Win 32 worm

PC che si scaldano, programmi che si rompono, trucchi che... ZOT!
User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Win 32 worm

Post by mader_o.O » 20/06/2011 19:58

Quest' oggi mi è successa una cosa molto strana e volevo sapere da voi smanettoni qualcosa in più.

Oggi torno dalle ferie e accendo il pc dopo una settimana in cui non c'ero stato. (sono l'unico utilizzatore del pc e prima funzionava tutto).
Inizialmente tutto funziona a dovere ma dopo un po tutto mi si blocca e mi si apre una finestrella come se fosse un anti virus e mi dice che il mio pc era esposto a minacce e parte uno scan.

Il fantomatico "anti-virus" era in inglese ed aveva come icona uno scudo simile a quello del firewall di Windows e richiedeva di essere attivato per poter funzionare appieno e servivano mail e un certo codice. Ma in verità mi puzzava perchè mai avevo installato una cosa simile.
Il bello era che qualsiasi cosa provassi ad usare mi appariva in basso a dx dello schermo nella barra degli strumenti un messaggino sempre con lo stesso testo: "il programma XXX (quale che fosse, da mozilla, a ts3) non può funzionare perchè infettato da sto fantomatico Win32 Worm".

Allorchè siccome non lo prendo mai al culo 2 volte, ho fatto come vidii fare al buon skazzo a suo tempo che usò teamviewer:

- entro in modalità provvisoria (ma come si fa? con F2? io ho staccato la spina del pc....)
- faccio uno scan con Hijackthis che mi aveva installato skazzo e passo di machete su tutto quello che mi sembrava strano...
- faccio uno scan con spybotsearch e destroy (che però non trova nulla di particolare, solo qualche cookie).
- riavvio.

Ora sembra funzionare tutto, infatti sono qui a scrivervi, ma la mia preoccupazione è che quello che ho fatto sia solo una cosa provvisoria ed il problema si possa ripresentare.

skazzo
Veteran
Veteran
Posts: 1245
Joined: 29/08/2003 10:48
Location: Sestri Levante (GE)

Re: Win 32 worm

Post by skazzo » 20/06/2011 20:38

già che ci sei scaricati pure combofix e fagli fare un giro, dovrebbe togliere quasi tutto quello che resta di quel virus

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 20/06/2011 21:26

quindi dici che anche quella specie di anti virus finto era un virus mascherato?

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Re: Win 32 worm

Post by Lysor_o.O » 20/06/2011 21:51

Un programma che NON hai installato tu, che dice di essere un antivirus, blocca tutto il resto dicendo che vede virus ovunque, e chiede di essere attivato (pagando, immagino!)? Sì!

Chiediti piuttosto come l'hai preso... Windows è aggiornato? Il browser lo è? Flash? Acrobat Reader? Hai scaricato qualche programma craccato da eMule e simili? Hai visitato siti warez o simili? Ricorda che se il browser ha un bug, per beccarsi qualcosa basta anche solo aprire certi siti, anche senza cliccare su niente, e non compare nessun avviso!
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 20/06/2011 22:11

windows è l'unica cosa non aggiornata.

per il resto visito i miei soliti 3/4 forum, wow, facebook ed youporn e youjizz, quindi non saprei proprio da dove mi sia uscito.

l'unica cosa di "anomalo" che ho fatto è stato scaricare alcuni manga-scan di naruto e deadmanwonderland da megavideo.

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 20/06/2011 23:12

Bene ho capito da dove viene.
Mi è appena risuccesso aapena sono entrato in animedb.it nella sezione streaming.
NOn so come mai, lo frequento da un sacco quel sito e non ho mai avuto problemi.

Però ho analizzato meglio la situazione:

Nella cartella C:\Documents and Settings\All Users\Dati applicazioni mi appare una icona a forma di scudo giallino che si chiama " BITDEFENDERCORE" G data software ag e mi si apre il finto anti vrus "SECURITY PROTECTION" e poi ad ogni cosa che tento di aprire mi dice che è infetta da
W32/Blaster.worm.

Per tornare operativo ho fatto la stessa cosa di prima, ma non vorrei che con hakjackcoso cancello qualcosa di importarte...

User avatar
Maloghigno
Administrator
Administrator
Posts: 4593
Joined: 06/12/2002 19:23
Blizzard BattleTag: Maloghigno#2220
Contact:

Re: Win 32 worm

Post by Maloghigno » 21/06/2011 00:03

Vai tranquillo, hajackkoso è affidabile.
Piuttosto mi piacerebbe sentirtelo pronunciare "hijackthis" :terminator:

:asd:
Image

skazzo
Veteran
Veteran
Posts: 1245
Joined: 29/08/2003 10:48
Location: Sestri Levante (GE)

Re: Win 32 worm

Post by skazzo » 21/06/2011 09:09

ripeto, scarica e fai girare combofix, è nato praticamente per quel virus lì

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 21/06/2011 17:04

Mi dice che combofix non può girare se ho installato avg, quindi lo devo togliere.

CHe fo? poi rimango senza antivirus?

skazzo
Veteran
Veteran
Posts: 1245
Joined: 29/08/2003 10:48
Location: Sestri Levante (GE)

Re: Win 32 worm

Post by skazzo » 21/06/2011 20:02

tanto avg fa cagare ^^
scaricati un altro antivirus e non lo installi disinstalli avg, fai il giro con combofix e reinstalli l'antivirus scaricato prima (per l'antivirus o metti avast6 o avira)

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 21/06/2011 20:44

Bene non riesco a disinstallare avg... mi da sto errore....


Computer locale: installazione non riuscita
Installazione:
Errore: Intervento non riuscito per chiave del registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: creazione della chiave di registro....
Error 0x80070005

User avatar
Beavis
Veteran
Veteran
Posts: 1363
Joined: 08/10/2005 15:18

Re: Win 32 worm

Post by Beavis » 21/06/2011 21:31

Tra avast e avira consiglio avast al momento, io ero un patito di avira ma provando avast6 non sono tornato indietro.

Chiaramente dopo che hai risolto questo problema.
Ma un bel format? :lolol:
(io l'ho fatto ieri sera :asd: )
Monologhista doc :teach:

skazzo
Veteran
Veteran
Posts: 1245
Joined: 29/08/2003 10:48
Location: Sestri Levante (GE)

Re: Win 32 worm

Post by skazzo » 21/06/2011 23:04

cerca su google: utility disinstallazione avg e falla girare
(PS pure io sono per avast)

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 22/06/2011 00:02

ok grazie ho fatto come m hai detto. ho scaricato il tool e disinstallato avg.

poi ho usato il combofix, ma ha fatto tutto lui, io non ci ho capito molto... so solo che mi riportato un log con una serie di scritte incomprensibili per me....

E' ok, oppure sono un giocatore finito?

ComboFix 11-06-21.05 - Marco 21/06/2011 23.49.57.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.3071.2544 [GMT 2:00]
Eseguito da: c:\documents and settings\Marco\Documenti\Download\ComboFix.exe
AV: AVG Anti-Virus Free *Disabled/Outdated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\bittorrent\BitTorrent.exe
c:\documents and settings\Marco\Dati applicazioni\Adobe\plugs
c:\documents and settings\Marco\Dati applicazioni\Adobe\plugs\mmc254.exe
c:\documents and settings\Marco\Dati applicazioni\Adobe\plugs\mmc34.exe
c:\documents and settings\Marco\Dati applicazioni\Adobe\shed
c:\documents and settings\Marco\Dati applicazioni\Adobe\shed\thr1.chm
c:\documents and settings\Marco\Dati applicazioni\cacaoweb
c:\documents and settings\Marco\Dati applicazioni\cacaoweb\npdfile.dat
c:\documents and settings\Marco\Dati applicazioni\cacaoweb\replicating4CD5B767475CE09AB3AAF7B187ED3619.cacao
c:\documents and settings\Marco\Dati applicazioni\cacaoweb\replicating7A115616F1CE7BC758596332EA41AEC9.cacao
c:\documents and settings\Marco\Dati applicazioni\cacaoweb\storage.db
c:\documents and settings\Marco\Desktop\cacaoweb.exe
c:\programmi\cacaoweb\cacaoweb.exe
c:\programmi\Yahoo!\Yahoo!.exe
c:\windows\system32\winlogon.bak
F:\autorun.inf
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MYWEBSEARCHSERVICE
.
.
((((((((((((((((((((((((( Files Creati Da 2011-05-21 al 2011-06-21 )))))))))))))))))))))))))))))))))))
.
.
2011-06-20 20:56 . 2011-06-20 20:56 -------- d-----w- c:\documents and settings\Marco\Dati applicazioni\BabylonToolbar
2011-06-20 19:27 . 2011-06-20 19:27 -------- d-----w- c:\programmi\BabylonToolbar
2011-06-20 19:27 . 2011-06-20 19:27 -------- d-----w- c:\programmi\FoxTabFLVPlayer
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-14 17:59 . 2011-05-14 17:59 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-12-10 . 1DBD3966123AC2F6ADE783F7F17F8C7F . 504832 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]
"StartCCC"="c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-11-10 417792]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-15 35736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
.
c:\documents and settings\Marco\Menu Avvio\Programmi\Esecuzione automatica\
iRotate.lnk - c:\programmi\iRotate\iRotate.exe [2008-6-1 58104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-11-15 20:02 932288 ----a-w- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2006-03-02 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\programmi\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2010-04-16 21:11 3872080 ----a-w- c:\programmi\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
2009-01-08 13:44 70936 ----a-w- c:\documents and settings\Marco\Dati applicazioni\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ----a-r- c:\programmi\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2std]
2006-09-15 11:21 675840 ----a-w- c:\windows\vsnp2std.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2011-04-06 11:47 2644992 ----a-w- c:\programmi\Veoh Networks\VeohWebPlayer\VeohWebPlayer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ose"=3 (0x3)
"MyWebSearchService"=2 (0x2)
"McComponentHostService"=3 (0x3)
"idsvc"=3 (0x3)
"Giraffic"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"c:\\Programmi\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\World of Warcraft\\Launcher.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-enGB-downloader.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.1.0.9767-to-3.1.1.9806-enGB-downloader.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Documents and Settings\\Marco\\Dati applicazioni\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Documents and Settings\\Marco\\Dati applicazioni\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programmi\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\World of Warcraft Public Test\\WoW-0.3.0.10522-enGB-ptr-downloader.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\Marco\\Documenti\\Download\\StarCraft_2_Beta_enGB.exe"=
"c:\\Programmi\\StarCraft II Beta\\StarCraft II.exe"=
"c:\\Programmi\\StarCraft II Beta\\Support\\BlizzardDownloader.exe"=
"c:\\Programmi\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programmi\\StarCraft II\\StarCraft II.exe"=
"c:\\Programmi\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"c:\\Programmi\\World of Warcraft Public Test\\Launcher.exe"=
"c:\\Programmi\\StarCraft II\\Versions\\Base16605\\SC2.exe"=
"c:\\Programmi\\StarCraft II\\Versions\\Base16755\\SC2.exe"=
"c:\\Programmi\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\StarCraft II\\Versions\\Base18092\\SC2.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\VeohWebPlayer.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4672:UDP"= 4672:UDP:emule_tcp
"59822:TCP"= 59822:TCP:d
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6881:TCP"= 6881:TCP:Blizzard Downloader: 6881
.
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [14/07/2010 20.48.01 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27/07/2010 20.42.30 1691480]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [14/07/2010 20.48.01 136176]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programmi\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 14.49.20 227232]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-07-14 18:47]
.
2011-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-07-14 18:47]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=d0fddf7f000000000000000cf64de555&tlver=1.4.19.19&affID=17160
IE: &Search
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 62.101.93.101 83.103.25.250
FF - ProfilePath - c:\documents and settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\s2z0mz26.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKCU-Run-cacaoweb - c:\programmi\cacaoweb\cacaoweb.exe
HKCU-Run-Security Protection - c:\documents and settings\All Users\Dati applicazioni\defender.exe
Notify-avgrsstarter - avgrsstx.dll
MSConfigStartUp-BitTorrent DNA - c:\programmi\DNA\btdna.exe
MSConfigStartUp-Mobile Partner - c:\programmi\Yahoo!\Yahoo!.exe
MSConfigStartUp-My Web Search Bar - c:\progra~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL
MSConfigStartUp-MyWebSearch Email Plugin - c:\progra~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
MSConfigStartUp-MyWebSearch Plugin - c:\progra~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL
AddRemove-VobSub - c:\programmi\Gabest\VobSub\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-21 23:54
Windows 5.1.2600 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
cacaoweb = "c:\programmi\cacaoweb\cacaoweb.exe" -noplayer?abled:cacaoweb?mi?OD???????????????????Q???????????????Q???Q???????????Q?\?Q?I?G???????G?????????????( ??????Service Pack 2?????????????
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1260)
c:\windows\system32\msi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2011-06-21 23:56:59 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2011-06-21 21:56
.
Pre-Run: 44.039.028.736 byte disponibili
Post-Run: 44.536.528.896 byte disponibili
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
.
- - End Of File - - 4197BE5137B73414AAA2DDD609A3A705

User avatar
Arbè
Veteran
Veteran
Posts: 208
Joined: 29/04/2008 12:23
Location: Torino

Re: Win 32 worm

Post by Arbè » 22/06/2011 08:52

E' incredibile quanto, da un file di registro, si possa capire la storia di un sistema operativo e di chi lo usa.
Combofix mi sembra abbia fatto un ottimo lavoro, anche se non so quanto aggiornato sulle firme virali possa essere.

Avevi il cacaoweb che è stato rimosso anche a livello di chiavi di registro ed un fm20enu.dll (libreria d'istruzioni) che comunque non è considerata dannosa.

A mio parere Avast in versione 6 è un ottimo antivirus gratuito. Certo se vuoi proprio stare tranquillo, ti consiglierei Kaspersky che puoi trovare anche da FNAC e con 30 euri stai veramente tranquillo.

Comunque nel frattempo puoi fare cosi':
1 Vai sul sito di AVAST e scaricati il programmino.
2 Disabilita il ripristino configurazione di sistema istruzioni semplici semplici
3 Installa l'antivirus che si aggiornerà automaticamente e se ti chiede subito di fare una bella scansione tu fagliela fare, altrimenti devi avviare il processo a mano. Non è complicato e lo troverai tra i comandi e le opzioni di AVAST una volta installato
4 Alla fine della scansione, riattiva il ripristino configurazione di sistema.
Ti accorgi di essere vecchio quando, anche per rollare una canna, ti servono gli occhiali da lettura...

skazzo
Veteran
Veteran
Posts: 1245
Joined: 29/08/2003 10:48
Location: Sestri Levante (GE)

Re: Win 32 worm

Post by skazzo » 22/06/2011 14:23

combofix si aggiorna tutti i giorni quindi dovrebbe essere tranquillo, direi che ti ha ripulito tutto, mi lascia perplesso la cancellazione di bitTorrent ma per il resto direi tutto a posto

User avatar
PiChan_o.O
oO Team
oO Team
Posts: 792
Joined: 12/06/2007 10:52
Blizzard BattleTag: Pichan#2941
Location: Sovigliana-Spicchio

Re: Win 32 worm

Post by PiChan_o.O » 22/06/2011 15:32

OT on
io come antivirus uso McAfee...come vi sembra?.....per la mia modesta esperienza mi sembra valido ma lascio a voi l'ardua sentenza^^
OT off

User avatar
mader_o.O
oO Team
oO Team
Posts: 2204
Joined: 28/11/2004 19:40
Location: Oltre la barriera

Re: Win 32 worm

Post by mader_o.O » 22/06/2011 17:38

ottimo grazie skazzo.
Avevi il cacaoweb che è stato rimosso anche a livello di chiavi di registro ed un fm20enu.dll (libreria d'istruzioni) che comunque non è considerata dannosa.
è quella pippa di milka che me lo ha fatto istallare dicendo che mi avrebbe rimosso il limite dei 70 minuti da megavideo, invece non serve a niente...

E' incredibile quanto, da un file di registro, si possa capire la storia di un sistema operativo e di chi lo usa.
bhe non so che si capisce da li, ma io in pratica col pc ci gioco a wow/SC, e ci vedo qualche film (porno e non) di più non faccio :pc:

User avatar
Arbè
Veteran
Veteran
Posts: 208
Joined: 29/04/2008 12:23
Location: Torino

Re: Win 32 worm

Post by Arbè » 22/06/2011 17:51

PiChan_o.O wrote:io come antivirus uso McAfee...come vi sembra?
Pesante come avere una suocera con l'aerofagia a pranzo---- :firefire:
Ti accorgi di essere vecchio quando, anche per rollare una canna, ti servono gli occhiali da lettura...

User avatar
Beavis
Veteran
Veteran
Posts: 1363
Joined: 08/10/2005 15:18

Re: Win 32 worm

Post by Beavis » 22/06/2011 19:01

PiChan_o.O wrote:OT on
io come antivirus uso McAfee...come vi sembra?.....per la mia modesta esperienza mi sembra valido ma lascio a voi l'ardua sentenza^^
OT off
Guarda un po' qua: http://www.programmifree.com/confronti/ ... us2011.htm
E qua: http://www.programmifree.com/confronti/ ... s-2011.htm

Considera che di avast è uscito il 6 e il confronto è fatto con il 5.1 ma sono molto simili come comportamento.

Da questo confronto risulta che l'antivirur free più ganzo come protezione è comodo subito seguito da avast.
Sulla leggerezza avast è il migliore anche se comodo lo batte in avvio, io preferisco aspettare qualche secondo in più in avvio ma poi girare meglio dopo.

Personalmente ho provato sia comodo che avast e ho scelto avast.
Ho testato io stesso che consuma meno memoria (su xp perchè su vista/7 è impossibile capirlo bene).
Comodo è anche in versione suite cioè ha anche il firewall, ma a parte che il fw di win7 è più che sufficente per uso domenstico specialmente se dietro router, il firewall di comodo is è un dito nel culo.
Ogni volta che un programma si gratta un ascella quello ti spara un pop-up chiedendoti se vuoi permettere a quel programma di grattarsi l'ascella... un inferno, dopo un po' premi "si" senza manco leggere dalla disperazione e allora meglio non metterlo :asd:

McAfee in questo confronto manco c'è, ma se guardi quello dell'anno scorso capisci che Arbè ha perfettamente ragione :asd:
Monologhista doc :teach:

Post Reply

Who is online

Users browsing this forum: No registered users and 4 guests