Aiuto: probalile infezione con sdra64.exe

anto · 04-09-2009, 16:57

Allora: gentilissimi se qualcuno riesce a darmi una mano per districarmi da questa situazione ne sarei veramente felice.

Inanzitutto il mio sistema internet è compostao da un muletto con tre HD ognuno per un OS differente: WIN XP - VISTA - SEVEN

Il problema si è manifestato sul disco C sotto windows XP mentre ero tutto concentrato a leggere una pgina web e purtroppo non ho datoimportanza lì per lì al messaggio che mi annunciava che

" per ragioni di sicurezza il programma sdra64,exe veniva chiuso "

Mi si presentava inoltre una finestra in cui mi si chiedeva se volevo impedire la chiusura nelle medesime condizioni di explorer e appunto sdr64.exe.

Poichè a suo tempo ( e non mi ricordo come, se qualcuno potesse ricordarmelo..) avevo disabilitato la chiusura automatica di esporare risorse con determinati tipi di file, in quanto non riuscivo ad aprire alcuni archivi -SICURI, NON INFETTI - ho pensato fosse la stessa cosa e non o esitato a spuntare la voce NON permettere la chiusura di sdra64.exe.

Solo in seguito mi sono ricordato del fatto e ricordando il nome ho visto ho avviato una ricerca e visto quanto scritto in un messaggio qui sul forum ho fatto quanto segue:

Ho cancelleto il file sdra64.exe da c:\windows\sistem32
Ho cancellato dal registro tale porzione di comandi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"C:\WINDOWS\system32\sdra64.exe" lasciando solo C:\WINDOWS\system32\userinit.exe,

Dopodi che ho avviato tutta la trafila che avevete suggerito. Purtroppo data la mole dei dati ci ho impiegato un paio di giorni.
Pubbllico qui tutti i link.
Ma ahimè ho trovato di tutto , ma niente di quello che mi aspettavo: Sembrebbe infettoperfino il file iso del service pack3, i file di diagnostici come amora o cbid, ma di sdra64.exe non mi sembra di aver letto qualcosa.

Malwarebite: mbam-log-2009-09-01 (14-13-57).txt

Asquared: a2scan_090902-101211.txt

Fsecure: report_fsols_4_0.html

DrWeb: DrWeb.csv

SysInsp: SysInspector-ANTONIO-090903-1856.xml

HiJack: hijackthis.log

Gmer: gmer.log

PrevX: prevx.txt

Questo è tutto, spero. Vorrei poter evitare di riformattare tutto eliminando le eventuali schifezze in circolo.

Grazie a tutti.

Anto

wjmat · 04-09-2009, 17:46

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (

)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Core Temp] "C:\download\CoreTemp32Beta2\Core Temp.exe"
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programmi\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AutoStart IR.lnk = C:\Programmi\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programmi\WinTV\WinTV7\WinTVTray.exe

devi aggiornare
Windows al service pack 3

con asquared non hai eliminato tutte le voci segnalate, se ti reinfetti cavoli tuoi

anto · 04-09-2009, 19:21

x wjmat

Inanzitutto grazie per la celerità della risposta.
Ero particolarmente in apprensione per sdra64,exe avendo letto che cerca di carpire i dati sensibili finanziari ed utilizzando le funzioni di home banking mi ero un po' preoccupato, pur non avendo memorizzato alcuna passwor o pin sul computer.
Sapere che almneno questo è stato debellato è un bel passo avanti.

Ottimi i suggerimneti per hijack terrò il meno possibile dei programmi all'avvio (penso solo il Buyertools reminder per le ste su ebay)

Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.

Tranquillo i file della lista di Asapared sono in quarantena

Ma, a tal proposito, avrei alcune domandine:

Mi stanno particolarmnete acuore i rilevamenti sul disco C:

QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK

Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?

C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK

QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???

D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK

DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi

D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK

Dottor Web riporta quanto sappiamo già:

WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;

L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:

Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?

Scusa la mia lungaggine, spero di non aver scritto troppe castronerie.

Anto

wjmat · 05-09-2009, 08:51

Quote:

Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.

il sp3 è d'obbligo

Quote:

Tranquillo i file della lista di Asapared sono in quarantena

dal log non sembrerebbe

Quote:

QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK

nel trattamento post disinfezione trovi il link ufficiale dove riscaricarlo

Quote:

Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?

C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK

non è che carpisce con facilità, se fai gestire a win il wifi quando digiti la chiave di protezione la prima volta che accedi alla rete, win la salva da qualche parte nel registro e questo programma non fa altro che decifrare quella chiave di registro
quindi non è certo un software per testare il livello di sicurezza

Quote:

QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???

D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK

DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi

D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK

Dottor Web riporta quanto sappiamo già:

WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;

quelli di cui non sei sicuro puoi farli controllare su www.virustotal.com e su http://virscan.org/

Quote:

L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:

Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?

questa l'avevo vista ma sinceramente mi è nuova, cercherò info
di kasp hai la licenza vero???

anto · 05-09-2009, 09:06

Ok, grazie per i consigli.

Ho già provveduto a ripulire con hijack i programmi caricati all'avvio in automatico, come pure ad eliminare la robbaccia inutile segnalata. I file in quarantena con Asquared ( ho ricontrollato) sono appunto i diagnostici che proverò ad inviare ai siti che mi hai segnalato ( magari proverò anche a scaricarli ex-novo e farli ricontrollare dai vari software della guida)

Il service pack3 stamattina lo installo.

E quanto a kaspersky, sì la licenza è quella originale per 3 utenze rinnovata annualmente ormai da ben tre anni.

Anto

04-09-2009, 16:57	#1
anto Senior Member Iscritto dal: Jul 1999 Città: Busto Arsizio Messaggi: 3434	Aiuto: probalile infezione con sdra64.exe Allora: gentilissimi se qualcuno riesce a darmi una mano per districarmi da questa situazione ne sarei veramente felice. Inanzitutto il mio sistema internet è compostao da un muletto con tre HD ognuno per un OS differente: WIN XP - VISTA - SEVEN Il problema si è manifestato sul disco C sotto windows XP mentre ero tutto concentrato a leggere una pgina web e purtroppo non ho datoimportanza lì per lì al messaggio che mi annunciava che " per ragioni di sicurezza il programma sdra64,exe veniva chiuso " Mi si presentava inoltre una finestra in cui mi si chiedeva se volevo impedire la chiusura nelle medesime condizioni di explorer e appunto sdr64.exe. Poichè a suo tempo ( e non mi ricordo come, se qualcuno potesse ricordarmelo..) avevo disabilitato la chiusura automatica di esporare risorse con determinati tipi di file, in quanto non riuscivo ad aprire alcuni archivi -SICURI, NON INFETTI - ho pensato fosse la stessa cosa e non o esitato a spuntare la voce NON permettere la chiusura di sdra64.exe. Solo in seguito mi sono ricordato del fatto e ricordando il nome ho visto ho avviato una ricerca e visto quanto scritto in un messaggio qui sul forum ho fatto quanto segue: Ho cancelleto il file sdra64.exe da c:\windows\sistem32 Ho cancellato dal registro tale porzione di comandi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "C:\WINDOWS\system32\sdra64.exe" lasciando solo C:\WINDOWS\system32\userinit.exe, Dopodi che ho avviato tutta la trafila che avevete suggerito. Purtroppo data la mole dei dati ci ho impiegato un paio di giorni. Pubbllico qui tutti i link. Ma ahimè ho trovato di tutto , ma niente di quello che mi aspettavo: Sembrebbe infettoperfino il file iso del service pack3, i file di diagnostici come amora o cbid, ma di sdra64.exe non mi sembra di aver letto qualcosa. Malwarebite: mbam-log-2009-09-01 (14-13-57).txt Asquared: a2scan_090902-101211.txt Fsecure: report_fsols_4_0.html DrWeb: DrWeb.csv SysInsp: SysInspector-ANTONIO-090903-1856.xml HiJack: hijackthis.log Gmer: gmer.log PrevX: prevx.txt Questo è tutto, spero. Vorrei poter evitare di riformattare tutto eliminando le eventuali schifezze in circolo. Grazie a tutti. Anto

04-09-2009, 17:46	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio () _______________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Codice: O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Core Temp] "C:\download\CoreTemp32Beta2\Core Temp.exe" O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programmi\Buyertools Reminder\Reminder.exe" /autorun O4 - Global Startup: AutoStart IR.lnk = C:\Programmi\WinTV\Ir.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: WinTV Recording Status..lnk = C:\Programmi\WinTV\WinTV7\WinTVTray.exe devi aggiornare Windows al service pack 3 con asquared non hai eliminato tutte le voci segnalate, se ti reinfetti cavoli tuoi __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 04-09-2009 alle 17:57.

04-09-2009, 19:21	#3
anto Senior Member Iscritto dal: Jul 1999 Città: Busto Arsizio Messaggi: 3434	x wjmat Inanzitutto grazie per la celerità della risposta. Ero particolarmente in apprensione per sdra64,exe avendo letto che cerca di carpire i dati sensibili finanziari ed utilizzando le funzioni di home banking mi ero un po' preoccupato, pur non avendo memorizzato alcuna passwor o pin sul computer. Sapere che almneno questo è stato debellato è un bel passo avanti. Ottimi i suggerimneti per hijack terrò il meno possibile dei programmi all'avvio (penso solo il Buyertools reminder per le ste su ebay) Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup. Tranquillo i file della lista di Asapared sono in quarantena Ma, a tal proposito, avrei alcune domandine: Mi stanno particolarmnete acuore i rilevamenti sul disco C: QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino? C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti??? D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico) Posso cancellare tutto senza problemi D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK Dottor Web riporta quanto sappiamo già: WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.; RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.; L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante: Library C:\Documents (* hidden * ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000 Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito? Scusa la mia lungaggine, spero di non aver scritto troppe castronerie. Anto

05-09-2009, 09:06	#5
anto Senior Member Iscritto dal: Jul 1999 Città: Busto Arsizio Messaggi: 3434	Ok, grazie per i consigli. Ho già provveduto a ripulire con hijack i programmi caricati all'avvio in automatico, come pure ad eliminare la robbaccia inutile segnalata. I file in quarantena con Asquared ( ho ricontrollato) sono appunto i diagnostici che proverò ad inviare ai siti che mi hai segnalato ( magari proverò anche a scaricarli ex-novo e farli ricontrollare dai vari software della guida) Il service pack3 stamattina lo installo. E quanto a kaspersky, sì la licenza è quella originale per 3 utenze rinnovata annualmente ormai da ben tre anni. Anto

Strumenti
Mostra una versione stampabile Invia questa pagina per email