Strano comportamento di Sophos Anti-Rootkit

El Condor · **Inviato:** lun apr 09, 2012 12:08 pm

Un cordiale saluto e un augurio di Buona Pasqua a tutti.
Lo so che oggi è Pasquetta, ma visto che da me piove . . . apetterò!

Qualche giorno fa ho ricevuto avviso da Avira Antivirus e Comodo Firewall di tentata attività da parte di un file "exe" che si trovava nella cartella C:\Documents and Settings\...\Impostazioni locali\temp. Fatta la pulizia al momento. La cosa si è ripetuta il giorno dopo. Due giorni fa ho fatto le "pulizie settimanali": Antivirus scansione completa; Malwarebytes Anti-Malware scansione completa; CCleaner pulizia completa e pulizia anche con Advanced SystemCare e Auslogics BoostSpeed. Solo Malwarebytes ha trovato un "intruso", debitamente pulito.
Ieri ho controllato la carella "temp" suddetta ed ho trovato di nuovo un file "exe" che non si lasciava nemmeno cancellare. Ho riavviato il computer e quel file era sparito. Questa mattina stessa cosa. Allora ho provveduto a fare una scansione con Sophos Anti-Rootkit, (l'ho fatta più volte e il risultato è sempre diverso), ma per quello che trova mi dice che non è raccomandata la pulizia.
Ora provo se riesco a postare l'immagime.

Uploaded with ImageShack.us
Grazie in anticipo e. . . aspetto . . . anche domani.

Raf

RikyToro · **Inviato:** lun apr 09, 2012 2:51 pm

Scarica GMER da qui: http://www.gmer.net/
devi cliccare sul pulsante DOWNLOAD EXE che trovi a metà pagina.

Una volta scaricato lo avvi e lo lasci lavorare per qualche minuto.
Se troverà qualcosa ti troverai qualche scritta in rosso sulla sua schermata, se no troverai la schermata bianca senza nulla o con qualche scritta nera.

Posta per favore un log di Hijackthis.

El Condor · **Inviato:** lun apr 09, 2012 4:49 pm

OK Riky, sempre presente. Grazie.
Adesso allego il log di Hijackthis e poi metto GMER a lavorare.

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.43.00, on 09/04/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Uniblue\DriverScanner\dsmonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\IObit\Advanced SystemCare 5\ASCTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Programmi\internet explorer\iexplore.exe
D:\Programmi Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programmi\MAGIX\Film_su_DVD_7\TrayServer.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NSLauncher] C:\Programmi\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Programmi\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe

--
End of file - 8643 bytes

Codice:

El Condor · **Inviato:** lun apr 09, 2012 8:04 pm

GMER ha finito poco fa. Ha impiegato un sacco di tempo. Nella scheda "Rootkit/Malware non c'è nessuna scritta in rosso. Solo in nero (molte) e di cui se serve posso allegare il log. Come posso allegare anche il log della scheda Autostart, sempre se serve.
Nella scheda "Registry" ho trovato che c'erano delle chiavi in rosso. Però non da la possibilità di compiere nessuna azione. Per curiosità ho controllato l'editor del registro e le chiavi che in Gmer hanno del contenuto in rosso nell'editor normale appaiono vuote.
Per questa sera spengo e domani vediamo che suggerimenti ci sono.
Raf

RikyToro · **Inviato:** mar apr 10, 2012 11:45 am

Con Hijackthis fixa queste voci inutili:

Codice:

O4 - HKLM\..\Run: [NSLauncher] C:\Programmi\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /minimized /regrun

O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Programmi\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart

Il fatto che GMER non rilevi nulla di importante e che Hijack non dia segnali strani mi da da pensare che il tuo pc non sia infetto.

Come ultimo controllo scarica e fai partire ComboFix ( informatica-ed-internet-virus/procedura-per-ripulire-un-pc-infetto-t21749.html ) e poi posta qui il suo log.

El Condor · **Inviato:** mar apr 10, 2012 1:14 pm

Scusa Riky, sono appena rientrato e sto andando a mangiare.
Dopo fixo le voci che mi dici.
Combofix l'ho usato un paio di giorni fa e mi ha trovato alcune cose che ha pulito. Se serve ti posso postare il log. Comunque più tardi lo ripeto.
Per le chiavi di registro che Gmer mi da in rosso e che nell'editor appaiono senza contenuto che devo fare?
Grazie.
Raf

RikyToro · **Inviato:** mar apr 10, 2012 3:17 pm

Se la schermata di GMER intitolata Rootkit/Malware è senza righe rosse dovresti essere a posto.

Aspetto il log di ComboFix.

El Condor · **Inviato:** mar apr 10, 2012 5:19 pm

Ecco il log di Combofix, fresco fresco.

Codice:

ComboFix 12-04-07.04 - Raf 10/04/2012  17.05.31.2.3 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.39.1040.18.2815.2246 [GMT 2:00]
Eseguito da: c:\documents and settings\Raf\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5C49-7C92-0300-000000000000}
AV: AntiVir Desktop *Enabled/Updated* {0012F2B4-5CC9-7C92-0300-000000000000}
AV: Avira Desktop *Enabled/Updated* {00000000-0715-0000-08F2-12003094807C}
AV: Avira Desktop *Enabled/Updated* {00000010-0000-0000-0000-0000B8013B00}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
(((((((((((((((((((((((((   Files Creati Da 2012-03-10 al 2012-04-10  )))))))))))))))))))))))))))))))))))
.
.
2012-04-08 08:02 . 2012-04-08 08:02   --------   d-----w-   c:\windows\system32\config\systemprofile\Dati applicazioni\IObit
2012-04-07 10:48 . 2012-04-07 10:48   --------   d-----w-   c:\documents and settings\All Users.WINDOWS\Dati applicazioni\IObit
2012-04-02 10:18 . 2012-04-02 10:18   --------   d-----w-   c:\documents and settings\Raf\Impostazioni locali\Dati applicazioni\Help
2012-03-25 10:56 . 2012-03-29 18:03   --------   d-----w-   c:\documents and settings\Raf\Tracing
2012-03-25 10:42 . 2012-04-01 07:02   --------   d-----w-   c:\programmi\Windows Live SkyDrive
2012-03-25 10:38 . 2012-03-25 10:38   --------   d-----w-   c:\programmi\File comuni\Windows Live
2012-03-22 10:57 . 2012-03-22 10:57   --------   d-----w-   c:\documents and settings\Raf\Dati applicazioni\Ahead
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-11 21:13 . 2011-12-19 17:59   97760   ----a-w-   c:\windows\system32\drivers\inspect.sys
2012-03-11 21:13 . 2011-12-19 17:59   31704   ----a-w-   c:\windows\system32\drivers\cmdhlp.sys
2012-03-11 21:13 . 2012-01-17 20:00   494968   ----a-w-   c:\windows\system32\drivers\cmdGuard.sys
2012-03-11 21:13 . 2011-12-19 17:59   18056   ----a-w-   c:\windows\system32\drivers\cmderd.sys
2012-03-11 21:13 . 2011-12-19 17:58   33984   ----a-w-   c:\windows\system32\cmdcsr.dll
2012-03-11 21:13 . 2011-12-19 17:58   301224   ----a-w-   c:\windows\system32\guard32.dll
2012-02-15 11:24 . 2012-02-10 11:30   137416   ----a-w-   c:\windows\system32\drivers\avipbb.sys
2012-02-03 09:57 . 2008-04-14 12:00   1860096   ----a-w-   c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-15 11:40   3072   ------w-   c:\windows\system32\iacenc.dll
2011-04-14 16:53 . 2011-06-20 11:11   142296   ----a-w-   c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-04-08_17.44.06   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-04-10 14:34 . 2012-04-10 14:34   16384              c:\windows\temp\Perflib_Perfdata_918.dat
.
(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2012-02-29 17148552]
"Advanced SystemCare 5"="c:\programmi\IObit\Advanced SystemCare 5\ASCTray.exe" [2012-03-06 574296]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MemoREX"="c:\programmi\MemoRex\MemoRexStart.exe" [2003-07-29 332288]
"TrayServer"="c:\programmi\MAGIX\Film_su_DVD_7\TrayServer.exe" [2008-01-30 90112]
"RTHDCPL"="RTHDCPL.EXE" [2011-06-23 19557480]
"NSLauncher"="c:\programmi\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-10-01 3104768]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programmi\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programmi\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programmi\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\programmi\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-16 258512]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cfp.exe" [2012-03-11 6749512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Raf\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Winamp\\winamp.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Free Download Manager\\fdm.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Directory Lister Pro\\DirListerPro.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
R0 johci;JMicron 1394 Filter Driver;c:\windows\system32\drivers\johci.sys [23/06/2011 19.47.46 22616]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [10/02/2012 13.30.16 36000]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [17/01/2012 22.00.50 494968]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [19/12/2011 19.59.22 31704]
R2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [10/02/2012 13.30.18 86224]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [23/06/2011 17.09.17 101904]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [23/06/2011 17.10.12 197224]
S2 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\programmi\IObit\Advanced SystemCare 5\ASCService.exe [07/04/2012 12.48.10 913752]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13.16.28 130384]
S2 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [15/02/2012 14.30.18 158856]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/06/2011 19.39.18 1691480]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\3D.tmp --> c:\windows\system32\3D.tmp [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13.16.28 753504]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-10 c:\windows\Tasks\DriverScanner.job
- c:\programmi\Uniblue\DriverScanner\dsmonitor.exe [2011-11-28 13:43]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Scarica con Free Download Manager - file://c:\programmi\Free Download Manager\dllink.htm
IE: Scarica i video con Free Download Manager - file://c:\programmi\Free Download Manager\dlfvideo.htm
IE: Scarica selezionati con Free Download Manager - file://c:\programmi\Free Download Manager\dlselected.htm
IE: Scarica tutto con Free Download Manager - file://c:\programmi\Free Download Manager\dlall.htm
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-10 17:10
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
scansione processi nascosti ... 
.
scansione entrate autostart nascoste ... 
.
Scansione files nascosti ... 
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\3D.tmp"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b5,1a,de,d9,af,3d,c8,43,ad,ec,54,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b5,1a,de,d9,af,3d,c8,43,ad,ec,54,\
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\guard32.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'lsass.exe'(880)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'explorer.exe'(3580)
c:\windows\system32\WININET.dll
c:\windows\system32\guard32.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
- - - - - - - > 'csrss.exe'(760)
c:\windows\system32\cmdcsr.dll
.
Ora fine scansione: 2012-04-10  17:12:02
ComboFix-quarantined-files.txt  2012-04-10 15:12
.
Pre-Run: 51.509.751.808 byte disponibili
Post-Run: 51.537.997.824 byte disponibili
.
- - End Of File - - 670BDEFB3339D7BB5671BFA39B64848B

RikyToro · **Inviato:** mar apr 10, 2012 5:47 pm

Scarica questo programma:
http://www2.gmer.net/catchme.exe
avvialo e clicca su SCAN.

Poi posta qui il log.

El Condor · **Inviato:** mar apr 10, 2012 6:04 pm

Ecco il log di catchme:

Codice:

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-10 17:52:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Ora sto spegnendo perché devo uscire.
Vedrò domani eventuali responsi e/o suggerimenti.
Grazie
Raf

RikyToro · **Inviato:** mar apr 10, 2012 9:58 pm

Sembra che il PC non presenti infezioni...
noti problemi, rallentamenti, avvisi strani ?

El Condor · **Inviato:** mer apr 11, 2012 10:16 am

Non noto niente di strano. Solo quello che ho detto prima: che quando navigavo a volte compariva un messaggio di Avira Antivirus o di Comodo e poi trovavo un file "exe", con nomi composti solo da lettere a caso, nella cartella "temp".
Ora sembra che questa attività non ci sia, ma è anche vero che sono stato assente e quindi ho navigato poco o niente.
Un'ultima cosa, Riky, quelle chiavi di registro che Gmer mi da in rosso? Le ignoro o c'è qualcosa che si può fare?
Ancora grazie.
Raf

RikyToro · **Inviato:** mer apr 11, 2012 6:05 pm

Per ora ignorale.

Per navigare su internet usa Google Chrome.

El Condor · **Inviato:** mer apr 11, 2012 6:54 pm

OK Grazie.
Ora lo provo.
Raf

steven75 · **Inviato:** mer apr 11, 2012 8:25 pm

Ciao,

ti consiglierei anche di non tenere due antivirus installati... sembrerebbe che tu stia usando sia Antivir che Comodo IS.

Strano comportamento di Sophos Anti-Rootkit

Chi c’è in linea