Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

c'è un "rogue" nel mio pc??

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

c'è un "rogue" nel mio pc??

Postdi essed » 17/09/08 12:13

ciao a tutti...un mio pc è infestato! oltre a vari virus dicui sospetto la presenza pare ci sia un software rogue (quello che simula l'antivirus)...
aiutooo!! ho fat il file log di hijackthis, ho già provato di tutto!

..grazie..

Logfile of HijackThis v1.99.1
Scan saved at 13:51:20, on 07/01/2000
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Antamedia\Caffe\ICHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Windows\Desktop\condivisa9\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Caffe-ICHelper] C:\Antamedia\Caffe\ICHelper.exe
O4 - HKCU\..\Run: [Caffe-Client] C:\Antamedia\Caffe\Client.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InternetCaffeHelper] ICHelper.exe
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6722691687
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C3ECCA-DF71-40AC-A6E7-A8EB43D1B8FA}: NameServer = 62.211.69.150,212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: neqelc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Sponsor
 

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 17/09/08 12:53

Ciao, vediamo se questo ti risolve il problema; scarica superantispyware edizione free da qui:
http://www.superantispyware.com/superan ... vspro.html
installalo e aggiornalo con "check for updates", fai una scansione completa del computer, eliminando ciò che trova.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 17/09/08 15:45

grazie per il suggerimento ma...
il mostro che sto covado è impressionante, per cominciare mi blocca la connessione dell'update all'antivirus, per non parlare del fatto che reindirizza le ricerche sia da motori di ricerca che dal browser, e dal computer infetto, per esempio non posso neanche aprire il vostro forum..
non ho potuto aggiornare il superantispyware e l'ho potuto lanciare solo in modalità provvisioria con la rete, perhè mi si riavvia il pc dopo qualche secondo se lo lanco da modlità normale di windows.
ho fatto una prima scansione, mi ha rilevato parecchi tra trojan, rogue, cookie etc... ma una volta eliminati e riavviato i sintomi ci sono di nuovo tutti. ho rilanciato l'antispyware ma non credo risolverò molto..
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 17/09/08 16:38

Ciao, Scarica combofix con un computer non infetto, se lo hai, altrimenti salvalo in una pendrive.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Una volta scaricato il programma (lo metti in una pendrive o direttamente o da un altro computer), poi riavvia in modalità provvisoria il computer infetto.
Dalla modalità provvisoria, metti combofix.exe sul desktop, fatto questo:

clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\combofix.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 19/09/08 12:02

ciao,
ho cercatodi fare come mi hai detto ma il comando non parte nè con la modalità provvisoria, nè dall'avvio normale...
ho rifatto un log con hijackthis...magari si capisce qualcosa...
io nel frattempo provo a rilanciare il supeantispyware o tento con qualche antivirus online...
aspetto un tuo responso...e grazie!


Logfile of HijackThis v1.99.1
Scan saved at 12:41:26, on 19/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Antamedia\Caffe\ICHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Windows\Desktop\condivisa9\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {daddde16-ad64-b38b-e604-3a5b295a1706} - {6071a592-b5a3-406e-b83b-46da61edddad} - C:\WINDOWS\system32\kiuptq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [f8b7b90f] rundll32.exe "C:\WINDOWS\system32\ugvhsfbg.dll",b
O4 - HKCU\..\Run: [Caffe-ICHelper] C:\Antamedia\Caffe\ICHelper.exe
O4 - HKCU\..\Run: [Caffe-Client] C:\Antamedia\Caffe\Client.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InternetCaffeHelper] ICHelper.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6722691687
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C3ECCA-DF71-40AC-A6E7-A8EB43D1B8FA}: NameServer = 62.211.69.150,212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: kiuptq.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 19/09/08 12:32

Ma combofix l'hai scaricato correttamente o no?
Se non parte con il comando, una volta copiato sul desktop dalla pendrive, avvialo direttamente cliccandoci sopra, nella finestra che si apre digiti 1, dai invio e segui le istruzioni a schermo.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 19/09/08 19:56

è un incubo...
quando ho provato il combofix su un altro pc mi diceva che il file era corrotto (almeno, a differenza del computer infetto ha dato un segno di vita...), quindi l'ho riscaricto e provato su un pc diverso (ha funzionato perfettamente), dopodichè ho riprovato sul pc infestato e:
-in modalità provvisoria con la rete nn ha dato segni di vita (sia dal comando di esegui, sia eseguendolo direttamente)
-in modalità provvisoria senza rete nn ha dato segni di vita ma cliccando con il destro sul file ho dato il comando "apri come.." ho specificato administrator e mi ha detto che il comando nn poteva essere eseguito in mod. provv."
così ho riavviato in mod normale e con lo stesso stratagemma "apri come.."(dato che non si esegue neanche a colpi di legno) mi dice che ho delle restrizioni come account utente (cosa che non è dato che accedo come amministratore)...
che faccio contatto il solito esorcista??
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 19/09/08 21:32

Boh, scarica systemscan:
http://www.suspectfile.com/systemscan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus e verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Utilizzando la possibilità che ti dà il forum, allega il file con estensione .zip nella tua prossima risposta.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 24/09/08 18:31

grazie...questo ha funzionato finalmente!!
ti allego lo zip! e il file nel prossimo post (assieme non li carica)
grazie ancora
Allegati

[L’estensione zip è stata disattivata e non puó essere visualizzata.]

essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi essed » 24/09/08 20:01

non posso allegarlo perchè troppo grande (è un poema!)
qui c'è però il link al file:
http://host.xzshare.com/?d=C57275881

ri-grazie e buona lettura
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 25/09/08 09:11

Ciao, ci sono un sacco di infezioni, per cui:
scarica virit:
http://www.tgsoft.it/italy/index_ita.html
malwarebytes da qui:
http://www.malwaresupport.com/mbam/prog ... -setup.exe
atf cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
aggiorna virit e malwarebytes
Riavvia in modalità provvisoria:
http://www.p2pforum.it/forum/showthread ... 92#modprov

esegui virit e malwarebytes eliminando tutto ciò che trovano (nel caso di malwarebytes quando ti visualizza i malware trovati ricorda di farglieli eliminare subito tramite l'apposito tasto)
esegui atf cleaner (lo lanci, premi select all) poi Empy selected, aspetti la fine dello scan con Done cleaning)

Riavvia in mod.normale, Allega i log di Virit (C:\vexplite) e di Malwarebytes , oltre a un nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 27/09/08 15:40

fatto tutto!
ci sono gli allegati (2 di mbam perchè uno l'ha generato automaticamente dopo la pulizia uno l'avevo fattoio prima per scrupolo)
ho eseguito anche l'ATF (è normale che sia così rapido???)

e qui il log di hijack
comunque vada ti ringrazio per la pazienza e la disponibilità!


Logfile of HijackThis v1.99.1
Scan saved at 16:33:02, on 27/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Antamedia\Caffe\ICHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Windows\Desktop\condivisa9\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [Caffe-ICHelper] C:\Antamedia\Caffe\ICHelper.exe
O4 - HKCU\..\Run: [Caffe-Client] C:\Antamedia\Caffe\Client.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InternetCaffeHelper] ICHelper.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6722691687
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C3ECCA-DF71-40AC-A6E7-A8EB43D1B8FA}: NameServer = 62.211.69.150,212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: kiuptq.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi essed » 27/09/08 16:14

e visto che è riuscito a partire anche il combofix allego il log:

ComboFix 08-09-26.06 - Windows 2008-09-27 16:41:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.89 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Windows\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER


((((((((((((((((((((((((( Files Creati Da 2008-08-27 al 2008-09-27 )))))))))))))))))))))))))))))))))))
.

2008-09-19 12:32 . 2008-09-19 12:32 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\AdobeUM
2008-09-17 15:53 . 2008-09-17 15:53 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\SUPERAntiSpyware.com
2008-09-17 15:17 . 2008-09-17 15:17 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-09-17 15:16 . 2008-09-17 15:16 <DIR> d-------- C:\Programmi\SUPERAntiSpyware
2008-09-17 15:16 . 2008-09-17 15:16 <DIR> d-------- C:\Programmi\File comuni\Wise Installation Wizard
2008-09-17 15:16 . 2008-09-17 15:16 <DIR> d-------- C:\Documents and Settings\Windows\Dati applicazioni\SUPERAntiSpyware.com

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 19:39 --------- d-----w C:\Documents and Settings\Windows\Dati applicazioni\Skype
2008-09-17 14:11 360,849 --sha-w C:\WINDOWS\system32\bayHPXyb.ini2
2008-09-09 23:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 23:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-30 11:11 40,960 ----a-w C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-08-10 12:49 --------- d-----w C:\Programmi\Java
2008-08-10 12:36 --------- d-----w C:\Programmi\Navilog1
2008-08-10 12:24 --------- d-----w C:\Programmi\Wise Registry Cleaner 3
2008-08-10 12:13 --------- d-----w C:\Programmi\CCleaner
2008-08-09 19:37 --------- d-----w C:\Programmi\Windows Live Safety Center
2007-06-17 21:30 0 ------w C:\Documents and Settings\Windows\ICUpdater.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Caffe-ICHelper"="C:\Antamedia\Caffe\ICHelper.exe" [2007-08-25 458752]
"Caffe-Client"="C:\Antamedia\Caffe\Client.exe" [2007-08-25 2772992]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"SUPERAntiSpyware"="C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2000-01-02 249856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisableRegistryTools"= 1 (0x1)
"NoLogoff"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
2007-10-25 15:28 65536 C:\WINDOWS\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=kiuptq.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winwe28.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
backup=C:\WINDOWS\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BlueSoleil.lnk]
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BTTray.lnk]
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Windows^Menu Avvio^Programmi^Esecuzione automatica^C6 Messenger.lnk]
backup=C:\WINDOWS\pss\C6 Messenger.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PoivY

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Caffe-PrinterTracker]
--------- 2007-08-25 13:25 737792 C:\Antamedia\Caffe\PrinterTracker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-20 00:39 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--------- 2003-10-07 11:02 1711195 C:\Programmi\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 07:31 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--------- 2007-01-19 12:54 5674352 C:\Programmi\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2002-09-10 14:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2002-09-10 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2002-09-10 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--------- 2007-01-13 14:32 98304 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--------- 2006-12-18 18:32 25365032 C:\Programmi\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--------- 2007-01-13 14:34 185896 C:\Programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipStunt]
--------- 2006-12-14 16:18 7513656 C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--------- 2006-11-30 22:49 4662776 C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--------- 2004-08-20 00:39 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
--------- 2003-07-29 19:06 515584 C:\WINDOWS\zHotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowWnd]
--------- 2003-09-19 10:09 36864 C:\WINDOWS\ShowWnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI]
--------- 2007-08-25 13:25 106544 C:\WINDOWS\system32\TWEAKUI.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programmi\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programmi\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"=
"C:\\Programmi\\Messenger\\msmsgs.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 DeepFrz;DeepFrz;C:\WINDOWS\system32\drivers\DeepFrz.sys [2007-10-25 131472]
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-08-30 40960]
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe [2000-01-02 57344]
R3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 162176]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [ ]
.
- - - - ORFÇOS REMOVIDOS - - - -

HKCU-Run-InternetCaffeHelper - ICHelper.exe
MSConfigStartUp-Antivirus - C:\Programmi\VAV\vav.exe
MSConfigStartUp-f8b7b90f - C:\WINDOWS\system32\rtlhmmbl.dll
MSConfigStartUp-Sys6 - C:\Windows\Sys6.exe
MSConfigStartUp-InternetCaffeHelper - ICHelper.exe
MSConfigStartUp-InternetCaffeUpdater - ICUpdater.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Windows\Dati applicazioni\Mozilla\Firefox\Profiles\kqlkbd7g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.it/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-27 16:45:24
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


C:\WINDOWS\system32\wuauclt.exe.wusetup.308359.bak 53080 bytes executable
C:\WINDOWS\system32\wuaueng.dll.wusetup.316281.bak 1712984 bytes executable

Scansione completata con successo
Files nascosti: 2

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execu‡Æo ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Programmi\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2008-09-27 16:51:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-27 14:51:48

Pre-Run: 22,286,548,992 byte disponibili
Post-Run: 22,217,891,840 byte disponibili

171 --- E O F --- 2007-10-27 10:54:45
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54

Re: c'è un "rogue" nel mio pc??

Postdi Luke57 » 27/09/08 17:14

Ciao, apri hijackthis, premi "do a system scan only", cerca e spunta la voce seguente:
O20 - AppInit_DLLs: kiuptq.dll

premi fix checked.

Disistalla virit e informa come va.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: c'è un "rogue" nel mio pc??

Postdi essed » 27/09/08 17:53

non vorrei parlare troppo ma penso che sia tutto a posto!
ti ringrazio tantissimo, la situazione sembrava irrecuperabile!
buon lavoro e grazie ancora!
essed
Utente Junior
 
Post: 66
Iscritto il: 01/08/05 12:54


Torna a Sicurezza e Privacy


Topic correlati a "c'è un "rogue" nel mio pc??":

MB "andata"?
Autore: Cassidy
Forum: Assistenza Hardware
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti