Caos
Forumer storico
Goofy che dici ti posto un mio log di HijckThis e ti faccio vedere 2 bei virus Novipromo,e forse tu mi trovi dell'altro.
Aiuto, il mio PC è infetto sono sicuro di avere un malware......
- Creatore Discussione Albatros
- Data di Inizio
Goofy che dici ti posto un mio log di HijckThis e ti faccio vedere 2 bei virus Novipromo,e forse tu mi trovi dell'altro.
Goofy
Moderator
Caos
Forumer storico
Uso McAfee tutto completo come principale.Ti chiedo sai leggere l'inglese,perchè ho fato anche una scansione con il mafioso e vorrei fartela leggere,poi ti metto anche la scansione con HijckThis.
Goofy
Moderator
Caos
Forumer storico
A me il mio pc lo sopporta bene,comunque volevo toglierlo,poi mi dimenticai di avere con lui un rapporto di fatturazione aperto,e quindi un mese prima della scadenza si è autorinnovato prendendosi i soldi da Pay-Pal,a quel punto,dato che ho una rete lo misi anche sugli altri client,anche perchè ci notai delle ottime migliorie.Ti posto il log di Novilog.
Search Navipromo version 3.7.1 began on 27/01/2009 at 21.54.30,87
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programmi\navilog1
Updated on 02.01.2009 at 19h00 by IL-MAFIOSO
Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Default System BIOS
USER : romeo ( Administrator )
BOOT : Normal boot
Antivirus : McAfee VirusScan (Not Activated)
Firewall : McAfee Personal Firewall (Not Activated)
C:\ (Local Disk) - NTFS - Total:72 Go (Free:12 Go)
D:\ (Local Disk) - FAT32 - Total:73 Go (Free:47 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (CD or DVD)
K:\ (CD or DVD)
Search done in normal mode
*** Searching for installed Software ***
Favorit
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programmi" ***
*** Search folders in "C:\Documents and Settings\All Users\menuav~1\progra~1" ***
*** Search folders in "C:\Documents and Settings\All Users\menuav~1" ***
*** Search folders in "c:\docume~1\alluse~1\datiap~1" ***
*** Search folders in "C:\Documents and Settings\romeo\datiap~1" ***
*** Search folders in "C:\Documents and Settings\romeo\impost~1\datiap~1" ***
*** Search folders in "C:\Documents and Settings\romeo\menuav~1\progra~1" ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Documents and Settings\romeo\impost~1\datiap~1" *
*** Search files ***
*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"yguasky"="\"c:\\documents and settings\\romeo\\impostazioni locali\\dati applicazioni\\yguasky.exe\" yguasky"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qcnqegju"="\"c:\\documents and settings\\romeo\\impostazioni locali\\dati applicazioni\\qcnqegju.exe\" qcnqegju"
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Documents and Settings\romeo\impost~1\datiap~1" :
agaqm.dat found !
agaqm_nav.dat found !
agaqm_navps.dat found !
agaqm_navup.dat found !
qcnqegju.dat found !
qcnqegju_nav.dat found !
qcnqegju_navps.dat found !
wqwaqsc.dat found !
wqwaqsc_nav.dat found !
wqwaqsc_navps.dat found !
yguasky.ex_ found !
yguasky.dat found !
yguasky_nav.dat found !
yguasky_navps.dat found !
yguasky_navup.dat found !
3)Certificates Search :
Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !
4)Search others known folders and files :
*** Search completed on 27/01/2009 at 21.59.12,09 ***
Ultima modifica:
Goofy
Moderator
è un log criptico....dice di stare attenti a certi file ma suggerisce di indagare ancora
vuoi seguire il mio consiglio??
fai una scansione con MALWAREBYTES
se c'è del malware sul tuo pc te lo dice chiaro e tondo
altra cosa che puoi fare è di farti scansionare i 2 files che individua da
www.virustotal.com
io proverei anche a installare antivir-avira sul pc e a farti fare una bella scansione
se trova qualcosa significa che McAfee non è buono
se non trova niente rimani con McAfee
vuoi seguire il mio consiglio??
fai una scansione con MALWAREBYTES
se c'è del malware sul tuo pc te lo dice chiaro e tondo
altra cosa che puoi fare è di farti scansionare i 2 files che individua da
www.virustotal.com
io proverei anche a installare antivir-avira sul pc e a farti fare una bella scansione
se trova qualcosa significa che McAfee non è buono
se non trova niente rimani con McAfee
Caos
Forumer storico
Malwarebytes non mi trova nulla perchè si tratta di Novipromo,in tutto sono 4 di cui 2 devitalizzati,e due in file eseguibili di cui uno in ADS nascosto,adesso te li faccio vedere anche con un'altra scansione quella di HijckThis,che ti coloro in rosso,per farteli vedere al volo.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:45 , on 27/01/2009
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programmi\Acer\Acer eMode Management\AspireService.exe
C:\Programmi\Acer\Acer eConsole\MediaSync.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\McAfee.com\Agent\mcagent.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} -
C:\Programmi\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1
\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} -
c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} -
C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} -
C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef
/Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AspireService] C:\Programmi\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programmi\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programmi\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -
startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File
comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acronis True Image Monitor]
"C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2
\schedhlp.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
/logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [yguasky] "c:\documents and settings\romeo\impostazioni locali\dati
applicazioni\yguasky.exe" yguasky
O4 - HKCU\..\Run: [qcnqegju] "c:\documents and settings\romeo\impostazioni locali\dati
applicazioni\qcnqegju.exe" qcnqegju
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO
LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI
RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0
\Reader\reader_sl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint -
res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-
WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3
\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint -
res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-
WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) -
http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?
1163247001531
O17 - HKLM\System\CCS\Services\Tcpip\..\{42D3DCA9-F647-4B07-B4D6-ABDC3C7886BA}: NameServer =
151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{42D3DCA9-F647-4B07-B4D6-ABDC3C7886BA}: NameServer =
151.99.125.1,151.99.0.100
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1
\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1
\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Programmi\Acer\Acer
eConsole\MediaServerService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File
comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -
C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner -
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1
\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FILECO~1
\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FILECO~1
\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1
\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1
\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. -
C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 9664 bytes
Caos
Forumer storico
Se faccio una scansione con super adesso l'unica cosa che mi trova è il programma Novilog,lo scambia per un virus,lo fanno un po' tutti,per il modo di come opera,anche McAfee lo blocca,infatti per fare la scansione con Navilog1 bisogna uscire da internet,chiudere tutti i firewall e gli antivirus, e lo rende inutilizzabile,ti assicuro che so' quello che dico,perchè li conosco bene questi antivirus.In questo preciso istante mi è partita la scansione pianificata di PrevxCSI vediamo se mi trova il navilog come falso positivo.Se sei appassionato,ti posso raccontare altre cosucce che mi son successe sul pc in questi giorni,sempre messi a posto,l'unico problema che mi resta da qualche giorno è il mistero con l'orologio,che poi metto in un'altra discussione,e poi ci sono i problemi con gli aggiornamenti di window che spesso ci crea casini.Infatti PrevxCSI mi ha tolto un infezione,ci è cascato anche lui nel falso positivo,adesso devo disinstallare il Novilog1 perchè non funziona più volendo eliminare quei file che mi ha trovato,che non elimino comunque perchè ne faccio una specie di collezione,e poi se proprio dovessi eliminarli lo farei manualmente andandoli a prendere uno per uno nel registro di sistema.Ciao