Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 09-12-2006, 20.58.01   #1
millovanillo
Senior Member
 
Registrato: 23-06-2003
Loc.: prov di Alessandria
Messaggi: 293
millovanillo promette bene
[SpyBot] possibile malware?? Risolto

Ciao a tutti.

Dopo che oggi, nella precedente sessione in internet l'antivirus (Avast) mi ha rilevato (e presumo eliminato, anche se come azione repressiva mi ha solo disconnesso, credo) un malware, stasera vado a fare l'aggiornamento sia di Ad-Aware che di SpyBot S&D e quest'ultimo mi avvisa, nella schermata iniziale, che "SpyBot è cambiato dall'ultima volta, che SpyBot non si cambia da solo e che probabilmente c'è un malware da qualche parte nel mio pc" (ovviamente il mex è in inglese e io l'ho semplificato.

Oltretutto ho notato che nell'esecuzione automatica alcuni programmi non venivano eseguiti (con creazione di cartella "bak" dove sono poi dovuto andare a riprendere gli exe originali).


Cosa devo fare per vedere e togliere l'eventuale malware??

Vi allego un HiJackThis appena fatto:

-------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20.52.00, on 09/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\File comuni\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\UpsMon\UPSMON_Service.Exe
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Html2Pop3\html2pop3.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\PROGRA~1\MAGICM~1\Magic.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\AutoSizer\AutoSizer.exe
C:\Programmi\ProtoWall\ProtoWall.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Phase One\Capture One PRO\DCIMImp.exe
C:\Programmi\UpsMon\UPSMON.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.winereport.com/ita/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UPSMON] C:\Programmi\UpsMon\UPSMON.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Phase One Media Reader] C:\PROGRA~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programmi\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [ProtoWall] C:\Programmi\ProtoWall\ProtoWall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Html2pop3.lnk = C:\Programmi\Html2Pop3\html2pop3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Magic Mail Monitor su Muletto.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{934DA149-EEA9-44C0-9F10-D21A25EC7C85}: NameServer = 85.37.17.41 85.38.28.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{C191F6C1-9FD8-4236-B6E5-3405E9B1BAF9}: NameServer = 212.216.112.112,212.216.172.62
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programmi\File comuni\Autodata Limited

Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File

comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File

comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programmi\UpsMon\UPSMON_Service.Exe
----------------------------------------------------------

Grazie mille a chi mi dedica un attimo.





EDIT:

Edito xchè ho risolto da solo.
In pratica non so che malware fosse, però avevo notato che faceva sparire gli eseguibili di diversi programmi che ho normalmente in background (Autosizer, Protowall, SpyBot tea timer, SpeedTouch diagnostic, ecc ecc).
Andando a vedere nelle cartelle di tali programmi ho notato una cartella nominata "bak" creata oggi all'ora della penultima sessione.
Dopo scansione con Dr.Web sono andato a sostituire tutti gli exe che la scansione mi dava come possibili troyan.
Rifatta scansione sia con Dr.Web che con Avg Anti-Spyware che con Gmer, alla fine non è risultato più nulla.
meglio così....anche se non ho la soddisfazione di aver capito che tipo di malware avevo.
___________________________________

Ciaaooo!!!

Ultima modifica di millovanillo : 10-12-2006 alle ore 00.24.33
millovanillo non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Malware nuovo: dnsapia.dll - vruvvekd - service xgythqop Davide71 Sicurezza&Privacy 5 09-02-2008 12.23.52
Strumento rimozione malware Win 1.29 Thor Archivio News Software 0 09-05-2007 09.10.02
Microsoft Malware Removal Tool 1.28 Thor Archivio News Software 0 11-04-2007 09.35.11
[Partizioni primarie] - quante è possibile crearne? Mr Wolf Windows 9x/Me/NT4/2000 4 22-08-2005 10.43.17
E Possibile? *I.T.F.* FENIX Windows 7/Vista/XP/ 2003 2 30-11-2003 17.29.53

Orario GMT +2. Ora sono le: 05.21.18.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.