Benvenuto sul nuovo Forum di Informatica generica HwNL.it raggiungibile anche all'indirizzo: SupportoTecnico.net

opinione hwnl team

Protezione PC - Antivirus

Moderatori: Admin, Fabianator

Rispondi
Avatar utente
r0ninmast3r
Active User
Messaggi: 20
Iscritto il: ven 10 dic 2010, 22:44:35

mar 11 gen 2011, 14:06:52

tento di essere pratico e sintetico
asus 3epc 4gb
hwnl 3epc

avevo un problema con due progrmmi (blackberry desktop manager e sisal poker),
clikkando l icona partivano-caricavano- ma dopo due secondi si chiudevano senza msg di errore, ero nel panico piu totale, non capivo e non trovavo una soluzione sull web.

quando ho avuto il problema con il primo ho formattatato perchè non ce la facevo piu,
il problema si è ripresentato con il secondo dopo solo 6 giorni e questa volta non ci stvo ad una sconfitta.

dopo vari tentativi (disinstallazione eset nod32, tuneup, glary e la situazione sembrava migliorare perchè sisal poker restava attivo circa 20 secondi in piu) ho trovato la soluzione che si chiama COMBOFIX, PER ME IL TOOL DEL MOMENTO :D,
problema risolto ma il log è agghiacciante, con file infetti o mancanti..

NON SARà IL FORUM GIUSTO PER QUESTO TIPO DI VALUTAZIONE MA VORREI UN PARERE DAL CREATORE DI QUESTA RELEASE, SUI FILE IN OGGETO + una voce del log hijackthis apparso dopo combofix (...)

voce hijsckthis (il resto è ok)
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

log combofix (ripeto problema risolto)

ComboFix 11-01-10.04 - r0ninHoundMaster 10/01/2011 21.57.07.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.503.275 [GMT 1:00]
Eseguito da: c:\documents and settings\r0ninHoundMaster\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.
/wow section - STAGE 50
Impossibile trovare il percorso specificato.


((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.exe . . . è infetto!!

c:\windows\system32\midimap.dll . . . è infetto!!

c:\windows\system32\srsvc.dll . . . è infetto!!

c:\windows\system32\proquota.exe . . . is missing!!


.
((((((((((((((((((((((((( Files Creati Da 2010-12-10 al 2011-01-10 )))))))))))))))))))))))))))))))))))
.

2011-01-03 21:01 . 2011-01-03 21:01 -------- d-----w- C:\Intel
2011-01-03 20:51 . 2011-01-10 20:38 -------- d-----r- C:\Programmi
2011-01-03 20:49 . 2011-01-09 23:25 -------- d-----w- C:\Documents and Settings

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------


[-] 2008-08-30 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-09-08 . 6DC43081C760EEC1130D2C8C145DF375 . 549888 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe


[-] 2008-09-08 . 8B2A7229651894B07A5F750E1FEF99CC . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2008-04-13 . 9530E35D9033ACED20CDA2509A21073A . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-31 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

[-] 2008-09-08 . 450030B1EED8E40620C778BB687336B3 . 3459584 . . [6.00.2900.5512] . . c:\windows\system32\mshtml.dll

[-] 2008-09-08 . C19CC764588859C9D5038DE8F5DEF3FC . 813568 . . [6.00.2900.5512] . . c:\windows\system32\wininet.dll

[-] 2008-09-08 . 19CB8AA5B83D0017EB9A9126AA2EEB55 . 1554944 . . [6.00.2900.5512] . . c:\windows\explorer.exe


[-] 2008-08-30 . AE9F25DDEEFA1E63FE80CF59D61731C9 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2008-09-08 . 91B6AAC828F8BBE1796275424E44DFB0 . 25088 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe




c:\windows\System32\drivers\beep.sys ... è mancante !!
c:\windows\System32\wuauclt.exe ... è mancante !!
c:\windows\System32\srsvc.dll ... è mancante !!
c:\windows\System32\schedsvc.dll ... è mancante !!
c:\windows\System32\termsrv.dll ... è mancante !!

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HijackThis startup scan"="c:\programmi\Trend Micro\HiJackThis\HijackThis.exe" [2010-03-25 388096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="c:\programmi\Asus\EeePC ACPI\AsTray.exe" [2007-09-28 77824]
"AsusACPIServer"="c:\programmi\Asus\EeePC ACPI\AsAcpiSvr.exe" [2007-10-02 450560]
"ACU"="c:\programmi\Atheros\ACU.exe" [2007-05-03 376921]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-04 16841216]
"SkyTel"="SkyTel.EXE" [2007-08-04 1826816]
"SynTPStart"="c:\programmi\Synaptics\SynTP\SynTPStart.exe" [2007-08-18 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-04-13 101888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\r0ninHoundMaster\\Documenti\\Download\\utorrent.exe"=

R0 ffire;FlashFire;c:\windows\system32\drivers\ffire.sys [15/07/2009 20.39.04 10624]
S3 dciiodrv;dciiodrv;c:\windows\system32\drivers\dciiodrv.sys [03/01/2011 22.40.17 2944]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch

NETSVCS REQUIRES REPAIRS - current entries shown
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
NWCWorkstation
Nwsapagent
Rasauto
Rasman
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\r0ninHoundMaster\Dati applicazioni\Mozilla\Firefox\Profiles\rqkifrhj.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programmi\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: PhZilla: amin.eft_PhProxy@gmail.com - %profile%\extensions\amin.eft_PhProxy@gmail.com
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-10 22:01
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'lsass.exe'(568)
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(180)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
.
Ora fine scansione: 2011-01-10 22:03:51
ComboFix-quarantined-files.txt 2011-01-10 21:03

Pre-Run: 1.675.653.120 byte disponibili
Post-Run: 1.668.005.888 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - EAE57F479E893F572DD753EBE69495F8

HWNL COSA NE PENSI???


Avatar utente
SalvaXP®
SuperModeratore
Messaggi: 623
Iscritto il: mar 12 mag 2009, 20:08:08
Località: Milano

mar 11 gen 2011, 15:34:25

Sono tutti falsi positivi....gli antivirus rilevano spesso questi tipi di file come infetti...vai tranquillo non ci sono virus ;)
SalvaXP® RELEASER
Fabianator
Amministratore
Messaggi: 2826
Iscritto il: gio 17 lug 2008, 12:04:56
Contatta:

mar 11 gen 2011, 18:14:07

i siti di scommesse online sono al limite delle sicurezza, cioè va tutto bene fin che non clicchi per sbaglio su un banner pubblicitario, poi ti puoi fare il segno della croce.
Immagine
www.kodimod.com
Avatar utente
Admin
Amministratore
Messaggi: 2011
Iscritto il: gio 22 mag 2008, 16:35:19
Contatta:

mar 11 gen 2011, 23:41:50

Non sono solo falsi positivi, cisvc.exe che dici aver eliminato con combofix è il file che serve ad indicizzare l'intero contenuto degli hard disk in modo da poter effettuare la ricerca rapida, anche regedit.exe è un file di sistema ma è possibile che un virus lo renda infetto, come ti ha detto Fabian c'è poca sicurezza da quelle parti.
Immagine
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

mar 11 gen 2011, 23:53:37

***se ComboFix,è il tool del momento..
io sono un bambino.
Esiste non so da quanto tempo .
Io personalmente, all'epoca dei Forum 'impegnativi'..usavo e facevo usare:HijackThis
ed usavo questo: http://www.hijackthis.de/
Come riferimento,ma non come risultato definitivo..
Avatar utente
Rio
Assiduo
Messaggi: 51
Iscritto il: mer 25 ago 2010, 22:08:55

sab 15 gen 2011, 11:09:10

oppure Runscanner :mrgreen:

Scusate l'intrusione :lol:
Rispondi