- 113
- 5
- CPU
- Intel Pentium E2200
- Scheda Madre
- ECS G31T-M7 - socket 775
- HDD
- Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
- RAM
- 2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
- GPU
- NVidia GeForce 8400 GS 512 MB
- Audio
- Via High Definition Audio
- Monitor
- Asus VW196
- PSU
- ?
- Case
- Midtower
- OS
- Windows XP Professional 32 bit
Ciao a tutti, mi sa proprio che ho avuto a che fare con un virus...
Mentre navigavo mi sono accorto dell'avviso vicino all'orologio di windows XP che il firewall di windows era disattivato, con il relativo disegno dello scudo rosso.
Ovviamente vi ho cliccato sopra, poi ho aperto pannello di controllo, windows firewall e ho riattivato il firewall.
Appena l'ho fatto è uscita una finestra che mi avvisava che per riavviare il firewall dovevo avviare il servizio TAL DE TALI (non ricordo il nome) e ho cliccato su OK.
Appena ho cliccato su OK, ho sentito il BEEP di Avira Antivir, è apparsa ma solo per un nanosecondo la finestra rossa di quando rileva qualcosa, riscomparsa immediatamente, appena percepibile ad occhio, ed è diventato tutto nero...
A quel punto, vedendo che il PC non faceva nulla, ho resettato fisicamente premendo il bottone reset sul case ed ho subito premuto F8 per partire in modalità provvisoria per non far caricare windows in modo completo.
Partita la modalità provvisoria (dando OK sulla solita finestra che esce in tal caso che avvisa che siamo in modalità provvisoria) mi sono detto: fammi vedere il registro degli eventi di avira antivir.
Nel registro mi ha elencato due rilevamenti proprio pochi minuti prima (quindi il beep tipico udito e l'avviso che avevo intravisto erano giusti).
Il primo rilevamento:
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\80000000.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen' [trojan].
Azione eseguita: Nega accesso
il secondo immediatamente successivo:
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso
Meno male per quel "Nega accesso": mi ha rincuorato.
Allora cosa ho fatto, ho lasciato tutto così e dal pc di un amico ho scaricato il Combofix e il file di aggiornamento OFFLINE di Malwarebyte's Antimalware. Messi su pennetta.
Torno al PC: copio il combofix su desktop, lo rinomino con un nome file inventato e lo lancio (ero sempre in modalità provvisoria):
Purtroppo mi sono allontanato dal PC e non so cosa sia successo... so solo che al mio ritorno era come se si fosse riavviato, ma sempre in modalità provvisoria!!!!! Perché c'era di nuovo la solita finestra iniziale di avviso che avvisa che siamo in modalità provvisoria bla bla bla....
Allora ho pensato: forse combofix in mod. provv. non va.
Allora ho installato il file di aggiornamento offline di MBAM ed ho lanciato la scansione completa.
Dopo lungo tempo questo è il risultato (purtroppo non ho fatto lo screenshot... però ho salvato il log):
Glieli ho fatti rimuovere e mi ha subito riavviato il sistema.
Riavviato in modalità normale.
Lanciato il Combofix da desktop... mi ha detto che ce n'era uno più aggiornato e mi ha scaricato l'aggiornamento di poco più di 4 Mega Bytes e ha "lavorato" il computer.
Ecco il log di Combofix:
Ho scaricato Hijack This e lanciato il controllo... questo è il log:
Ed ora eccomi qui, ad aprire questa discussione.
Domande:
- Secondo voi è stato un virus?
- Ora che faccio? Sono indeciso tra i seguenti punti (e se si, in che ordine cronologico, io ne abbozzo uno):
1) scansione online veloce con BitDefender Quick Scan Online
2) poi scansione online con TrendMicro Housecall aggiornato
3) poi scansione online con Eset Online Scanner
4) scansione online con Emsisoft MalAware
5) scansione completa con Avira Antivir da modalità provvisoria (prima per ricerca rootkits - poi scansione completa normale)
6) aggiornamento ONLINE di MBAM (per sicurezza)
7) ri-scansione completa con MBAM (da modalità provvisoria)
8) download di vari RESCUE CD dei vari antivirus che li fanno (AVG, Avira, Kaspersky, Eset, F-Secure, Emsisoft), e riavviare il computer di volta in volta con ognuno di quei BOOT CD di quelle ditte, facendogli fare l'aggiornamento e la scansione completa del sistema, bootando da CD.
Secondo voi è sufficiente tutto ciò?
Oppure, c'è qualche passaggio "superfluo", cioè "eccessivo" che mi posso evitare (ho molto da fare e se ne andrebbero ore se non giorni per fare tutto ciò).
Altri consigli?
Grazie!!!!!
Mentre navigavo mi sono accorto dell'avviso vicino all'orologio di windows XP che il firewall di windows era disattivato, con il relativo disegno dello scudo rosso.
Ovviamente vi ho cliccato sopra, poi ho aperto pannello di controllo, windows firewall e ho riattivato il firewall.
Appena l'ho fatto è uscita una finestra che mi avvisava che per riavviare il firewall dovevo avviare il servizio TAL DE TALI (non ricordo il nome) e ho cliccato su OK.
Appena ho cliccato su OK, ho sentito il BEEP di Avira Antivir, è apparsa ma solo per un nanosecondo la finestra rossa di quando rileva qualcosa, riscomparsa immediatamente, appena percepibile ad occhio, ed è diventato tutto nero...
A quel punto, vedendo che il PC non faceva nulla, ho resettato fisicamente premendo il bottone reset sul case ed ho subito premuto F8 per partire in modalità provvisoria per non far caricare windows in modo completo.
Partita la modalità provvisoria (dando OK sulla solita finestra che esce in tal caso che avvisa che siamo in modalità provvisoria) mi sono detto: fammi vedere il registro degli eventi di avira antivir.
Nel registro mi ha elencato due rilevamenti proprio pochi minuti prima (quindi il beep tipico udito e l'avviso che avevo intravisto erano giusti).
Il primo rilevamento:
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\80000000.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen' [trojan].
Azione eseguita: Nega accesso
il secondo immediatamente successivo:
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso
Meno male per quel "Nega accesso": mi ha rincuorato.
Allora cosa ho fatto, ho lasciato tutto così e dal pc di un amico ho scaricato il Combofix e il file di aggiornamento OFFLINE di Malwarebyte's Antimalware. Messi su pennetta.
Torno al PC: copio il combofix su desktop, lo rinomino con un nome file inventato e lo lancio (ero sempre in modalità provvisoria):
Purtroppo mi sono allontanato dal PC e non so cosa sia successo... so solo che al mio ritorno era come se si fosse riavviato, ma sempre in modalità provvisoria!!!!! Perché c'era di nuovo la solita finestra iniziale di avviso che avvisa che siamo in modalità provvisoria bla bla bla....
Allora ho pensato: forse combofix in mod. provv. non va.
Allora ho installato il file di aggiornamento offline di MBAM ed ho lanciato la scansione completa.
Dopo lungo tempo questo è il risultato (purtroppo non ho fatto lo screenshot... però ho salvato il log):
Codice:
File rilevati: 7
C:\Documents and Settings\pc_papa\Impostazioni locali\Dati applicazioni\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n (Trojan.Dropper.PE4) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Impostazioni locali\temp\~!#5E8.tmp (Backdoor.Bot) -> Nessuna azione intrapresa.
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n.vir (Trojan.Dropper.PE4) -> Nessuna azione intrapresa.
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\00000001.@.vir (Rootkit.0Access) -> Nessuna azione intrapresa.
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@.vir (Rootkit.0Access) -> Nessuna azione intrapresa.
J:\STANDALONES\Safari 5 Portable\Safari 5.0 Portable.bg\Stubs\446da06aa7e17af5a99545039f30e742864b64\Splash Screen.exe (Trojan.Backdoor) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Dati applicazioni\Ukus\inga.exe (Trojan.ZbotR.Gen) -> Nessuna azione intrapresa.
Glieli ho fatti rimuovere e mi ha subito riavviato il sistema.
Riavviato in modalità normale.
Lanciato il Combofix da desktop... mi ha detto che ce n'era uno più aggiornato e mi ha scaricato l'aggiornamento di poco più di 4 Mega Bytes e ha "lavorato" il computer.
Ecco il log di Combofix:
Codice:
ComboFix 12-07-18.04 - pc_papa 18/07/2012 18.33.28.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1604 [GMT 2:00]
Eseguito da: c:\documents and settings\pc_papa\Desktop\abcdf.exe
AV: AntiVir Desktop *Disabled/Updated* {00000000-F020-0012-5D5C-927C00000000}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-7C25-9E7C08000A00}
AV: Avira Desktop *Disabled/Updated* {00000000-0715-0000-08F2-12003094807C}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\pc_papa\Dati applicazioni\Wiryx
c:\documents and settings\pc_papa\Dati applicazioni\Wiryx\osana.exc
c:\documents and settings\pc_papa\Dati applicazioni\Wiryx\osana.tmp
c:\windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\@
c:\windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n
c:\windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\00000001.@
c:\windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\80000000.@
c:\windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@
.
.
((((((((((((((((((((((((( Files Creati Da 2012-06-18 al 2012-07-18 )))))))))))))))))))))))))))))))))))
.
.
2012-07-18 14:32 . 2012-07-18 14:32 -------- d-----w- C:\abcdf
2012-07-18 14:07 . 2012-07-18 16:19 -------- d-----w- c:\documents and settings\pc_papa\Dati applicazioni\Ukus
2012-07-13 13:07 . 2012-07-13 13:07 -------- d-----w- c:\programmi\SystemRequirementsLab
2012-06-20 19:06 . 2012-06-20 19:07 -------- d-----w- c:\programmi\RAMDisk
2012-06-20 17:31 . 2012-06-20 17:31 -------- d-----w- C:\Drive(J)
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-13 13:55 . 2004-08-19 13:31 1866112 ----a-w- c:\windows\system32\win32k.sys
2012-06-06 13:31 . 2012-01-21 18:40 21840 ----atw- c:\windows\system32\SIntfNT.dll
2012-06-06 13:31 . 2012-01-21 18:40 17212 ----atw- c:\windows\system32\SIntf32.dll
2012-06-06 13:31 . 2012-01-21 18:40 12067 ----atw- c:\windows\system32\SIntf16.dll
2012-06-05 15:49 . 2008-12-20 06:10 1372672 ------w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2004-08-19 13:39 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2004-08-19 13:39 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2008-12-19 19:31 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-12-19 19:31 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-12-19 19:31 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-12-20 05:15 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-12-19 19:31 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-12-19 19:31 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2004-08-19 13:39 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-12-20 05:15 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-12-20 05:15 24088 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-12-20 05:15 18968 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-12-20 05:15 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-12-19 19:31 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-12-19 19:31 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2011-01-22 12:01 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2011-01-22 12:01 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2011-01-22 12:01 18672 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-05-31 13:21 . 2004-08-19 13:39 603136 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2004-09-29 18:48 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 10:18 . 2012-05-15 13:26 883008 ----a-w- c:\windows\system32\nvgenco32.dll
2012-05-15 10:18 . 2012-05-15 13:26 65536 ----a-w- c:\windows\system32\OpenCL.dll
2012-05-15 10:18 . 2012-05-15 13:26 2530624 ----a-w- c:\windows\system32\nvcuvid.dll
2012-05-15 10:18 . 2012-05-15 13:26 2445120 ----a-w- c:\windows\system32\nvcuvenc.dll
2012-05-15 10:18 . 2012-05-15 13:26 1000768 ----a-w- c:\windows\system32\nvdispco32.dll
2012-05-15 10:18 . 2012-05-15 13:26 17543168 ----a-w- c:\windows\system32\nvcompiler.dll
2012-05-15 10:18 . 2008-05-09 03:23 18771968 ----a-w- c:\windows\system32\nvoglnt.dll
2012-05-15 10:18 . 2008-05-02 21:46 6012928 ----a-w- c:\windows\system32\nvcuda.dll
2012-05-15 10:18 . 2008-05-02 21:46 4373248 ----a-w- c:\windows\system32\nv4_disp.dll
2012-05-15 10:18 . 2008-05-02 21:46 2359808 ----a-w- c:\windows\system32\nvapi.dll
2012-05-15 10:18 . 2008-05-02 21:46 14014656 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2012-05-15 09:43 . 2008-05-02 21:46 229376 ----a-w- c:\windows\system32\nvrszhc.dll
2012-05-15 09:43 . 2008-05-02 21:46 282624 ----a-w- c:\windows\system32\nvrsit.dll
2012-05-15 09:43 . 2008-05-02 21:46 253952 ----a-w- c:\windows\system32\nvrsth.dll
2012-05-15 09:43 . 2008-05-02 21:46 253952 ----a-w- c:\windows\system32\nvrssv.dll
2012-05-15 09:43 . 2008-05-02 21:46 126976 ----a-w- c:\windows\system32\nvrszht.dll
2012-05-15 09:43 . 2008-05-02 21:46 335872 ----a-w- c:\windows\system32\nvrsar.dll
2012-05-15 09:43 . 2008-05-02 21:46 282624 ----a-w- c:\windows\system32\nvrsel.dll
2012-05-15 09:43 . 2008-05-02 21:46 274432 ----a-w- c:\windows\system32\nvrsnl.dll
2012-05-15 09:43 . 2008-05-02 21:46 274432 ----a-w- c:\windows\system32\nvrsesm.dll
2012-05-15 09:43 . 2008-05-02 21:46 266240 ----a-w- c:\windows\system32\nvrsko.dll
2012-05-15 09:43 . 2008-05-02 21:46 249856 ----a-w- c:\windows\system32\nvrseng.dll
2012-05-15 09:43 . 2008-05-02 21:46 335872 ----a-w- c:\windows\system32\nvrshe.dll
2012-05-15 09:43 . 2008-05-02 21:46 286720 ----a-w- c:\windows\system32\nvrsfr.dll
2012-05-15 09:43 . 2008-05-02 21:46 274432 ----a-w- c:\windows\system32\nvrspt.dll
2012-05-15 09:43 . 2008-05-02 21:46 258048 ----a-w- c:\windows\system32\nvrssl.dll
2012-05-15 09:43 . 2008-05-02 21:46 253952 ----a-w- c:\windows\system32\nvrsno.dll
2012-05-15 09:43 . 2008-05-02 21:46 249856 ----a-w- c:\windows\system32\nvrsfi.dll
2012-05-15 09:43 . 2008-05-02 21:46 282624 ----a-w- c:\windows\system32\nvrses.dll
2012-05-15 09:43 . 2008-05-02 21:46 270336 ----a-w- c:\windows\system32\nvrsru.dll
2012-05-15 09:43 . 2008-05-02 21:46 258048 ----a-w- c:\windows\system32\nvrssk.dll
2012-05-15 09:43 . 2008-05-02 21:46 262144 ----a-w- c:\windows\system32\nvrshu.dll
2012-05-15 09:43 . 2008-05-02 21:46 258048 ----a-w- c:\windows\system32\nvrstr.dll
2012-05-15 09:43 . 2008-05-02 21:46 253952 ----a-w- c:\windows\system32\nvrsda.dll
2012-05-15 09:43 . 2008-05-02 21:46 274432 ----a-w- c:\windows\system32\nvrsja.dll
2012-05-15 09:43 . 2008-05-02 21:46 258048 ----a-w- c:\windows\system32\nvrspl.dll
2012-05-15 09:43 . 2008-05-02 21:46 278528 ----a-w- c:\windows\system32\nvrsde.dll
2012-05-15 09:43 . 2008-05-02 21:46 270336 ----a-w- c:\windows\system32\nvrsptb.dll
2012-05-15 09:43 . 2008-05-02 21:46 249856 ----a-w- c:\windows\system32\nvrscs.dll
2012-05-15 09:42 . 2012-05-15 09:39 1656800 ----a-w- c:\programmi\ausdiskdefragportable 3_4_2_10.exe
2012-05-15 09:40 . 2008-05-02 21:46 54272 ----a-w- c:\windows\system32\nvwddi.dll
2012-05-15 09:40 . 2008-05-02 21:46 15504192 ----a-w- c:\windows\system32\nvcpl.dll
2012-05-15 09:40 . 2008-05-02 21:46 143680 ----a-w- c:\windows\system32\nvcolor.exe
2012-05-15 09:40 . 2008-05-02 21:46 164160 ----a-w- c:\windows\system32\nvsvc32.exe
2012-05-15 09:40 . 2008-05-02 21:46 108352 ----a-w- c:\windows\system32\nvmctray.dll
2012-05-11 14:40 . 2004-08-19 13:39 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 14:40 . 2004-08-19 13:39 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 11:38 . 2004-08-19 13:26 385024 ----a-w- c:\windows\system32\html.iec
2012-05-07 16:29 . 2012-04-13 19:34 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-07 16:29 . 2012-02-06 22:03 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-05 03:14 . 2004-08-19 15:34 2030080 ------w- c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2004-08-19 13:34 2151936 ------w- c:\windows\system32\ntoskrnl.exe
2012-05-02 13:46 . 2008-12-19 19:30 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-04-29 15:59 . 2012-04-29 15:59 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-29 15:59 . 2011-01-03 19:01 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programmi\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-12-12 1186904]
"AcronisTimounterMonitor"="c:\programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-12-12 1962736]
"Acronis Scheduler2 Service"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2006-12-12 87584]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-16 258512]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2012-01-18 254696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-05-15 15504192]
"NvMediaCenter"="NvMCTray.dll" [2012-05-15 108352]
"nwiz"="c:\programmi\NVIDIA Corporation\nview\nwiz.exe" [2012-05-15 1634112]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\pc_papa\Menu Avvio\Programmi\Esecuzione automatica\
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]
[BU]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^ninja.lnk]
backup=c:\windows\pss\ninja.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\com.codeode.privacymantra]
2006-11-26 16:29 909312 ----a-w- c:\programmi\Privacy Mantra 2.02\privacymantra.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:14 15360 ------w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX400 Series]
2007-12-17 05:00 188928 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX400 Series (Copia 1)]
2007-12-17 05:00 188928 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 17:36 30040 ----a-w- c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2008-04-13 08:43 208952 ----a-w- c:\windows\ime\imjp8_1\imjpmig.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-13 18:14 1695232 ------w- c:\programmi\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2008-04-13 08:43 59392 ----a-w- c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2008-04-13 08:43 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2008-04-13 08:43 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 12:02 254696 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Window Washer]
2005-08-08 12:49 1110016 ----a-w- c:\programmi\Webroot\Washer\wwDisp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wwSecSvc"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"NMSAccessU"=2 (0x2)
"NMSAccess"=2 (0x2)
"Microsoft Office Groove Audit Service"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [08/01/2012 14.12.31 36000]
R2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [08/01/2012 14.12.33 86224]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25/01/2008 11.12.34 25088]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [19/12/2008 21.47.23 238080]
S2 dsajey;Universal Installer;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 fcgpfxj;Driver Helper;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 fcorsumjf;Windows Network;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 ioirgi;Image System;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 mdxzicim;Monitor Microsoft;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 miskqrf;Config Security;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programmi\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [15/05/2012 15.28.10 1262400]
S2 pibbwppx;Driver Update;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 vfniiwepc;Image Monitor;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S2 wehjhs;Shell Config;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 15.39.46 14336]
S3 BazisPortableCDBus;Portable WinCDEmu driver;c:\windows\system32\drivers\BazisPortableCDBus.sys [05/02/2012 16.42.45 152576]
S3 MEMSWEEP2;MEMSWEEP2; [x]
S3 RAMDiskXP;RAMDiskXP;c:\windows\system32\Drivers\RAMDiskXP.sys --> c:\windows\system32\Drivers\RAMDiskXP.sys [?]
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - WUAUSERV
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
miskqrf
ioirgi
pibbwppx
mdxzicim
dsajey
fcgpfxj
wehjhs
vfniiwepc
fcorsumjf
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-01-12 c:\windows\Tasks\MyDefrag v4.3.1 Daily.job
- c:\programmi\MyDefrag v4.3.1\Scripts\AutomaticDaily.MyD [2010-08-05 10:03]
.
2010-08-05 c:\windows\Tasks\MyDefrag v4.3.1 Monthly.job
- c:\programmi\MyDefrag v4.3.1\Scripts\AutomaticMonthly.MyD [2010-08-05 10:03]
.
2012-07-18 c:\windows\Tasks\User_Feed_Synchronization-{9DCA94B9-2581-4E11-BA42-FC8E996B163E}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uLocal Page = c:\windows\pchealth\helpctr\System\panels\blank.htm
mLocal Page = c:\windows\pchealth\helpctr\System\panels\blank.htm
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{DD7FB74C-C53A-48EB-964E-76E161E78199}: NameServer = 85.37.17.11,85.38.28.69
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-18 18:41
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-1715567821-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BB05498D-D7A5-139E-EC2A-A2E85B12D6BD}*] @[URL="http://www.tomshw.it/forum/member.php?u=33658"]Allo[/URL]wed: (Read) (RestrictedCode) @[URL="http://www.tomshw.it/forum/member.php?u=33658"]Allo[/URL]wed: (Read) (RestrictedCode)
"pagoijochmokkeelfladipjdolkhmjhl"=hex:69,61,66,6c,6f,61,6c,6d,6a,6c,63,64,6d,
6f,62,69,64,6b,00,00
"oaanckaejemaaeefgadgebgakknpgi"=hex:69,61,66,6c,6f,61,6c,6d,6a,6c,63,64,6d,6f,
62,69,64,6b,00,00
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'lsass.exe'(1184)
c:\windows\system32\relog_ap.dll
.
Ora fine scansione: 2012-07-18 18:43:34
ComboFix-quarantined-files.txt 2012-07-18 16:43
ComboFix2.txt 2012-03-29 23:28
ComboFix3.txt 2010-03-09 13:47
ComboFix4.txt 2010-02-12 21:24
ComboFix5.txt 2012-07-18 16:30
.
Pre-Run: 150.999.965.696 byte disponibili
Post-Run: 151.174.766.592 byte disponibili
.
- - End Of File - - 490001EA0C0F92DF277756CBEE4B0B30
Ho scaricato Hijack This e lanciato il controllo... questo è il log:
Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.04.38, on 18/07/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://www.google.it/"]Google[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL="http://go.microsoft.com/fwlink/?LinkId=69157"]MSN Hotmail.fr, Messenger, Skype, Sydrive, Actualité, Sport, People, Femmes - MSN France[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL="http://go.microsoft.com/fwlink/?LinkId=54896"]Bing[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://go.microsoft.com/fwlink/?LinkId=54896"]Bing[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nview\nwiz.exe /installquiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (Bitdefender QuickScan Control) - [URL]http://quickscan.bitdefender.com/qsax/qsax.cab[/URL]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [URL]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229749989812[/URL]
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [URL]http://ax.emsisoft.com/asquared.cab[/URL]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [URL]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/URL]
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7FB74C-C53A-48EB-964E-76E161E78199}: NameServer = 85.37.17.11,85.38.28.69
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Programmi\File comuni\Steam\SteamService.exe
--
End of file - 6608 bytes
Ed ora eccomi qui, ad aprire questa discussione.
Domande:
- Secondo voi è stato un virus?
- Ora che faccio? Sono indeciso tra i seguenti punti (e se si, in che ordine cronologico, io ne abbozzo uno):
1) scansione online veloce con BitDefender Quick Scan Online
2) poi scansione online con TrendMicro Housecall aggiornato
3) poi scansione online con Eset Online Scanner
4) scansione online con Emsisoft MalAware
5) scansione completa con Avira Antivir da modalità provvisoria (prima per ricerca rootkits - poi scansione completa normale)
6) aggiornamento ONLINE di MBAM (per sicurezza)
7) ri-scansione completa con MBAM (da modalità provvisoria)
8) download di vari RESCUE CD dei vari antivirus che li fanno (AVG, Avira, Kaspersky, Eset, F-Secure, Emsisoft), e riavviare il computer di volta in volta con ognuno di quei BOOT CD di quelle ditte, facendogli fare l'aggiornamento e la scansione completa del sistema, bootando da CD.
Secondo voi è sufficiente tutto ciò?
Oppure, c'è qualche passaggio "superfluo", cioè "eccessivo" che mi posso evitare (ho molto da fare e se ne andrebbero ore se non giorni per fare tutto ciò).
Altri consigli?
Grazie!!!!!
Ultima modifica: