File Sospetti e Tentativi d'intrusione , se avete un minuto ^_^

[macula_2000]

Beh, intanto vi rngrazio in anticipo per qualsiasi suggerimento mi diade al riguardo e soprattutto faccio i miei complimenti per il tutorial di Hijackthis, persino uno negato come me ha capito come si usa ( almeno parzialmente )

Passo subito ad illustrarvi il problema che, oramai , non mi da più pace.
Da circa 4-5 giorni il mio computer si comportava in maniera strana, ma la cosa che mi ha messo veramente in allarme è stata l'esecuzione di finestre in Ms dos di File temporanei mai visti prima. Ho quindi deciso di di scaricare Secure task manager per monitorare meglio i processi e terminando quelli che venivano considerati sospetti, ma alcuni file rincompaiono automaticamente all'avvio e non rilevati dall'analisi di Panda e Ewido ( anche in modalità provvisoria l'unico risultato era qualche downloader eliminato)

I file creati in questo modo, se non terminati manualmente, danno vita a delle finestre in modalità ms dos e ad un assalto al protocollo tcp ( intrusioni di rete) e l'invio tempestivo dello stesso virus (Exploit/LSASS) tutti rigorosamente bloccati dal firewall

i file di cui parlo hanno questa dicitura:

96exmodul32f.b.exe
16 exinjs.q.exe
33 exinjs.q.exe
... e via dicendo

Sempre all'avvio la modalità " aggiornamento automatico" di Windows è disabilitata e devo riattivarla manualmente.

Visto che siete l'unica cosa che mi separa dal Format chiedo aiuto a voi.


questo è il log Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 3.11.08, on 23/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programmi\panda software\panda titanium antivirus 2005\firewall\PNMSRV.EXE
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
c:\programmi\panda software\panda titanium antivirus 2005\WebProxy.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O2 - BHO: (no name) - {C2E07B68-2F46-4DBB-8261-285794B7F8DE} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programmi\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1009897107296
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/it/it/tools/activex/fpu.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E17BE5B-4355-4216-813B-0E0062BDD19D}: NameServer = 192.168.0.1
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: classes - C:\WINDOWS\
O20 - Winlogon Notify: disk - C:\WINDOWS\
O20 - Winlogon Notify: eventss - C:\WINDOWS\
O20 - Winlogon Notify: gg - C:\WINDOWS\
O20 - Winlogon Notify: lindows - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programmi\panda software\panda titanium antivirus 2005\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe



Aspetto una vostra risposta, ed in ogni caso grazie di tutto ^_^

[macula_2000]

Una piccola risposta? mi basta anche una aprola di conforto

[amvinfe]

ciao,
da Start>Esegui scrivi regedit dai l'OK
ora aiutandoti con i + portati in
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List
apri la cartella List e verifica se nel pannello di dx hai questo valore
C:\WINDOWS\system32\svchost.exe ==> C:\WINDOWS\system32\svchost.exe:*:Enabled:Microsof t Update

poi scarica
http://www.suspectfile.com/upload/fi...systemscan.exe
mettilo all'interno di una nuova cartella, esegui il file ed assicurati che tutte le opzioni siano spuntate. Clicca su "Scan Now", a fine scansione verrà copiato in C:\suspectfile il file report.txt caricalo su www.mytempdir.com e scrivimi il link per scaricare il file.

Nel frattempo aggiorna Panda.

[macula_2000]

Grazie tante per avermi risposto , sono ai limiti della disperazione -.-''' qui è peggio di Alien , "spuntano ovunque".

Sto eseguendo per la seconda volta lo scan, la prima volta mi ha dato l'esito ( impossibile creare un report suspiciusfile creare un report .txt?) alla mia risposta affermativa la pagina blocco note era vuota -.-'

il file che mi hai chiesto di controllare c'è, ed sempre in quella sottocartella ci sono tutti i file che ho scritto nel primo post, ovvero:

96exmodul32f.b.exe
16 exinjs.q.exe
33 exinjs.q.exe
... e via dicendo

alcuni con estensioni Dll altri con estensioni *enabled microsoft update*

Nel caso servisse lascio pure il contact msn

macula_2000@hotmail.it

[macula_2000]

Ho scoperto il perchè del problema del report, lo scan lancia uno script che panda interpreta come un virus e lo blocca di conseguenza, dovrei disabilitarlo, ma come faccio con i temp innazicitati che partono di tanto in tanto con i loro bei virus?

[macula_2000]

ho provato pure in modalità provvisoria, ma niente, non riesce a generare un report

[ceppo]

AIUTO!!!
Ho anch'io questo problema.... è una cosa assurda.... ieri ho cercato su google exinjs.exe e ho trovato pochissimo (e solo in inglese e spagnolo!!!)
ho fatto la scansione con systescan e immagino di dovertela mandare....
Ho win xp sp 2 con zone alarm (per fortuna c'è lui) e Avg Free....
se volete il rapporto di Hijackthis ditemelo....

Vi prego.... aiutatemi!!!

P.S. penso ndi essermelo preso su emule questo trojan quindi attenti

[amvinfe]

Originariamente inviato da macula_2000
Ho scoperto il perchè del problema del report, lo scan lancia uno script che panda interpreta come un virus e lo blocca di conseguenza, dovrei disabilitarlo, ma come faccio con i temp innazicitati che partono di tanto in tanto con i loro bei virus?

ti disconnetti da internet, disabiliti Panda ed esegui la scansione. Finita la scansione riabiliti Panda.

[macula_2000]

ho rifatto lo scan ma l'esito è stato lo stesso, ovvero:

impossibile trovare il file c:\suspectfile\report.txt creare un nuovo file?

appena rispondo si , si apre una pagine in blocco note tutta bianca senza nulla scritto

poco prima di completare lo scann mi compare questo messaggio d'errore:
-----------------------------------------------------------
script
C:\DOCUME-1\COMPUTER\IMPOST-1\temp\rarSFXO\cvrt.vbs

riga
2

carattere
11

errore
il componente activex non può creare l'oggetto 'wscript.shell'

codice
800A01AD

origine
errore di run-time di microsoft vbscript

------------------------------------------------------------------

dimmi tu cosa posso fare.

Se può interessarti ho fatto una scansione online con panda e sono stati trovati due file sospetti. Incollo qui sotto il report:

Incident Status Location

Possible Virus. Not disinfected C:\Documents and Settings\computer\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0 \jar\menu.jr-16352cad-171c1378.zip[javautil.zip]
Possible Virus. Not disinfected C:\Documents and Settings\computer\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0 \jar\menu.jr-16352cad-28492610.zip[javautil.zip]

[amvinfe]

riavvia in modalità provvisoria ed esegui
http://securityresponse.symantec.com...FixLinkopt.exe
poi riavvia e ripeti la scansione con Systemscan