Condividi:        

Problema file di sistema infetto

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problema file di sistema infetto

Postdi paoloasti80 » 23/04/10 10:09

Buon giorno a tutti,

Ho un problema con il computer, ho fatto girare combofix e vi riporto di seguito il risultato della scansione:

ComboFix 10-04-21.01 - utente 23/04/2010 9.56.30.5.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.511.220 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Documenti\Software\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100422-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tftp.exe . . . è infetto!!

.
((((((((((((((((((((((((( Files Creati Da 2010-03-23 al 2010-04-23 )))))))))))))))))))))))))))))))))))
.

2010-04-22 20:33 . 2010-04-22 20:33 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\Malwarebytes
2010-04-22 20:33 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-22 20:33 . 2010-04-22 20:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-04-22 20:33 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-22 20:33 . 2010-04-22 20:33 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-28 20:09 . 2003-04-08 19:00 497812 ----a-w- c:\windows\system32\perfh010.dat
2010-03-28 20:09 . 2003-04-08 19:00 87648 ----a-w- c:\windows\system32\perfc010.dat
2010-03-27 20:22 . 2009-01-10 15:41 -------- d-----w- c:\programmi\CCleaner
2010-03-23 00:16 . 2010-03-23 00:16 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-03-23 00:16 . 2010-03-23 00:16 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-03-23 00:12 . 2009-12-30 00:35 199600 ----a-w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2010-03-23 00:06 . 2010-01-24 16:30 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Installations
2010-03-23 00:06 . 2009-06-21 21:49 -------- d-----w- c:\programmi\DIFX
2010-03-23 00:06 . 2010-03-23 00:06 -------- d-----w- c:\programmi\PC Connectivity Solution
2010-03-23 00:05 . 2009-06-21 21:49 -------- d-----w- c:\programmi\Nokia
2010-03-23 00:03 . 2009-06-21 22:07 -------- d-----w- c:\programmi\File comuni\Nokia
2010-03-23 00:00 . 2010-03-23 00:00 3351812 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{D8DDC00B-2881-407D-AAC2-44AEE70AF0B7}\Installer\CommonCustomActions\msxml6Exec.exe
2010-03-23 00:00 . 2010-03-23 00:00 36864 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{D8DDC00B-2881-407D-AAC2-44AEE70AF0B7}\Installer\CommonCustomActions\Sleep.exe
2010-03-23 00:00 . 2010-03-23 00:00 3203453 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{D8DDC00B-2881-407D-AAC2-44AEE70AF0B7}\Installer\CommonCustomActions\vcredistExec.exe
2010-03-23 00:00 . 2010-03-23 00:01 34657496 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Installations\{D8DDC00B-2881-407D-AAC2-44AEE70AF0B7}\NokiaSoftwareUpdaterSetup_2.4.6IT.exe
2010-03-20 23:19 . 2010-02-14 15:10 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\vlc
2010-03-10 06:15 . 2003-04-08 19:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:16 . 2003-04-08 19:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2003-04-08 19:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-22 20:17 . 2008-01-31 00:08 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\MSN6
2010-02-17 12:05 . 2003-04-08 19:00 2193664 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:05 . 2002-09-09 13:34 2070528 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-14 15:00 . 2009-04-09 19:27 20 ---h--w- c:\documents and settings\All Users\Dati applicazioni\PKP_DLdw.DAT
2010-02-12 04:33 . 2003-04-08 19:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2003-04-08 19:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-04-22_22.17.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-23 07:52 . 2010-04-23 07:52 16384 c:\windows\Temp\Perflib_Perfdata_724.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programmi\File comuni\Nokia\MPlatform\NokiaMServer" [X]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-13 335872]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-09-26 114741]
"UpdateManager"="c:\programmi\File comuni\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"Cpqset"="c:\programmi\HPQ\Default Settings\cpqset.exe" [2003-07-17 184412]
"AGRSMMSG"="AGRSMMSG.exe" [2003-05-05 88267]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2007-04-27 282624]
"Nokia FastStart"="c:\programmi\Nokia\Nokia Music\NokiaMusic.exe" [2009-02-26 2376992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Nikon Monitor.lnk - c:\programmi\File comuni\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - c:\programmi\WIDCOMM\Software Bluetooth\BTTray.exe [2003-9-12 503869]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programmi\\File comuni\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/01/2009 17.45.31 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/01/2009 22.16.15 20560]
R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\wbsd.sys [11/01/2007 9.57.27 26240]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = *.local
IE: Invia a &Bluetooth - c:\programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-23 10:01
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\HPQ\Default Settings\cpqset.exe????????????2?5?2?4??@???? ?deB???????????????B????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1140)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2010-04-23 10:03:14
ComboFix-quarantined-files.txt 2010-04-23 08:03
ComboFix2.txt 2010-04-22 23:02
ComboFix3.txt 2010-04-22 22:45
ComboFix4.txt 2010-04-22 22:19

Pre-Run: 6.438.809.600 byte disponibili
Post-Run: 6.403.477.504 byte disponibili

- - End Of File - - 8AA4F9642EF278B91800A522F12CA9DE

Aggiungo che ho lanciato Avast antivirus il quale non ha rilevato alcun problema e ho anche lanciato una scansione con Malwarebytes e mi ha rilevato alcuni file infetti che mi ha eliminato e ripetuta la scansione non ha piu' rilevato nulla.
Ringrazio in anticipo tutti coloro che sapranno darmi una mano.
Un salutone a tutti
paoloasti80
Newbie
 
Post: 4
Iscritto il: 23/04/10 09:43

Sponsor
 

Re: Problema file di sistema infetto

Postdi Luke57 » 23/04/10 11:56

Ciao, il report di combofix pare a posto.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Problema file di sistema infetto

Postdi paoloasti80 » 23/04/10 17:48

Ciao,
Innanzitutto grazie per l'attenzione pero' mi sorge il dubbio per due motivi:
Il primo è che se rifaccio la scansione appare sempre che

c:\windows\system32\tftp.exe . . . è infetto!!

Il secondo è:

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\HPQ\Default Settings\cpqset.exe????????????2?5?2?4??@???? ?deB???????????????B????????

Grazie ancora
paoloasti80
Newbie
 
Post: 4
Iscritto il: 23/04/10 09:43

Re: Problema file di sistema infetto

Postdi Luke57 » 25/04/10 18:31

Ciao, questo file:
c:\windows\system32\tftp.exe

analizzalo su virustotal
http://www.virustotal.com/it/

Il secondo valore è ok.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Problema file di sistema infetto

Postdi paoloasti80 » 26/04/10 21:10

Ciao,
Ho fatto analizzare il fail e questo è il report:

File tftp.exe ricevuto il 2010.03.02 14:01:01 (UTC)
Stato corrente: finito

Risultato: 10/41 (24.39%)
Formattato Stampa risultati Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.5.0.50 2010.03.02 Win32.SuspectCrc!IK
AhnLab-V3 5.0.0.2 2010.03.02 -
AntiVir 8.2.1.176 2010.03.02 -
Antiy-AVL 2.0.3.7 2010.03.02 -
Authentium 5.2.0.5 2010.03.02 W32/Backdoor2.BIRB
Avast 4.8.1351.0 2010.03.02 -
AVG 9.0.0.730 2010.03.02 Generic_c.KR
BitDefender 7.2 2010.03.02 -
CAT-QuickHeal 10.00 2010.03.02 -
ClamAV 0.96.0.0-git 2010.03.02 -
Comodo 4091 2010.02.28 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.03.02 -
eSafe 7.0.17.0 2010.03.01 -
eTrust-Vet 35.2.7335 2010.03.02 -
F-Prot 4.5.1.85 2010.03.02 W32/Backdoor2.BIRB
F-Secure 9.0.15370.0 2010.03.02 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.03.02 -
Ikarus T3.1.1.80.0 2010.03.02 Win32.SuspectCrc
Jiangmin 13.0.900 2010.03.02 Trojan/Agent.aaul
K7AntiVirus 7.10.987 2010.03.02 -
Kaspersky 7.0.0.125 2010.03.02 -
McAfee 5907 2010.03.01 -
McAfee+Artemis 5907 2010.03.01 Artemis!53C5E8584756
McAfee-GW-Edition 6.8.5 2010.03.02 -
Microsoft 1.5502 2010.03.02 -
NOD32 4909 2010.03.02 -
Norman 6.04.08 2010.03.01 -
nProtect 2009.1.8.0 2010.03.02 -
Panda 10.0.2.2 2010.03.01 -
PCTools 7.0.3.5 2010.03.02 -
Prevx 3.0 2010.03.02 -
Rising 22.37.01.04 2010.03.02 -
Sophos 4.50.0 2010.03.02 Mal/Generic-A
Sunbelt 5716 2010.03.01 -
Symantec 20091.2.0.41 2010.03.02 -
TheHacker 6.5.1.7.218 2010.03.02 Trojan/Downloader.Small.vwo
TrendMicro 9.120.0.1004 2010.03.02 -
VBA32 3.12.12.2 2010.03.02 -
ViRobot 2010.3.2.2208 2010.03.02 -
VirusBuster 5.0.27.0 2010.03.02 -
Informazioni addizionali
File size: 17408 bytes
MD5 : 53c5e858475619a7e6366a209195b0c9
SHA1 : 4650c95643a434ed0c31b75e3d1e3a26d191ba1b
SHA256: 40242393b343dd2cd9ad6ed57f0f431e25deebae7dcad96fe51e167a1ee41fc5
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x42DCB199 (Tue Jul 19 09:54:01 2005)
machinetype.......: 0x14C (Intel I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3 0x200 0.06 fe0fff714a18c74e43afd2823fb5dbae

( 0 imports )


( 0 exports )

TrID : File type identification
34.0% (.EXE) Win16/32 Executable Delphi generic (2072/23)
32.9% (.EXE) Generic Win/DOS Executable (2002/3)
32.8% (.EXE) DOS Executable Generic (2000/1)
0.1% (.CEL) Autodesk FLIC Image File (extensions: flc, fli, cel) (7/3)
ThreatExpert: http://www.threatexpert.com/report.aspx ... 209195b0c9
ssdeep: 3:WlWUqt/vll2sZ2vxrlYC8XvEXGl/nl/llakVFvlNl//vl7//llrllVlVJl/t1l9r:idqUsOxrlY1/E2ZnlqtW1
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD : -
RDS : NSRL Reference Data Set

Grazie ancora per il tempo che mi dedichi
paoloasti80
Newbie
 
Post: 4
Iscritto il: 23/04/10 09:43

Re: Problema file di sistema infetto

Postdi paoloasti80 » 26/04/10 21:11

Correggo l'errore madornale in prima riga:

File File File File.............
paoloasti80
Newbie
 
Post: 4
Iscritto il: 23/04/10 09:43


Torna a Sicurezza e Privacy


Topic correlati a "Problema file di sistema infetto":

Problema con il mouse
Autore: crisge73
Forum: Discussioni
Risposte: 9

Chi c’è in linea

Visitano il forum: Nessuno e 112 ospiti