|
| Precedente :: Successivo |
| Autore |
Messaggio |
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
 Inviato: 07 Mar 2008 19:52 Oggetto: file lpt4.exe non cancellabile nella cart temp di un utente |
 |
|
Per via del problema che ho piegato qui (un file lpt4.exe , un nome abbstanza sospetto perché prende il nome da un nome di sistema, una porta parallela e che non riesco a cancellare con metodi ordinari)
Questo è il log di HijackThis , dopo essermi loggato con l'utente (nonamministraotre) che uso di solito,
che è quello nella cui cartella temp c'è quel file.
| Codice: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.32.44, on 07/03/2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\TrendMicro\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {F9D8FBCB-A6E2-4AEF-8FB4-B16F528D5DD5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 4487 bytes |
|
|
| Top |
|
 |
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 07 Mar 2008 20:38 Oggetto: |
|
|
Log di HijackThis dopo essermi loggato come amministratore.
Seguono un po' di novità, ho fatto un po' di prove.
| Codice: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.06.27, on 07/03/2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\TrendMicro\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {7AF1307C-089B-476F-9CBB-F615DCF473A8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 5315 bytes |
---------
Ho provato da amminsitratore a sbloccarle il file lpt4.exe, usando UNLocker, ma non risultava bloccato da nulla.
Ho provato a cancellarlo ma non ce l'ho fatta (ora non ricordo il messaggio esatto, ma diceva che non trovava il file).
ho rilanciato UNLocker con quellol'ho rinominato.
A quel punto è intervenuto AVG (la parte residente che controlla in continuo), e mi ha avvisato che inquel file c'è trojan horse generic2.DNZ.
Come mai non mi aveva avvisato prima? Ho fatto "ignora" e ho provato (con click destro --> Scan with AVG Free) a far fare una scansione esplicita di quel file, ma non ha trovato nulla.
Ho rinominato ulteriormente il file, in modo che comparisse ancora la finestra di avviso di AVG,
ho provato prima con Heal, ma mi ha detto che non poteva applicare quell'azione ("Requested action is not available for this object. Acces to the file has been denied.")
"Per forza", misono detto "è un trojan horse, non può pulirlo. Allora butto via tutto , lo faccio mettere in quarantena"
Ma anche così mi ha dato lo stesso errore (e non ho capito il perché) |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 08 Mar 2008 01:00 Oggetto: |
|
|
Ciao chemicalbit 
Scarica questi:
FixLinkoptimizer Symantec;
deve essere usato come amministratore ed in modalità provvisoria;
Gromozon
può essere usato in modalità normale, ma se non funziona riprova dalla modalità provvisoria.
Fai la scansione con entrambi e posta i risultati.
Dai anche una passata con Combofix seguendo questa discussione
Nota: il tool di PrevX al termine della scansione chiede se si vuole installare la Suite di protezione PrevX. Per la rimozione di linkoptimizer non è necessario, quindi la scelta rimane a discrezione dell´utente. La suite è valida, ma non è gratuita. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 08 Mar 2008 01:11 Oggetto: |
|
|
sì, cercando nel forum avevo capito che poteva essere qualcosa tipo il linkoptimizer per cui ho già scaricato quei due tool
e ho già fatto girare il primo (quello della Symantec)
| Citazione: | Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Trojan.Linkoptimizer has not been found on your computer.
|
Ora vedo di far girare il secondo
E di scaricare Combofix e di usarlo. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 08 Mar 2008 20:19 Oggetto: |
|
|
Premessa: prima di far girare questi programmi avevo già rinominato lpt4.exe in ABlpt4.virus
tool anti-Gromozon della PrevX
| Codice: | Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components |
Combofix | Codice: | ComboFix 08-03-07.3 - amministratore 2008-03-08 10.06.12.1 - NTFSx86
Eseguito da: C:\Documents and Settings\All Users\Documenti\programmi DownLoaded\temp\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((( Files Creati Da 2008-02-08 al 2008-03-08 )))))))))))))))))))))))))))))))))))
.
2008-03-08 09:52 . 2008-03-08 09:59 <DIR> d-a------ C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-03-07 10:22 . 2008-03-07 19:11 <DIR> d-------- C:\Programmi\Unlocker
2008-03-07 10:22 . 2008-03-07 10:22 <DIR> d-------- C:\Documents and Settings\amministratore\Dati applicazioni\Desktopicon
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-08 08:38 --------- d-----w C:\Documents and Settings\$user3\Dati applicazioni\.purple
2008-03-07 18:14 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-07 18:07 --------- d-----w C:\Programmi\TrendMicro
2008-03-07 09:01 --------- d-----w C:\Programmi\Java
2008-03-01 08:57 --------- d-----w C:\Documents and Settings\$user3\Dati applicazioni\OpenOffice.org2
2008-01-22 13:47 --------- d-----w C:\Documents and Settings\$user3\Dati applicazioni\gtk-2.0
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-31 13:00 13312]
"SpybotSD TeaTimer"="C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Works Portfolio"="C:\Programmi\Microsoft Works\WksSb.exe" [2000-07-12 13:14 311350]
"NvCplDaemon"="NvQTwk" []
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-08-06 19:03 155648]
"Omnipage"="C:\Programmi\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38 49152]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-12-20 19:52 579072]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Microsoft Works Update Detection"="C:\Programmi\Microsoft Works\WkDetect.exe" [2000-08-23 19:21 28739]
"REGSHAVE"="C:\Programmi\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248]
"ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-31 13:00 13312]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-25 18:53 219136]
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [2002-01-15 20:45:52 65588]
Promemoria del Calendario di Microsoft Works.lnk - C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe [2002-01-15 20:45:29 24633]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Hazon clic"="C:\Programmi\Garzanti Linguistica\Hazon clic\HAZON.EXE" -I
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\System32\drivers\av5flt.sys []
S3 ComFiltr;Panda Anti-Dialer;C:\WINDOWS\System32\DRIVERS\COMFiltr.sys []
S3 DCamUSBSvis;Oregon Scientific Stream Driver;C:\WINDOWS\System32\DRIVERS\svstream.sys []
S4 hpt3xx;hpt3xx;C:\WINDOWS\System32\DRIVERS\hpt3xx.sys [2001-08-18 05:52]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-08 10:16:36
Windows 5.1.2600 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
.
**************************************************************************
.
Ora fine scansione: 2008-03-08 10:45:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-08 09:45:47 |
(nota: mi ha fatto prendere un po' un colpo, il programma ha detto che avrebbe impirgato circa una decina diminuti,anche il doppio in sitemi pesantemente infetti. E c'ha impigato ben più di 10 minuti sia prima del riavvio, sia dopo che ha chiesto diriaviare -a proposito, è vneuto fuori scritto di non eseguire programmi, ma al riavvio non hopotuto evitare che partissero quelli in esecuzione automatica).
Devo postare anche un nuvoolog di hijackThis, giusto?
Vedo di postarlo tra poco.
L'ultima modifica di chemicalbit il 11 Mar 2008 01:34, modificato 1 volta |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 08 Mar 2008 21:09 Oggetto: |
|
|
| chemicalbit ha scritto: | Premessa: prima di far girare questi programmi avevo già rinominato lpt4.exe in ABlpt4.virus
|
Non so se è stata una buona idea, ai fini dei risultati della scansione ovviamente;
comunque rifai il log di Hijackthis e una scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 08 Mar 2008 21:49 Oggetto: |
|
|
Nuovo log di HijackThis
| Codice: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.17.24, on 08/03/2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\TrendMicro\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {7AF1307C-089B-476F-9CBB-F615DCF473A8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 5371 bytes |
--------------
Nota:
1) prima quando mi sono loggato col mio solito utente "normale" e ho lanciatoFirefox, mi ha avvisato di non essere il browser predefinito. (uno dei tool che ho fatto girare questa mattina deve averlo tolto) Gli ho detto d'impostarsi come tale.
2) Poi poco fa mi sono loggato come amministratore (per fare il log di HijackThis) e SpybotS&D-resident mi ha avvisato di alcuni cambimenti ai registri (tra cui alcuni cambaimenti alle importazioni, presumo, di Internet Explorer come l'indirizzo per le ricerche, che è cambiato da uno delsito della Microsoft ad un altro sempre del sito della Microsoft)
3) Adesso mi sono loggato con mio solito utente normale, e ho avuto ancora lo stesso avviso del punto 1)
Altra cose che mi ero dimenticato di dire prima
4) : è normale che il tool della Symantec abbia impiegato varie ore (più di 2 ore), mentre quello della PrevX pochissimi minuti?
5) A proposito del tool della PreveX: mi aveva detto di non aver trovato il malware "procedere lo stesso alla rimozione Sì/No" e io ho risposto "Sì". (Ho fatto bene?)
------------
| Sante62 ha scritto: | | chemicalbit ha scritto: | Premessa: prima di far girare questi programmi avevo già rinominato lpt4.exe in ABlpt4.virus
|
Non so se è stata una buona idea, ai fini dei risultati della scansione ovviamente; |
Argh, che faccio?
Rimetto com'era prima e rifaccio le analisi?
provvedo. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 09 Mar 2008 02:02 Oggetto: |
|
|
| chemicalbit ha scritto: |
Nota:
1) prima quando mi sono loggato col mio solito utente "normale" e ho lanciatoFirefox, mi ha avvisato di non essere il browser predefinito. (uno dei tool che ho fatto girare questa mattina deve averlo tolto) Gli ho detto d'impostarsi come tale.
2) Poi poco fa mi sono loggato come amministratore (per fare il log di HijackThis) e SpybotS&D-resident mi ha avvisato di alcuni cambimenti ai registri (tra cui alcuni cambaimenti alle importazioni, presumo, di Internet Explorer come l'indirizzo per le ricerche, che è cambiato da uno delsito della Microsoft ad un altro sempre del sito della Microsoft)
3) Adesso mi sono loggato con mio solito utente normale, e ho avuto ancora lo stesso avviso del punto 1) |
Ritengo che il malware ti abbia modificato le impostazioni del browser;
ma aspettiamo la pulizia completa per cercare di rimettere le cose a posto; potrebbe essere necessario disinstallare e reinstallare Firefox;
ma non è detto; purtroppo sono gli effetti collaterali delle cure.
| chemicalbit ha scritto: |
Altra cose che mi ero dimenticato di dire prima
4) : è normale che il tool della Symantec abbia impiegato varie ore (più di 2 ore), mentre quello della PrevX pochissimi minuti? |
Si, ritengo sia normale; sono due scansioni diverse;
| chemicalbit ha scritto: |
5) A proposito del tool della PreveX: mi aveva detto di non aver trovato il malware "procedere lo stesso alla rimozione Sì/No" e io ho risposto "Sì". (Ho fatto bene?) |
Si..non c'è problema....
------------
| chemicalbit ha scritto: |
Argh, che faccio?
Rimetto com'era prima e rifaccio le analisi? |
No, non fa niente; vediamo cosa ci dice Systemscan e poi ci regoliamo di conseguenza;
a proposito, il PC che sintomi dava prima che modificassi il file lpt4.exe? |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 10 Mar 2008 16:25 Oggetto: |
|
|
sintomi
| Sante62 ha scritto: | potrebbe essere necessario disinstallare e reinstallare Firefox;
ma non è detto; purtroppo sono gli effetti collaterali delle cure. |
Beh tanto volevo aggiornarlo ....
| Sante62 ha scritto: | | a proposito, il PC che sintomi dava prima che modificassi il file lpt4.exe? |
A parte l'avere quel file che non si cancellava,
ho vari problemini con cui convivo da molto tempo:
Lentezza all'avvio e all'arresto di Windows.
All'arresto di Windows (a volte, ma non sempre) mi compare un errore relativo ad explorer.exe.
All'avvio (quello sempre) ho questo problema (in breve: mi si apre una finestra con una cartella del mio disco fisso) che rimando sempre di risolvere (orami ho l'automatismo di chiuderl al volo mentre si pare all'avvio. Tool tipo HijackThis non mi mostra nulla, e ho provato anche a cercare nei registri, ma cercare una stringa "microsoft" è un po' un massacro ...)
Inoltre Firefox ha la tendenza ad occupare sempre più RAM , anche a lasciarlo lì aperto a far niente (è per questo che volevo aggiornarlo).
----------------
Systemscan
La sto facendo, altro che "A typical scanning time is about 10-15 minutes"
Avevo provato sabato sera, ma poi avevo dovuto spegnere il PC. Quindi ora li sto facendo "a rate" facendogli fare ogni volta un gruppo di un quarto dei 18 punti.
Ora sono arrivato al terzo di questi gruppi, quindi mi mancano ancora gli ultimi 5 punti.
Ecco il report dei primi 13 punti.
(nota sui nomi degli utenti del PC: ho sostituito alcuni nomi utenti con $user1 , $user2 , $user3 , $user4 e $user5.
Sono tutti nomi utenti corretti, che ho creato io, su cui posso garantire  . E li vedo all'avvio del computer, assieme ad "amministratore" -che esisteva già nel windows preinstallato sul PC.
Administrator invece lo vedo solo da modalità provvisoria.
Gli altri utenti indicati invece non so cosa siano, potrebbe anche essere che esistano "da sempre" , da quando tale windows è stato preinstallato, ma non ne sono sicuro.
Il file "sospetto" è in C:\Documents and Settings\$user3\Impostazioni locali\Temp |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Mar 2008 18:07 Oggetto: |
|
|
Da un primo esame del log vedo alcuni processi che mi sembrano sospetti:
| Citazione: | C:\Windows\System32\java.exe
C:\Windows\System32\javaw.exe
C:\Windows\System32\javaws.exe |
Apri il task manager e se ci sono quei processi terminali;
Questo per vedere se le prestazioni del PC migliorano;
se non conosci questi file successivamente li elimineremo;
la scansione con Systemscan se ti è possibile dovresti farla per intero a prescindere dal tempo impiegato, per una migliore lettura del log, altrimenti continua così, non c'è problema... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 10 Mar 2008 19:03 Oggetto: |
|
|
| Sante62 ha scritto: | | la scansione con Systemscan se ti è possibile dovresti farla per intero a prescindere dal tempo impiegato, per una migliore lettura del log, altrimenti continua così, non c'è problema... |
Ehm, ormai l'ho fatta così, dovrei ripartire dall'inzio.
Tra l'altro se avessi saputo che gli utlimi 5 punti richiedevano ben 1 minuto, l'avrei già fatto e quindi uplodato tutto assieme.
report ultimi 5 punti
| Sante62 ha scritto: | Da un primo esame del log vedo alcuni processi che mi sembrano sospetti:
| Citazione: | C:\Windows\System32\java.exe
C:\Windows\System32\javaw.exe
C:\Windows\System32\javaws.exe |
Apri il task manager e se ci sono quei processi terminali;
Questo per vedere se le prestazioni del PC migliorano; |
In task manager, scheda processi, non li vedo.
(Ora però sono con l'utente $user3, mentra la scansione l'ho fatta da amministratore. Poi guarderò con task manager anche da amministratore).
Quanto al miglioramento delle prestazioni del PC cosa devo guardare? Se riesco a rimuovere il famigerato file nella cartella temp?
| Sante62 ha scritto: | | se non conosci questi file successivamente li elimineremo; |
Conoscerli ... non so.
Ho Java, che ho aggiornato giusto qualche giorno fa (e in un altro punto del log -gli ho dato una scorsa veloce, cercando di capire ...q eullo che riesco a capire  - se non sbaglio si può notarlo).
Oppure può essere qualcosa che .... fa finta di essere Java.
EDIT: java aggiornato 3 giorni fa (era venerdì)
infatti
07/03/2008 10.01.11 (DIR) 0 byte 3 days old -- Java
mentre
22/02/2008 01.23.35 135168 byte 17 days old -- java.exe
22/02/2008 01.23.39 135168 byte 17 days old -- javaw.exe
22/02/2008 02.33.32 139264 byte 17 days old -- javaws.exe
uhm ...? e nello stesso pezzo del log vedo anche
22/02/2008 02.33.31 69632 byte 17 days old -- javacpl.cpl |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 10 Mar 2008 22:22 Oggetto: |
|
|
| chemicalbit ha scritto: | | Sante62 ha scritto: | Da un primo esame del log vedo alcuni processi che mi sembrano sospetti:
| Citazione: | C:\Windows\System32\java.exe
C:\Windows\System32\javaw.exe
C:\Windows\System32\javaws.exe |
Apri il task manager e se ci sono quei processi terminali;
Questo per vedere se le prestazioni del PC migliorano; |
In task manager, scheda processi, non li vedo.
(Ora però sono con l'utente $user3, mentra la scansione l'ho fatta da amministratore. Poi guarderò con task manager anche da amministratore). |
Non ci sono neanche da amministratore.
Provo a portarmi avanti,
visto che nel log degli ultimi punti (il secondofile che ho uplofdato) vedo una sezione "Checking Suspicious files" | Citazione: | EXE and DLL files packed with runtime packers, found in: C:\; C:\WINDOWS\; C:\WINDOWS\system32\
C:\WINDOWS\Nircmd.exe --> is compressed with UPX
C:\WINDOWS\system32\swreg.exe --> is compressed with UPX
C:\WINDOWS\system32\swsc.exe --> is compressed with UPX
|
Da task manager non li vedo tra i processi in esecuzione, né da amministratore, né ora da utente normale ($user3) |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 11 Mar 2008 03:33 Oggetto: |
|
|
altri file sospetti non ne vedo;
inoltre nelle varie chiavi di registro, pare non vi sia traccia di lpt4.exe;
quelli della sezione Checking Suspicious files sono leciti;
per quelli che ti ho indicato in rosso, per sicurezza li puoi fare analizzare su www.virustotal.com caricandoli uno alla volta ed attendere il responso dei vari antivirus;
per l'eliminazione del file temp, direi di non rimuovere nulla manualmente, almeno per adesso, finchè non saremo sicuri che non ci siano altre infezioni;
fai invece un paio di scansioni online:
BitDefender
Kaspersky online scanner
Posta i risultati come hai fatto con Systemscan... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 11 Mar 2008 12:17 Oggetto: |
|
|
| Sante62 ha scritto: | | per quelli che ti ho indicato in rosso, per sicurezza li puoi fare analizzare su www.virustotal.com caricandoli uno alla volta ed attendere il responso dei vari antivirus; |
Anche il file lpt4.exe ?
Con uno alal volta, intendi che devo mandarne uno, aspettare il responso e poi mandarne un altro; o semplicemente che il mtodo ne fa mandare uno alal volta, quindi devo ripetere?
| Sante62 ha scritto: | | per l'eliminazione del file temp, direi di non rimuovere nulla manualmente, almeno per adesso, finchè non saremo sicuri che non ci siano altre infezioni; |
Provo anzi a rimettere lpt4.exe al suo posto (l'avevo rinominato, come avevo detto) e a rifare i controlli?
Ok, mi do da fare con un po' discansioni antivirus e antispyware (con le quali non avevo insistito più di tanto , preferendo controllare prima se non vi fosse un rootkit o cose simili, che avrebbero potuto nascondere gli altrimalware -è sensato come ragionamento?-
p.s. i tool che ho usato includono al loro interno le scansioni con GMER , o vale la pena che io faccia le due scansioni (Autostart e Rootkit ) con GMER? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 11 Mar 2008 12:53 Oggetto: |
|
|
| chemicalbit ha scritto: | | Anche il file lpt4.exe ? |
potresti anche farlo, anche se siamo sicuri che si tratta di un malware;
| chemicalbit ha scritto: |
o semplicemente che il mtodo ne fa mandare uno alal volta, quindi devo ripetere? |
Esatto...
| chemicalbit ha scritto: |
Provo anzi a rimettere lpt4.exe al suo posto (l'avevo rinominato, come avevo detto) e a rifare i controlli? |
Si proviamo e vediamo cosa succede;
però usa solo il tool della Symantec e Gromozon...
| chemicalbit ha scritto: |
Ok, mi do da fare con un po' discansioni antivirus e antispyware (con le quali non avevo insistito più di tanto , preferendo controllare prima se non vi fosse un rootkit o cose simili, che avrebbero potuto nascondere gli altrimalware -è sensato come ragionamento?- |
Certamente, ma conviene fare inizialmente le scansioni con l'antivirus e antispyware che abbiamo sul nostro PC per vedere cosa rilevano e cosa riescono a rimuovere;
| chemicalbit ha scritto: |
p.s. i tool che ho usato includono al loro interno le scansioni con GMER , o vale la pena che io faccia le due scansioni (Autostart e Rootkit ) con GMER? |
No, ritengo non sia necessario... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 11 Mar 2008 13:15 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: | | Anche il file lpt4.exe ? |
potresti anche farlo, anche se siamo sicuri che si tratta di un malware; |
Sì, ma ilpunto è quale?
Ho provato, ma non riesco a mandarlo (riceve 0 byte, ho provato anche con suspectfile, uguale).
Ho provato a farne una copia, ma non riesco, proverò a farla in un'altro modo (con UNLocker ad es.)
virustotal.com | Sante62 ha scritto: | | chemicalbit ha scritto: |
o semplicemente che il mtodo ne fa mandare uno alal volta, quindi devo ripetere? |
Esatto... |
Fatto, non rileva nulla che per lui sia sospetto (tra l'altro se ho ben capito qualcun altro aveva già mandato loro dei file uguali). |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 11 Mar 2008 20:44 Oggetto: |
|
|
| Va bene, procedi con le scansioni Online... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 11 Mar 2008 20:56 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: |
Provo anzi a rimettere lpt4.exe al suo posto (l'avevo rinominato, come avevo detto) e a rifare i controlli? |
Si proviamo e vediamo cosa succede;
però usa solo il tool della Symantec e Gromozon... |
Ho rimesso tutto com'era prima (non solo lpt4.exe , perché nel frattempo altre cose erano cambiate, vedi sotto)
e ho fatto l'analisicol tool anti-Gromozon della PreveX.
Non ha trovato nulla, quando mi ha chiesto di rimuovere lo stesso, gli ho risposto di sì. | Citazione: | Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean. |
Col tool della Symantec provo appena ho tempo (oggi ho fatto altre scansioni)
----------
Appunto, ho fatto altre scansioni, tra cui con Lavasoft Ad-Aware SE (che era un po' che non mi si aggiornava, ora l'ho aggiornato col metodo indicato qui). (Sì, poi quando sarà finito 'sto periodo di scansioni e d'installazione di nuovi programmi antimalware, verdrà di aggiornare da Ad-Aware SE ad Ad-Aware 2007
Non ha trovato nulla di che, ma passando sopra alcuni file in una cartella, si è attivato l'antivirus AVG resident (quello che sta in memoria), che mi ha segnalato:
*C:\WINDOWS\system32\qsws\knlps.exe : Trojan horse KillAV.GY . Ho provato sia "Heal" che "Move to vault" (quarantena), ma non ci riusciva alla fine ho dovuto fare ignore.
*C:\WINDOWS\system32\qsws\knlps.sys : Trojan horse KillApp.AA , ho fatto move to vault.
due note:
1)Il file che non riesco a spostare in quarantena, con UNLocker non mi segnala nessun processo che l'abbia in uso.
2)Facendo una scansione con AVG (non quello resident: ho selezionato tutti i file della cartella, click destro e "Scan with AVG") non mi trova nulla. Dopo un po' che ho la cartella aperta interviene l'antivirus avvisandomi che in knlps.exe c'è un trojan h. . Perché AVG resident se ne acocrge mentre l'AVG vero e proprio no?
--------------
Ora procedo con la scansione col tool anti-gmorzon di Symantec , e con le scansioni on-line.
L'ultima modifica di chemicalbit il 12 Mar 2008 22:33, modificato 2 volte |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Mar 2008 00:25 Oggetto: |
|
|
Ora che sappiamo qual'è il trojan o presunto tale:
| Citazione: | | C:\WINDOWS\system32\qsws\knlps.exe |
se hai già iniziato le scansioni online portale pure a termine e poi scarica e fai girare anche
Prevx_CSI |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 12 Mar 2008 10:22 Oggetto: |
 |
|
| chemicalbit ha scritto: | *C:\WINDOWS\system32\qsws\knlps.exe : Trojan horse KillAV.GY . Ho provato sia "Heal" che "Move to vault" (quarantena), ma non ci riusciva alla fine ho dovuto fare ignore.
*C:\WINDOWS\system32\qsws\knlps.sys : Trojan horse KillApp.AA , ho fatto move to vault. |
Dimenticavo di dire che con task manager non vedo quei processi in memoria, né da amministratore né dall'utente normale.
| Sante62 ha scritto: | Ora che sappiamo qual'è il trojan o presunto tale:
| Citazione: | | C:\WINDOWS\system32\qsws\knlps.exe |
|
Non sapevamo già che era lpt4.exe ?
(a proposito perché AVG resident non mi segnala più il malware che prima mi aveva segnalato in esso?)
| Sante62 ha scritto: | se hai già iniziato le scansioni online portale pure a termine e poi scarica e fai girare anche
Prevx_CSI |
Scasnioni ho fato ben pocoieri sera (mi sono impaperato qui nell'Olimpo, e poi era tardi -volevo far girare iltool anti-gmorzon della Symantec, ma l'altra volta aveva impiegato più di due ore).
Ora mi pare di capire che quello più urgente / che è meglio fare per primo è il CSI che mi haiindicato ora, quindi faccio per primo quello.
L'ultima modifica di chemicalbit il 12 Mar 2008 22:28, modificato 1 volta |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
