Stasera dovrei vederla ed eseguo cmq il programma processexplorer
Domanda...se non fosse lanciato come lo scopro? potrebbe anche aver un nome diverso forse.

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/startups/ise32.exe-22719.html
Prim
Dunque...il sito che hai postato l'ho visto anche io e ho anche cercato nel registro di sistema come dicono loro...però non ho trovato il riferimento CLSID: {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Per quello ad un certo punto mi son domandato se era veramente una backdoor
Stasera dovrei vederla ed eseguo cmq il programma processexplorer
Domanda...se non fosse lanciato come lo scopro? potrebbe anche aver un nome diverso forse.
ps scusate ho la linea un po' impaccata e ho duplicato il post.

se non lo trovi fai un check-up veloce (15 minuti circa)

scansione rapida con Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
scansione rootkit con Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log classico con HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
scansione con Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14) (richiesta connessione ad internet)

poi carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) tutti log
se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) per una pulizia completa

se non lo trovi fai un check-up veloce (15 minuti circa)

scansione rapida con Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
scansione rootkit con Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log classico con HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
scansione con Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14) (richiesta connessione ad internet)

poi carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) tutti log
se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) per una pulizia completa
Ok entro stasera farò quanto dici.
A proposito...una scansione con hijackthis l'ho già fatta ma c'è un dannatissimo pulsante ebay che nel log mi compare ma non nella schermata fix :stordita:

quando carichi tutto vediamo...

ho fatto le scansioni con i programmi che mi hai detto
http://www.fileqube.com/shared/itWBtq130782
http://www.fileqube.com/shared/KFSwA130783
http://www.fileqube.com/shared/jSgZFcNFN130785

questa è l'immagine della finestra che compare all'apertura di windows vista
http://img376.imageshack.us/my.php?image=immagineah6.jpg

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16 - tutte le voci

da bigino in firma fai pulizia con sdfix
http://www.hwupgrade.it/forum/showpost.php?p=24113148&postcount=20

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16 - tutte le voci


dunque...non so come mai ma non trovo le righe di skype e rundll32 :eek:
Inoltre lei aveva norton antivirus...l'ho tolto...però non so se tutto....non ricordo dove si trovi sul forum la guida di disinstallazione di Norton
Le ho installato antivir che con una scansione mi ha trovato ise32 e l'ha eliminato...fantastico!!! cmq seguo il bigino...non capisco però la mancanza di queste righe nel fix...
posso levare anche le varie toolbar???
ps: gestisci allegati? ho sbagliato a mettere sul forum i log?

nel trattamento in firma sez antivirus c'è il link per le rimozioni antivirus
carica il log della scansione completa con antivir

nel trattamento in firma sez antivirus c'è il link per le rimozioni antivirus
carica il log della scansione completa con antivir
sdfix è compatibile con win vista?
ecco il log
http://www.fileqube.com/shared/pULSiWS131024

sdfix è compatibile con win vista?
ecco il log
http://www.fileqube.com/shared/pULSiWS131024

No, inoltre Avira non è configurato come da Guida

No, inoltre Avira non è configurato come da Guida
eh ora lo sto configurando....un attimo di pazienza :D