PDA

Visualizza versione completa : Aiuto con log


dongigi
18-01-2009, 14.42.57
Ragazzi ho bisogno di voi, mi serve sapere se ho dei problemi perchè non riesco a capirci molto...
ho efffettuato la scansione con Combofix

ComboFix 09-01-17.03 - Fede 2009-01-18 14.26.05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.768.393 [GMT 1:00]
Eseguito da: c:\documents and settings\Fede\Desktop\ComboFix.exe
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Outdated)
* Creato nuovo punto di ripristino
* Resident AV is active

.

((((((((((((((((((((((((( Files Creati Da 2008-12-18 al 2009-01-18 )))))))))))))))))))))))))))))))))))
.

2009-01-18 14:26 . 2009-01-18 14:26 584 --a------ c:\windows\system32\settingsbkup.sfm
2009-01-18 14:26 . 2009-01-18 14:26 584 --a------ c:\windows\system32\settings.sfm
2009-01-18 13:41 . 2009-01-18 13:41 <DIR> d-------- c:\documents and settings\Fede\Dati applicazioni\vlc
2009-01-18 13:38 . 2009-01-18 13:38 409,600 --a------ c:\windows\system32\wrap_oal.dll
2009-01-18 13:37 . 2009-01-18 13:37 <DIR> d-------- c:\windows\system32\Data
2009-01-18 13:37 . 2009-01-18 13:38 <DIR> d-------- c:\windows\LastGood
2009-01-18 13:37 . 2009-01-18 13:39 <DIR> d-------- c:\programmi\Creative
2009-01-18 13:37 . 2002-04-11 09:41 65,536 --a------ c:\windows\system32\OLD764C.tmp
2009-01-18 13:37 . 2007-06-06 09:40 5,663 --a------ c:\windows\system32\ludap17.ini
2009-01-18 13:37 . 2007-05-23 09:53 75 --a------ c:\windows\system32\ctzapxx.ini
2009-01-18 12:23 . 2009-01-18 13:41 <DIR> d-------- c:\programmi\eMule
2009-01-18 12:19 . 2009-01-18 12:19 <DIR> d--hs---- c:\documents and settings\Fede\PrivacIE
2009-01-16 23:42 . 2008-06-12 11:28 26,144 --a------ c:\windows\system32\spupdsvc.exe
2009-01-16 23:41 . 2009-01-16 23:42 <DIR> d-------- c:\windows\system32\it-it
2009-01-16 23:41 . 2009-01-16 23:42 <DIR> d--h-c--- c:\windows\ie8
2009-01-16 22:18 . 2009-01-16 22:17 512,096 --a------ c:\windows\system32\drivers\amon.sys
2009-01-16 22:18 . 2009-01-16 22:17 299,392 --a------ c:\windows\system32\imon.dll
2009-01-16 22:18 . 2009-01-16 22:17 15,424 --a------ c:\windows\system32\drivers\nod32drv.sys
2009-01-16 22:17 . 2009-01-18 13:08 <DIR> d-------- c:\programmi\ESET
2009-01-16 22:01 . 2009-01-16 22:01 <DIR> d-------- c:\programmi\VideoLAN
2009-01-16 22:01 . 2009-01-16 22:01 <DIR> d-------- c:\programmi\Notepad++
2009-01-16 22:01 . 2009-01-16 22:01 <DIR> d-------- c:\programmi\Foxit Software
2009-01-16 22:01 . 2009-01-16 22:01 <DIR> d-------- c:\documents and settings\Fede\Dati applicazioni\Notepad++
2009-01-16 21:39 . 2009-01-18 11:49 <DIR> d-------- c:\programmi\Mozilla Thunderbird
2009-01-16 21:39 . 2009-01-16 21:39 <DIR> d-------- c:\documents and settings\Fede\Dati applicazioni\Thunderbird
2009-01-16 21:39 . 2009-01-16 21:39 <DIR> d-------- c:\documents and settings\Fede\Dati applicazioni\Talkback
2009-01-16 21:33 . 2009-01-16 21:33 0 --a------ c:\windows\nsreg.dat
2009-01-16 21:26 . 2009-01-18 13:40 <DIR> d--h----- c:\programmi\InstallShield Installation Information
2009-01-16 21:26 . 2009-01-18 13:37 <DIR> d-------- c:\programmi\File comuni\InstallShield
2009-01-16 21:26 . 2009-01-16 21:26 <DIR> d-------- c:\programmi\D-Link
2009-01-16 21:26 . 2009-01-16 21:26 <DIR> d-------- c:\programmi\ANI
2009-01-16 19:03 . 2004-08-19 18:27 146,944 --a------ c:\windows\system\WINSPOOL.DRV

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2009-01-18 12:38 114,688 ----a-w c:\windows\system32\OpenAL32.dll
2009-01-16 19:25 --------- d-----w c:\programmi\microsoft frontpage
2009-01-16 19:23 --------- d-----w c:\programmi\Servizi in linea
2004-08-19 17:27 162,140 --sha-r c:\windows\system32\hivehva.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2004-08-19 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"D-Link AirPlus G"="c:\programmi\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2009-01-16 950664]
"P17Helper"="P17.dll" [2005-05-03 c:\windows\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"1698:TCP"= 1698:TCP:yngzjgme

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod3 2drv.sys [2009-01-16 15424]
S4 neqgs;Microsoft Update;c:\windows\system32\svchost.exe -k netsvcs [2004-08-19 14336]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - CTSFM2K
*NewlyCreated* - OSSRV

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
neqgs
.
.
------- Scansione supplementare -------
.
LSP: c:\windows\system32\imon.dll
TCP: {2CB4FF3E-9E6C-467F-A70F-5E8B8F720725} = 208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\Fede\Dati applicazioni\Mozilla\Firefox\Profiles\x8q9bkpw.def ault\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-18 14:27:05
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\n eqgs]
"ServiceDll"="c:\windows\system32\hivehva.dll"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(724)
c:\windows\system32\imon.dll
.
Ora fine scansione: 2009-01-18 14.28.09
ComboFix-quarantined-files.txt 2009-01-18 13:28:07

Pre-Run: 34.962.337.792 byte disponibili
Post-Run: 34,973,454,336 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

113

leofelix
18-01-2009, 16.20.00
benvenuto nel forum di wintricks,
non conosco bene il ComboFix, in ogni caso mi sembra di capire che il tuo sistema era rimasto infettato da una 'applicazione fuorviante' o 'rogue antivirus' (falso antivirus o falso antispyware)
Se sì, come il file PrivacIE indica, quel malware dovrebbe essere stato rimosso.

Rootkit non sono state rilevate, vedo.

Ti potrebbe essere di aiuto questa guida:

http://www.wintricks.it/software/combofix.html

In merito al malware di cui parlo ecco cosa ho trovato:

http://www.oral8.cn/viruscom/viruscom_18873.html

Domande: Il sistema ha ripreso a funzionare correttamente e così anche il NOD32 2.7 che vedo hai installato?

In ogni caso, scarica il MalwareBytes'AntiMalware 1.33 da qui:

http://www.gt500.org/malwarebytes/mbam-setup.exe

installalo, aggiornalo (è in italiano e lo puoi usare gratuitamente a parte la protezione in tempo reale) e fagli fare una scansione veloce del sistema.
Quindi cortesemente postane il log dei risultati,

Buona domenica e ancora benvenuto a bordo:)

dongigi
18-01-2009, 17.07.28
grazie mille, ora lo faccio.

Comunque il nod mi segnava un'infezione da un worm, il "Conficker.AA worm"...
ora non più, ma mi segna un virus che non riesce a correggere....

dongigi
18-01-2009, 17.18.58
sembrerebbe che non c'è nulla

Malwarebytes' Anti-Malware 1.33
Versione del database: 1654
Windows 5.1.2600 Service Pack 2

18/01/2009 17.18.02
mbam-log-2009-01-18 (17-18-02).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 51183
Tempo trascorso: 7 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

leofelix
19-01-2009, 10.38.16
Molto bene per il Log del MalwareBytes' che ti consiglio di aggiornare anche più volte al giorno e fare scansioni rapide di tanto in tanto.

Il worm Conflicker indica che il tuo sistema operativo non è stato aggiornato alle recenti patch di sicurezza rilasciate dalla Microsoft e che probabilmente non usi nessun personal firewall.
Ovvero queste qui indicate:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Come conseguenza
scarica questi removal tool gratuiti sul desktop

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe

e anche questo:

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

(decomprimi il contenuto sul desktop)


Disattiva temporaneamente il ripristino di configurazione seguendo queste istruzioni

http://www.sicurezzainrete.com/disabilitare_system_restore.htm

Riavvia il sistema in modalità provvisoria (tasto F8 più volte se necessario al riavvio)

ora esegui il primo strumento della Symantec e fagli fare la scansione avendo cura di essere disconnesso da internet.

Nel caso il tool della Symantec fallisse o per sicurezza lancia anche l'eseguibile contenuto nel file compresso zip della F-Secure e fagli fare la scansione.

Una volta terminato, riavvia il sistema normalmente, quindi ricollegati a internet con la massima celerità

Apri Internet Explorer e lancia windowsupdate installa quindi tutti gli aggiornamenti critici che ti vengono proposti.

Al termine ti verrà chiesto di riavviare il sistema.
Adesso puoi riattivare il ripristino di configurazione e iniziare a meditare su quale Personal Firewall iniziare a usare.

Ce ne sono di gratuiti, in italiano e molto validi, per la semplicità d'uso ed efficacia ti suggerirei il PC tools Frewall Plus 5.0, ma puoi consultare qui nel forum e chiedere senza tema.

Buona giornata,. attendo esiti spero positivi.
E se non sono stato chiaro ti prego di farmi sapere, grazie