|
|||||||
|
|
|
 |
|
|
Strumenti |
20-10-2014, 20:18
|
#1 |
|
Junior Member
Iscritto dal: Oct 2011
Messaggi: 7
|
PC infetto e connessioni continue
Ho seguito la guida di sezione (allego infatti tutti i vari log), avevo un pc infetto (con un po' di tutto), dopo aver fatto diverse scansioni, quando connetto il pc alla rete, malwarebytes' (che ho in prova premium per 15 giorni) rileva e ferma la connessione a un certo "bc.tyrle.net" o bc6 o ancora altri siti, quindi per ovvie ragioni non ho potuto fare scan né con HitmanPro né con F-Secure (online). Potete dare un'occhiata ai log e dirmi cosa non va? Inoltre c'è anche quel malware che nasconde i file sui dispositivi di massa collegati e li sostituisce con dei collegamenti e che non so se ho tolto. Ah e poi capita frequentemente che i tasti del mouse impazziscano, il sinistro apre menù contestuali (si comporta come se fosse il destro) poi torna normale, poi di nuovo cambia e così via...
MBAM Codice:
Malwarebytes Anti-Malware www.malwarebytes.org Scan Date: 20/10/2014 Scan Time: 16:17:02 Logfile: mbam.txt Administrator: Yes Version: 2.00.3.1025 Malware Database: v2014.09.19.05 Rootkit Database: v2014.09.18.01 License: Trial Malware Protection: Enabled Malicious Website Protection: Enabled Self-protection: Disabled OS: Windows 8.1 CPU: x64 File System: NTFS User: Alessandro Scan Type: Threat Scan Result: Completed Objects Scanned: 299983 Time Elapsed: 18 min, 39 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Disabled Heuristics: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 0 (No malicious items detected) Registry Values: 0 (No malicious items detected) Registry Data: 0 (No malicious items detected) Folders: 0 (No malicious items detected) Files: 0 (No malicious items detected) Physical Sectors: 0 (No malicious items detected) (end) Codice:
Emsisoft Anti-Malware - Versione 9.0
Ultimo aggiornamento: 20/10/2014 16:51:24
Account utente: Elitebook\Alessandro
Impostazioni scansione:
Tipo scansione: Completa
Oggetti: Rootkits, Memoria, Tracce, C:\
Rileva PUPs: On
Archivio scansioni: On
Scansione ADS: On
Filtro estensione dei file: Off
Caching avanzato: On
Accesso diretto al disco: Off
Scansione avviata: 20/10/2014 16:54:58
C:\Users\Alessandro\AppData\Roaming\Update\Explorer.exe rilevati: Backdoor.Win32.Ruskill (A)
Value: HKEY_USERS\S-1-5-21-3948680064-2606123438-3158409869-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN -> WINDOWS EXPLORER MANAGER rilevati: Backdoor.Win32.Ruskill (A)
C:\Users\Alessandro\AppData\Roaming\c731200 rilevati: Trojan-Downloader.Win32.Vespula (A)
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{3121CE0E-1ABC-3F1E-1754-DDBFDAFD4A39}-850u3.exe -> (Quarantine-PE) rilevati: Trojan.GenericKD.1929980 (B)
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{549A2770-831D-458D-0BEE-CE5C6F162BFB}-850u3.exe -> (Quarantine-PE) rilevati: Trojan.GenericKD.1929980 (B)
C:\Users\Alessandro\AppData\Roaming\Update\MSupdate.exe rilevati: Trojan.GenericKD.1931329 (B)
Scansionati 205078
Rilevato 6
Fine scansione: 20/10/2014 17:48:12
Tempo scansione: 0:53:14
C:\Users\Alessandro\AppData\Roaming\Update\MSupdate.exe In quarantena Trojan.GenericKD.1931329 (B)
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{549A2770-831D-458D-0BEE-CE5C6F162BFB}-850u3.exe In quarantena Trojan.GenericKD.1929980 (B)
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{3121CE0E-1ABC-3F1E-1754-DDBFDAFD4A39}-850u3.exe In quarantena Trojan.GenericKD.1929980 (B)
C:\Users\Alessandro\AppData\Roaming\c731200 In quarantena Trojan-Downloader.Win32.Vespula (A)
Value: HKEY_USERS\S-1-5-21-3948680064-2606123438-3158409869-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN -> WINDOWS EXPLORER MANAGER In quarantena Backdoor.Win32.Ruskill (A)
C:\Users\Alessandro\AppData\Roaming\Update\Explorer.exe In quarantena Backdoor.Win32.Ruskill (A)
In quarantena 6
Non so se posso mettere un link a un servizio upload esterno (non me lo fa mettere come allegato, ed è enorme per copiarlo qui. HiJackThis Codice:
File log di HiJackFree v4.5
Scansione salvata a 18:37:31, on 20/10/2014
Piattaforma: Windows Win8 (Windows NT 6.3.9600)
MSIE: Internet Explorer v 9.11 (9.11.9600.17278)
Processi avviati:
C:\Windows\SysNative\wininit.exe
C:\Windows\SysNative\winlogon.exe
C:\Windows\SysNative\lsass.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\dwm.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\spoolsv.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\AEADISRV.EXE
C:\Windows\SysNative\BtwRSupportService.exe
C:\Windows\SysNative\dasHost.exe
C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe
C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
C:\Windows\SysNative\svchost.exe
C:\Windows\SysNative\svchost.exe
C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
C:\Windows\SysNative\Service_21.exe
C:\Windows\explorer.exe
C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
C:\Windows\SysNative\taskhostex.exe
C:\Windows\SysNative\SearchIndexer.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\SysWOW64\mspaint.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Windows\SysNative\wbem\WmiPrvSE.exe
C:\Program Files (x86)\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Windows\SysWOW64\calc.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
C:\Windows\SysNative\dllhost.exe
C:\Windows\SysNative\taskhost.exe
C:\Windows\SysNative\taskhost.exe
C:\Program Files\WindowsApps\Microsoft.Reader_6.3.9654.17044_x64__8wekyb3d8bbwe\glcnd.exe
C:\Windows\SysNative\RuntimeBroker.exe
C:\Program Files (x86)\Emsisoft Anti-Malware\a2guard.exe
C:\Windows\SysNative\SearchProtocolHost.exe
C:\Program Files (x86)\Emsisoft HiJackFree\a2hijackfree.exe
C:\Windows\SysWOW64\dllhost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files (x86)\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [emsisoft anti-malware] "c:\program files (x86)\emsisoft anti-malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [Ylmemc] C:\Users\Alessandro\AppData\Roaming\Microsoft\Windows\Ylmemc.exe
O7 - Regedit - Abilitato
O8 - Oggetto extra nel menù contestuale: Convert link target to Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Oggetto extra nel menù contestuale: Convert link target to existing PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Oggetto extra nel menù contestuale: Convert selected links to Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Oggetto extra nel menù contestuale: Convert selected links to existing PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Oggetto extra nel menù contestuale: Convert selection to Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Oggetto extra nel menù contestuale: Convert selection to existing PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Oggetto extra nel menù contestuale: Convert to Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Oggetto extra nel menù contestuale: Convert to existing PDF - res://C:\Program Files (x86)\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Oggetto extra nel menù contestuale: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Oggetto extra nel menù contestuale: I&nvia a OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll
O9 - Extra "Tools" menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\PROGRA~2\MICROS~1\Office14\ONBTTN~1.DLL,103
O9 - Extra "Tools" menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\PROGRA~2\MICROS~1\Office14\ONBTTN~1.DLL,103
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O21 - ShellServiceObjectDelayLoad: WebCheck -
O23 - Servizio: Emsisoft Protection Service - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
O23 - Servizio: Adobe LM Service - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Servizio: Adobe Active File Monitor V10 - C:\Program Files (x86)\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe
O23 - Servizio: AEADIFilters - C:\Windows\system32\AEADISRV.EXE
O23 - Servizio: Servizio verifica compatibilità applicazioni - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Gateway di livello applicazione - C:\Windows\System32\alg.exe
O23 - Servizio: Servizio identità applicazione - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Informazioni applicazioni - C:\Windows\system32\svchost.exe
O23 - Servizio: AppMgmt - C:\Windows\system32\svchost.exe
O23 - Servizio: AppReadiness - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL Server di distribuzione AppX - C:\Windows\system32\svchost.exe
O23 - Servizio: Generatore endpoint audio Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Audio di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio ActiveX Installer - C:\Windows\system32\svchost.exe
O23 - Servizio: BcmBtRSupport - C:\Windows\system32\BtwRSupportService.exe
O23 - Servizio: Servizio BDE - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio trasferimento intelligente in background - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio infrastruttura attività in background - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL servizio Browser di computer - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Supporto Tecnico Bluetooth - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Propagazione certificati smart card Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Com4QLBEx - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Servizio: COMSysApp - C:\Windows\system32\dllhost.exe
O23 - Servizio: Servizi di crittografia - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL servizio CSC - C:\Windows\System32\svchost.exe
O23 - Servizio: Utilità di ottimizzazione\unità Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio associazione dispositivi - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Plug-and-Play modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Client DHCP - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL API client DNS - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio configurazione automatica reti cablate - C:\Windows\system32\svchost.exe
O23 - Servizio: Gestione configurazione dispositivi - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Microsoft EAPHost - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio EFS - C:\Windows\System32\lsass.exe
O23 - Servizio: Windows Media Center Receiver Service - C:\Windows\ehome\ehRecvr.exe
O23 - Servizio: Windows Media Center Scheduler Service - C:\Windows\ehome\ehsched.exe
O23 - Servizio: Servizio registrazione eventi - C:\Windows\System32\svchost.exe
O23 - Servizio: EventSystem - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse Microsoft Fax - C:\Windows\system32\fxssvc.exe
O23 - Servizio: Servizio Host provider di individuazione funzioni - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Pubblicazione risorse per individuazione - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Cronologia file - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio cache tipi di carattere Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Google Update (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Servizio: Servizio Google Update (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Servizio: Servizio Human Interface Device - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di gestione delle chiavi - C:\Windows\System32\svchost.exe
O23 - Servizio: Gruppo Home di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Gruppo Home di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: hpqwmiex - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Servizio: Risorse del servizio agente di raccolta dati ETW di IE - C:\Windows\system32\IEEtwCollector.exe
O23 - Servizio: Estensione IKE - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio che offre connettività IPv6 su una rete IPv4. - C:\Windows\System32\svchost.exe
O23 - Servizio: KeyIso - C:\Windows\system32\lsass.exe
O23 - Servizio: KtmRm - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL di servizio server - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL di servizio Workstation - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Framework localizzatore Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Risorse individuazione topologia livelli di collegamento - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizi trasporto NetBios TCPIP - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Gestione sessioni locali - C:\Windows\system32\svchost.exe
O23 - Servizio: Risorse Media Center - C:\Windows\system32\svchost.exe
O23 - Servizio: Microsoft SharePoint Workspace Audit Service - C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
O23 - Servizio: Servizio Utilità di pianificazione classi multimediali - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Firewall API - C:\Windows\system32\svchost.exe
O23 - Servizio: MSDTC - C:\Windows\System32\msdtc.exe
O23 - Servizio: API di individuazione iSCSI - C:\Windows\system32\svchost.exe
O23 - Servizio: Messaggi internazionali di Windows® Installer - C:\Windows\system32\msiexec.exe
O23 - Servizio: SvcHost Service for Microsoft Keyboard Filter - C:\Windows\system32\svchost.exe
O23 - Servizio: Runtime del servizio Agente quarantena - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Assistente connettività di rete Microsoft - C:\Windows\System32\svchost.exe
O23 - Servizio: Gestore connessione rete - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio Configurazione automatica dispositivi connessi alla rete - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL Servizi Accesso rete - C:\Windows\system32\lsass.exe
O23 - Servizio: Gestione connessioni di rete - C:\Windows\System32\svchost.exe
O23 - Servizio: Gestione elenco reti - C:\Windows\System32\svchost.exe
O23 - Servizio: Service Model Installer Resource Library - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
O23 - Servizio: Riconoscimento presenza in rete 2 - C:\Windows\System32\svchost.exe
O23 - Servizio: Server RPC Interfaccia archivio di rete - C:\Windows\system32\svchost.exe
O23 - Servizio: Office Source Engine - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Servizio: Office Software Protection Platform - C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
O23 - Servizio: DLL del servizio PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizi Peer-to-Peer - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Risoluzione problemi compatibilità programmi - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio BranchCache - C:\Windows\System32\svchost.exe
O23 - Servizio: Host contatore prestazioni x86 - C:\Windows\SysWow64\perfhost.exe
O23 - Servizio: Avvisi e registri di prestazioni - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Plug-and-Play modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL servizio automatico PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL del servizio PNRP - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL di archiviazione criteri - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio alimentazione modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: Interfaccia utente PrintConfig - C:\Windows\system32\svchost.exe
O23 - Servizio: ProfSvc - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows NT - C:\Windows\\system32\svchost.exe
O23 - Servizio: Gestione composizione automatica di accesso remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Connection Manager di Accesso remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Gestione interfaccia dinamica - C:\Windows\System32\svchost.exe
O23 - Servizio: RemoteRegistry - C:\Windows\system32\svchost.exe
O23 - Servizio: Agente mapping endpoint RPC - C:\Windows\system32\svchost.exe
O23 - Servizio: Localizzatore RPC - C:\Windows\system32\locator.exe
O23 - Servizio: Server di Gestione risorse smart card - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di enumerazione dispositivo smart card - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Utilità di pianificazione - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Propagazione certificati smart card Microsoft - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di notifica eventi di sistema (SENS) - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio monitoraggio sensori Microsoft Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Configurazione Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Componenti helper NAT Microsoft - C:\Windows\System32\svchost.exe
O23 - Servizio: Dll di servizi shell di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Storage Management Provider (SMP) host service - C:\Windows\System32\svchost.exe
O23 - Servizio: Trap SNMP - C:\Windows\System32\snmptrap.exe
O23 - Servizio: Applicazione sottosistema spooler - C:\Windows\System32\spoolsv.exe
O23 - Servizio: Servizio piattaforma protezione software Microsoft - C:\Windows\system32\sppsvc.exe
O23 - Servizio: DLL del servizio SSDP - C:\Windows\system32\svchost.exe
O23 - Servizio: Fornisce le funzionalità per l'utilizzo di SSTP (Secure Socket Tunneling Protocol) per la connessione a computer remoti tramite VPN. - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio periferiche acquisizione immagini - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizi di archiviazione - C:\Windows\System32\svchost.exe
O23 - Servizio: Microsoft\Verifica spot - C:\Windows\system32\svchost.exe
O23 - Servizio: Provider software servizio Copia Shadow del volume Microsoft® - C:\Windows\System32\svchost.exe
O23 - Servizio: Host del servizio Ottimizzazione avvio - C:\Windows\system32\svchost.exe
O23 - Servizio: Gestore eventi di sistema - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Microsoft per tastiera virtuale e pannello per la grafia - C:\Windows\System32\svchost.exe
O23 - Servizio: Server di Telefonia Microsoft® Windows(TM) - C:\Windows\System32\svchost.exe
O23 - Servizio: Gestione connessioni remote server Host sessione Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio temi shell di Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Utilità di pianificazione classi multimediali - C:\Windows\system32\svchost.exe
O23 - Servizio: Gestore eventi temporali - C:\Windows\system32\svchost.exe
O23 - Servizio: Rilevamento servizi interattivi - C:\Windows\system32\UI0Detect.exe
O23 - Servizio: Servizio Redirector dispositivi Servizi Desktop remoto - C:\Windows\System32\svchost.exe
O23 - Servizio: Host di dispositivi UPnP - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Gestione credenziali - C:\Windows\system32\lsass.exe
O23 - Servizio: Servizio dischi virtuali - C:\Windows\System32\vds.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL risorse servizio componente di integrazione macchina virtuale - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Copia Shadow del volume Microsoft® - C:\Windows\system32\vssvc.exe
O23 - Servizio: Servizio Ora di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Eseguibile del Servizio modulo di backup a livello di blocco Microsoft® - C:\Windows\system32\wbengine.exe
O23 - Servizio: Servizio di biometria Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: DLL del servizio Gestione connessioni Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Connect Now - Servizio Registro configurazioni - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL WcsPlugInService - C:\Windows\system32\svchost.exe
O23 - Servizio: Descrizioni aggiornamenti definizioni - C:\Program Files (x86)\Windows Defender\NisSrv.exe
O23 - Servizio: DLL di Web DAV Service - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Raccolta eventi - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio host del provider di crittografia di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Segnalazioni di problemi e soluzioni - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio Segnalazione errori Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL client RPC di acquisizione di immagini Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Descrizioni aggiornamenti definizioni - C:\Program Files (x86)\Windows Defender\MsMpEng.exe
O23 - Servizio: Servizi HTTP Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: WMI - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio WS-Management - C:\Windows\System32\svchost.exe
O23 - Servizio: DLL servizio configurazione automatica WLAN di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio account Microsoft® - C:\Windows\system32\svchost.exe
O23 - Servizio: Scheda di inversione delle prestazioni WMI - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Servizio: WMPNetworkSvc - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe
O23 - Servizio: Servizio Cartelle di lavoro Microsoft (C) - C:\Windows\System32\svchost.exe
O23 - Servizio: Servizio filtri Controllo genitori di Windows - C:\Windows\system32\svchost.exe
O23 - Servizio: Enumeratore dispositivi mobili - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio Centro sicurezza PC Windows - C:\Windows\System32\svchost.exe
O23 - Servizio: Microsoft Windows Search Indexer - C:\Windows\system32\SearchIndexer.exe
O23 - Servizio: Windows Store Service - C:\Windows\System32\svchost.exe
O23 - Servizio: Agente di Windows Update - C:\Windows\system32\svchost.exe
O23 - Servizio: Windows Driver Foundation - Servizio Framework driver modalità utente - C:\Windows\system32\svchost.exe
O23 - Servizio: Servizio di configurazione automatica WWAN - C:\Windows\system32\svchost.exe
Codice:
GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-10-20 19:29:54
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000030 TOSHIBA_MK1229GSG rev.PS110C 111,79GB
Running: fzbnhxck.exe; Driver: C:\Users\ALESSA~1\AppData\Local\Temp\uwtyypow.sys
---- User code sections - GMER 2.1 ----
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread 00007ff936561740 10 bytes {MOV EAX, 0x5a34ca; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection 00007ff936561910 10 bytes {MOV EAX, 0x5a34f6; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ff936561a10 10 bytes {MOV EAX, 0x5a331f; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThread 00007ff936561ac0 10 bytes {MOV EAX, 0x5a3406; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ff936561b10 10 bytes {MOV EAX, 0x5a3522; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ff936561b50 10 bytes {MOV EAX, 0x5a336b; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ff936562180 10 bytes {MOV EAX, 0x5a33b7; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject 00007ff936562620 10 bytes {MOV EAX, 0x5a356e; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ff936562ad0 10 bytes {MOV EAX, 0x5a3452; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ff936562d00 10 bytes {MOV EAX, 0x5a349e; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ff936562ee0 10 bytes {MOV EAX, 0x5a35c6; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemTime 00007ff936562f00 10 bytes {MOV EAX, 0x5a359a; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\user32.dll!SendInput 00007ff933fe1220 10 bytes {MOV EAX, 0x5a36c6; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\user32.dll!WindowFromPhysicalPoint + 16 00007ff933fe1fe0 10 bytes {MOV EAX, 0x5a364c; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\user32.dll!PostThreadMessageW + 36 00007ff933fe3170 10 bytes {MOV EAX, 0x5a3699; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\user32.dll!GetFocus + 44 00007ff933fe3440 10 bytes {MOV EAX, 0x5a361f; MOVSXD RAX, EAX; JMP RAX}
.text C:\Windows\system32\AUDIODG.EXE[4400] C:\Windows\SYSTEM32\user32.dll!GetWindowThreadProcessId + 192 00007ff933fe6af0 10 bytes {MOV EAX, 0x5a35f2; MOVSXD RAX, EAX; JMP RAX}
---- Threads - GMER 2.1 ----
Thread C:\Windows\system32\csrss.exe [464:488] fffff96000865b90
Thread C:\Windows\system32\svchost.exe [796:2748] 00007ff92bf85340
Thread C:\Windows\system32\svchost.exe [796:4504] 00007ff92c9110e0
Thread C:\Windows\system32\svchost.exe [796:4236] 00007ff92c8338e0
Thread C:\Windows\system32\svchost.exe [888:356] 00007ff92c636c08
Thread C:\Windows\system32\svchost.exe [888:2448] 00007ff92c636800
Thread C:\Windows\System32\spoolsv.exe [1048:1608] 00007ff92a9512f8
Thread C:\Windows\System32\spoolsv.exe [1048:744] 00007ff92a933118
Thread C:\Windows\System32\spoolsv.exe [1048:3380] 00007ff92aa85b3c
Thread C:\Windows\System32\spoolsv.exe [1048:2376] 00007ff92aac96a8
Thread C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe [2844:2924] 00007ff92d9f2774
Thread C:\Windows\SysWOW64\svchost.exe [4060:2472] 0000000000d85730
Thread C:\Windows\SysWOW64\mspaint.exe [3528:4080] 00000000010ee880
Thread C:\Windows\SysWOW64\mspaint.exe [3528:1612] 00000000010ee990
Thread C:\Windows\SysWOW64\mspaint.exe [3528:3244] 00000000010ee770
Thread C:\Windows\SysWOW64\mspaint.exe [3528:3200] 00000000010efc90
Thread C:\Windows\SysWOW64\mspaint.exe [3528:4056] 00000000010edd20
Thread C:\Windows\SysWOW64\calc.exe [3204:1144] 00000000001611c0
Thread C:\Windows\SysWOW64\calc.exe [3336:3788] 00000000003d0cb0
Thread C:\Windows\SysWOW64\calc.exe [3460:2216] 0000000000bc0cb0
Thread C:\Windows\SysWOW64\calc.exe [3068:4012] 0000000000320cb0
Thread C:\Windows\SysWOW64\calc.exe [3768:3940] 0000000000230cb0
Thread C:\Windows\SysWOW64\calc.exe [3996:3076] 00000000003b0cb0
Thread C:\Windows\SysWOW64\calc.exe [3424:2292] 00000000009e0cb0
Thread C:\Windows\SysWOW64\calc.exe [4020:4068] 0000000000a30cb0
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???-????????????????????Hewlett-Packard&a????????D???0?????s?4???? ??5???D?????D?D?D?D?Dt????????D??Hewlett-Packard?US???????0?????????s?D??? ?? ????o?????ata???? ??D???W???????s????F???????F??? ? U????T??D???3???????A??>??????????????? ??????????? ????? ????? ????????D???D??????????????????????????e????D??????????????ModelId\{41B792B2-9CCD-79E4-E0A5-587FFFC840D2}?HardwareId\USB#VID_058F&PID_6387&REV_0106?HardwareId\USBSTOR#DiskGeneric_Flash_Disk______8.07?HardwareId\STORAGE#Volume?HardwareId\USB#VID_058F&PID_6387?HardwareId\USBSTOR#DiskGeneric_Flash_Disk______?HardwareId\USBSTOR#DiskGeneric_?HardwareId\USBSTOR#Generic_Flash_Disk______8?HardwareId\Generic_Flash_Disk______8?HardwareId\USBSTOR#GenDisk?HardwareId\GenDisk?CompatibleId\USB#Class_08&SubClass_06&Prot_50?CompatibleId\USBSTOR#Disk?CompatibleId\wpdbusenum#fs?CompatibleId\USB#Class_08&SubClass_06?CompatibleId\USBSTOR#RAW?CompatibleId\SWD#Generic?CompatibleId\USB#Class_08?CompatibleId\GenDisk?InterfaceClass\{6AC27878-A6FA-4155-BA85-F98F491D4F33}?Interfa
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -1662388303
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00247ea403e5
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\iexplore@Count 95
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\Grid@Logo100 %USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer\TileCacheLogo-197381171_100.dat
---- EOF - GMER 2.1 ----
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:22.
