Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Richiesta analisi

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Richiesta analisi

Postdi nickemme » 28/10/10 19:53

Buonasera a tutti,
potreste per favore guardarmi questi 2 log?
Credo di essere infetto (sito windows Update non + raggiungibile, windows defender non aggiornabile, reindirizzamenti vari ed altro) ma non riesco a capire dove possa essere il problema. Per favore datemi una dritta, è ormai una questione di principio fra me e LUI!

Grazie!!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.22.56, on 28/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\vVX1000.exe
C:\Documents and Settings\nicola\Desktop\xampp\apache\bin\httpd.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmi\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Documents and Settings\nicola\Desktop\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Documents and Settings\nicola\Desktop\xampp\apache\bin\httpd.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\nicola\Desktop\Sicurezza Tools\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PrnStatusMX] C:\Programmi\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\nicola\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [PMCLoader] C:\Programmi\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programmi\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1639153875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Documents and Settings\nicola\Desktop\xampp\apache\bin\httpd.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c985f48b6c3e6a) (gupdate1c985f48b6c3e6a) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - C:\Documents and Settings\nicola\Desktop\xampp\mysql\bin\mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 12499 bytes


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4966

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/10/2010 19.14.28
mbam-log-2010-10-28 (19-14-28).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 178060
Tempo trascorso: 9 minuti, 44 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Sponsor
 

Re: Richiesta analisi

Postdi Riverside » 28/10/10 20:20

nickemme ha scritto:potreste per favore guardarmi questi 2 log?
Credo di essere infetto (sito windows Update non + raggiungibile, windows defender non aggiornabile, reindirizzamenti vari ed altro) ma non riesco a capire dove possa essere il problema.

A parte diversi problemi comuni a tutti gli utenti distratti 8che caso mai sistemiamo dopo) dal log non si evince nulla che possa far pensare ad una infezione.
Per ora, facciamo una verifica, quindi esegui, nella sequenza descritta, questa procedura:

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

****************

Scarica ed installa HitmanPro: clicca qui per il download (scegli la versione adatta al tuo S.O. - 32Bit o 64Bit)
● una volta lanciato, nella finestra principale clicca su Impostazioni
● clicca su Licenza ed attiva la licenza;
● lancia la scansione (lascia le impostazioni di default);
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato che dovrai allegare

****************

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● nel caso in cui tu faccia uso di periferiche esterne (pendrive, hard disk, o altre) inseririscile
● clicca su Avanti per avviare la scansione del disco fisso e delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Per recuperare il log di Superantispyware:
● lancia Superantispyware
● nella maschera princpiale clicca su Preferenze
● apri la scheda Statistiche e Registri
● al suo interno troverai il log della scansione che hai eseguito
● posizionati sul log con il mouse per eselezionarlo e clicca sul tasto Visualizza il registro
si aprirà il log in formato txt, salvalo sul desktop ed allegalo

****************

Scarica ed installa MalwareBytes: clicca qui per il download
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● clicca su tasto scansiona ed esegui una scansione completa
● se vengono rilevate infezioni, eliminale
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

****************

Eseguiti tutti i passaggi precendenti:

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

****************

● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

****************

allega, in questa sequenza, i log di:

● HitmanPro
● SuperAntispyware
● MalwareBytes
● Hijackthis

Per allegare i log, utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 28/10/10 21:24

Ok, provvedo a fare quanto mi dici e a poi a postare il tutto.

Grazie per la gentilezza.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi nickemme » 29/10/10 19:27

Allora, ho appena finito la sequenza delle azioni che mi hai indicato.

Di seguito i log richiesti:

Hitman_log.xml
SUPERAntiSpyware Scan Log - 10-29-2010 - 16-25-40.log
mbam-log-2010-10-29 (19-00-32).txt
hijackthis.log
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Riverside » 29/10/10 22:57

Hum ... non mi convince .... il log è pulito (a parte alcune cose da fare).
HitmanPro e Malwarebyes hanno rimosso qualcosa ma nulla di eccezionale.
Fai un controllo su questi problemi che hai segnalato:
sito windows Update non + raggiungibile, windows defender non aggiornabile, reindirizzamenti vari ed altro

e dimmi se sono risolti (in particolare Windows Update).
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 30/10/10 06:15

Purtroppo no.
Win Update continua a non essere raggiungibile, (messaggio di FF: connessione annullata durante il caricamento...sito sovraccarico...), e defender impossibile da aggiornare.

Ma ci sono anche altri segnali che mi fanno fortemente sospettare:

    Subito dopo il caricamento del S.O. viene restituito un errore su Generic Host Process x win32 - processo sarà terminato
    Dopo qualche minuto la barra delle applicazioni in basso cambia stile, assumendo quello grigio tipico dello stile di default
    La scheda audio non viene più riconosciuta dal S.O.
    Durante la navigazione si aprono altre schede, che per un attimo puntano ad indirizzi sconosciuti, poi su google
    Ieri sera, proprio mentre navigavo su questo forum, mi sono accorto che l'ora era inesatta

Mi sembra dunque evidente la presenza di un problema, ma il fatto è che non si riesce proprio a capire cosa sia.

Ho il dubbio, ma potrei anche sbagliare, che possa trattarsi di un virus/worm tipo conficker o sue varianti, questo perchè, girando in rete da diverso tempo alla ricerca di una soluzione, mi sono più di una volta imbattuto in problemi simili (mi riferisco sopratutto alla impossibilità di aggiornamento del sistema e di defender) capitati ad altri utenti, incappati appunto in conficker.

A questo proposito devo dire di aver effettuato diverse scansioni con AVIRA (aggiornato) anche in modalità provvisoria, senza che venissero rilevate infezioni.

Peraltro devo dire che non mi sembra di essere uno sprovveduto nell'uso del PC, usandolo da diversi anni anche a scopo professionale (programmazione PHP, sviluppo applicazioni web, ecc...) senza mai beccare una sola infezione.

Per questo mi sono deciso, dopo vari tentativi di scoprire da solo la causa del problema, a chiedere aiuto a questo forum, che mi sembra fra i più competenti della rete.

Grazie per l'attenzione.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Riverside » 30/10/10 13:46

Ok, approfondiamo:

Scarica Combofix: clicca qui per il download
Nota: prima di eseguire il download, rinomina il file in pippo.exe

crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver: consenti

Quando Combofix avrà concluso l'operazione di scansione:

● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet
● vai in Disco Locale C: cerca il log dal nome combofix.txt ed allegalo

Per allegare il log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 30/10/10 15:05

Riscontro questo problema:
subito dopo la partenza del programma, e aver risposto si alla finestra di avviso (quella che chiede di chiudere ogni programma in esecuzione) non succede più nulla. L'applicativo sembra non rispondere, e se si tenta di farlo ripartire si riceve un avviso che dice che è impossibile creare alcuni files, e di provare a riaviare windows.

Il tutto, come mi suggerisci, si svolge in mod. provvisoria e con privilegi di amministratore.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Luke57 » 30/10/10 16:35

Ciao, scarica Otl.exe da qui, sul desktop:
http://how-to.scanspyware.net/redirect. ... go.com-otl
doppio clic sul OTL.exe
Si apre il programma, spunta Scan all users, Nell'angolo in basso a destra del pannello di controllo superiore spunta LOP Check e Purity Check
Nello spazio bianco sotto l Custom Scans/fixes copia e incolla lo script seguente:

Codice: Seleziona tutto
msconfig
safebootminimal
safebootnetwork
activex
drivers32 /all
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /30
%appdata%\*.*
%PROGRAMFILES%\*.


Clicca su Run scan.

Finita la scansione che potrebbe impiegare diverso tempo, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nella medesima cartella del programma.

Zippali in un file e inseriscili qui:
http://wikisend.com/

fornendo il link per poterli vedere
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Richiesta analisi

Postdi nickemme » 30/10/10 16:56

Fatto.

Ecco il forum link:
OTLReport.zip
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Luke57 » 30/10/10 17:33

Ciao, nei report non ho trovato niente, Scarica mbrcheck sul desktop.
http://ad13.geekstogo.com/MBRCheck.exe
Doppio click per eseguirlo.Aspetta la fine delle operazioni.Ti chiederà premi ENTER per chiudere.
Troverai il suo log sul desktop.Postalo.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Richiesta analisi

Postdi nickemme » 30/10/10 17:52

nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Luke57 » 30/10/10 19:05

Ciao,pare che sia a posto.Elimina combofix che hai utilizzato, scaricalo di nuovo
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma incolla nello spazio bianco di esegui questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: Richiesta analisi

Postdi nickemme » 30/10/10 19:29

Niente da fare.
Non solo non parte la scansione, ma mi costringe a spegnere manualmente il PC, in quanto non funziona + il riavvio e lo spegnimento normale....

che dici, piallo?
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Riverside » 30/10/10 22:06

nickemme ha scritto: .... che dici, piallo?

Per ora no, ripeti lo stesso passaggio suggerito da Luke ma, in modalità provvisoria ed allega il og che verrà rilasciato (lo trovi in Disco Locale C: - il log dal nome combofix.txt
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 31/10/10 08:20

Ragazzi,
Combofix non vuol saperne di partire, in nessun modo.

Ho provato anche dall'account Administrator in modalità provvisoria, senza supporto rete, ma niente.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Riverside » 31/10/10 11:32

Scusa eh ..... me ne sono accorto solo ora:
nickemme ha scritto:Win Update continua a non essere raggiungibile, (messaggio di FF: connessione annullata durante il caricamento...sito sovraccarico...), e defender impossibile da aggiornare.

per accedere a Windows Update devi utilizzare Internet Explorer .... non browser alterniativi :aaah .
Cambia l'impostazione dei browser e ripristina IE come browser predefinito :!:
E ovviamente, poi riprova a lanciare Windows Update.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 31/10/10 12:08

No, stessa cosa anche con IE, questa è stata la prima cosa che ho provato...
Infatti, provando a raggiungere Win Update con FF da un altro PC della mia LAN, il messaggio restituito è di altro tipo:
per effettuare gli aggiornamenti devi collegarti con IE, non con questo browser,....ecc..., mentre se provo a raggiungere (anche con IE8) lo stesso sito dal PC incriminato, la risposta è quella classica di sito sovraccarico o irraggiungibile (dello stesso tipo di quando si prova ad accedere ad interne da un pc non connesso, per capirci), come se qualcosa stesse bloccando l'accesso a quel sito particolare, indipendentemente dal tipo di browser, tant'è che la stessa cosa accade anche con Opera, a anche (ho già provato) in modalità provvisoria con supporto rete attivato.

Se può servire ti fornisco anche questa novità:
Oggi, proprio mentre tentavo l'accesso a win Update, mi è successo questo:

    La finestra del browser è diventata piccolissima
    Mi è apparso un alert(messaggio): Warning! Your computer is at risk of malware attacks! We reccommend you to check your system immedialety. Press OK to start.

Naturalmente non l'ho fatto e ho terminato immediatamente FF da task manager, ma questo mi sembra indicare chiaramente un'infezione.

Ho anche annotato l'URL al quale è stato tentato il contatto, se serve te lo posto.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Re: Richiesta analisi

Postdi Riverside » 31/10/10 12:17

nickemme ha scritto:Mi è apparso un alert(messaggio): Warning! Your computer is at risk of malware attacks! We reccommend you to check your system immedialety. Press OK to start.
Naturalmente non l'ho fatto e ho terminato immediatamente FF da task manager, ma questo mi sembra indicare chiaramente un'infezione.

Tutto parecchio strano .... le scansioni hanno trovato poco o nulla.
Ripartiamo dall'inizio:
1) esegui una scansione con HitmanPro (salva ed allega il log);
2) aggiorna sia Superantispyware che Malwarebyes; esegui una scansione completa ed allega i due log.
Assieme ai tre log, allega un nuovo log di Hjiackthis (eseguito dopo le sansioni).

Domanda: non è che per caso, mentre stiamo eseguendo le procedure, stai scaricando da Emule o roba simile? (se si chiudi tutto, per favore).
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Richiesta analisi

Postdi nickemme » 31/10/10 12:27

Va bene, procedo con la ripetizione delle scansioni, come mi hai detto, solo che avrò bisogno di un pò di tempo per farle tutte.
Per quanto riguarda la tua domanda: no, assolutamente niente in download, e nessun programma P2P in esecuzione.

Grazie e a presto.
nickemme
Utente Junior
 
Post: 19
Iscritto il: 28/10/10 19:35

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Richiesta analisi":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti