Possibile infezione? mi richiede accesso a diversi ip

[mavieni74]

Ciao a tutti da ieri mi compare una finestra di allerta del mio antivirus (eset smart security) che in rosso segnala un cambiamento in iexplorer dopo vari tentativi (mi dava la possibilità di scegliere tra deny e allow) ho optato per deny e cliccando varie volte su defoult (mi chiedeva se andavano bene alcune impostazioni) la finestra non compare più.
Ora però ogni volta che lancio explorer (la pagina principale è quella di hwupgrade) mi compare la finestra di autorizzazione al traffico internet dicendomi così:
Outbound traffic
internet

an application running on this computer is attempting to comunicate with remote computer. do you wish to allow this comunication?

Application: internet explorer
Pubblisher: Microsoft windows publisher
remote computer: 151.1.244.2
remote port: 80 (http)

Allow deny

ogni volta che clicco su allow ricompare per 3-4 volte (potrei anche mettere remember action o tempory remember)
poi ne compare una nuova con scritto remote computer: fx-in-f164.google.com
poi una con remote computer:62.32.97.20
poi nuovamente fx-in-f164.google.com ma con tra parentesi (74.125.39.157)
poi una con fx-in-f164.google.com (209.85.129.101)
poi 4.71.209.23
nuovamente 62.32.97.20 per 2 volte e finalmente mi accede alla pagina

Vi chiedo pertanto ma è normale? sono infetto? che devo fare?per ora navigo con firefox ma mi serve anche explorer ho infatti provato a disinstallare sia la versione 8 che la 7 ma niente tutto come prima

[mavieni74]

non so se può essere utile questo è il log file di hijakthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.14.31, on 03/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ESET\ESET Smart Security\ekrn.exe
C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\LogMeIn\x86\RaMaint.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe
C:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
C:\Programmi\Ralink\Common\RalinkRegistryWriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Nortek Keyboard Mouse Application\MouseDrv.exe
C:\Programmi\Nortek Keyboard Mouse Application\PS2USBKbdDrv.exe
C:\Programmi\File

[Chill-Out]

In funzione dei nuovi elementi valutativi riapro la discussione e ti invito a seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

[mavieni74]

grazie rimango in attesa di capire quale log sia necessario per avere maggior aiuto, ho provato anche ad attivare prevx ma non riesco a farlo funzionare poichè prova a connettersi a explorer con le relative miriadi di blocchi....

[xcdegasp]

servono tutti o tutti quelli che riesci a ottenere, per quelli che non riesci a produrre sarebbe d'aiuto publicassi uno screener (stampa del video) dell'errore

[mavieni74]

sono ultra nibbo quindi ditemi come fare per avere il log dai programmi ad esempio sono riuscito a fare una scansione con prevx ma non riesco ad avere un log da pubblicare come si fa a copiare la videata? dici stampa il video come?

[xcdegasp]

per salvare il log c'è scritto nella guida, per stampare la schermata attiva basta premere alt e stamp, poi vai in paint e incolli, salvi come PNG o JPEG e pubblichi l'immagine su imageshake.us

[mavieni74]

Ecco 2 schermate di prevx credo che ci siano dei falsi positivi poichè dei file di nod li uso per l'antivirus





ed ecco il log di Malwarebytes:

Quote:

Malwarebytes' Anti-Malware 1.40
Versione del database: 2559
Windows 5.1.2600 Service Pack 3

04/08/2009 18.36.09
mbam-log-2009-08-04 (18-35-58).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 108310
Tempo trascorso: 16 minute(s), 11 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nodlogin (Trojan.Downloader) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\ESET\ESET Smart Security\nodlogin.exe (Trojan.Downloader) -> No action taken.

[xcdegasp]

se tu leggevi e avessi fatto esattamente cio che ti ho detto di fare avresti:
1) letto le regole di sezione cosa che non hai ancora fatto

2) cancellato gli oggetti trovati da malwarebytes mentre dal log risulta che a fine scansione hai semplicemente chiuso il programma

3) la schermata stampata sarebbe stata solo quella attiva e l'avresti salvata sempliucemente salvata con paint senza passare da word, che solo tu sai perchè hai incollato in word per poi salvare nuovamente il tutto come immagine

4) avremmo un log di prevx

[mavieni74]

dunque il log di prevx si dovrebbe leggere dalle immagini e invece ho cancellato tutti i malware con malwarebytes ho avuto pochissimo tempo oggi cercherò di fare il brave leggere la guida e fare tutto nella maniera più corretta, ora però vi aggiorno dicendovi che iexplorer non funziona più quando lancio il browser poi si richiude.

[xcdegasp]

il log ci da una situazione nel dettaglio cosa che manca dalle immagini!

[mavieni74]

dunque ho seguito pari pari la guida come prima cosa però linko l'immagine dell'allerta che mi da nod32 circa explorer, come vi avevo detto non andava più explorer dopo aver rimosso i file segnalati da malwarebytes così ho reinstallato explorer 8 e appena riavviato e lanciato il browser ecco cosa compare:




poi ho lanciato ATF cleaner come citato dalla guida e al primo passaggio mi compare una finestra d'errore che compare a volte ultimamente ecco l'immagine:




comunque sono riuscito a concludere la pulizzia
ora passo a lanciare prevx e mawarebytes e vi posto i log
aggiungo che nella finestra di allerta di nod ho poi cliccato su allow e a quel punto mi si è aperta tutta una serie di finestre di installazione dei componenti di ie dove mi si chiedeva se installare google ecc ecc poi ho provato a lanciare explorer e nod mi ha nuovamente segnalato tutte le finestre che avevo linkato nei post precedenti tra cui anche quella mail.17eccecc

[mavieni74]

sto scansionando con malwarebytes nel frattempo metto il link al log di prevx che mentre va malwarebytes mi ha segnalato anche come high risk cloaked tutti i file exe dei programmi microsoft (acces powerpoint ecc ecc)

prevx.doc

[mavieni74]

ecco i link per i log di prevx rifatto viste le nuove segnalazioni e malwarebytes...spero che vi sia sufficente per darmi una mano anche perchè non capisco cosa ci sia che non va....

prevx1.txt


malwarebytes.txt

[mavieni74]

questo invece è stato eliminato tramite f-secure on line =

1 malware rilevati
Adware.Generic.60884 (spyware)
Sistema (Disinfettati)

[Chill-Out]

Questo è quello che succede quando si installano programmi per i quali non è stata acquistata regolare licenza, se non opti per una soluzione legale non può essere prestata assistenza, spero di essere stato chiaro ed esaustivo.

[mavieni74]

si ma il nod non e il problema ho la licenza gli eseguibili sono delle prove per testarlo quando volevo scegliere l'antivirus e i miei guai non dipendono da questo poi potete crederci o meno ora lo uso pure in ufficio e figurati se vado a correre rischi pertanto ritenete si possa avere aiuto o no? se decidete per il no chiudiamo pure mi sono rivolto qui perchè mi fido di hw e mi ritengo onesto non avrei linkato i log altrimenti

[xcdegasp]

dai su fai ils erio, c'è la versione trial se vuoi provare NOD32 come tutti quanti abbiamo fatto nel corso degli anni quindi finiamola con le raspate

hai il Trojan.Downloader preso appunto con quel bel fix che da mesi circola e da mesi ha piegato i furboni..
disinstalla nod32, inserisci la licenza, e poi vediamo come è la situazione

[mavieni74]

Quote:

Originariamente inviato da xcdegasp

dai su fai ils erio, c'è la versione trial se vuoi provare NOD32 come tutti quanti abbiamo fatto nel corso degli anni quindi finiamola con le raspate

hai il Trojan.Downloader preso appunto con quel bel fix che da mesi circola e da mesi ha piegato i furboni..
disinstalla nod32, inserisci la licenza, e poi vediamo come è la situazione

scusami ma da dove si evince che ho un trojan downloader?

[xcdegasp]

probabilmente dal fatto che emerge dalle scansioni eseguite? di sicuro non perchè ci divertiamo a inventare cavolate, i numeri della sezione parlano chiaro, fossimo degli incopetenti non staresti qui a chiederci aiuto

Quote:

log malwarebytes
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

File infetti:

C:\Program_installati\antivirus\ESET Smart Security 3.0.672.0 by crack key\crack\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


log prevx
[BP] c:\program_installati\antivirus\eset smart security 3.0.672.0 by crack key\crack\setup.exe [PX5: 5DFEC45530B638B378CE0591124B5D002165D51B] Malware Group: Medium Risk Malware

[b] c:\programmi\eset\eset smart security\eset.smart.security.or.eset.antivirus.(tested.on.v3.0.669)-patch-version-5.exe [PX5: D0A6596600C666D3A25700274BA84600424142E5] Malware Group: Medium Risk Malware

[BP] c:\program_installati\antivirus\eset smart security 3.0.672.0 by crack key\crack\nod enabler.exe [PX5: DDB41B7D3E089DEF26240EB6E2371B00724FBAB9] Malware Group: High Risk Worm

[b] c:\documents and settings\user\desktop\microsoft office 2007 ita - portable\microsoft office access 2007.exe [PX5: 8EC42C4FB40BAC2DDED600DC6FF43700C69A0E5B] Malware Group: High Risk Cloaked Malware

[b] c:\documents and settings\user\desktop\microsoft office 2007 ita - portable\microsoft office excel 2007.exe [PX5: 5E9E92B90EA06A618FB800ECC99E4600C9ED73EB] Malware Group: High Risk Cloaked Malware

[b] c:\documents and settings\user\desktop\microsoft office 2007 ita - portable\microsoft office powerpoint 2007.exe [PX5: 7C3C3F38CEC3FC9ECAEA005A51CB02006B8380D1] Malware Group: High Risk Cloaked Malware

[b] c:\documents and settings\user\desktop\microsoft office 2007 ita - portable\microsoft office publisher 2007.exe [PX5: BEF0988D4CC189FBD66800E6E627E2006881F4AA] Malware Group: High Risk Cloaked Malware

[BP] c:\documents and settings\user\desktop\nokia\navigatore garmin\keygen\imei converter.exe [PX5: CF482AAC00B5E0B9FCC7031953109700B89B2A44] Malware Group: Medium Risk Malware

[BP] c:\documents and settings\user\desktop\v ideo editing ecc\tube hunter ultra 2.0\keygen.exe [PX5: BCAECD20004FB6F2D4830062F29ABE00BE01852F] Malware Group: High Risk Worm

[BP] c:\documents and settings\user\desktop\calcio\remotecontrol.exe [PX5: BAB2266FAA9F2CA86A1E16A3EC99B600CD6586DF] Malware Group: High Risk Worm

non vedo quale sia il problema a rienstallare nod32 se realmente possiedi la licenza inoltre non vedrei comunque motivo della morbosità a ostinarsi ad usare quel antivirus commerciale considerando che esistono antivirus free che sono allo stesso pari come ad esempio Avira Antivir Classic quindi rimanendo nel legale.