unkn0wn Posted March 21, 2015 Share Posted March 21, 2015 (edited) Stamattina il firewall di Windows 8 (8.1 per essere precisi) ha mandato un avviso di accesso ad una rete pubblica di Firefox e io ho rifiutato la richiesta. È possibile che qualcuno stesse provando a violare il computer?. Per sicurezza ho chiuso la porta la porta 139 del netbios perché era aperta: "TCP 10.3.0.1:139 0.0.0.0:0 LISTENING" Ho eseguito una scansione con l'atntivirus e Malwarebytes e non è stato rilevato nulla di preoccupante. Pochi minuti fa, però, Bitdefender ha bloccato il processo Explorer.exe: "L'applicazione C:/Windows/Explorer.EXE è stata rilevata come potenzialmente dannosa. Active virus control ha bloccato questo processo sulle seguenti azioni: il comportamento dell'applicazione può danneggiare il computer". È comparso anche un pop-up: "Disinfezione in corso. Le minacce rilevare sono in fase di eliminazione. Attendi il termine del processo". Prima che accadesse questo, ho fatto un controllo con Keylogger detector ed è uscito fuori qualcosa. KL-Detector has found some suspicious files: C:WindowsSystem32LogFilesScmcbd3ef37-0e38-431a-a6e8-607c56893a63 C:Users123AppDataLocalMicrosoftWindowsSettingSync emotemetastorev1edb.chk C:Users123AppDataLocalMicrosoftWindowsSettingSyncmetastoreedb.chk C:WindowsSystem32LogFilesScme075ac73-7fc0-4acd-9f28-dd590c391c1c C:Users123AppDataLocalMicrosoftWindowsSettingSync emotemetastorev1meta.edb C:WindowsSystem32LogFilesScm Edited March 21, 2015 by unkn0wn Quote Link to comment Share on other sites More sharing options...
Labview Posted March 21, 2015 Share Posted March 21, 2015 Questo TeamViewer con chi lo usi? KMSpico non è certo un software sicuro.. Il Pc è opera tua o lo hai fatto fare? Quote Link to comment Share on other sites More sharing options...
unkn0wn Posted March 21, 2015 Author Share Posted March 21, 2015 (edited) Teamviewer lo uso con lo smartphone ma non penso dipenda da questo perché ogni connessione viene notificata, me ne accorgerei se qualcuno si fosse collegato. Ho letto che KM può portare dei Trojan ma è stato eliminato tutto con le analisi che ho fatto (erano per lo più cookie malevoli). Comunque adesso lo disinstallo per sicurezza. Il pc l'ho fatto io, sia hardware che software, e non lo usa nessun altro. Ho dimenticato di allegare nel primo post degli errori che ha dato Hijackthis all'apertura. Il pc[ATTACH]5251[/ATTACH][ATTACH]5252[/ATTACH][ATTACH]5253[/ATTACH] Edit Ho rifatto la scansione con Hijackthis e sono usciti altri elementi Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:40:23, on 21/03/2015 Platform: Unknown Windows (WinNT 6.02.1008) MSIE: Internet Explorer v11.0 (11.00.9600.17416) Boot mode: Normal Running processes: C:Program Files (x86)NVIDIA CorporationUpdate CoreNvBackend.exe C:Program Files (x86)TeamViewerVersion9TeamViewer.exe C:Program Files (x86)DAEMON Tools LiteDTLite.exe C:Program Files (x86)CanonIJ Network Scanner Selector EXCNMNSST.exe C:Program Files (x86)Samsung MagicianSamsung Magician.exe C:Program FilesKeylogger detector13KL-Detector.exe C:Users123DesktopHiJackThis.exe R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = C:WindowsSysWOW64lank.htm R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll O2 - BHO: Java? Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program Files (x86)Javajre1.8.0_31inssv.dll O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:PROGRA~2MICROS~1Office15GROOVEEX.DLL O2 - BHO: Java? Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Program Files (x86)Javajre1.8.0_31injp2ssv.dll O3 - Toolbar: Portafoglio di Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:Program FilesBitdefenderBitdefender 2015Antispam32pmbxie.dll O4 - HKLM..Run: [Adobe ARM] "C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe" O4 - HKLM..Run: [switchBoard] C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe O4 - HKLM..Run: [AdobeCS5ServiceManager] "C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe" -launchedbylogin O4 - HKLM..Run: [iJNetworkScannerSelectorEX] C:Program Files (x86)CanonIJ Network Scanner Selector EXCNMNSST.exe /FORCE O4 - HKCU..Run: [DAEMON Tools Lite] "C:Program Files (x86)DAEMON Tools LiteDTLite.exe" -autorun O4 - HKCU..Run: [GoogleDriveSync] "C:Program Files (x86)GoogleDrivegoogledrivesync.exe" /autostart O4 - HKCU..Run: [Agente del Portafoglio di Bitdefender] "C:Program FilesBitdefenderBitdefender 2015dwtxag.exe" O4 - HKCU..Run: [sUPERAntiSpyware] C:Program FilesSUPERAntiSpywareSUPERAntiSpyware.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~1Office15EXCEL.EXE/3000 O8 - Extra context menu item: I&nvia a OneNote - res://C:PROGRA~1MICROS~1Office15ONBttnIE.dll/105 O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIE.dll O9 - Extra button: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll O9 - Extra 'Tools' menuitem: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIELinkedNotes.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:Program Files (x86)Microsoft OfficeOffice15MSOSB.DLL O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:Program Files (x86)Common FilesMicrosoft SharedOFFICE15MSOXMLMF.DLL O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:Program FilesSUPERAntiSpywareSASCORE64.EXE O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:Program Files (x86)Common FilesAdobeARM1.0armsvc.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:WindowsSysWOW64MacromedFlashFlashPlayerUpdateService.exe O23 - Service: @%SystemRoot%system32Alg.exe,-112 (ALG) - Unknown owner - C:WindowsSystem32alg.exe (file missing) O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:PROGRA~2APCPOWERC~1agentpbeagent.exe O23 - Service: APC PBE Server (APCPBEServer) - APC - C:PROGRA~2APCPOWERC~1serverPBESER~1.EXE O23 - Service: @%SystemRoot%system32efssvc.dll,-100 (EFS) - Unknown owner - C:WindowsSystem32lsass.exe (file missing) O23 - Service: @%systemroot%system32fxsresm.dll,-118 (Fax) - Unknown owner - C:Windowssystem32fxssvc.exe (file missing) O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:Program FilesNVIDIA CorporationGeForce Experience ServiceGfExperienceService.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:Program Files (x86)GoogleUpdateGoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:Program Files (x86)GoogleUpdateGoogleUpdate.exe O23 - Service: @%SystemRoot%system32ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:Windowssystem32IEEtwCollector.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:Windowssystem32lsass.exe (file missing) O23 - Service: MBAMService - Malwarebytes Corporation - C:Program Files (x86)Malwarebytes Anti-Malwarembamservice.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:WindowsSystem32msdtc.exe (file missing) O23 - Service: @%SystemRoot%System32 etlogon.dll,-102 (Netlogon) - Unknown owner - C:Windowssystem32lsass.exe (file missing) O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:Program Files (x86)NVIDIA CorporationNetServiceNvNetworkService.exe O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:Program FilesNVIDIA CorporationNvStreamSrv vstreamsvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:Windowssystem32 vvsvc.exe (file missing) O23 - Service: @%systemroot%system32Locator.exe,-2 (RpcLocator) - Unknown owner - C:Windowssystem32locator.exe (file missing) O23 - Service: @%SystemRoot%system32samsrv.dll,-1 (SamSs) - Unknown owner - C:Windowssystem32lsass.exe (file missing) O23 - Service: Samsung RAPID Mode Service (SamsungRapidSvc) - Unknown owner - C:Windowssystem32RAPIDSamsungRapidSvc.exe (file missing) O23 - Service: @%SystemRoot%system32snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:WindowsSystem32snmptrap.exe (file missing) O23 - Service: @%systemroot%system32spoolsv.exe,-1 (Spooler) - Unknown owner - C:WindowsSystem32spoolsv.exe (file missing) O23 - Service: @%SystemRoot%system32sppsvc.exe,-101 (sppsvc) - Unknown owner - C:Windowssystem32sppsvc.exe (file missing) O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:Program Files (x86)NVIDIA Corporation3D Vision vSCPAPISvr.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe O23 - Service: TeamViewer 9 (TeamViewer9) - TeamViewer GmbH - C:Program Files (x86)TeamViewerVersion9TeamViewer_Service.exe O23 - Service: TunMirror - Unknown owner - C:WindowsTEMPTunMirror.exe O23 - Service: @%SystemRoot%system32ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:Windowssystem32UI0Detect.exe (file missing) O23 - Service: Bitdefender Desktop Update Service (UPDATESRV) - Bitdefender - C:Program FilesBitdefenderBitdefender 2015updatesrv.exe O23 - Service: @%SystemRoot%system32vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:Windowssystem32lsass.exe (file missing) O23 - Service: @%SystemRoot%system32vds.exe,-100 (vds) - Unknown owner - C:WindowsSystem32vds.exe (file missing) O23 - Service: @%systemroot%system32vssvc.exe,-102 (VSS) - Unknown owner - C:Windowssystem32vssvc.exe (file missing) O23 - Service: Bitdefender Virus Shield (VSSERV) - Bitdefender - C:Program FilesBitdefenderBitdefender 2015vsserv.exe O23 - Service: @%systemroot%system32wbengine.exe,-104 (wbengine) - Unknown owner - C:Windowssystem32wbengine.exe (file missing) O23 - Service: @%ProgramFiles%Windows DefenderMpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:Program Files (x86)Windows DefenderNisSrv.exe (file missing) O23 - Service: @%ProgramFiles%Windows DefenderMpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:Program Files (x86)Windows DefenderMsMpEng.exe (file missing) O23 - Service: @%Systemroot%system32wbemwmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:Windowssystem32wbemWmiApSrv.exe (file missing) -- End of file - 9896 bytes Edited March 21, 2015 by unkn0wn Quote Link to comment Share on other sites More sharing options...
Labview Posted March 21, 2015 Share Posted March 21, 2015 Ok, visto che non devi dipendere da altri ti consiglio di formattare cosi sei sicuro. Purtroppo non è detto che i vari software di protezione riescano sempre a trovare i virus o simili, quindi è meglio un bel reset che vivere nel dubbio. Quote Link to comment Share on other sites More sharing options...
unkn0wn Posted March 21, 2015 Author Share Posted March 21, 2015 Mi sa che hai ragione. Bitdefender include nella scansione anche i keylogger ma non trova niente a differenza di Keylogger detector che riscontra delle anomalie. Secondo te è possibile accedere al computer solo con l'indirizzo ip? Quote Link to comment Share on other sites More sharing options...
Labview Posted March 21, 2015 Share Posted March 21, 2015 Non è tanto l'indirizzo IP il problema, dipende dal router (firewall) che in primis deve garantire la protezione e l'intrusione specialmente nelle reti wireless ma poi basta un piccolo file installato incosapevolmente nel pc che fa la stessa funzione es: di TeamViewer ma che tu non vedi e il gioco è fatto. Quote Link to comment Share on other sites More sharing options...
unkn0wn Posted March 21, 2015 Author Share Posted March 21, 2015 Però per accedere al router serve comunque l'indirizzo ip. Dal firewall poi è arrivato un solo avviso, boh. Quote Link to comment Share on other sites More sharing options...
Labview Posted March 21, 2015 Share Posted March 21, 2015 Però per accedere al router serve comunque l'indirizzo ip. Dal firewall poi è arrivato un solo avviso, boh. Ovvio, ma se hai un indirizzo ip dinamico basta riavviare il router che questo cambia e se non hai un file civetta nel pc è un po dura trovarti. Intendevo il firewall del router non quello di windows Quote Link to comment Share on other sites More sharing options...
unkn0wn Posted March 21, 2015 Author Share Posted March 21, 2015 Ah, ok. A tal proposito, può essere che il router sia rimasto infettato? Il pc lo formatto ma voglio avere la certezza che anche il router sia a posto altrimenti non ho risolto niente. Il router è un dgn2200. Quote Link to comment Share on other sites More sharing options...
Labview Posted March 21, 2015 Share Posted March 21, 2015 Il router non si infetta, mal che vada ha tutte le porte aperte e firewall disabilitato.. Esegui un reset di fabbrica per portare i parametri a default e reimposta i dati per l'adsl. Quote Link to comment Share on other sites More sharing options...
unkn0wn Posted March 21, 2015 Author Share Posted March 21, 2015 Avevo già controllato e nelle impostazioni del firewall non c'era nulla di anomalo. Comunque ho messo un backup di ottobre per stare più tranquillo Non capisco veramente cosa sia successo al pc. Grazie per l'aiuto. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.