Author Topic: Sono infetto o no??????  (Read 3058 times)

Offline adry

  • Newbie
  • *
  • Posts: 4
Sono infetto o no??????
« on: April 28, 2012, 05:03:23 AM »
Un saluto a tutti. Sono nuovo del forum è la prima volta che vi scrivo anche perchè ho deciso da poco di passare a Comodo Internet Security che nonostante quello che molti in altri forum scrivono reputo molto al di sopra di altri prodotti simili.
Il mio problema è che durante la scansione comodo antivirus nell'area critica rileva la presenza di 2 chiavi che reputa infette e che non riesce a rimuovere e che vi scrivo:
chiave 1):
Rootkit.HiddenValue[at]0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{866E5309-4DE4-EC1D-5303B5015403F078}\{E4D7DA31-B59C-2F42-84703E9617E7637D}\{F8D6A80B-EA06-4220-85CE61582D500BD8}\{3EE4C831-B7E0-4ed1-B9FC-EDC523C9612F}1

chiave 2):
Rootkit.HiddenValue[at]0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DF771B98-AC91-34D8-F0EE49DCFFD7BEDE}\{02C90D3B-A401-D38F-0F8BFA977E327E75}\{1704AFF6-6AA2-2F70-F8B468ED602E6063}\SE4K5INHHR1EDZYY15BVZC6TKG1

Ho fatto altre scansioni con malwarebytes, superantispyware, hitmanPro, on line ho provato anche la scansione con Panda activescan e Trendmicro Housecall e nessuno rileva nulla. Il pc funziona perfettamente non ho nessun sintomo di infezioni e controllo sempre fra i programmi in avvio su msconfig che non si aggiunga nulla di anomalo. Le impostazioni dell'antivirus sono quelle normali non le ho modificate
Devo considerarle come falsi positivi?
Se a qualcuno può servire vi posto anche il log di Higackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.27.38, on 28/04/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Fighters\SPAMfighter\sfagent.exe
C:\Programmi\KMaestro\KMaestro.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Fighters\SPAMfighter\sfus.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Fighters\FighterSuiteService.exe
C:\Programmi\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\VIA\RAID\vialogsv.exe
C:\Programmi\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
C:\Programmi\File comuni\Raxco\Shared\PDEngine.exe
C:\Programmi\Raxco\PerfectDisk\PDAgentS1.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [sfagent] C:\Programmi\Fighters\SPAMfighter\sfagent.exe
O4 - HKLM\..\Run: [BtcMaestro] "C:\Programmi\KMaestro\KMaestro.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-527237240-1078081533-682003330-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: [at]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\File comuni\Raxco\Shared\PDEngine.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programmi\Fighters\SPAMfighter\sfus.exe
O23 - Service: Suite Service - SPAMfighter ApS - C:\Programmi\Fighters\FighterSuiteService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programmi\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VRAID Log Service - Unknown owner - C:\Programmi\VIA\RAID\vialogsv.exe

--
End of file - 6590 bytes

Secondo voi devo preoccuparmi? cosa mi consigliate?

Un saluto a tutti e grazie anticipatamente a quanti troveranno il tempo di rispondermi



Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 471
Re: Sono infetto o no??????
« Reply #1 on: April 28, 2012, 11:07:30 AM »
Ciao adry,

benvenuto nel forum  :-TU.

Dato che mi pare di capire che hai fatto svariati controlli del pc con diversi programmi e dato che mi pare di capire che il computer funzioni perfettamente, direi che sono falsi positivi (forse chiavi di Windows).

Per farli sparire, prova ad eseguire la seguente procedura:

1) Installa CCleaner
2) Disattiva solo momentaneamente l'antivirus
3) Prova ad eseguire una pulizia del registro
4) Riattiva l'antivirus

Se quelle chiavi di registro saranno rilevate come inutili da CCleaner lo stesso le eliminerà, senza alcun rischio per il pc.

Saluti

fuco

Offline adry

  • Newbie
  • *
  • Posts: 4
Re: Sono infetto o no??????
« Reply #2 on: April 29, 2012, 04:10:51 AM »
Grazie x avermi risposto.
Vista la tua disponibilità avrei un'altra domanda da fare:
perche se cerco di eseguire da CIS con il pc in modalità provvisoria la scansione con l'antivirus mi compare questo messaggio di errore: "0x80004002 interfaccia non supportata" e di fatto mi impedisce di fare la scansione? Con il pc in modalità normale tuto funziona perfettamente, non ho nessun messaggio di errore.
Dimenticavo di dirti che ho xp pro.

Saluti

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 471
Re: Sono infetto o no??????
« Reply #3 on: April 29, 2012, 11:48:08 AM »
Ciao adry,

quando avii windows in modalità provvisoria non tutti i sotto-programmi del sistema operativo si avviano (per questo è chiamata modalità provvisoria  :)).

Di conseguenza alcune funzionalità del sistema operativo potrebbero non essere disponibili.

L'errore che ti appare sembra indicare che l'interfaccia dell'antivirus (la finestra principale per intenderci) non può essere aperta in modalità provvisoria.

E' possibile che questo dipenda dal fatto che in modalità provvisoria dei sotto-programmi necessari per il corretto funzionamento dell'interfaccia non siano avviati.

Un programma di sicurezza, come CIS, però, è composto da diversi moduli.

Quello che intendo dire è che se l'interfaccia non funziona, non è detto che non sia possibile eseguire una scansione.

Prova a fare quanto segue:

1) Avvia windows in modalità provvisoria
2) cerca il file cavscan.exe (dovrebbe essere quello che gestisce la scansione)
3) Prova ad eseguire tale file

Se fai così riesci ad eseguire la scansione?

Saluti

fuco

Offline adry

  • Newbie
  • *
  • Posts: 4
Re: Sono infetto o no??????
« Reply #4 on: April 29, 2012, 12:43:46 PM »
Si mi si apre una finestra dove seleziono quello che voglio far scansionare (nel mio caso tutto l'hd c) e la scansione effettivamente parte. Però fa quella completa??? (l'ho interrotta perchè volevo solo provare)
Peccato non è una mancanza da poco non poter avviare regolarmente un antivirus in modalità provvisoria anche perchè quest'opzione che mi hai consigliato non è come fare una scansione all'avvio perchè di fatto non controlla il registro ma solo quello che gli dico (che per quanto mi riguarda va bene lo stesso).
Per quanto riguarda quelle chiavi ho fatto come mi hai detto usando CCcleaner ma le chiavi le riscontra sempre e caso strano anche se gli dico di considerarle falsi positivi mi dice che non può, stessa cosa se gli dico di escluderle. Praticamente per ora me le devo tenere li. Ho anche provato ad andare direttamente nel registro e cercare queste chiavi ma non esistono, non capisco. Vedremo...
Riguardo alle impostazioni consigli quelle di base e cioè con livello scansione su ottimizzato ed euristica bassa o mi consigli di alzarli?
Grazie e scusami se abuso della tua pazienza
Adry
« Last Edit: April 29, 2012, 04:55:50 PM by adry »

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 471
Re: Sono infetto o no??????
« Reply #5 on: April 30, 2012, 01:56:19 AM »
Ciao adry,

Si mi si apre una finestra dove seleziono quello che voglio far scansionare (nel mio caso tutto l'hd c) e la scansione effettivamente parte. Però fa quella completa??? (l'ho interrotta perchè volevo solo provare)

La scansione che parte è quella completa.

Peccato non è una mancanza da poco non poter avviare regolarmente un antivirus in modalità provvisoria anche perchè quest'opzione che mi hai consigliato non è come fare una scansione all'avvio perchè di fatto non controlla il registro ma solo quello che gli dico (che per quanto mi riguarda va bene lo stesso).

In realtà la scansione completa controlla anche i registri di sistema.

Riguardo alle impostazioni consigli quelle di base e cioè con livello scansione su ottimizzato ed euristica bassa o mi consigli di alzarli?

Guarda qui (la guida fa riferimento alla versione 4, ma è valida anche per la 5.x):

http://sites.google.com/site/comodointernetsecurityguida/home

Grazie e scusami se abuso della tua pazienza

Scusarti di cosa?  :)

Saluti

fuco

Offline adry

  • Newbie
  • *
  • Posts: 4
Re: Sono infetto o no??????
« Reply #6 on: May 03, 2012, 10:21:52 AM »
Riguardo al problema originale e cioè quello delle 2 chiavi che comodo antivirus rileva come infette Ho Risolto.
Se può essere utile vi dico anche come. Erano rimaste dopo alcune disinstallazioni di qualche programma nel registro queste 2 chiavi che ho scritto nel primo post. Solo che erano chiavi protette e l'antivirus le rilevava come infette ma non riusciva a farci nulla. Dopo ever fatto diverse scansioni con altri prodotti ero praticamente sicuro che si trattasse di falsi positivi ma queste chiavi anche a volerle eliminare manualmente non risultavano nel registro (in quanto protette) e neppure CCLENAR o altri pulitori riuscivinao a rilevarle. Con l'aiuto di questo software:  Registry Trash Keys Finder (sono arrivato a questo software leggendo il forum in inglese) che le ha rilevate sono riuscito a cancellarle. Ora tutto ok

saluti a tutti e facciamo cresecere questo antivirus
« Last Edit: May 03, 2012, 12:36:42 PM by adry »

 

Seo4Smf 2.0 © SmfMod.Com | Smf Destek