Pubblicità
Aiuto! Pen-drive infette
- Autore discussione carolina
- Data d'inizio
Pubblicità
- Stato
So che è una discussione vecchia ma, purtroppo, ho anch'io lo stesso problema. Il mio dirigente mi ha fatto vedere (sul mio PC d'ufficio, fortunatamente) la sua pen drive con tutte le cartelle come collegamenti. E io, come un pivello, ci ho messo le mie 2 pen drive, con tutti i dati delle pratiche che stavo trattando e me le sono infettate. Ora, dovrei tentare qualcosa (sul mio PC a casa) ma vorrei evitare di combinare altri pasticci. Non è che potresti aiutare anche me????? Grazie
Grazie immensamente per la risposta. Ti spiego tutto con precisione:
ho provato la scansione con MalwareBytes dal Pc in Ufficio (che, penso, ora sia infetto) ma senza aggiornarlo perchè non ho collegamento. Lo stesso con ComboFix.
Ora, sono terrorizzato a provare qualcosa (senza sapere nemmeno cosa) dal PC di casa, perchè se lo infetto è la fine.
Ho letto tutta la discussione in proprosito ma ho visto che ci sono stati vari tentativi falliti.
Saresti cosi gentile da darmi qualche indicazione precisa?
Grazie mille. Aspetto con ansia una mano perchè sono completamente bloccato col lavoro dato che sulle 2 pen drive infette ho tutte le relazioni...........
Mai stato così pivello nel prendere un virus ..........
Il mio dirigente ha una pen drive dove tutte le cartelle sono diventate dei collegamenti. Me l'ha data e l'ho inserita nel pc d'ufficio ed ho constatato che effettivamente è come mi dice. Poi ho inserito la mia pen drive per accedere a delle pratiche che dovevo completare ed ho notato che anche le mie cartelle sono diventate collegamenti. Non contento ho inserito anche un'altra pen drive dove ho il backup della prima pen drive e anche in questa tutte le cartelle sono diventate collegamenti.
Ora, prima di combinare altri casini o infettare altri pc, posso fare qualcosa?
Si ma penso ci voglia qualche programma dedicato per rendertelo visibile. Con la LAN dell'ufficio magari non conviene (anche perchè è molto lenta). Forse conviene da casa ma ho terrore ad infettare il PC. Dimmi come fare. Grazie. Ciao
Marco_l87
Utente Attivo
- Messaggi
- 191
- Reazioni
- 30
- Punteggio
- 38
se nel pc di casa non hai ancora messo le chiavette dovrebbe essere al sicuro.
in ufficio hai un reparto "informatico" a cui chiedere se siete dietro ad un firewall? oppure sai dirmi direttamente tu se avete accesso libero ad internet?
in ufficio hai un reparto "informatico" a cui chiedere se siete dietro ad un firewall? oppure sai dirmi direttamente tu se avete accesso libero ad internet?
No, purtroppo abbiamo il collegamento ma non è libero. Ad es. il collegamento a facebook non è permesso.
Ho un PC con Ubuntu, pensi possa tornarmi utile? Altrimenti, avrei pensato di inserire la pen drive nel PC di casa con il tasto shift premuto e fare una scansione con Avira, cosa ne pensi?
Ti invio anche il report di ComboFix relativo alle 2 pen drive infette, fatto dal PC infetto in Ufficio.
Pen drive 1
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.23.18.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.328 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 11:28
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 11:31:08
ComboFix-quarantined-files.txt 2012-06-11 09:31
.
Pre-Run: 38.741.708.800 byte disponibili
Post-Run: 38.722.801.664 byte disponibili
.
- - End Of File - - D01B3AA761D0FDB0588E679FC803EA7F
Pen drive 2
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.56.23.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.292 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\webinst.dll
c:\windows\EventSystem.log
c:\windows\system32\dllcache\dlimport.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 12:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 12:04:18
ComboFix-quarantined-files.txt 2012-06-11 10:04
.
Pre-Run: 38.729.965.568 byte disponibili
Post-Run: 38.710.820.864 byte disponibili
.
- - End Of File - - 158CC803FCC7FF14939FB32CE8C001CA
Pen drive 1
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.23.18.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.328 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 11:28
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 11:31:08
ComboFix-quarantined-files.txt 2012-06-11 09:31
.
Pre-Run: 38.741.708.800 byte disponibili
Post-Run: 38.722.801.664 byte disponibili
.
- - End Of File - - D01B3AA761D0FDB0588E679FC803EA7F
Pen drive 2
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.56.23.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.292 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\webinst.dll
c:\windows\EventSystem.log
c:\windows\system32\dllcache\dlimport.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 12:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 12:04:18
ComboFix-quarantined-files.txt 2012-06-11 10:04
.
Pre-Run: 38.729.965.568 byte disponibili
Post-Run: 38.710.820.864 byte disponibili
.
- - End Of File - - 158CC803FCC7FF14939FB32CE8C001CA
Marco_l87
Utente Attivo
- Messaggi
- 191
- Reazioni
- 30
- Punteggio
- 38
da qui sembra tutto ok... ma scusa lavori in polizia? non avete un supporto tecnico on site? :P
prova a scaricare ed installare teamviewer (www.teamviewer.com) e vediamo se riesco a collegarmi...
prova a scaricare ed installare teamviewer (www.teamviewer.com) e vediamo se riesco a collegarmi...
Supporto tecnico molto discutibile (4 persone per centinaia di uffici ..............). Ora provo col programma che mi hai indicato, vediamo se riusciamo a risolvere qualcosa. Però ora sono su un Pc pulito, non è che inserendo la pen drive lo infettiamo?????
- Stato
Pubblicità