trovare malware,spyware e consumo eccesivo di ram

[^Juza^]

Ho un problema di rallentamento del pc e consumo eccessivo di ram nonstante i processi attivi,seppur molti e alcuni inutili, non raggiungano la somma di memoria utilizzata che viene indicata.

Il primo pensiero è stato un bel malaware o qualche virus....fatte un paio di scansioni con Spybot e Antimalware ma nulla...solo uno insulso è stato rilevato...

il problema diciamo si è presentato di recente e la cosa m'è sembrata anomala..
Antivirus Nod32 di un pò di tempo fà ma costantemente aggiornato non rileva nulla

provato con hackj... sembrerebbe tutto nella norma...

suggerimenti?..al momenotn on posso formattare..

programmi per capire i processi inutili ed eleminabili?

[pike]

Fai girare Combofix

[Hobbit Bahlsen]

C'è in rete un programmino free, adesso non ricordo come si chiama, che in pratica evidenzia i processi - un pò come il task manager, ma con note relative ai processi che tm non ha: produttore del software, cartelle di riferimento, etc.

Prova a cercare "free process manager" e vedi se trovi qualcosa del genere: così se vedi uno spoolsv.exe che parte dalla cartella c:\pippuzzo magari lo killi

[^Juza^]

Sembra un tool bello aggressivo .....

intanto l'ho scaricato ...se è abbastanz arapido a pranzo lo faccio girare ...perche mi sembra di capire che non lo sposso lasciar girare sotto mentre lavoro ...

intanot grazie pike

[^Juza^]

grazie hb non avevo visto il tuo messaggio ...
se cmq ti viene in mente il nome di qualche programma affidabile...giramelo ...perche quando faccio questo genere di ricerche mi esce una infinità di programmini di cui non si sà mai l'efficacia...

[^Juza^]

Combofix ha dato ottimi risultati al momento ... vediamo se si reinfanga tutto in breve tempo...
nel log non mi sembra di aver visto voci particolari...

[pike]

No, non puoi lasciarlo girare mentre lavori... Ma mi sa che te ne sei già accorto
Riesci ad allegare il log?

[^Juza^]

certo
...ops forse non intendevi copiare ma proprio allegare....vabbè...

ComboFix 11-07-12.04 - ROBERTO 12/07/2011 14.06.51.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1014.498 [GMT 2:00]
Eseguito da: c:\documents and settings\ROBERTO\Desktop\ComboFix.exe
AV: Sistema Antivirus NOD32 2.70 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active
.
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0410.exe
c:\windows\system32\win.ini
c:\windows\UA000106.DLL
.
.
((((((((((((((((((((((((( Files Creati Da 2011-06-12 al 2011-07-12 )))))))))))))))))))))))))))))))))))
.
.
2011-07-11 21:36 . 2011-07-11 21:36 -------- d-----w- c:\documents and settings\ROBERTO\Dati applicazioni\Malwarebytes
2011-07-11 21:36 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-11 21:36 . 2011-07-11 21:36 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-07-11 21:36 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-11 21:36 . 2011-07-11 21:36 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-06-24 14:34 . 2011-06-24 14:34 2106216 ----a-w- c:\programmi\Mozilla Firefox\D3DCompiler_43.dll
2011-06-24 14:34 . 2011-06-24 14:34 1998168 ----a-w- c:\programmi\Mozilla Firefox\d3dx9_43.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-20 12:57 . 2010-12-27 21:42 6580 --sha-w- c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys
2011-06-24 14:34 . 2011-03-24 13:07 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SpiderOak"="c:\programmi\SpiderOak\SpiderOak.exe" [2011-03-17 52224]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-11-22 16132608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-22 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-22 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-22 138008]
"SynTPStart"="c:\programmi\Synaptics\SynTP\SynTPStart.exe" [2008-11-22 102400]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-11-22 858632]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"PD0620 STISvc"="P0620Pin.dll" [2005-05-10 36864]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2009-03-13 949376]
"CMS"="c:\programmi\CMS\EXE\Open.exe" [2008-09-03 262144]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\programmi\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\programmi\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2010-01-22 141608]
"ISUSPM Startup"="c:\programmi\File comuni\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Standby"="c:\programmi\File comuni\Corel\Standby\Standby.exe" [2010-01-07 105632]
"Malwarebytes' Anti-Malware"="c:\programmi\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\ROBERTO\Menu Avvio\Programmi\Esecuzione automatica\
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
Widget vodafone.lnk - c:\programmi\Widget vodafone.it\Widget vodafone.it.exe [2010-11-24 142336]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - c:\programmi\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]
hpoddt01.exe.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
Ime File REG_SZ QQPINYIN.IME
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^hp psc 2000 Series.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^ROBERTO^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma.lnk]
path=c:\documents and settings\ROBERTO\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
2008-11-22 13:13 53248 ------w- c:\programmi\Realtek\InstallShield\AzMixerSel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-10-23 13:18 202024 ----a-w- c:\programmi\File comuni\Nero\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPpromo psc 2175]
2003-09-08 14:16 126976 ----a-w- c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-09-20 07:51 1836328 ----a-w- c:\programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\programmi\File comuni\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2009-11-11 09:57 1451520 ----a-w- c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17 421888 ----a-w- c:\programmi\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateReminder]
2010-11-03 17:57 413696 ----a-w- c:\programmi\ESET\UpdateReminder.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS12 Preload]
2008-06-09 10:03 397456 ----a-w- c:\programmi\Corel\Corel VideoStudio 12\uvPL.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Documents and Settings\\ROBERTO\\Desktop\\File d'installazione\\mIRC\\mirc.exe"=
"c:\\Programmi\\Tencent\\QQPinyin\\QQPYConfig.exe"=
"c:\\Programmi\\Tencent\\QQPinyin\\QQPYLiveup.exe"=
"c:\\Programmi\\Tencent\\QQPinyin\\QQDeskUpdate.exe"=
"c:\\Programmi\\Tencent\\QQ2009\\Bin\\QQ.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programmi\\File comuni\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\java.exe"=
"c:\\Programmi\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Google\\Google Earth Pro\\googleearth.exe"=
"c:\\Programmi\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programmi\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programmi\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/11/2010 13.31.24 691696]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [13/03/2009 22.07.29 15424]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\programmi\File comuni\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [27/10/2008 18.03.46 759072]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [19/08/2004 15.39.46 14336]
R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programmi\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programmi\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [11/07/2011 23.36.13 366640]
R2 MSSQL$CAT7;SQL Server (CAT7);c:\programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [27/05/2009 4.27.04 29262680]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11/07/2011 23.36.03 22712]
S2 First;First; [x]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [17/05/2010 22.20.05 136176]
S3 bsusbser;H3G USB Device for Legacy Serial Communication;c:\windows\system32\drivers\bsusbser.sys [30/11/2008 2.52.31 94848]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [17/05/2010 22.20.05 136176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-07-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2009-12-26 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8248704963.job
- c:\programmi\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-05-17 20:19]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-05-17 20:19]
.
2011-07-12 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]
.
2011-07-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Invia a periferica &Bluetooth... - c:\programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\windows\system32\imon.dll
TCP: DhcpNameServer = 192.168.1.1 160.80.1.10 160.80.2.5
FF - ProfilePath - c:\documents and settings\ROBERTO\Dati applicazioni\Mozilla\Firefox\Profiles\oqx33fz8.default\
FF - prefs.js: browser.startup.homepage - http://www.google.it" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-Manuale dell'utente di Creative WebCam Instant Italian - c:\windows\IsUn0410.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net" onclick="window.open(this.href);return false;" onclick="window.open(this.href);return false;
Rootkit scan 2011-07-12 14:19
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'lsass.exe'(1012)
c:\windows\system32\imon.dll
c:\programmi\Eset\pr_imon.dll
.
Ora fine scansione: 2011-07-12 14:24:33
ComboFix-quarantined-files.txt 2011-07-12 12:24
.
Pre-Run: 839.553.024 byte disponibili
Post-Run: 1.465.057.280 byte disponibili
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - BE327E74D7F4CC31F4B82EF9A182FB0F

[pike]

Io non sono un bravo analizzatore di 'sto log, ma secondo me hai ancora "ospiti".
Malware Bytes Anti Malware.
Scarica, installa, aggiorna.
Non fare partire la trial, senza farla partire funziona gratisse, ma senza monitor in tempo reale.
E se hai abbastanza ram, aggiorna quel topone di Nod32. La 2.7 è veramente vecchia.

[^Juza^]

malware byte anti malware pensavo di aver fatto girare la versione a gratissssssssssse ..
il nod32...è vecchio e stravecchio ma il portatile lo è alla stessa maniera e ha un giga solo di ram...
cerco di non appesantirlo troppo ...

[pike]

Con 1gb di ram tiene agevolmente su la 4.2, se vuoi risparmiare qualcosa la 3.0 (ultima aggiornata) è più interessante e più strutturata.
E' un AV del 2006, io lo uso ormai solo per Win98.

[Hobbit Bahlsen]

Scusa Michele, ma se non sei un bravo analizzatore di sti log perché gli hai chiesto di postarlo?

[zagor]

Scusa Michele, ma se non sei un bravo analizzatore di sti log perché gli hai chiesto di postarlo?

[pike]

Scusa Michele, ma se non sei un bravo analizzatore di sti log perché gli hai chiesto di postarlo?

Alessandro, gli ho chiesto di allegarlo (cosa che avrebbe aiutato a evitare il lenzuolo) per capire che cosa aveva fatto.
Poi non sono bravo secondo il mio termine (lo conosco a menadito e mi ci barcameno ad occhi chiusi); ho visto una robina di cui non sono certo al 200%, mi riservo di far fare un controllo a qualcuno di più esperto di me (MBAM)
La cosina, nello specifico, è

Codice: Seleziona tutto

2011-05-20 12:57 . 2010-12-27 21:42 6580 --sha-w- c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys

che è nel posto sbagliato ed ha un nome del causio.
Roba da sottoporlo al volo a VirusTotal o ad un antimalware.
Se non lo rileva, vuol dire che ha un rootkit tosto sotto al kulo

Da quel che leggo, dovrebbe avere un Touchpad Synaptics, dovrebbero essere passate per quelle zone una Webcam Creative e una Logitech, nonchè una HP PSC serie 2170, una scheda audio realtek, una chiavetta H3G, una scheda di rete Broadcom (ma non so se la wired o la wireless, probabilmente la seconda)

Win XP SP3 come OS, tra i software installati:
Office 2007 (probabilmente Pro, c'è Groove)
Corel Video Studio
Pc Suite
Nero
iTunes
Firefox
Reaplayer
Java
Google Earth PRo (magari solo una trial)
Skype
Software cinese (QQpinyn e un layout tastiera ad ideogrammi)
MBAM
Un software di Vodafone (Widget)

Ho passato l'esame, zio?

[Hobbit Bahlsen]

Scusa Michele, ma se non sei un bravo analizzatore di sti log perché gli hai chiesto di postarlo?

Alessandro, gli ho chiesto di allegarlo (cosa che avrebbe aiutato a evitare il lenzuolo) per capire che cosa aveva fatto.
Poi non sono bravo secondo il mio termine (lo conosco a menadito e mi ci barcameno ad occhi chiusi); ho visto una robina di cui non sono certo al 200%, mi riservo di far fare un controllo a qualcuno di più esperto di me (MBAM)
La cosina, nello specifico, è

Codice: Seleziona tutto

2011-05-20 12:57 . 2010-12-27 21:42 6580 --sha-w- c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys

che è nel posto sbagliato ed ha un nome del causio.
Roba da sottoporlo al volo a VirusTotal o ad un antimalware.
Se non lo rileva, vuol dire che ha un rootkit tosto sotto al kulo

Da quel che leggo, dovrebbe avere un Touchpad Synaptics, dovrebbero essere passate per quelle zone una Webcam Creative e una Logitech, nonchè una HP PSC serie 2170, una scheda audio realtek, una chiavetta H3G, una scheda di rete Broadcom (ma non so se la wired o la wireless, probabilmente la seconda)

Win XP SP3 come OS, tra i software installati:
Office 2007 (probabilmente Pro, c'è Groove)
Corel Video Studio
Pc Suite
Nero
iTunes
Firefox
Reaplayer
Java
Google Earth PRo (magari solo una trial)
Skype
Software cinese (QQpinyn e un layout tastiera ad ideogrammi)
MBAM
Un software di Vodafone (Widget)

Ho passato l'esame, zio?

A pieni voti as usual.
Allora perché hai detto che non sei un bravo analista?

[pike]

Perchè non sono bravo quanto vorrei

[^Juza^]

confermo quanto detto da pike... e leggendo il log ovviamente escono fuori sia gli applicativi che il resto ..ma io mai avrei pizzicato quel file che secondo lui è fuoriposto ...

tanto per aggiornarvi ..ho spento il pc a fine serata.. l'ho riacceso ora e puff.. scomparsa l'immagine del desktop e mi è spuntato il genuine di windows.... che palle...
ora proverò con un punto ri ripristino precedente...per vedere se riesco ad ovviare..visto hce nona vevo problemi prima..ma rimane il quesito: perche lo ha fatto?..

cmq non mi ha molto tranquillizzato la frase

Codice:
2011-05-20 12:57 . 2010-12-27 21:42 6580 --sha-w- c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys
che è nel posto sbagliato ed ha un nome del causio.
Roba da sottoporlo al volo a VirusTotal o ad un antimalware.
Se non lo rileva, vuol dire che ha un rootkit tosto sotto al kulo

prima di passare sotto combofix
ho fatto una scansione con Spybot e Malwarebyte anti malware..ma solo il primo ha rilevato e corretto un file che però non era quello citato ...

quindi mo che si fà?
il format al momento non è contemplabile...

[^Juza^]

forse mi dò una risposta e pongo una domanda..
il genuine può essere spuntato perche ho scaricato un process manager dal sito della microsoft ...sono stato un pollo lo sò...

la domanda invece è relativa alla riga di codice indicata da pike che non mi riporta a nessun file KG....sys in quella cartella ..neanche tra i file nascosti...
volevo sottoporlo a total virus ma sudedtto file non c'è...e la cosa non mi piace...

[pike]

Per trovare il file è semplice.
apri un caxxo di prompt vai in c:\documents and settings\All Users\Dati applicazioni e fai un

Codice: Seleziona tutto

dir *.sys /a

Questo dovrebbe farlo apparire nonostante tutto (ci sono settaggi in exploder che possono nascondere i file di sistema).
Disattiva le opzioni che nascondono i file di sistema e fai caricare lo stesso su Virustotal, spuntando l'opzione di usare SSL.
Se lo classifica come malevolo, vediamo che fare.
Il nome del file puzza da morire come casuale, e quindi potresti avere altri ospiti (test con TDSSKiller e Blacklight potrebbero dissipare il dubbio.)
Il log di MBAM dove è? Per piacere, stavolta, allegalo! O usa Wikisend.

Per il logo Genuine... se è originale, dove è il problema? Contatta MS, spiega, dì che non intendi formattare. Sapranno come consigliarti.
Se non è originale...

[^Juza^]

ooooooook pike intanto grazie.... per il discorso genuine quello è il minore dei mali ora.. originale o meno ....

mentre lavoro cerco di far girare l'antimalware e far uscire il log...e appana possibile lo allego
intanto cerco di vedere di far uscire i file di sistema e sottoporli a virustotal