Visualizza messaggio singolo
Vecchio 09-12-2006, 21.58.01   #1
millovanillo
Senior Member
 
Registrato: 23-06-2003
Loc.: prov di Alessandria
Messaggi: 293
millovanillo promette bene
[SpyBot] possibile malware?? Risolto

Ciao a tutti.

Dopo che oggi, nella precedente sessione in internet l'antivirus (Avast) mi ha rilevato (e presumo eliminato, anche se come azione repressiva mi ha solo disconnesso, credo) un malware, stasera vado a fare l'aggiornamento sia di Ad-Aware che di SpyBot S&D e quest'ultimo mi avvisa, nella schermata iniziale, che "SpyBot è cambiato dall'ultima volta, che SpyBot non si cambia da solo e che probabilmente c'è un malware da qualche parte nel mio pc" (ovviamente il mex è in inglese e io l'ho semplificato.

Oltretutto ho notato che nell'esecuzione automatica alcuni programmi non venivano eseguiti (con creazione di cartella "bak" dove sono poi dovuto andare a riprendere gli exe originali).


Cosa devo fare per vedere e togliere l'eventuale malware??

Vi allego un HiJackThis appena fatto:

-------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20.52.00, on 09/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\File comuni\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\UpsMon\UPSMON_Service.Exe
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Html2Pop3\html2pop3.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\PROGRA~1\MAGICM~1\Magic.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\AutoSizer\AutoSizer.exe
C:\Programmi\ProtoWall\ProtoWall.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Phase One\Capture One PRO\DCIMImp.exe
C:\Programmi\UpsMon\UPSMON.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.winereport.com/ita/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UPSMON] C:\Programmi\UpsMon\UPSMON.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Phase One Media Reader] C:\PROGRA~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programmi\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [ProtoWall] C:\Programmi\ProtoWall\ProtoWall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Html2pop3.lnk = C:\Programmi\Html2Pop3\html2pop3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Magic Mail Monitor su Muletto.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{934DA149-EEA9-44C0-9F10-D21A25EC7C85}: NameServer = 85.37.17.41 85.38.28.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{C191F6C1-9FD8-4236-B6E5-3405E9B1BAF9}: NameServer = 212.216.112.112,212.216.172.62
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programmi\File comuni\Autodata Limited

Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File

comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File

comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programmi\UpsMon\UPSMON_Service.Exe
----------------------------------------------------------

Grazie mille a chi mi dedica un attimo.





EDIT:

Edito xchè ho risolto da solo.
In pratica non so che malware fosse, però avevo notato che faceva sparire gli eseguibili di diversi programmi che ho normalmente in background (Autosizer, Protowall, SpyBot tea timer, SpeedTouch diagnostic, ecc ecc).
Andando a vedere nelle cartelle di tali programmi ho notato una cartella nominata "bak" creata oggi all'ora della penultima sessione.
Dopo scansione con Dr.Web sono andato a sostituire tutti gli exe che la scansione mi dava come possibili troyan.
Rifatta scansione sia con Dr.Web che con Avg Anti-Spyware che con Gmer, alla fine non è risultato più nulla.
meglio così....anche se non ho la soddisfazione di aver capito che tipo di malware avevo.
___________________________________

Ciaaooo!!!

Ultima modifica di millovanillo : 10-12-2006 alle ore 01.24.33
millovanillo non è collegato   Rispondi citando