| Precedente :: Successivo |
| Autore |
Messaggio |
Paolo333
Mortale adepto
Registrato: 17/09/06 21:37
Messaggi: 31
|
 Inviato: 06 Ago 2007 16:02 Oggetto: Anomalia dei pocessi nel Task Manager |
 |
|
Ciao,
Dopo che Kasperski mi ha rilevato e rimosso il Virus Email-worm.Win32.Anker.n che era in C:\WINNT\system32\drivers\ect\hosts
ho notato un anomalo incremento di CPU in alcuni processi
In particolare services.exe, che non so se sia un virus (arriva fino al 20% e oltre appena avviata la sola connessione Alice senza l'apertura del browser
Anche System nel task manager è influenzato
Allego il log di Hijackthis
Grazie
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.53.52, on 06/08/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINNT\system32\taskmgr.exe
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\StrategyRunner\Real\bin\Console.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O12 - Plugin for .aspx: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Active Virus Shield (AVP) - Kaspersky Lab - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows Installer Manager (INService) - Unknown owner - C:\WINNT\system32\eraseme_61516.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
--
End of file - 5093 bytes
|
[img][/img] |
|
| Top |
|
 |
Paolo333
Mortale adepto
Registrato: 17/09/06 21:37
Messaggi: 31
|
| Inviato: 06 Ago 2007 23:02 Oggetto: |
|
|
| Non c'è nessuno che può dare un occhiata? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 07 Ago 2007 00:02 Oggetto: |
|
|
Ciao Paolo333 
Dal log di HJT l'unica riga sospetta è questa, per la quale non sono riuscito a trovare nulla:
O23 - Service: Windows Installer Manager (INService) - Unknown owner - C:\WINNT\system32\eraseme_61516.exe
A meno che tu non conosca questo servizio, avvia HJT e metti la spunta a sinistra della riga indicata sopra. Se dovesse ricomparire, fallo dalla modalità provvisoria. Poi, se vuoi, fai anche questi passaggi:
http://forum.zeusnews.com/viewtopic.php?p=194965#194965 passaggio 1 -
http://forum.zeusnews.com/viewtopic.php?p=194966#194966 passaggio 2 - |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Ago 2007 00:04 Oggetto: |
|
|
Il log di hjt mette in evidenza questa voce:
| Citazione: | | O23 - Service: Windows Installer Manager (INService) - Unknown owner - C:\WINNT\system32\eraseme_61516.exe |
Per cortesia, fai questi passaggi. |
|
| Top |
|
|
Paolo333
Mortale adepto
Registrato: 17/09/06 21:37
Messaggi: 31
|
| Inviato: 07 Ago 2007 09:22 Oggetto: |
|
|
Grazie per l'assistenza
Al termine della scansione mi ha segnalato la presenza di rootkit
link
link |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 07 Ago 2007 13:08 Oggetto: |
|
|
ciao.
proviamo a toglierlo con Avenger.
dopo averlo scaricato, scompattalo sul desktop, avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/edit script copia/incolla seguente:
| Citazione: | Files to delete:
C:\WINNT\system32\eraseme_61516.exe |
clicca su Done
poi sull'icona del semaforo
rispondi Yes (il PC dovrebbe riavviarsi, se cosi non fosse riavvialo manualmente)
al riavvio dovrebbe apparire il blocco note con il log-- mettilo qui.
guarda anche questa guida a rimozione manuale di Symantec. controlla di non avere nessuna delle chiavi registro segnalate. giusto per precauzione...  |
|
| Top |
|
|
Paolo333
Mortale adepto
Registrato: 17/09/06 21:37
Messaggi: 31
|
| Inviato: 07 Ago 2007 13:32 Oggetto: |
|
|
Direi che va molto meglio (vedi task manager). Grazie mille!!
Prima di fare la rimozione con Avenger sono andato in WINNT\System32 ed eraseme_61516.exe era ben visibile.
Era la stessa cosa rimuoverlo manualmente e spedirlo nel cestino?
(adesso infatti in System32 non c'è più)
P.S.: il link che hai postato non funziona
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nshmgkcx
*******************
Script file located at: \??\C:\WINNT\cfvqcghf.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINNT\system32\eraseme_61516.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
 |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 07 Ago 2007 14:17 Oggetto: |
|
|
quindi ora il PC và bene?
| Paolo333 ha scritto: |
Era la stessa cosa rimuoverlo manualmente e spedirlo nel cestino? |
penso di sì, ma qualche volta risulta difficile eliminare manualmente alcuni files.
| Paolo333 ha scritto: | P.S.: il link che hai postato non funziona
|
quale dei due?  a me funzionano entrambi... |
|
| Top |
|
|
Paolo333
Mortale adepto
Registrato: 17/09/06 21:37
Messaggi: 31
|
| Inviato: 07 Ago 2007 14:36 Oggetto: |
 |
|
| Orange ha scritto: | quindi ora il PC và bene?
| Paolo333 ha scritto: |
Era la stessa cosa rimuoverlo manualmente e spedirlo nel cestino? |
penso di sì, ma qualche volta risulta difficile eliminare manualmente alcuni files.
| Paolo333 ha scritto: | P.S.: il link che hai postato non funziona
|
quale dei due? a me funzionano entrambi... |
Ha ripreso a funzionare bene come prima e ti ringrazio nuovamente per la tua tempestività
Il link che non funzione è la guida di Symantec
Paolo |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
