[XP sp3] falsi positivi a-squared o son kazz...?

Gabbia · 19-01-2009, 18:10

Salve,

questa non l'ho capita e chiedo consiglio.

Al primo scan d a-squared fatto oggi, questo sw mi ha trovato quanto segue...e ci son rimasto così O_O

Codice PHP:


			
a-squared Free - Versione 4.0

Ultimo aggiornamento: 19/01/2009 3.06.10



Impostazioni scansione:



Oggetti: Memoria, Tracce, Cookies, C:\

Archivio scansioni: On

Scientifico: On

ADS Scan: On



Scansione avviata:    19/01/2009 15.50.01



C:\Fraps\fraps.exe     rilevati: Backdoor.Rbot!IK



C:\Programmi\Ultra RM Converter\Ultra RM Converter.exe     rilevati: possible-Threat.Packed.MoleBox!IK



C:\System Volume Information\_restore{E3F95932-0F76-42E9-920F-C38AB3A7A6EC}\RP507\A0158488.exe     



rilevati: Backdoor.Rbot!IK

C:\WINDOWS\system32\DK2WN95.386     rilevati: Trojan.Win32.Agent!IK



Scansionati

Files:     110707

Tracce:     605102

Cookies:     5

Processi:     31

Rilevato

Files:     4

Tracce:     0

Cookies:     0

Processi:     0

Chiavi di registro:     0

Fine scansione:    19/01/2009 17.25.25

Tempo scansione:    1:35:24

Il fatto è che:
1) uso comodo, hijack, s&D, ad aware ( ora tolto ), avira e facendo scan completi periodici, non ho mai trovato quanto scritto sopra....
In più fraps è un semplice sw per mostrare gli fps in un gioco, lo uso molto poco in realtà e cmq è installato da almeno 1 anno e mezzo e non ho mai avuto sintomi o altro di virus o backdoor etc

2) una volta visto ho fatto lo scan solo ai seguenti file/cartelle pure con spyware doctor, superantispyware, malwarebites, prevx CSI...e NESSUNO ha rilevato nulla....

Ora: a-squared che sbaglia oppure è proprio lui "il salvatore" mentre gli altri sono inaffidabili??

No perchè mi sono un attimo informato e soprattutto quel backdoor.rbot è molto serio come problema....

Vi posto anche il txt di hijack

Codice PHP:


			
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17.41.48, on 19/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programmi\COMODO\Firewall\cfp.exe

C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

C:\Programmi\a-squared Free\a2service.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\Programmi\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\Programmi\Spyware Doctor\pctsAuxs.exe

C:\Programmi\Spyware Doctor\pctsSvc.exe

C:\Programmi\Spyware Doctor\pctsTray.exe

C:\Programmi\Secunia\PSI\psi.exe

C:\Programmi\a-squared Free\a2free.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programmi\PrevxCSI\prevxcsi.exe

C:\Programmi\PrevxCSI\prevxcsi.exe

C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Documents and Settings\Gabbia\Desktop\hijackthis\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O20 - AppInit_DLLs:   C:\WINDOWS\system32\guard32.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\Firewall\cmdagent.exe

O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe



--

End of file - 4457 bytes

Che mi consigliate di fare??

iniziare tutta la trafila dei remove kit, altri scan?

grassie

**Chill-Out** · 19-01-2009, 19:19

Ciao, innazitutto è opportuno allegare i log secondo le Regole di sezione in firma, successivamente fai scansionare su http://www.virustotal.com/it/ e http://virscan.org/ i files infetti rilevati da A-Squared su almeno uno nutro forti dubbi che non sia un bel malware

Per i risultati è sufficente indicare nel prossimo post l'URL rilasciata a fine scansione

Gabbia · 19-01-2009, 21:30

Quote:

Originariamente inviato da Chill-Out

Ciao, innazitutto è opportuno allegare i log secondo le Regole di sezione in firma, successivamente fai scansionare su http://www.virustotal.com/it/ e http://virscan.org/ i files infetti rilevati da A-Squared su almeno uno nutro forti dubbi che non sia un bel malware

Per i risultati è sufficente indicare nel prossimo post l'URL rilasciata a fine scansione

ciao, grazie per l'aiuto

http://www.virustotal.com/it/analisi...931944392978cd

http://www.virustotal.com/it/analisi...bc395b9e68cb7f

bho, non so cosa pensare, ma entrambi appartengono alla stessa cartella R507 ( con solo loro 2 ), sono nel system vol info e nel dubbio meglio eliminarli cmq no?

cmq secondo te sono infetti o no??

domanda a brucia pelo: magari non in questo, ma nel caso esistano veramente trojan o backdoor attive su un pc, il fatto di eliminare i/il file in questione basta e poi sei "tranquillo" o ci bisogna anche fare qualche search ( con qualche tool ) per altri file o chiavi reg??

**Chill-Out** · 19-01-2009, 22:18

I file da controllare erano i seguenti:

Quote:

C:Frapsfraps.exe rilevati: Backdoor.Rbot!IK

C:ProgrammiUltra RM ConverterUltra RM Converter.exe rilevati: possible-Threat.Packed.MoleBox!IK

rilevati: Backdoor.Rbot!IK
C:WINDOWSsystem32DK2WN95.386 rilevati: Trojan.Win32.Agent!IK

tu hai controllato altri files 1 dei quali chiaramente infetto, segui passo passo la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

NB: no log zippati

Gabbia · 20-01-2009, 10:28

Ciao. Urca, povero pc, ha lavorato come una bestia.....
nulla trovato alla fine.
I vari file citati erano già stati eliminati, programmi compresi ( fraps e ultra rm )

1) http://wikisend.com/download/475266/mbam-log-2009-01-20 (00-16-25).txt

2) http://wikisend.com/download/475522/...120-002022.txt

3) kaspesky: http://wikisend.com/download/539534/kaspersky.txt

4) non c'è stato verso di far funzionare il sw di dr.web cure. 3/3 crash di windows con ( per la prima volta per me ) tanto di schermata blu

5) contiene anche dati sensibili. Serve inviartelo in pm?

6) http://wikisend.com/download/538194/hijackthis.txt

7) gmer
Nota: nessun file in rosso trovato

8) prevx

Solo una cosa: spyware doctor mi ha trovato un possibile spyware, website hijack 2 infezioni ( spywareinfo.com ), ma non mi dice dove sono. Io li ho trovati nel reg ed eliminati ma lui me li trova ancora....

Ora posso ripristinare la configurazione di sistema??

**Chill-Out** · 20-01-2009, 10:35

Da i log non emergono problemi evidenti in quanto i files incriminati erano stato eliminati da A2, questo in particolare Frapsfraps.exe fà riferimento ad un gioco ma è meglio non approfondire il perchè, per quanto concerne SysInspector se non desideri allegarlo per una questione di privacy vedi tu, per SpywareDoctor ho bisogno di vedere il log per darti una risposta

wjmat · 20-01-2009, 10:38

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)

Codice:

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

il log di eset non contiene nulla di così privato

spyware doctor rimuovilo pure

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo queste modalità

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

Gabbia · 20-01-2009, 10:48

hai ragione eccoti il file di spyware ( in htm )

http://wikisend.com/download/469942/spyware doctor.htm

fraps.exe ( frapsfraps?? ) è un "contatore fps", ti mostra in gioco a quanti fps vai. Per di più usato pochissimo da me

edit: vi ho inviato il file di eset in pm

Gabbia · 20-01-2009, 10:56

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)

Codice:

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

il log di eset non contiene nulla di così privato

spyware doctor rimuovilo pure

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo queste modalità

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

ciao!

fatto con hijack

cosa intendi per rimuovilo pure??

seguo per avira

considerazione: prima di tutti gli scan, spyw doctor mi aveva trovato un rootkit agent36.....sapete perchè?? perchè il file mbr.exe che usavo ogni volta ( per il controllo di quel virus "infame" ) in realtà era un virus lui stesso.....

wjmat · 20-01-2009, 10:58

Quote:

cosa intendi per rimuovilo pure??

disinstallalo

ti bastano mbam e asquared per le scansioni manuali
anche spybot non è il massimo ma almeno è più leggero di doctor

Gabbia · 20-01-2009, 11:13

Quote:

Originariamente inviato da wjmat

disinstallalo

ti bastano mbam e asquared per le scansioni manuali
anche spybot non è il massimo ma almeno è più leggero di doctor

capisco, ma la protezione intelliguard non serve proprio a nulla??
non è attiva in real-time per sti malware/spyware??

fatto tutto con avira....mica ci avevo pensato

cmq ragazzi, se a quanto pare posso sentirmi più "tranquillo", vi ringrazio davvero molto per il prezioso aiuto e la disponibilità offerta

bhe vediamo solo per questo spyware website hijack trovato da doctor.
come si elimina?

Gabbia · 20-01-2009, 12:46

ecco l'ultimo report, di avira

http://wikisend.com/download/543420/...1-0A3868D7.LOG

anche qui pulito, speriamo bene allora!

grazie mille ancora!

19-01-2009, 18:10	#1
Gabbia Senior Member Iscritto dal: Jan 2002 Città: dans la Vaunage Messaggi: 2213	[XP sp3] falsi positivi a-squared o son kazz...? Salve, questa non l'ho capita e chiedo consiglio. Al primo scan d a-squared fatto oggi, questo sw mi ha trovato quanto segue...e ci son rimasto così O_O Codice PHP: a-squared Free - Versione 4.0 Ultimo aggiornamento: 19/01/2009 3.06.10 Impostazioni scansione: Oggetti: Memoria, Tracce, Cookies, C:\ Archivio scansioni: On Scientifico: On ADS Scan: On Scansione avviata: 19/01/2009 15.50.01 C:\Fraps\fraps.exe rilevati: Backdoor.Rbot!IK C:\Programmi\Ultra RM Converter\Ultra RM Converter.exe rilevati: possible-Threat.Packed.MoleBox!IK C:\System Volume Information\_restore{E3F95932-0F76-42E9-920F-C38AB3A7A6EC}\RP507\A0158488.exe rilevati: Backdoor.Rbot!IK C:\WINDOWS\system32\DK2WN95.386 rilevati: Trojan.Win32.Agent!IK Scansionati Files: 110707 Tracce: 605102 Cookies: 5 Processi: 31 Rilevato Files: 4 Tracce: 0 Cookies: 0 Processi: 0 Chiavi di registro: 0 Fine scansione: 19/01/2009 17.25.25 Tempo scansione: 1:35:24 Il fatto è che: 1) uso comodo, hijack, s&D, ad aware ( ora tolto ), avira e facendo scan completi periodici, non ho mai trovato quanto scritto sopra.... In più fraps è un semplice sw per mostrare gli fps in un gioco, lo uso molto poco in realtà e cmq è installato da almeno 1 anno e mezzo e non ho mai avuto sintomi o altro di virus o backdoor etc 2) una volta visto ho fatto lo scan solo ai seguenti file/cartelle pure con spyware doctor, superantispyware, malwarebites, prevx CSI...e NESSUNO ha rilevato nulla.... Ora: a-squared che sbaglia oppure è proprio lui "il salvatore" mentre gli altri sono inaffidabili?? No perchè mi sono un attimo informato e soprattutto quel backdoor.rbot è molto serio come problema.... Vi posto anche il txt di hijack Codice PHP: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17.41.48, on 19/01/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\COMODO\Firewall\cfp.exe C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe C:\Programmi\a-squared Free\a2service.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\COMODO\Firewall\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programmi\Spyware Doctor\pctsAuxs.exe C:\Programmi\Spyware Doctor\pctsSvc.exe C:\Programmi\Spyware Doctor\pctsTray.exe C:\Programmi\Secunia\PSI\psi.exe C:\Programmi\a-squared Free\a2free.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programmi\PrevxCSI\prevxcsi.exe C:\Programmi\PrevxCSI\prevxcsi.exe C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Documents and Settings\Gabbia\Desktop\hijackthis\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\Firewall\cmdagent.exe O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe -- End of file - 4457 bytes Che mi consigliate di fare?? iniziare tutta la trafila dei remove kit, altri scan? grassie __________________ "Sometimes you have to roll the hard six!!" Low lie the fields of Athenry, Where once we watched the small free birds fly. Our love was on the wing, We had dreams and songs to sing. Nothing matters, Mary, when you're free

19-01-2009, 19:19	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao, innazitutto è opportuno allegare i log secondo le Regole di sezione in firma, successivamente fai scansionare su http://www.virustotal.com/it/ e http://virscan.org/ i files infetti rilevati da A-Squared su almeno uno nutro forti dubbi che non sia un bel malware Per i risultati è sufficente indicare nel prossimo post l'URL rilasciata a fine scansione __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

20-01-2009, 10:28	#5
Gabbia Senior Member Iscritto dal: Jan 2002 Città: dans la Vaunage Messaggi: 2213	Ciao. Urca, povero pc, ha lavorato come una bestia..... nulla trovato alla fine. I vari file citati erano già stati eliminati, programmi compresi ( fraps e ultra rm ) 1) http://wikisend.com/download/475266/mbam-log-2009-01-20 (00-16-25).txt 2) http://wikisend.com/download/475522/...120-002022.txt 3) kaspesky: http://wikisend.com/download/539534/kaspersky.txt 4) non c'è stato verso di far funzionare il sw di dr.web cure. 3/3 crash di windows con ( per la prima volta per me ) tanto di schermata blu 5) contiene anche dati sensibili. Serve inviartelo in pm? 6) http://wikisend.com/download/538194/hijackthis.txt 7) gmer Nota: nessun file in rosso trovato 8) prevx Solo una cosa: spyware doctor mi ha trovato un possibile spyware, website hijack 2 infezioni ( spywareinfo.com ), ma non mi dice dove sono. Io li ho trovati nel reg ed eliminati ma lui me li trova ancora.... Ora posso ripristinare la configurazione di sistema?? __________________ "Sometimes you have to roll the hard six!!" Low lie the fields of Athenry, Where once we watched the small free birds fly. Our love was on the wing, We had dreams and songs to sing. Nothing matters, Mary, when you're free Ultima modifica di Gabbia : 20-01-2009 alle 17:14.

20-01-2009, 10:35	#6
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Da i log non emergono problemi evidenti in quanto i files incriminati erano stato eliminati da A2, questo in particolare Frapsfraps.exe fà riferimento ad un gioco ma è meglio non approfondire il perchè, per quanto concerne SysInspector se non desideri allegarlo per una questione di privacy vedi tu, per SpywareDoctor ho bisogno di vedere il log per darti una risposta __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 20-01-2009 alle 10:39.

20-01-2009, 10:38	#7
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Lancia HiJackThis Clicca Do a scan only Metti la spunta a fianco delle righe che ti segnalo qui sotto Clicca su Fix Checked _________________________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180) Codice: O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab il log di eset non contiene nulla di così privato spyware doctor rimuovilo pure configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo queste modalità se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide importante aggiornare Explorer alla versione 7 __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

20-01-2009, 10:48	#8
Gabbia Senior Member Iscritto dal: Jan 2002 Città: dans la Vaunage Messaggi: 2213	hai ragione eccoti il file di spyware ( in htm ) http://wikisend.com/download/469942/spyware doctor.htm fraps.exe ( frapsfraps?? ) è un "contatore fps", ti mostra in gioco a quanti fps vai. Per di più usato pochissimo da me edit: vi ho inviato il file di eset in pm __________________ "Sometimes you have to roll the hard six!!" Low lie the fields of Athenry, Where once we watched the small free birds fly. Our love was on the wing, We had dreams and songs to sing. Nothing matters, Mary, when you're free Ultima modifica di Gabbia : 20-01-2009 alle 10:51.

20-01-2009, 12:46	#12
Gabbia Senior Member Iscritto dal: Jan 2002 Città: dans la Vaunage Messaggi: 2213	ecco l'ultimo report, di avira http://wikisend.com/download/543420/...1-0A3868D7.LOG anche qui pulito, speriamo bene allora! grazie mille ancora! __________________ "Sometimes you have to roll the hard six!!" Low lie the fields of Athenry, Where once we watched the small free birds fly. Our love was on the wing, We had dreams and songs to sing. Nothing matters, Mary, when you're free

Strumenti
Mostra una versione stampabile Invia questa pagina per email