Ciao a tutti, ho seguito le procedure per la disinfezione per infetti, dal momento che ho avuto un problema grosso.. a quanto pare qualcuno è riuscito a entrare nel mio pc, o meglio nel mio conto di pokerstars.it (ho già contattato il supporto di pokerstars che ha provveduto a bloccato il mio conto per effettuare delle verifiche)
in ogni caso vi posto tutti i log affinchè possiate aiutarmi a risolvere gli eventuali problemi sul mio pc..ecco i log:

1) Malwarebytes' anti-malware: http://wikisend.com/download/317640/mbam-log-2009-12-11 (19-04-29).txt
2) A-Squared Free v4.x: http://wikisend.com/download/525032/a2scan_091211-192144.txt
3) F-Secure OnLine: http://wikisend.com/download/881800/fsecurescan.txt
4) Dr.Web CureIT: http://wikisend.com/download/563384/cureit filtrato.txt
5) ESET SysInspector: http://wikisend.com/download/924872/SysInspector-119615320318-091212-1355.zip
6) HiJackThis: http://wikisend.com/download/500928/hijackthisss.txt
7) Gmer: http://wikisend.com/download/499386/loggmer.log
8) Prevx 3.0: http://wikisend.com/download/213170/logprevx.log

spero ci sia tutto, non mi resta che ringraziarvi in anticipo per l'aiuto
ps: se necessitate di altre informazioni fate pure sarò a dispozione

Ciao a tutti, ho seguito le procedure per la disinfezione per infetti, dal momento che ho avuto un problema grosso.. a quanto pare qualcuno è riuscito a entrare nel mio pc, o meglio nel mio conto di pokerstars.it (ho già contattato il supporto di pokerstars che ha provveduto a bloccato il mio conto per effettuare delle verifiche)
in ogni caso vi posto tutti i log affinchè possiate aiutarmi a risolvere gli eventuali problemi sul mio pc..ecco i log:

1) Malwarebytes' anti-malware: http://wikisend.com/download/317640/mbam-log-2009-12-11 (19-04-29).txt
2) A-Squared Free v4.x: http://wikisend.com/download/525032/a2scan_091211-192144.txt
3) F-Secure OnLine: http://wikisend.com/download/881800/fsecurescan.txt
4) Dr.Web CureIT: http://wikisend.com/download/563384/cureit filtrato.txt
5) ESET SysInspector: http://wikisend.com/download/924872/SysInspector-119615320318-091212-1355.zip
6) HiJackThis: http://wikisend.com/download/500928/hijackthisss.txt
7) Gmer: http://wikisend.com/download/499386/loggmer.log
8) Prevx 3.0: http://wikisend.com/download/213170/logprevx.log

spero ci sia tutto, non mi resta che ringraziarvi in anticipo per l'aiuto
ps: se necessitate di altre informazioni fate pure sarò a dispozione

e immagino che tu non sappia proprio da dove proviene l'infezione... accetta un consiglio non crackare i programmi perchè stavolta ti è andata bene che fosse il conto del gioco di poker ma fosse stato un accesso home@banking l'entità del danno sarebbe ben stata diversa.
disinstalla tutti i programmi che hai crackato e sostituiscili con quelli freeware/opensource che di sicuro non ti faranno rimpinagere la scelta, per esempio per photoshop puoi benissimo installare the gimp che esiste pur ein versione potatile quindi da poter installare su una chiavetta usb.

Dovevi fare la pulizia con ATF-Cleaner e non l'hai fatto, dovevi impostare i dns di www.opendns.com e non l'hai fatto, ti chiedo di farlo ora, grazie!

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-21-2472655883-2462417855-2772500067-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-21-2472655883-2462417855-2772500067-1006\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'postgres')

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)


da prevx:

Last Scan: Sat 2009-12-12 14:40:18 ora solare Europa occidentale. Number of Scans: 694. Last Scan Duration: 4 minutes 12 seconds.
[BPN] (ACTIVE) c:\programmi\sharkscope\serializer.dll [PX5: 94AFC02D007A39B2B096086A4EC837001F1D887F] Malware Group: Medium Risk Malware
[BPN] (ACTIVE) c:\programmi\sharkscope\sitepathfinder.dll [PX5: BE05F06A00470654E02D06585900DC0060CC614A] Malware Group: Medium Risk Malware
[BPN] c:\programmi\sharkscope\statcalculator.dll [PX5: F90BD9CB00BA63E3609209FED1969300A4FF25DD] Malware Group: Medium Risk Malware
[BPN] c:\programmi\sharkscope\logger.dll [PX5: DDFA66A60051A07300FD0883412BFE0075A80AB2] Malware Group: Medium Risk Malware
[BPN] (ACTIVE) c:\programmi\sharkscope\displayhandler.dll [PX5: 8D80809F001010DD80C808881FC60500F965DD09] Malware Group: Medium Risk Malware
[BPN] c:\programmi\sharkscope\interfaceconnector.dll [PX5: A580384E0059ED96C0FD071225705400DCA466CB] Malware Group: High Risk Fraudulent Security Program


viste le tracce di Vundo direi di proseguire poi nella guida dedicata alla sua rimozione:
http://www.hwupgrade.it/forum/showthread.php?t=1933875

andando per ordine:
1) la pulizia con ATF- cleaner l'avevo fatta prima di cominciare con le varie scansioni.. subito dopo aver disattivato il "ripristino configurazione di sistema"
2) i DSN non sapevo che fossero da cambiare.. io ho sempre utilizzato quelli forniti da alice (me li aveva inseriti manualmente il tecnico).. e non so quali mettere adesso..
3) putroppo faccio "mea culpa" per i vari programmi craccati che ho però se è per il bene del mio pc, li cancello subito, l'unico problema è che non so quanti ne ho e quali sarebbero da rimuovere..

..e ora faccio quello che mi hai richiesto
ti ringrazio per l'aiuto

andando per ordine:
3) putroppo faccio "mea culpa" per i vari programmi craccati che ho però se è per il bene del mio pc, li cancello subito, l'unico problema è che non so quanti ne ho e quali sarebbero da rimuovere..



Se sono craccati vuol dire che qualcuno te (o qualcuno per te) li ha scaricati volutamente... come non sai quanti ne hai? :confused:

Se sono craccati vuol dire che qualcuno te (o qualcuno per te) li ha scaricati volutamente... come non sai quanti ne hai? :confused:

li ho scaricato volutamente io.. però non so quanti siano perchè penso di averne parecchi se si comprendono anche videogiochi e così via.. sono in alto mare sia per questo che per i DSN..

li ho scaricato volutamente io.. però non so quanti siano perchè penso di averne parecchi se si comprendono anche videogiochi e così via.. sono in alto mare sia per questo che per i DSN..

Sicuramene Adobe Photoshop e Monopoly sono craccati... Poi non possiamo sapere tutti i programmi che hai sul tuo pc.

Spiega meglio quale è il problema per l'impostazione dei DNS:)

per quanto riguarda i programmi cercherò di far mente locale e ricordare quelli craccati..
per i dsn invece l'utente xcdegasp mi ha detto che dovevo impostarli con quelli del sito www.opendns.com , ma non so quali mettere.. io ho sempre utilizzato quelli forniti da alice..

li ho scaricato volutamente io.. però non so quanti siano perchè penso di averne parecchi se si comprendono anche videogiochi e così via.. sono in alto mare sia per questo che per i DSN..
sai vero che crackare un programma comporta l'essere passibili da denuncia e multe di migliaia di euro?

non è il numero ma il modo, cioè tu hai scaricato innumerevoli programmi senza comprare la licenza e li hai installati solo per così "l'aria che tira" o sulla base di "un giorno forse lo userò".
dietro a quei programmi ci sono state innumerevoli investimenti sia di denaro sia di ore lavorate da persone con sacrifici e tante ore lavorate.
il comprare la licenza è un atto dovuto se cataloghiamo quel programma come indispensabile o comunque qualitativamente sufficente a essere installato nel pc.

visto che per te è assolutamente normale installare programmi commerciali senza pagarne la relativa licenza per noi sarà altrettanto normale non darti assistenza ulteriore.

spiacente ma non puoi pretendere diversamente del resto la causa di tutto sei solo te perchè è proprio così che vundo e bagle si diffonde!

per i dsn invece l'utente xcdegasp mi ha detto che dovevo impostarli con quelli del sito www.opendns.com , ma non so quali mettere.. io ho sempre utilizzato quelli forniti da alice..

Guarda bene la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)....

Imposta i seguenti server dns
(guida per winXP (https://www.opendns.com/start/device/windows-xp)| guida per Vista (https://www.opendns.com/start/device/windows-vista) | guida per router (https://www.opendns.com/start/router/)):
208.67.222.222
208.67.220.220


:rolleyes:

sai vero che crackare un programma comporta l'essere passibili da denuncia e multe di migliaia di euro?

non è il numero ma il modo, cioè tu hai scaricato innumerevoli programmi senza comprare la licenza e li hai installati solo per così "l'aria che tira" o sulla base di "un giorno forse lo userò".
dietro a quei programmi ci sono state innumerevoli investimenti sia di denaro sia di ore lavorate da persone con sacrifici e tante ore lavorate.
il comprare la licenza è un atto dovuto se cataloghiamo quel programma come indispensabile o comunque qualitativamente sufficente a essere installato nel pc.

visto che per te è assolutamente normale installare programmi commerciali senza pagarne la relativa licenza per noi sarà altrettanto normale non darti assistenza ulteriore.

spiacente ma non puoi pretendere diversamente del resto la causa di tutto sei solo te perchè è proprio così che vundo e bagle si diffonde!


infatti ho detto che è solo colpa mia e sono disposto a cancellare tutti i programmi illegali presenti nel mio pc.. e non sono il tipo che domani si sveglia e si rimette a scaricare come se niente fosse.. quello che mi è successo mi ha fatto riflettere molto e so di non aver scusanti..

infatti ho detto che è solo colpa mia e sono disposto a cancellare tutti i programmi illegali presenti nel mio pc.. e non sono il tipo che domani si sveglia e si rimette a scaricare come se niente fosse.. quello che mi è successo mi ha fatto riflettere molto e so di non aver scusanti..

buon lavoro allora :p

facendo la scansione con secunia è emerso questo:
Adobe Reader 8.x
your version: 8.1.0.137
current version: 8.1.7

Adobe Flash Player 10.x
your version: 10.0.32.18 (NPAPI)
current version: 10.0.42.34 (NPAPI)

Sun Java JRE 1.5.x / 5.x
your version: 5.0.40.5
current version: 5.0.220.2

Sun Java JRE 1.6.x / 6.x
your version: 6.0.30.5
current version: 6.0.170.0

Sun Java JRE 1.6.x / 6.x
your version: 6.0.110.3
current version: 6.0.170.0.

Sun Java JRE 1.6.x / 6.x
your version: 6.0.70.6
current version: 6.0.170.0

e ora risorgono dei problemi:
1) durante l'aggiornamento di adobe reader compare il seguente messaggio: impossibile installare la patch di aggiornamento perchè il programma da aggiornare manca oppure la patch è progettata per aggiornare una versione differente di tale programa. Assicurarsi che il programma da aggiornare sia disponibile nel computer in uso e che la versione della patch di aggiornamento sia corretta
2) durante l'aggiornamento di adobe flash player compare il messaggio:
errore nell'apertura del file per la scrittura: "C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
3) mentre non capisco quali file scaricare per l'aggiornamento di java

scusate ma sono un po' incompetente in materia..
per quanto riguarda il proseguo delle operazioni:
-ho fixato gli elementi di hijack
-sto raccogliendo i programmi craccati per poi salutarli tutti
-per i dsn non ho ancora capito.. quando li devo impostare? prima di qualche scansione o sempre?
-in riferimento agli elementi che rileva prevx, devo cancellare il programma in questione?

grazie ancora per l'attenzione

devi disinstallare acrobat reader e installare l'ultimissima versione presa dal sito adobe. e pesa circa 49mb

ribadisco che foxitreader è molto più snello e funzionale oltre che poterlo installare su chiavetta usb.


per flash player stessa prassi descritta per acrobat.


per java devi prima disinstallare tutte le versioni che possiedi nel pc e poi installare questa:
http://javadl.sun.com/webapps/download/AutoDL?BundleId=35684


i dns vanno impostati una sola volta e rimangono impostati fino a che TU non deciderai di cambiarli o impostarli su "automatico".
questi dns a differenza di quelli di alice filtrano le richieste del tuo pc impedendo la comunicazione ai siti ritenuti pericolosi quindi impedisce d'essere vittime di possibili infezioni e allo stesso tempo impedisce che un'infezione possa rigenerarsi durante la procedura d'estirpazione.

eccoci qua:
1) installato foxitreader
2) installato flash player
3) installato java
4) secunia non rileva più niente
4) ho impostato i seguenti DSN:
208.67.222.222
208.67.220.220
5) il supporto di pokerstars mi ha confermato che non ci sono stati accessi al mio conto da estranei..

adesso come proseguo?
grazie ancora

rimossi tutti i programmi crackati e superflui tra cui quel gioco rilevato come malevolo da prevx?

sto procedendo con le varie scansioni..
vi aggiorno solamente perchè volevo dirvi che durante la scansione con Drweb_cureit a un certo punto mi è comparsa una finestra blu con con indicato il seguente file:
IRQL_NOT_LESS_OR_EQUAL

..dato che non mi era mai successa una cosa del genere ho proceduto con il riavvio del pc come indicato nella finestra blu e ora sto rifacendo la scansione con Drweb_cureit

..ho proceduto correttamente?

ps: dopo l'express scan di Drweb bisogna rifarla anche in modalità "complet scan" vero?

si scansione completa

eccoci qui con i nuovi log! ..scusate il ritardo ma la scansione con drweb.cureit è stato un parto:stordita:
1) Malwarebytes: http://www.mediafire.com/?ymamkmdznwm
2) A-squared: http://www.mediafire.com/?t2miiqftozq
3) F-Secure: http://www.mediafire.com/?nmujwwm4mnw
4) Dr.Web Cure.it: http://www.mediafire.com/?2d52mdijhzw
5) ESET SysInspector: http://www.mediafire.com/?wlmjmniejmw
6) Hijackthis: http://www.mediafire.com/?2mmhnf0n22o
7) Gmer: http://www.mediafire.com/?ynn0jyimgiy
8) Prevx: http://www.mediafire.com/?jkyljyzjvz2

ps: prima di iniziare con le scansioni ho:
1) disattivato il punto di ripristino
2) pulizia con ATF-Cleaner
3) impostato i DSN

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1701838
R3 - URLSearchHook: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O2 - BHO: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O2 - BHO: AidMaker - {89549A32-53D5-4E41-9166-6784AFAF9445} - C:\Programmi\AidMaker\aidmie.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: AidMaker Toolbar - {620395C9-5C2B-4474-89B6-D2A63CEA2EF8} - C:\Programmi\AidMaker\aidmie.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\PR19.DLL




devi aggiornare Internet Explorer alla versione 8
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

ti comunico che sto eseguendo quello che mi hai richiesto
grazie per l'aiuto

-in allegato log hijackthis fixato
-IE non l'ho più aggiornato in quanto utilizzo mozilla
-firewall abilitato
-sto leggendo il link da te postato per l'aggiornamento dei programmi

Grazie ancora

-in allegato log hijackthis fixato
-IE non l'ho più aggiornato in quanto utilizzo mozilla
-firewall abilitato
-sto leggendo il link da te postato per l'aggiornamento dei programmi

Grazie ancora

ie va aggiornato sempre e comunque
se usi il firewall di win non basta

ie va aggiornato sempre e comunque
se usi il firewall di win non basta

ok procedo! secunia mi ha infatti rilevato solo IE e Skype da aggiornare..
per il firewall vedo cosa scegliere..

ho aggiornato sia IE che skype.. per il firewall domani vedo quale scaricare fra quelli proposti da te
ora vado a dormire.. grazie ancora a domani

di nulla
buonanotte :)

di nulla
buonanotte :)

ehi ciao sono tornato.. sto scaricando comodo che poi andrò a settare con la relativa guida di sirio..

ps: nella guida di comodo non viene indicato se durante l'installazione è meglio utlizzare i server dsn di comodo oppure no

lascia i tuoi o gli open dns o comunque chiedi nel 3d di comodo

ok, ho finito ora di settare comodo correttamente.. e inoltre ho seguito tutti i vari punti cruciali del "trattamento post disinfezione"
ora come procedo?

sto notando ora che i download sono parecchio lenti:
sto scaricando un file di 30MB (ho acquistato la licenza eh) però la velocità cala appena inizio il download e si stabilizza fra 9-10kB/sec..
mah la cosa è alquanto strana

ps: ho fatto anche un test speed ma i risultati sono corretti: 3961Kbps (ho una alice 3 mega mi pare..)

sto notando ora che i download sono parecchio lenti:
sto scaricando un file di 30MB (ho acquistato la licenza eh) però la velocità cala appena inizio il download e si stabilizza fra 9-10kB/sec..
mah la cosa è alquanto strana

ps: ho fatto anche un test speed ma i risultati sono corretti: 3961Kbps (ho una alice 3 mega mi pare..)

non dipende solo da te la velocità di download

non dipende solo da te la velocità di download

cioè? non capisco..
non ho nessun programma aperto che possa rallentare il download.. mah :stordita:

dipende dal server da cui scarichi che sarà pieno infatti il test di mostra che la tua velocità è superiore
da altri siti scaricherai sicuramente a velocità superiori

ho contattato il supporto del sito in questione ma a quanto pare loro dicono che è molto strana questa cosa..
potrei chiedervi se qualcuno può verificare se il problema è solo mio o generale?
grazie
programma in quesione (vi assicuro che è sicuro): Edit

Per problemi di rete e connettività la sezione corretta è la seguente

http://www.hwupgrade.it/forum/forumdisplay.php?f=123