Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Sospetto keylogger

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Sospetto keylogger

Postdi begonio » 25/09/11 19:05

Salve, per vedere se avevo il pc infetto da keylogger ho usato il programma KL-Detector, che mi ha trovato il file

C:\ProgramData\Returnil\RVS3\BC4E53CC7303505538DB183C3EC3432C.rdb

che in effetti, andando a vedere, risulta modificato sempre all'ora corrente, proprio come se stesse registrando le mie attività. Ma per caso è una cartella del programma Returnil System Safe 2011? Sarebbe strano perchè per ora non lo sto usando! Comunque posto il log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:01:39, on 25/09/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
D:\Keepass\KeePass.exe
C:\Program Files (x86)\Everything\Everything.exe
C:\hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5745g&r=27360111e206l0453z155t5681k036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5745g&r=27360111e206l0453z155t5681k036
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5745g&r=27360111e206l0453z155t5681k036
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: MegaIeHelperBHO - {77F4E711-789B-447F-9614-96759B2F83C6} - C:\Users\Daniele\AppData\Local\Megamedia\Megakey\MegaIeHelper.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKCU\..\Run: [KeePass Password Safe] "D:\Keepass\KeePass.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Capture Web Page - C:\Users\Daniele\AppData\Local\Megamedia\Megakey\CaptureWebPage.htm
O8 - Extra context menu item: Fetch to Megaupload - C:\Users\Daniele\AppData\Local\Megamedia\Megakey\MegaUpload.htm
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O10 - Unknown file in Winsock LSP: c:\programdata\megamedia\megakey\msadm.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\MP3 Skype Recorder\Skype4Com.dll
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NitroPDFReaderDriverCreatorReadSpool (NitroReaderDriverReadSpool) - Nitro PDF Software - C:\Program Files\Common Files\Nitro PDF\Reader\1.0\NitroPDFReaderDriverServicex64.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: Acer ODD Power Service (ODDPwrSvc) - Acer Incorporated - C:\Program Files\Acer\Optical Drive Power Management\ODDPWRSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Returnil System Safe Core Service (RVSMONBL) - CJSC Returnil Software - C:\Program Files (x86)\Returnil\RVS3\rvsmon.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: Updater Service - Acer Group - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7743 bytes

Grazie! :D
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Sponsor
 

Re: Sospetto keylogger

Postdi COCCOBELLO » 25/09/11 19:20

Scarica
Malwarebytes' Anti-Malware
http://www.malwarebytes.org/
salvalo sul desktop
Installa,Malwarebytes' Anti-Malware
in fase di installazione, lascia la spunta alle voci Aggiorna Malwarebytes' Anti-Malware e Avvia Malwarebytes' Anti-Malware. (è importante)
Adesso
disconnettiti da internet-spegni il modem/router . (è importante)
poi vai sulla voce Scansione ed Esegui la scansione completa del sistema selezionando tutte le unità
A scansione completa se vengono rilevate infezioni e fai clic su OK => Mostra i Risultati.
seleziona gli elementi trovati da malwarebyts
clicca su [b]Rimuovi gli elementi selezionati[/b]
se Malwarebytes' chiede di riavviare il pc riavvia
altrimenti riavvialo tu manualmente
salva il Report della scansione sul Desktop
e Postalo qui sul forum

caricalo da qui
http://wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file
Clicca su Upload file
Seleziona Forum Link, copialo e incolla il link in un nuovo messaggio per il forum
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 25/09/11 19:25

Grazie per la risposta, ma non capisco due cose:

1) Per consigliarmi queste cose hai trovato qualcosa di sospetto?
2) Perchè devo sia incollare il report qui che caricarlo tramite quel sito?
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 25/09/11 19:29

1 e certo se no non ti consigliavo la scansione con malwarebytes
ci sono troppi ..O10 - Unknown file in Winsock LSP: e altre cose

2 leggi il regolamento i log non vanno allegati come fai tu ;)
devi caricarlo solo da quel sito
qui significa sul forum
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 25/09/11 20:48

Ah potevi dirlo subito! quei 010 sono di megakey, un programma pubblicizzato da megaupload che serve ad avere gratis un account premium e comunque ora l'ho disinstallato perchè non lo usavo. Malwarebytes non ha trovato nulla. La mia domanda comunque era incentrata su quel presunto keylogger, che peraltro non posso eliminare perchè mi dice che non ho i diritti di amministratore (malgrado sia amministratore).
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi Riverside » 25/09/11 22:54

begonio ha scritto:Malwarebytes non ha trovato nulla.

Dove è il log che ti è stato richiesto?

La mia domanda comunque era incentrata su quel presunto keylogger, che peraltro non posso eliminare perchè mi dice che non ho i diritti di amministratore (malgrado sia amministratore).


Verifica che l'UAC sia abilitato, intanto.

begonio ha scritto:Ah potevi dirlo subito! quei 010 sono di megakey, un programma pubblicizzato da megaupload che serve ad avere gratis un account premium e comunque ora l'ho disinstallato perchè non lo usavo.


Megakey ha interrotto la catena di Winsock e, in qualche modo, Coccobello te lo ha detto ;)

Quindi, senza voler giocare il piccolo informatico (altrimenti non saresti qui) e giusto per farci una idea precisa (non siano indovini):

1) allega il log rilasciato da Malwarebytes (visto che ti è stato chiesto);

2) Scarica ed installa HitmanPro: clicca qui per il download (scegli la versione adatta al tuo S.O. - 32Bit o 64Bit)

● lancialo e nella finestra principale clicca su Impostazioni
● clicca su Licenza ed attiva la licenza;
● lancia la scansione (lascia le impostazioni di default);
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di visualizzare il Report generato dopo la scansione: copia il risultato in un file .txt (blocco note di Windows) ed allegalo.

Per allegare i log, utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Sospetto keylogger

Postdi begonio » 26/09/11 15:21

Ho ritenuto il log di Malwarebytes inutile, visto che non aveva trovato nulla, e quelle 010 sono sparite dopo che ho disintallato megakey. Ecco comunque il log:

mbam-log-2011-09-25 (21-49-36).txt

Ed ecco il log di HitmanPro:

log hitmanpro.txt

Verifica che l'UAC sia abilitato
Come faccio?
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 26/09/11 16:23

per abilitare l'UAC
Start scrivi UAC nella casella di ricerca
clicca su Modifica impostazioni di controllo Account utente
nella finestra che si apre,sposta la levetta in alto su Notifica Sempre
e clicca su ok
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 26/09/11 16:27

Ah quindi il massimo dell'indicatore? Ok. E per il resto?
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 26/09/11 16:40

ma sinceramente non vedo tutti questi problemi
se vuoi fai questa scansione

Scarica ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con  ( Internet Explorer) no con Firefox
posizionalo sul Desktop obbligatoriamente
Adesso e Molto Importante che tu
disattiva l'Antivirus in uso (è importante)
disattiva il Firewall (è importante)
chiudi tutti i programmi aperti (è importante)
chiudi la connessione. (è importante)[/B]

lancia ComboFix con tasto destro sull'icona di combofix e scegli Esegui come Amministratore
segui le istruzioni di combofix
verrà richiesta l'installazione della Console di ripristino :clicca su NO
senza eseguire nessuna altra operazione sul pc, lascia che  ComboFix completi la scansione non usare ne anche il mouse
altrimenti potrebbe Bloccarsi il Pc
se vengono rilasciati dei  messaggi durante la scansione Riguardo all' Antivirus e il Firewall
ignorali prosegui
Quando ComboFix avrà concluso la scansione:
il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 27/09/11 16:53

Intanto ho dovuto disattivare nuovamente UAC perchè a quel livello era davvero troppo seccante, mi chiedeva conferma per ogni sciocchezza e non potevo neppure modificare un semplice file di testo .txt!

Quanto al log eccolo: ComboFix.txt
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 27/09/11 18:02

Ciao
Fai un click destro in un punto vuoto del Desktop
crea un Nuovo Documento di testo
Ci copi e incolli dentro il codice che vedi sotto,
e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix
Immagine

Folder::
c:\users\Daniele\AppData\Roaming\pdfforge
c:\users\Daniele\DoctorWeb

DDS::
uStart Page = my.daemon-search.com

Firefox::
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT22690 ... hSource=13

RegLock::
[HKEY_USERS\S-1-5-21-3970860937-2329625301-1157949597-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Environment*]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 27/09/11 19:58

ComboFix.txt dove la trovi la pazienza per controllare una simile caterva di dati? ti ammiro :o
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 28/09/11 08:55

begonio ha scritto:ComboFix.txt dove la trovi la pazienza per controllare una simile caterva di dati? ti ammiro :o

ci sono abituato :)

ok
ora esegui queste operazioni
Elimina i files temporanei con CCleaner (registro compreso)
scarica CCleaner da qui
CCleaner - Standard
salvalo sul desktop
installalo
durante l'installazione ti verrà chiesto di installare Google toolbar tu non installarla
togliendo la spunta su Installa Google Toolbar gratuitamente insieme a CCleaner
e vai Avanti
Alla fine dell'installazione lascia la spunta su Esegui Ccleaner
per Aprirlo

nel menù di sinistra, clicca su Opzioni
nella finestra successiva, clicca su Impostazioni
metti la spunta alla voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce Metodo DOD 5220.22-M (3 passaggi)

clicca su Avanzate
togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore

togli la spunta alla voce Chiedi se salvare un backup dei problemi del registro

togli la spunta alla voce chiudi il programma dopo la pulizia

clicca, nel menù a sinistra, su Pulizia:

windows
Internet explorer
metti la spunta su tutte le voci
Se ti da un avviso clicca OK

esplora risorse
metti la spunta su tutte le voci

sistema
metti la spunta su tutte le voci

Avanzate,
metti la spunta alle voci
Vecchi dati Prefetch e
File Log IIS
Cronologia Assistenza utente
Se ti da un avviso clicca OK

Clicca su Applicazioni: a fianco windows
metti la spunta su tutte le voci presenti
Se ti da un avviso clicca OK

clicca, in basso a sinistra, su Analizza,
attendi la fine dell'Analisi
clicca, in basso a destra, su Avvia Pulizia
attendi la fine della Pulizia

terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
metti la spunta su tutte le voci alla tua sinistra clicca su Trova Problemi

assicurati che tutte le voci abbiano la spunta

al termine della scansione clicca su Ripara selezionati e procedi alla riparazione

questoo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere fino a quando la pagina risulterà completamente vuota
ovvero clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte Ripara selezionati
una volta terminate le operazioni, chiudi il programma


Rilancia HijackThis: tasto destro - Esegui come Amministratore per aprirlo
clicca sul pulsante Do a system scan and save a logfile
alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 28/09/11 09:13

Ho fatto tutto con Ccleaner e visto che Wikisend oggi mi dà sempre errore, il log lo metto così:

Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:15:15, on 28/09/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe
C:\Program Files (x86)\Everything\Everything.exe
D:\Keepass\KeePass.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5745g&r=27360111e206l0453z155t5681k036
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [Everything] "C:\Program Files (x86)\Everything\Everything.exe" -startup
O4 - HKCU\..\Run: [KeePass Password Safe] "D:\Keepass\KeePass.exe"
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D94B58-82C7-4E93-9A6A-C36FB6703645}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\MP3 Skype Recorder\Skype4Com.dll
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NitroPDFReaderDriverCreatorReadSpool (NitroReaderDriverReadSpool) - Nitro PDF Software - C:\Program Files\Common Files\Nitro PDF\Reader\1.0\NitroPDFReaderDriverServicex64.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: Acer ODD Power Service (ODDPwrSvc) - Acer Incorporated - C:\Program Files\Acer\Optical Drive Power Management\ODDPWRSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Returnil System Safe Core Service (RVSMONBL) - CJSC Returnil Software - C:\Program Files (x86)\Returnil\RVS3\rvsmon.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: Updater Service - Acer Group - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6137 bytes


Magari se vedi qualcosa di inutile dimmelo pure che almeno alleggerisco il pc... :undecided: Grazie!
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 28/09/11 09:33

ciao
Rilancia HijackThis: tasto destro - Esegui come Amministratore per aprirlo
e: clicca sul pulsante Do a system scan only
Chiudi tutti i programmi aperti (browser compreso).
Metti la spunta alla voce che vedi sotto
clicca su Fixchecked

O2 - BHO: (no name) - AutorunsDisabled - (no file)


Disinstalla combofix con questo tool,dopo l'uso va disinstallato
http://oldtimer.geekstogo.com/OTC.exe
posizionalo sul Desktop
chiudi tutti i programmi
tasto destro - Esegui come Amministratore per eseguirrlo
Compare la finestra, clicca su CleanUp!
Viene richiesta conferma per l'operazione, clicca Yes
Al termine delle operazioni di pulizia, viene chiesto il riavvio del pc, clicca Yes

direi che e tutto a posto
fai sapere se riscontri ancora problemi ;)
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Sospetto keylogger

Postdi begonio » 28/09/11 09:45

Ok tutto a posto grazie!
begonio
Utente Junior
 
Post: 18
Iscritto il: 10/01/11 16:02

Re: Sospetto keylogger

Postdi COCCOBELLO » 28/09/11 09:49

ok
di niente
ciao ;)
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53


Torna a Sicurezza e Privacy


Topic correlati a "Sospetto keylogger":

file torrent sospetto
Autore: nikita75
Forum: Software Windows
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron