Condividi:        

Cartelle modificate in collegamenti

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Cartelle modificate in collegamenti

Postdi faker » 09/06/12 12:20

Purtroppo, come un novellino, ho beccato un virus su 2 pen drive (importantissime per i dati che ci sono) che ha trasformato tutte le cartelle in collegamenti da 2k. Le pen drive risultano con lo spazio occupato ma è impossibile aprire le cartelle. Ho letto un pò in rete che si tratta di un vecchio virus che è ritornato all'attacco. Ho provato in Ufficio con un pò di consigli trovati in rete (combofix, malware Byts, blocco dell'apertura della pen drive all'avvio con lo shift ed altro) ma non riesco a risolvere il problema. Prima di infettare anche il PC qui a casa, c'è qualche soluzione al problema? Almeno, poter recuperare i dati e poi formattare le pen drive completamente. Grazie.

:cry:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Sponsor
 

Re: Cartelle modificate in collegamenti

Postdi faker » 10/06/12 13:46

Ho davvero bisogno di aiuto, se qualcuno può essermi utile lo ringrazio infinitamente.
:)
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 10/06/12 14:14

ciao
una domanda quando hai fatto la scansione con malwarebytes,le chiavette erano inserite nella porta usb del pc?
in modo da scansionare anche le chiavette?
o fatta scansione solo del pc?
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 10/06/12 17:26

Ciao e grazie in anticipo per la risposta.
Una cosa che devo precisare è che, quando ho fatto la scansione con MalwareByts, non ho potuto aggiornarlo perchè ero senza collegamento, lo stesso dicasi per la scansione con ComboFix. Comunque, la pen drive era inserita. Tutte le prove le ho fatte dai PC in ufficio che, secondo me, sono tutti infetti. Ora, vorrei provare da casa ma sono terrorizzato dal pericolo di infettare il PC di casa: sarebbe davvero la fine! Ora, sono completamente bloccato col lavoro: tutte le relazioni sono sulle 2 pen drive che mostrano lo stesso problema.
:cry:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 10/06/12 19:09

allega il report di combofix
lo trovi in disco locale C
Combofix.txt
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 11/06/12 11:26

Grazie per l'aiuto. Ti invio il report di ComboFix relativo alle 2 pen drive infette.

Pen drive 1
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.23.18.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.328 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 11:28
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 11:31:08
ComboFix-quarantined-files.txt 2012-06-11 09:31
.
Pre-Run: 38.741.708.800 byte disponibili
Post-Run: 38.722.801.664 byte disponibili
.
- - End Of File - - D01B3AA761D0FDB0588E679FC803EA7F


Pen drive 2

ComboFix 12-06-07.03 - sanitario 11/06/2012 11.56.23.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.292 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\webinst.dll
c:\windows\EventSystem.log
c:\windows\system32\dllcache\dlimport.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 12:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 12:04:18
ComboFix-quarantined-files.txt 2012-06-11 10:04
.
Pre-Run: 38.729.965.568 byte disponibili
Post-Run: 38.710.820.864 byte disponibili
.
- - End Of File - - 158CC803FCC7FF14939FB32CE8C001CA
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi faker » 11/06/12 12:29

Ho un PC con Ubuntu. Se inserisco la Pen drive forse riesco a risolvere????????
:roll:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 12/06/12 09:05

ciao potresti provare,ma non credo risolvi
dimmi una cosa usi un server proxy sul pc?
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 12/06/12 09:31

crea un nuovo documento di testo sul desktop
ci copi e incolli dentro lo script che vedi sotto
e lo salvi con il nome di CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix
Immagine

Codice: Seleziona tutto
KillAll::

File::
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe

Folder::
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"=-
"38293:UDP"=-

DDS::
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 12/06/12 12:42

Questo è il risultato di ComboFix:

ComboFix 12-06-07.03 - sanitario 12/06/2012 13.18.09.5.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.21 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\sanitario\Desktop\CFScript.txt.txt
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
.
FILE ::
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\sanitario\M-1-52-5782-8752-5245
c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-12 al 2012-06-12 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:20 . 2012-06-11 11:02 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKCU-Run-Microsoft® Windows Update - c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-12 13:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1076)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programmi\Symantec\Symantec Endpoint Protection\Smc.exe
c:\programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\programmi\CyberLink\Shared Files\RichVideo.exe
c:\programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe
c:\windows\RTHDCPL.EXE
c:\programmi\OpenOffice.org 3\program\soffice.exe
c:\programmi\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\LMabcoms.exe
c:\programmi\Symantec\Symantec Endpoint Protection\SmcGui.exe
.
**************************************************************************
.
Ora fine scansione: 2012-06-12 13:31:53 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-06-12 11:31
.
Pre-Run: 38.683.103.232 byte disponibili
Post-Run: 38.688.993.280 byte disponibili
.
- - End Of File - - 5640F003B37AF12C5CE569B8C5D481BF


Comunque, si mi connetto con un server proxy (è il PC in Ufficio).

Se può essere una buona notizia, ho fatto una scansione del PC e delle pen drive infette (inserite) prima con ComboFix e poi con MalwareBytes. Poi abbiamo inserito una pen drive pulita nel PC incriminato e le cartelle non sono state modificate in collegamenti. Quindi, il PC dovrebbe essere pulito.
Rimane il problema delle 2 pen drive: ho terrore ad inserirle in un qualsiasi PC per paura di infettarlo. Avrei pensato di installare sul PC uno di quei programmi che bloccano l'autorun delle pen drive e poi scansionare le pen drive con qualche tool dedicato. Puoi consigliarmi qualcosa????????
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 12/06/12 13:23

si il pc ora dovrebbe essere pulito
questo era un Trojan
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"
http://www.processlibrary.com/it/direct ... svc/22130/

Combofix disattiva l'autoplay,quindi non dovrebbe essere un problema inserendo le chiavette
procedi così in ordine
1 inserisci la chiavetta nel pc

2 Visualizza i file e cartelle nascosti del sistema
Pannello di controllo
“Opzioni cartella”
clicca su “Visualizzazione
Nella lista metti il segno di spunta su
“Visualizza cartelle e file nascosti”
Nascondi i file protetti di sistema (consigliato)
e fai click su Applica e poi su OK per salvare i cambiamenti.

3 fai una scansione della chiavetta con il tuo Symantec Endpoint Protection
ricordati di selezionare la chiavetta prima di lanciare la scansione

4 fai uno scan con HitmanPro segui qui come usarlo
http://windowsguide.altervista.org/rimu ... hitmanpro/

5 fai uno scan con HouseCall segui qui come usarlo
ricordati di selezionare la chiavetta prima di lanciare la scansione
http://windowsguide.altervista.org/guida-housecall/
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 12/06/12 22:45

Ho fatto tutto alla lettera ma, purtroppo, non ho risolto.
Tutte le cartelle sono collegamenti e in proprietà il percorso porta a nome cartella\84612795.exe
:cry:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 13/06/12 09:43

mmm..bel casino
dimmi una cosa,all'interno della chiavetta riesci a vedere un file col nome di autorun.inf ?
fammi sapere se si
inserisci la chiavetta nel pc,poi Visualizza i file e cartelle nascosti del sistema e dimmi se trovi il file autorun.inf
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 13/06/12 20:56

COCCOBELLO ha scritto:mmm..bel casino
dimmi una cosa,all'interno della chiavetta riesci a vedere un file col nome di autorun.inf ?
fammi sapere se si
inserisci la chiavetta nel pc,poi Visualizza i file e cartelle nascosti del sistema e dimmi se trovi il file autorun.inf


No ho una cartella col nome Autorun.inf che mi ha creato un collega per evitare virus (ho visto il risultato!!!!!!).
:cry:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi faker » 13/06/12 21:01

Comunque, posso confermare che il PC infetto sono riuscito a ripurirlo: oggi abbiamo lavorato con almeno 5 pen drive diverse e non abbiamo avuto nessun problema. Purtroppo, le mie 2 pen drive sono state infettate perchè le ho inserite subito dopo la prima pen drive infetta..........
:cry:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 14/06/12 11:39

fai clic destro su autorun.inf ,poi proprietà e deseleziona l'opzione di sola lettura

poi vai su start-Esegui
digita msconfig e dai ok vai alla voce Avvio e deseleziona tutte le voci che vedi nell'elenco,tranne l'antivirus o eventuale firewall non di windows,dai Applica e ok
A questo punto Ti sarà richiesto un riavvio di windows XP per rendere effettive le modifiche
NON RIAVVIARE WINDOWS

ora scarica Kaspersky Virus Removal Tool 2011
http://www.kaspersky.com/antivirus-removal-tool?form=1
dopo averlo installato chiudilo,Senza fare nessuna scansione

Riavvia il pc ed entra in modalità provvisoria
Riavviato il pc ti verrà visualizzata una finestra nella quale ti avvisa delle modifiche eseguite.
Per non visualizzare più questa finestra ad ogni riavvio spunta la casella
“Non visualizzare questo messaggio o avvia l’Utilità Configurazione di sistema all’avvio di windows”.

Visualizza i file e cartelle nascosti del sistema
IMPORTANTE disconnettiti da Internet,spegni il router e staccando il cavo dal pc

Inserisci la chiavetta nel pc

Apri kaspersky
vai su Setting
Immagine

nella finestra che si apre sulla voce Scan Scape mettere il segno di spunta solo su:
System Memory (Memoria di sistema)
Hidden Startup Objects (Oggetti di Avvio nascosti)
Disk boot sector (Settori di avvio del disco)
Disco rimovibile (*)
qui sarebbe la tua chiavetta infetta

clicca su Automatic Scan e clicca su
Start scanning
Inizia la scansione del sistema,attendi la fine della scansione
terminata la scansione, nel caso trovi virus, clicca su Neutralizza tutto
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 14/06/12 21:21

Quando vado in proprietà di autorun.inf mi si apre alla schermata collegamento con questo percorso:
E:\84612795\Autorun.inf.exe
Non mi fa accedere alla schermata generale dove c'è l'opzione di sola lettura perchè dice che il collegamento non è disponibile..............
:(
Comunque, ora provo il resto della procedura. Però la cartella Autorun.inf già c'era, creata da un collega per prevenire alcuni virus.
:roll:
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi COCCOBELLO » 15/06/12 10:57

si continua con il resto della procedura,seguila bene e in ordine ;)
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Cartelle modificate in collegamenti

Postdi faker » 16/06/12 18:50

COCCOBELLO ha scritto:si continua con il resto della procedura,seguila bene e in ordine ;)

Grazie mille per l'aiuto. Ho risolto (non io) operando su regedit.
Grazie ancora
faker
Utente Senior
 
Post: 454
Iscritto il: 03/03/04 22:19

Re: Cartelle modificate in collegamenti

Postdi mastone » 22/10/13 12:45

io ho risolto con una guida presente in questo sito

[per favore dare la soluzione direttamente, non linkare un altro sito]

spero possa essere d'aiuto anche a voi amici del forum
mastone
Newbie
 
Post: 6
Iscritto il: 23/03/11 10:34


Torna a Sicurezza e Privacy


Topic correlati a "Cartelle modificate in collegamenti":

Cartelle Windows
Autore: zanardi
Forum: Software Windows
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 27 ospiti