salve a tutti, come da titolo ho un problema con questo file...purtroppo ho lasciato una serata il mio pc nelle mani di mio fratello, ed al mio ritorno mi sono reso conto che le regole del firewall (attualmente uso eset smart security) erano tutte azzerate, e per ogni programma mi chiedeva il da farsi, come se fosse stato disinstallato e reinstallato. insospettito, sapendo che mio fratello aveva installato un certo mp3-ogg-wav-wma converter, mi spulcio un pò la cartella programmi e trovo il percorso che ho scritto nel titolo. preso dal panico lo cancello ed informandomi in giro sembra possa essere parte di un malware in grado di registrare gli input di tastiera (un keylogger quindi)...da allora ho effettuato diverse scansioni con diversi programmi (spybot e eset aggiornati, kaspersky online, mbam) e nessuno ha trovato problemi di sorta...

ora, giocando io a mmorpg online e temendo un furto di account (sembra una cosa stupida, ma 2 anni di gioco non sono pochi xD), nonchè temendo un furto delle credenziali della mia carta, volevo sapere da voi se quel semplice shift-canc mi ha salvato, e se nel frattempo (rilevazione e cancellazione sono avvenuti dopo una notte di sonno) posso aver subito furto di dati.

preciso che il mmorpg in questione necessita che la pwd sia "scritta" cliccando col mouse su una tastiera a schermo; inoltre, se effettuo una ricerca sul pc mi compare ancora in appdata/roaming/microsoft/windows/menu start la cartella del converter in questione, che però non riscontro se provo a cercarla manualmente e che soprattutto non riesco a cancellare.

allego log di hijackthis, spero possa essere utile, se si necessita di altri log li fornirò a breve, vi ringrazio anticipatamente

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.21.58, on 02/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\Omega\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [nodenable] C:\Program Files\eset\nodenable.exe
O4 - HKCU\..\RunOnce: [EVEREST AutoStart] C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [nodenable] C:\Program Files\eset\nodenable.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [nodenable] C:\Program Files\eset\nodenable.exe (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4E6DD3-A66E-457C-A1DB-6E4308E65BA6}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

--
End of file - 5280 bytes

Ciao! Dal log di HJT non emergono problemi ma se desideri fare un controllo approfondito in merito a quanto sopra esposto e per tua tranquillità, segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

si scusami, mi sono accorto solo ora che c'era un ordine ed una serie specifica di programmi, sto già provvedendo, a breve posterò tutto^^

comunque, secondo te posso aver già subito danni? per caso conosci o hai info più approfondite sulla dll in questione?

ps: complimenti per la celerità di intervento^^

EDIT: dimenticavo, subendo rallentamenti pesanti dopo una mattinata di smanettamenti sul pc per rimuovere tutto e cercare info, ho deciso di operare un ripristino di sistema al 30 gennaio, a pc sicuramente funzionante...=p spero di non aver fatto casini

Attendo il log di MBAM e successivi in teoria dovrebbe rilevare la .dll (se presente) come Trojan

beh, io quella in quella directory l'ho rimossa quindi non so cosa poteva essere...per i log vari, è in scansione, credo ci metterà diverse ore, probabilmente oggi pome avrà finito...grazie mille per la disponibilità^^

EDIT: ah, ho anche ritrovato in c:/ la cartella pregramfiles/aspi...prontamente cancellate :P

EDIT2: ehm, mi sono appena sorti 2 dubbi...a) ho disinstallato un programma tra la prima scansione con mbam e qlla con a-squared ho disinstallato veetle, che nel frattempo mi hanno segnalato come trojan...devo ripetere la procedura da capo? b) sto errando scansionando in windows in modalità normale invece che in provvisoria?

grazie per le risposte e scusami se sono pedante :P

beh, io quella in quella directory l'ho rimossa quindi non so cosa poteva essere...per i log vari, è in scansione, credo ci metterà diverse ore, probabilmente oggi pome avrà finito...grazie mille per la disponibilità^^

EDIT: ah, ho anche ritrovato in c:/ la cartella pregramfiles/aspi...prontamente cancellate :P

EDIT2: ehm, mi sono appena sorti 2 dubbi...a) ho disinstallato un programma tra la prima scansione con mbam e qlla con a-squared ho disinstallato veetle, che nel frattempo mi hanno segnalato come trojan...devo ripetere la procedura da capo? b) sto errando scansionando in windows in modalità normale invece che in provvisoria?

grazie per le risposte e scusami se sono pedante :P

Prosegui in modalità normale, e bene non fare altre operazioni durante le scansioni in quanto rallenti e stressi la macchina ed i tempi inevitalbimente si allungano.

a2scan_090202-143301.txt (http://wikisend.com/download/498098/a2scan_090202-143301.txt)

CureIt.log (www.hwupgrade.helloweb.eu/ParserLog/log/output609406173.txt)

gmer.log (http://wikisend.com/download/524764/gmer.log)

hijackthis.log (http://wikisend.com/download/937836/hijackthis.log)

mbam-log-2009-02-02 (13-38-56).txt (http://wikisend.com/download/615538/mbam-log-2009-02-02 (13-38-56).txt)

prevxcsi.log (http://wikisend.com/download/929652/prevxcsi.log)

SysInspector-PC-CASA-090202-2050.xml (http://wikisend.com/download/561034/SysInspector-PC-CASA-090202-2050.xml)

manca il log di f-online scan ma purtroppo ho dimenticato di copiare-incollare...se può averlo salvato in automatico, ditemelo che lo posterò...se serve altro, fatemi sapere, vi ringrazio in anticipo^^

EDIT: fatto^^

Per cortesia filtra il log di CureIt secondo queste modalità http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html

PS: il tuo Nod32 è regolarmente licenziato? A me non sembra

scusami, mi sono appena accorto che il titolo reca un errore di battitura...common alerts piuttosto che common alterts...=P non so se può servire magari per capire che tipo di file e che malware fosse, per sicurezza lo dico...

Disinstalla il Nod, ripeti la scansione completa con:

A-Squared -->> metti in quarantena tutto
Prevx CSI
HijackThis

a2scan_090203-091334.txt (http://wikisend.com/download/491606/a2scan_090203-091334.txt)

ols_report.txt (http://wikisend.com/download/886780/ols_report.txt)

prevxcsi.log (http://wikisend.com/download/738812/prevxcsi.log)

hijackthis.log (http://wikisend.com/download/472828/hijackthis.log)

ho aggiunto anche uno scan fatto stamani di f-secure, visto che non avevo postato quello di ieri ^^

EDIT: dimenticavo, prevxcsi non mi ha fatto eseguire la pulizia in quanto richiedeva la chiave di licenza, eventualmente potrei cancellare chiave di registro incriminata e file da me

Fai controllare su www.virustotal.com e su http://virscan.org/
c:\program files\eset\nodenable.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
Alla fine della verifica rimetti le impostazioni originali





Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)


O4 - HKCU\..\RunOnce: [EVEREST AutoStart] C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-18\..\Run: [nodenable] C:\Program Files\eset\nodenable.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [nodenable] C:\Program Files\eset\nodenable.exe (User 'Default user')
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

http://www.virustotal.com/it/reanalisis.html?60fcbf447efd88a801bf475f1d99b841

http://virscan.org/report/1b352f79684bdffc035b423c2c163ab0.html

Ma li leggete i reply http://www.hwupgrade.it/forum/showpost.php?p=26128918&postcount=10 :read:

si, ho fatto come hai detto...disinstallato nod, scansionato e postato i log...dovevo anche cancellare la cartella eset?

si, ho fatto come hai detto...disinstallato nod, scansionato e postato i log...dovevo anche cancellare la cartella eset?

Beh...non direi visto che l'hai controllato su VT e sul log di Prevx CSI è ancora presente.

Elimina la cartella Eset, e allega nuovo log di Prevx CSI e HJT

Beh...non direi visto che l'hai controllato su VT e sul log di Prevx CSI è ancora presente.

Elimina la cartella Eset, e allega nuovo log di Prevx CSI e HJT

se il file è relativo ad una crack è normale che non venga rimossa dall'uninstaller

se il file è relativo ad una crack è normale che non venga rimossa dall'uninstaller

alioth87 sà di cosa parlo :)

Edit: chissà perchè suggerisco di eliminare la cartella Eset :rolleyes:

asd fatto xD

hijackthis.txt (http://wikisend.com/download/560442/hijackthis.txt)

prevxcsi.log (http://wikisend.com/download/908478/prevxcsi.log)

asd fatto xD

hijackthis.txt (http://wikisend.com/download/560442/hijackthis.txt)

prevxcsi.log (http://wikisend.com/download/908478/prevxcsi.log)

Bene qui trovi tutte le info necessarie per mettere in sicurezza il PC
http://www.hwupgrade.it/forum/showthread.php?t=1726383

perfetto, grazie mille, siete stati grandissimi^^