Consulenza HijackThis

[Simeon]

Potrei avere qualche informazione su queste voci:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8CF8F1D7-8BA2-431F-91B4-073304A3C865}: NameServer = 212.216.172.62 151.99.125.1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Da una mia ricerca ottengo questo:
212.216.172.62: dovrebbe essere di Telecom Italia (ma allora perchè porta la bandiera americana?)
151.99.125.1: appartiene a Interbusiness Backbone (cos'è?)

se invece faccio una ricerca in google sulla voce R0, appeno premo invio, avast si attiva bloccando un cavallo di troia dal nome Win32:Small-LX [Trj].

è regolare?


Grazie per l'attenzione.

[holifay]

212.216.172.62 perchè lo confonde con Roma, Texas
151.99.125.1 è il backbone (spina dorsale) di Interbusiness (Telecom)

R0: avast dà i numeri...

[Simeon]

R0: avast dà i numeri...

Grazie mille per le risposte che mi stai dando (anche negli altri post).

Riguardo ad R0 vorrei sapere se è una voce da eliminare (motivo delle mie ricerche su google).

[holifay]

Visto così sembrerebbe che manchi l\'assistente per le ricerche in Internet, che di default è http://ie.search.msn.com/

Se lo fixi (cosa che farei) viene ripristinato quel valore. Di solito però quando un malware modifica quella voce, dopo il segno di uguale c´è un link ad un altro sito.

[Simeon]

Approfitto dell'occasione per porre un'altra domanda.

Quando nei database (tipo CastleCops) non trovo alcun riferimento su una voce di hijackthis, tipo questa:

O4 - HKLM\..\Run: [dxco1.exe] C:\WINDOWS\Temp\dxco1.exe

come procedo per sapere se è innocua o da fixare?

Accetto risposte del tipo: "in questo caso arrangiati!"

[amvinfe]

in questo caso specifico essendo un file nella cartella TEMP lo stesso può essere tranquillamente rimosso, se ad esso è collegata una chiave nel registro (come in questo caso) allora la cosa diventa un po' più complicata.

Però per certo io ti posso dire che una chiave così e con un eseguibile posizionato in Temp con quelle caratteristiche (4 lettere random+1+ estensione exe) è riconducibile ad una variante del trojan Agent

[Simeon]

I trucchi del mestiere!

Dunque quando ad un file temp è collegata una chiave di registro (e non sussistano le condizioni da te descritte) bisogna prestare più attenzione. Come mai, quali rischi si corrono? In fondo non rimane sempre un file temp (di utilizzo appunto temporaneo)?

[Habanero]

il fatto è che non c'è nessun motivo perchè un file presente nella cartella temp, e che quindi dovrebbe essere memorizzato lì solo in modo transitorio, debba essere lanciato all'avvio. I programmi legittimi installano gli eseguibili in cartelle più sicure. Nessun programma legittimo rimane installato in una cartella temporanea.

[Simeon]

Dunque ogni temp lanciato all'avvio è da ritenersi sospetto!

Ma perchè allora, dal momento che la cartella temp è transitoria, il malware è programmato per allocarsi proprio lì. Con una semplice "pulizia" (anche manuale, senza hijackthis) rischia di essere eliminato. O sbaglio?