[win XP] whataboutadog

[tempestasolare]

Sono scoraggiato, provo a rispostare .....
Ho un problema che non riesco a risolvere!
mi compare in trusted zone un dominio "fasullo" *.whataboutadog.com e compare un file in C:\WINDOWS\Temp un file che cambia di volta in volta, ora trovo RUCEDB.exe (lo cancello in modalità provvisoria ma ricompare con altro nome). Il file cambia nome ma cmq è sempre formato da sei caratteri alfanumerici e maiuscoli.
Ho fatto girare un pò di "cose" ma non risolvo il problema....
ccleaner
spybot
trend micro antispyware
AD aware se
trend nicro office scan
ewido online
e
altro
allego log hijackthis

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 15.16.44, on 26/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Officescan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Officescan NT\tmlisten.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Officescan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\RUCEDB.EXE
C:\WINDOWS\Explorer.EXE
C:\Officescan NT\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Officescan NT\Pop3Trap.exe
C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\SealedMedia\sealmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\Program Files\Last.fm\LastFMHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a-squared Free\a2free.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
E:\antivir\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://noiportal.telecomitalia.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://noiportal.telecomitalia.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Telecom Italia s.p.a.
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Officescan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
O4 - HKLM\..\Run: [RUN_PWR_SETTINGS] %windir%\system32\RunUnset.vbs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [sealmon] C:\Program Files\SealedMedia\sealmon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [COMMUNICATOR] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://noiportal.telecomitalia.it
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\Software\..\Telephony: DomainName = telecomitalia.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9FA1FB0-D522-4225-95FD-95A29CD25D01}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = telecomitalia.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = telecomitalia.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Officescan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Officescan NT\OfcPfwSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Officescan NT\tmlisten.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

[marmotta88]

Ciao, prima di postare avresti dovuto leggere la guida alla disinfezione e leggere le regole di sottosezione, entrambe sono evidenziate in grassetto e recano la scritta importante.

Dal log si nota che devi aggiornare internet explorer, ora è disponibile la versione 7.

Ciao e buone feste

[tempestasolare]

gentile MARMOTTA88, potresti essere meno "criptico"!
Ho letto la guida, forse non con l'attenzione dovuta, ma non riesco a capire quali siano le sottosezioni che descrivono le modalità risolutive.
A riguardo di IE il fatto che sia nella versione 6 è indice di infezione?
Tra l'altro io uso OPERA e non IE, per cui l'aggiornamento della release, visto l'uso che ne faccio (nessuno), è relativamente importante.
Anzi sai che ti dico, se potessi disinstallarlo, lo farei subito....

Comunque grazie per i consigli.

[juninho85]

è il trojan.obfuscated,di cui chissà quante volte si sarà parlato.
se provi a fare una ricerca capirai che è di facile rimozione

[brucewillis71]

Devi editare il log che hai postato utilizzando i tag code come è ben evidenziato nelle regole di sezione: http://www.hwupgrade.it/forum/showthread.php?t=1589984

[tempestasolare]

grazie 1000, la prossima volta allegherò il log nella modalità indicata.

[Gle89]

Quote:

Originariamente inviato da tempestasolare

grazie 1000, la prossima volta allegherò il log nella modalità indicata.

No, dovresti gentilmente MODIFICARE il tuo post iniziale dove cè il log di HJT e metterlo come da regole di sezione altrimenti nessuno di noi potrà darti assistenza.

[Riverside]

Quote:

Originariamente inviato da tempestasolare

grazie 1000, la prossima volta allegherò il log nella modalità indicata.

La prossima volta? scusa, vorrei farti notare che quel P.C., è infetto

[tempestasolare]

Riverside, aiutami a capire.....
Sarai un grande per quanto riguarda il software, ma a riguardo l'italiano sembri avaro.
Qualche parola in più non guasterebbero.
Scusate ma io non sono un esperto e se mi aiutate come si fa con i bambini magari non creo problemi al forum....
Non avertene, ma date per scontate troppo cose.
Probabilmente non ho letto con attenzione le guide, ho accodato il il log al messaggio senza allegare in un file txt il risultato.
ho chiesto scusa dicendo che al prossimo messaggio avrei fatto attenzione.
non capisco la tua risposta
"La prossima volta? scusa, vorrei farti notare che quel P.C., è infetto"
grazie e scusa l'ardire.

grazie anticipatamente.

A proposito, visto che hai già fatto la diagnosi, di che si tratta?

[Riverside]

Quote:

Originariamente inviato da tempestasolare

Non avertene, ma date per scontate troppo cose.

Diamo per scontato che, una volta postato, chi richiede assistenza legga le risposte che riceve.

Quote:

Originariamente inviato da tempestasolare

visto che hai già fatto la diagnosi, di che si tratta?

Juninho ti aveva già fornito la riposta:

Quote:

Originariamente inviato da juninho85

è il trojan.obfuscated,di cui chissà quante volte si sarà parlato.
se provi a fare una ricerca capirai che è di facile rimozione

Comunque:

Disabilita il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Deve restare disabiitato fino a quando non avremo risolto il problema

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

scarica CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Rilancia HThis ed inzia con il fixare queste voci:

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O4 - HKLM\..\Run: [RUN_PWR_SETTINGS] %windir%\system32\RunUnset.vbs

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: http://organigramma.griffon.local

O15 - Trusted Zone: *.griffon.local

O15 - Trusted Zone: http://atomwfe1.telecomitalia.it

O15 - Trusted Zone: http://atomwfe2.telecomitalia.it

O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it

O15 - Trusted Zone: http://griffon.open.telecomitalia.it

O15 - Trusted Zone: http://hr.open.telecomitalia.it

O15 - Trusted Zone: http://mpa.dg.telecomitalia.it

O15 - Trusted Zone: http://paperless.open.telecomitalia.it

O15 - Trusted Zone: http://tils.open.telecomitalia.it

O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local

O15 - Trusted Zone: http://soa404.telecomitalia.local

O15 - Trusted Zone: *.whataboutadog.com

O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)

O15 - Trusted Zone: *.griffon.local (HKLM)

O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)

O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)

O15 - Trusted IP range: 10.74.27.45

O15 - Trusted IP range: http://10.173.215.15

O15 - Trusted IP range: 10.74.27.45 (HKLM)

O15 - Trusted IP range: http://10.173.215.15 (HKLM)

Pulisci gli eventuali ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

Al termine riavvia e scarica FINDAWF: clicca qui per il download
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr
● una volta scaricato, avvialo
● si aprirà un finestra in stile dos: clicca su un tasto qualunque
al termine della scansione verrà proposto un Report: lo alleghi

allega, inoltre, un nuovo log di Hthis

Per quanto riguarda la pubblicazione dei log e/o report richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download

Per ora, ci fermiamo qui; il resto lo vediamo dopo aver analizzato i log che ti sono stati richiesti.

[lancetta]

Quoto il socio
fai la procedura per una prima parte di pulizia alla fine dopo i log richiesti
...CUT...

Edit: preceduto da River

[tempestasolare]

l'avevo detto che sei un grande ( ti seguivo già nel forum), bastava un piccolo stimolo !!
Grazie

provo a seguire le indicazioni.

per il ripristino:
già disabilitato (si tratta di computer aziendale)
ccleaner ok secondo le modalità descritte
hjthis ok fixato rununset, dogin... e wathab...... ( il resto è inserito in funzione della policy aziendale) no ads
trendmicro no rootkit
bitdefender http://www.zshare.net/download/59372633f42844/
findaws nothing http://www.zshare.net/download/5937302f231ba3/
hjthis ecco il log http://www.zshare.net/download/593754236fbcbd/
awf http://www.zshare.net/download/5937577a4b2fe9/

[UtenteSospeso]

Il PC Aziendale lo fanno usare in modalità Administrator ?

Forse + che aziendale è della TUA azienda.

[Riverside]

Quote:

Originariamente inviato da tempestasolare

lper il ripristino: già disabilitato (si tratta di computer aziendale)

Questo avresti dovuto farlo sapere prima e poi, scusa, ma dove navighi per incasinarti in questa maniera?.

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?:

O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)

Questa roba la conosci?

O17 - HKLM\System\CCS\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166

O17 - HKLM\System\CS1\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166

156.54.205.68, 156.54.17.166
Address: P.O. Box 10096
address: Via Saverio Dioguardi, 1
address: I-70124 Bari
address: Italy
address: Netsiel S.p.A.
address: Via Saverio Dioguardi, 1
address: I-70124 Bari
address: IT

Poi, fai analizzare questo exe su VIRUS TOTAL: vai a Virustotal

C:\WINDOWS\TEMP\HK843.EXE

allega il Report che verrà rilasciato

[tempestasolare]

Quote:

Il PC Aziendale lo fanno usare in modalità Administrator ?

Forse + che aziendale è della TUA azienda.

Magari fossi il proprietario, purtroppo è un notebook dato in dotazione come dipendente ad alta mobilità con account da amministratore per via del lavoro che svolgo.

Quote:

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?

si, è aggiunta volontariamente.

il file HK843.exe non è più presente nella directory c:\windows\temp. ora trovo AV8BB5.exe (icona con un cane).
faccio analizzare questo file da virustutorial?

[Chill-Out]

L'icona raffigurante un cane è inerente al tuo AV TrendMicro, allega un nuovo log di HJT dopo aver fixato le voci indicate.

[Riverside]

Quote:

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?

Quote:

Originariamente inviato da tempestasolare

si, è aggiunta volontariamente.

Sono sicuro di averti detto, nel mio primo reply, che quella roba va fixata.

Quote:

Originariamente inviato da tempestasolare

il file HK843.exe non è più presente nella directory c:\windows\temp.

Te la ho indicata perché era ancora presente nell'ultimo log di Hthis che hai pubblicato.
Tra l'altro, nel reply precendente, ti ho anche indicato due voci O17 che contengono degli IP: ti ho chiesto se ne conosci la provenienza.
Il log di Bitdender, è pulito; quello di FindAWF non evidenzia nulla di particolare.
Prima di alllegare, come ti ha richiesto, giustamente, Chill, dopo aver fixato tutte quelle voci, un nuovo log di Hthis:

scarica SYSCLEAN TRENDMICRO: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica il Virus pattern files per Windows (le definizioni vengono aggiornate, quotidianamente): clicca qui per il download

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● lascia disabilitato in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la la casella Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

[tempestasolare]

sorry, per la risposta incompleta !
le voci 17 sono IP conosciuti.
esegue quanto suggerito e riposto....

Intanto ringrazio.

DA

[tempestasolare]

Quote:

Prima di alllegare, come ti ha richiesto, giustamente, Chill, dopo aver fixato tutte quelle voci, un nuovo log di Hthis:

ecco il log Hjthis
http://www.zshare.net/download/59578446e33505/

Quote:

● lancia l'eseguibile Sysclean.com
● spunta la la casella Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

http://www.zshare.net/download/59597956aaabda/

ragazzi sono un pò scoraggiato!
ancora niente.
Il delizioso cagnolino fa ancora capolino nella directory c:windows\temp
http://www.zshare.net/download/595986159937c5/

[juninho85]

un log completo di gmer?