Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 11
  1. 21-06-2008, 15:01 #1
    Morgan_86
    Morgan_86 non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2007
    Messaggi
    19

    riskware pst.exe nella cartella Temp

    ciao a tutti.
    Da qualche settimana la mia suite di sicurezza Kaspersky internet Security 7 rileva un riskware nella cartella Temp di Windows Xp, in particolare l'antivirus mi fornisce il seguente messaggio:

    rilevato riskware Private data and passwords access - Processo in esecuzione: C:\DOCUME~1\mioutente\IMPOST~1\Temp\pst.exe

    Ovviamente ho impedito l'accesso al processo e sono andato a vedere l'origine del file sospetto pst.exe. Le prime volte cliccando col tasto destro sul file risultava essere prodotto dalla società nirsoft, e facendo qualche ricerca ho scoperto che producono un software (questo) proprio per il recupero delle password da Internet Explorer (stessa azione segnalata dall'antivirus).
    Ho provato a cancellare il file ma ricompare automaticamente e non posso far altro che bloccare il processo sospetto con l'antivirus.
    Un'ultima cosa, adesso sulle proprietà del file non compare più nessuna informazione, vedo soltanto "tipo di file: applicazione".

    Mi piacerebbe sapere se il file è generato da qualche applicazione genuina installata (ho installato un paio di giochi ultimamente) oppure se è un troyan/spyware come rimuoverlo.

    Grazie per l'attenzione
    Rispondi quotando Rispondi quotando
  2. 21-06-2008, 20:05 #2
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    analizzarlo anche su Virustotal e posta i risultati, cortesemente.

    Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  3. 22-06-2008, 11:41 #3
    Morgan_86
    Morgan_86 non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2007
    Messaggi
    19
    Originariamente inviato da Deifobe
    analizzarlo anche su Virustotal e posta i risultati, cortesemente.

    Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.
    grazie per la risposta Deifobe
    ho eseguito le istruzioni richieste, trovi l'archivio con i log di virustotal e systemscan qui

    spero si riesca a capire cos'è e come rimuovere questo file sospetto.
    grazie ancora
    Rispondi quotando Rispondi quotando
  4. 23-06-2008, 11:15 #4
    Morgan_86
    Morgan_86 non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2007
    Messaggi
    19
    qualcuno ha analizzato i miei log?
    E' possibile rimuovere questo file sospetto in modo che non si rigeneri più?

    Grazie per l'attenzione
    Rispondi quotando Rispondi quotando
  5. 24-06-2008, 23:49 #5
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Ciao, controlla nelle proprietà la società/copyright/descrizione e di questi files:

    (14 days old) C:\WINDOWS\hwuser.dll
    (1 days old) C:\WINDOWS\winfup.dll
    (0 days old) C:\WINDOWS\system32\msiclass.dll
    (11 days old) C:\WINDOWS\SysMech6.INI

    e ovviamente anche di questo:
    C:\DOCUME~1\Mino\IMPOST~1\Temp\pst.exe

    Poi analizzali su Virustotal e posta i risultati.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  6. 25-06-2008, 16:12 #6
    Morgan_86
    Morgan_86 non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2007
    Messaggi
    19
    Originariamente inviato da Deifobe
    Ciao, controlla nelle proprietà la società/copyright/descrizione e di questi files:

    (14 days old) C:\WINDOWS\hwuser.dll
    (1 days old) C:\WINDOWS\winfup.dll
    (0 days old) C:\WINDOWS\system32\msiclass.dll
    (11 days old) C:\WINDOWS\SysMech6.INI

    e ovviamente anche di questo:
    C:\DOCUME~1\Mino\IMPOST~1\Temp\pst.exe

    Poi analizzali su Virustotal e posta i risultati.
    (14 days old) C:\WINDOWS\hwuser.dll
    (1 days old) C:\WINDOWS\winfup.dll
    non hanno proprietà, c'è solo scritto "Tipo file: Estensione dell'applicazione"

    (0 days old) C:\WINDOWS\system32\msiclass.dll
    Descrizione: MVC Windows Provider
    Società: Microsott Corporation
    Versine: 5.1.2600.2180

    (11 days old) C:\WINDOWS\SysMech6.INI
    è un file di configurazione di System Mechanic 6 che ho installato

    Il file pst.exe l'ho cancellato manualmente e per adesso non si è più rigenerato.
    il log del file pst.exe insieme a quello degli altri file li trovi qui

    grazie
    Rispondi quotando Rispondi quotando
  7. 25-06-2008, 19:08 #7
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    ok
    invia questi tre files http://www.suspectfile.com/

    C:\WINDOWS\hwuser.dll
    C:\WINDOWS\winfup.dll
    C:\WINDOWS\system32\msiclass.dll

    scarica Avenger, eseguilo e nella finestra copia/incolla:

    files to delete:
    C:\WINDOWS\hwuser.dll
    C:\WINDOWS\winfup.dll
    C:\WINDOWS\system32\msiclass.dll
    Spunta "Automatically disable any rootkits found" e clicca su "execute".
    Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger



    Nota : tra le poche info disponibili, ho trovato questo:
    C:\WINDOWS\system32\msiclass.dll <Not Verified; Microsott Corporation; >
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  8. 25-06-2008, 23:32 #8
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    ciao... ho visto che avevi già risolto

    come già sai, da bleepingcomputer.com vedi che 2 dei tre files sono associati a vundo. Se hai ancora qualcuno di quei files li invii, come richiesto, a suspectfile? Così, magari, la prossima volta qualcun altro troverà qualche info in più (ed anche più "certe")

    grazie
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  9. 26-06-2008, 10:51 #9
    Morgan_86
    Morgan_86 non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2007
    Messaggi
    19
    ok. ho inviato il files sospetti (la loro copia di backup in un'archivio protetto da password, perchè gli originali li ho cancellati con killbox) a suspectfile.
    Devo ancora fare la procedura con Avenger o non è più necessaria?
    Grazie
    Rispondi quotando Rispondi quotando
  10. 26-06-2008, 13:04 #10
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Se i files in quelle posizioni non ci sono piu', allora e' inutile eseguire avenger
    quindi tutto ok

    Ciao... e grazie x l'invio..
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.