|
|||||||
|
|
|
 |
|
|
Strumenti |
27-04-2010, 16:03
|
#1 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 33
|
[WinXP] Aiuto identificazione virus / rootkit
Ciao a tutti,
dopo aver provato in tutti i modi eccomi qui a chiedere il vostro aiuto. Ho un pc in ufficio che ha iniziato qualche giorno fa a comportarsi in modo strano: - Internet explorer non funziona bene (tutto ciò che non è banalmente html non lo visualizza, vedi igoogle, facebook, ecc) - L'antivirus McAfee è in systray ma non posso aprirlo, non ha menù contestuale, non ha descrizione quando lascio la freccia del mouse sull'icona. - Non posso modificare le impostazioni dei files nascosti (quando ci provo, applico e chiudo.. quando riapro il menù di impostazione è di nuovo come era prima) - se provo ad avviare da cd ed eseguire una nuova installazione, al momento dell'interazione per decidere se installare o ripristinare va in BSOD con errore session3_initialization_failed. Ho il piccolissimo sospetto che ci sia qualcosa che non va... un rootkit?? Un virus di qualche genere annidato dove non batte il sole?  Posto il log di HijackThis.. a me sembra tutto ok... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15.53.27, on 27/04/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\File comuni\McAfee\SystemCore\mfevtps.exe C:\Programmi\lotus\notes\ntmulti.exe C:\Programmi\File comuni\McAfee\SystemCore\mcshield.exe C:\Programmi\File comuni\McAfee\SystemCore\mfefire.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE C:\Programmi\SHARP\PCFAX2.0\PcfaxRcv.exe C:\Programmi\Sharp\Sharpdesk\SharpTray.exe C:\Programmi\Sharp\Sharpdesk\FtpServer.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\McAfee.com\Agent\mcagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\3M\PSNLite\PsnLite.exe C:\PROGRA~1\3M\PSNLite\PSNGive.exe C:\Programmi\Sharp\Sharpdesk\nsapp.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.19.* R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programmi\File comuni\McAfee\SystemCore\ScriptSn.20100427113004.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Receiver] C:\Programmi\SHARP\PCFAX2.0\PcfaxRcv.exe O4 - HKLM\..\Run: [IndexTray] "C:\Programmi\Sharp\Sharpdesk\IndexTray.exe /n" O4 - HKLM\..\Run: [SharpTray] C:\Programmi\Sharp\Sharpdesk\SharpTray.exe O4 - HKLM\..\Run: [FtpServer.exe] C:\Programmi\Sharp\Sharpdesk\FtpServer.exe -usedefault O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [mcui_exe] "C:\Programmi\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.google.it O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168017546640 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1168017749078 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = RETEDATI.locale O17 - HKLM\Software\..\Telephony: DomainName = RETEDATI.locale O17 - HKLM\System\CCS\Services\Tcpip\..\{579A2886-FAB7-4282-A036-C836036B9B05}: NameServer = 192.168.10.7 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = RETEDATI.locale O17 - HKLM\System\CS1\Services\Tcpip\..\{579A2886-FAB7-4282-A036-C836036B9B05}: NameServer = 192.168.10.7 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = RETEDATI.locale O17 - HKLM\System\CS2\Services\Tcpip\..\{579A2886-FAB7-4282-A036-C836036B9B05}: NameServer = 192.168.10.7 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = RETEDATI.locale O17 - HKLM\System\CS3\Services\Tcpip\..\{579A2886-FAB7-4282-A036-C836036B9B05}: NameServer = 192.168.10.7 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = RETEDATI.locale O17 - HKLM\System\CS4\Services\Tcpip\..\{579A2886-FAB7-4282-A036-C836036B9B05}: NameServer = 192.168.10.7 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\McSvcHost\McSvHost.exe O23 - Service: McShield - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\\mcshield.exe O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\\mfefire.exe O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\Programmi\File comuni\McAfee\SystemCore\mfevtps.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programmi\lotus\notes\ntmulti.exe -- End of file - 7318 bytes Chiunque abbia un'idea è il benvenuto!!! Grazieee Ultima modifica di GrendelWT : 27-04-2010 alle 16:42. |
|
|
|
27-04-2010, 17:49
|
#2 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao
per il solo controllo del log di hjt sappi che esiste un 3d dedicato segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (esempio1 & esempio2) Qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura link caricamento log generici ► wikisend ■ fileqube
link caricamento immagini ► imageshack ■ fileqube
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:33.
