Salve,

questa non l'ho capita e chiedo consiglio.

Al primo scan d a-squared fatto oggi, questo sw mi ha trovato quanto segue...e ci son rimasto così O_O
a-squared Free - Versione 4.0
Ultimo aggiornamento: 19/01/2009 3.06.10

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 19/01/2009 15.50.01

C:\Fraps\fraps.exe rilevati: Backdoor.Rbot!IK

C:\Programmi\Ultra RM Converter\Ultra RM Converter.exe rilevati: possible-Threat.Packed.MoleBox!IK

C:\System Volume Information\_restore{E3F95932-0F76-42E9-920F-C38AB3A7A6EC}\RP507\A0158488.exe

rilevati: Backdoor.Rbot!IK
C:\WINDOWS\system32\DK2WN95.386 rilevati: Trojan.Win32.Agent!IK

Scansionati
Files: 110707
Tracce: 605102
Cookies: 5
Processi: 31
Rilevato
Files: 4
Tracce: 0
Cookies: 0
Processi: 0
Chiavi di registro: 0
Fine scansione: 19/01/2009 17.25.25
Tempo scansione: 1:35:24


Il fatto è che:
1) uso comodo, hijack, s&D, ad aware ( ora tolto ), avira e facendo scan completi periodici, non ho mai trovato quanto scritto sopra....
In più fraps è un semplice sw per mostrare gli fps in un gioco, lo uso molto poco in realtà e cmq è installato da almeno 1 anno e mezzo e non ho mai avuto sintomi o altro di virus o backdoor etc

2) una volta visto ho fatto lo scan solo ai seguenti file/cartelle pure con spyware doctor, superantispyware, malwarebites, prevx CSI...e NESSUNO ha rilevato nulla....

Ora: a-squared che sbaglia oppure è proprio lui "il salvatore" mentre gli altri sono inaffidabili??

No perchè mi sono un attimo informato e soprattutto quel backdoor.rbot è molto serio come problema....

Vi posto anche il txt di hijack Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.41.48, on 19/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\COMODO\Firewall\cfp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\Programmi\Secunia\PSI\psi.exe
C:\Programmi\a-squared Free\a2free.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Documents and Settings\Gabbia\Desktop\hijackthis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe

--
End of file - 4457 bytes




Che mi consigliate di fare??


iniziare tutta la trafila dei remove kit, altri scan?


grassie

Ciao, innazitutto è opportuno allegare i log secondo le Regole di sezione in firma, successivamente fai scansionare su http://www.virustotal.com/it/ e http://virscan.org/ i files infetti rilevati da A-Squared su almeno uno nutro forti dubbi che non sia un bel malware

Per i risultati è sufficente indicare nel prossimo post l'URL rilasciata a fine scansione

Ciao, innazitutto è opportuno allegare i log secondo le Regole di sezione in firma, successivamente fai scansionare su http://www.virustotal.com/it/ e http://virscan.org/ i files infetti rilevati da A-Squared su almeno uno nutro forti dubbi che non sia un bel malware

Per i risultati è sufficente indicare nel prossimo post l'URL rilasciata a fine scansione

ciao, grazie per l'aiuto ;)


http://www.virustotal.com/it/analisis/88c772602402887f1c931944392978cd

http://www.virustotal.com/it/analisis/106b1dedadb12ba4d4bc395b9e68cb7f


bho, non so cosa pensare, ma entrambi appartengono alla stessa cartella R507 ( con solo loro 2 ), sono nel system vol info e nel dubbio meglio eliminarli cmq no?

cmq secondo te sono infetti o no??


domanda a brucia pelo: magari non in questo, ma nel caso esistano veramente trojan o backdoor attive su un pc, il fatto di eliminare i/il file in questione basta e poi sei "tranquillo" o ci bisogna anche fare qualche search ( con qualche tool ) per altri file o chiavi reg??

I file da controllare erano i seguenti:

C:Frapsfraps.exe rilevati: Backdoor.Rbot!IK

C:ProgrammiUltra RM ConverterUltra RM Converter.exe rilevati: possible-Threat.Packed.MoleBox!IK

rilevati: Backdoor.Rbot!IK
C:WINDOWSsystem32DK2WN95.386 rilevati: Trojan.Win32.Agent!IK

tu hai controllato altri files 1 dei quali chiaramente infetto, segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

NB: no log zippati

Ciao. Urca, povero pc, ha lavorato come una bestia.....
nulla trovato alla fine.
I vari file citati erano già stati eliminati, programmi compresi ( fraps e ultra rm )

1) http://wikisend.com/download/475266/mbam-log-2009-01-20 (00-16-25).txt

2) http://wikisend.com/download/475522/a2scan_090120-002022.txt

3) kaspesky: http://wikisend.com/download/539534/kaspersky.txt

4) non c'è stato verso di far funzionare il sw di dr.web cure. 3/3 crash di windows con ( per la prima volta per me ) tanto di schermata blu

5) contiene anche dati sensibili. Serve inviartelo in pm?

6) http://wikisend.com/download/538194/hijackthis.txt

7) gmer
Nota: nessun file in rosso trovato

8) prevx


Solo una cosa: spyware doctor mi ha trovato un possibile spyware, website hijack 2 infezioni ( spywareinfo.com ), ma non mi dice dove sono. Io li ho trovati nel reg ed eliminati ma lui me li trova ancora....


Ora posso ripristinare la configurazione di sistema??

Da i log non emergono problemi evidenti in quanto i files incriminati erano stato eliminati da A2, questo in particolare Frapsfraps.exe fà riferimento ad un gioco ma è meglio non approfondire il perchè, per quanto concerne SysInspector se non desideri allegarlo per una questione di privacy vedi tu, per SpywareDoctor ho bisogno di vedere il log per darti una risposta :)

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)


O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


il log di eset non contiene nulla di così privato ;)

spyware doctor rimuovilo pure

configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


importante aggiornare
Explorer alla versione 7

hai ragione eccoti il file di spyware ( in htm )

http://wikisend.com/download/469942/spyware doctor.htm

fraps.exe ( frapsfraps?? ) è un "contatore fps", ti mostra in gioco a quanti fps vai. Per di più usato pochissimo da me


edit: vi ho inviato il file di eset in pm

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)


O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


il log di eset non contiene nulla di così privato ;)

spyware doctor rimuovilo pure

configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


importante aggiornare
Explorer alla versione 7

ciao!

fatto con hijack

cosa intendi per rimuovilo pure??

seguo per avira


considerazione: prima di tutti gli scan, spyw doctor mi aveva trovato un rootkit agent36.....sapete perchè?? perchè il file mbr.exe che usavo ogni volta ( per il controllo di quel virus "infame" ) in realtà era un virus lui stesso.....

cosa intendi per rimuovilo pure??

disinstallalo ;)

ti bastano mbam e asquared per le scansioni manuali
anche spybot non è il massimo ma almeno è più leggero di doctor

disinstallalo ;)

ti bastano mbam e asquared per le scansioni manuali
anche spybot non è il massimo ma almeno è più leggero di doctor

capisco, ma la protezione intelliguard non serve proprio a nulla??
non è attiva in real-time per sti malware/spyware??


fatto tutto con avira....mica ci avevo pensato :muro:



cmq ragazzi, se a quanto pare posso sentirmi più "tranquillo", vi ringrazio davvero molto per il prezioso aiuto e la disponibilità offerta :)



bhe vediamo solo per questo spyware website hijack trovato da doctor.
come si elimina?

ecco l'ultimo report, di avira

http://wikisend.com/download/543420/AVSCAN-20090120-115011-0A3868D7.LOG

anche qui pulito, speriamo bene allora!



grazie mille ancora! :)