Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 3 su 3
  1. 23-09-2006, 16:13 #1
    valepu
    valepu non è in linea
    Utente di HTML.it L'avatar di valepu
    Registrato dal
    Dec 2001
    Messaggi
    302
    Invia un messaggio tramite ICQ a valepu

    Userinit, winlogon e Malware persistenti

    Riposto qui, più dettagliatamente, vista l'impossibilità di poter modificare il messaggio da me precedentemente scritto, i problemi che sto avendo sul mio computer, se possibile, un moderatore può cancellare il mio messaggio precedente, grazie

    Ieri sera mi sono ritrovato quest file nella mia cartella di windows: McAfeeDriver.exe, IbmDrv.exe, CompaqCenter.exe. I file hanno più o meno tutti e tre la stessa dimensione (17 KB, 18,5 KB e 19 KB), e sono stati immediatamente bloccati dal mio firewall (seppure temo stiano usando un altro programma per connettersi alla rete), sto ora cercando di capire che cosa siano e da dove provengano, ma finora non ho avuto grandi risultati

    Fatto sta che nonostante penso di aver neutralizzato il loro effetto, non riesco a cancellarli.

    - Scrivendo il nome di questi files su google non ho trovato nulla (non mi dava alcun risultato)

    - Anche se li termino utilizzando il task manager, non riesco a cancellarli, e ricevo il messaggio che i file sono in uso da un'altra applicazione.

    - Quando provavo ad unzippare Hijackthis mi chiudevano la finestra, a meno che non cambiassi il nome del file, e nonostante questo, mi chiudono all'istante il programma una volta che lo apro. Una volta terminati, riesco ad utilizzare hijackthis senza problemi

    - Utilizzando Spybot S&D resident, riesco a bloccare i loro tentativi di cambiare il registro, (continuo a ricevere messaggi come questi:

    23/09/2006 15.10.38 Negato value "UserInit" (new data: "c:\winnt\system32\userinit.exe,"c:\winnt\ibmdrv.e xe","c:\winnt\mcafeedriver.exe",") modificato in Winlogon!
    23/09/2006 15.10.42 Negato value "UserInit" (new data: "c:\winnt\system32\userinit.exe,"c:\winnt\ibmdrv.e xe",") modificato in Winlogon!

    Finchè non termino i processi). In ogni caso, questi programmi ti nascondono il pulsante per bloccare la chiave di registro con un quadrato grigio...

    - I 3 programmi si aprono anche se vado in modalità provvisoria, come se fossero richiamati da un processo di sistema, e ancora una volta, quando li termino, non li posso cancellare...

    Ho provato ad eliminare questi files con Ad-aware e spybot, ma non me li segnala nemmeno, stessa cosa con AVGfree e Kaspersky antivirus.
    Questo è il log di Hijackthis, anche se in questo, la chiave di registro non viene visualizzata perchè l'ho riparata e impedito ulteriori modifiche con Spybot, potrebbe comunque esserci qualcosa che io non riconosco ma che qualcuno più esperto di me può vedere

    Logfile of HijackThis v1.98.1
    Scan saved at 16.06.07, on 23/09/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\aaksrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\Ati2evxx.exe
    C:\PROGRA~4\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~4\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~4\Grisoft\AVGFRE~1\avgemc.exe
    C:\PROGRA~4\DIRECT~1\DUService.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\drivers\KodakCCS.exe
    C:\WINNT\system32\HPZipm12.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    C:\WINNT\system32\GSICON.EXE
    C:\WINNT\system32\dslagent.exe
    C:\PROGRA~4\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~4\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programmi\Advanced Anti Keylogger Lite\aak.exe
    C:\PROGRA~4\FILECO~1\PCSuite\Services\SERVIC~1.EXE
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\WINNT\system32\NOTEPAD.EXE
    C:\Programmi\WinRAR\WinRAR.exe
    C:\DOCUME~2\ADMINI~1\IMPOST~1\Temp\Rar$EX00.000\Hi jackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~4\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {7BF1F0CB-15B9-89A0-3173-B405176A0F3A} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~4\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~4\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [AAK] C:\Programmi\Advanced Anti Keylogger Lite\aak.exe /silent
    O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{55BB5F33-6E2D-4A2C-A267-3761D4FAAC14}: NameServer = 193.70.152.15 193.70.152.25
    The gate to tomorrow is not the light of heaven but the darkness in the depth of the earth
    Rispondi quotando Rispondi quotando
  2. 23-09-2006, 16:50 #2
    valepu
    valepu non è in linea
    Utente di HTML.it L'avatar di valepu
    Registrato dal
    Dec 2001
    Messaggi
    302
    Invia un messaggio tramite ICQ a valepu
    Sembra che sia riuscito ad eliminarli utilizzando la console del CD di win2000, in ogni caso mi piacerebbe sapere di cosa si trattasse, qualche informazione?
    The gate to tomorrow is not the light of heaven but the darkness in the depth of the earth
    Rispondi quotando Rispondi quotando
  3. 23-09-2006, 23:51 #3
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Ciao, elimina dal log questa voce:

    O2 - BHO: (no name) - {7BF1F0CB-15B9-89A0-3173-B405176A0F3A} - (no file)

    Comunque dovresti postare un log fatto con l´ultima versione di HijackThis,

    Cosa sono quei file? Dal nome direi che potrebbero essere varianti di questi:
    http://www.suspectfile.com/forum/viewtopic.php?t=372
    http://www.suspectfile.com/forum/viewtopic.php?t=371
    http://www.suspectfile.com/forum/viewtopic.php?t=347

    Il fatto è che oltre ad avviarsi nella chiave di Userinit, vanno anche in questa:
    HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Policies\\Explorer\\Run

    che HijackThis non vede. Aprila con l´editor di registro, in condizioni normali dovrebbe essere vuota.
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.