|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
23-08-2006, 19.08.42 | #1 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Sophos Anti-root kit (?)
Logfile of HijackThis v1.99.1 Scan saved at 18.05.45, on 23/08/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\Programmi\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programmi\OO Software\CleverCache\ooccag.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\GigaByte\VGA Utility Manager\G-VGA.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\explorer.exe C:\SOPHTEMP\sargui.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\MAth\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: èíò€‚ï - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [VGAUtil] C:\Programmi\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://netphone.tiscali.it/netphone/ocx/mosquito.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programmi\OO Software\CleverCache\ooccag.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing) Io credo sia pulito... Ecco una parte del risultato di Sophos: Cosa può essere? Ciao **** Ho cancellato qualche file e il sistema dopo il riavvio sembra ancora stabile...
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 23-08-2006 alle ore 19.29.26 |
23-08-2006, 19.20.57 | #2 |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Il log di hijackthis è pulito.
Intanto verificherei che i file che vede sophos esistano e siano nascosti come sembra dal log. Dopo proverei a caricarne alcuni, gli exe in particolare, sul sito della kaspersky o su www.virustotal.com farli analizzare e vedere di cosa si tratta.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
23-08-2006, 19.31.25 | #3 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Si, ho già controllato con virus total...ma niente i "campioni" risultano puliti...ora con un pò di pazienza provo a controllarli tutti...
I file esistono e sono facilmente individuabili...non so se può servire ma sono in "verde"... Ma posso cancellarli tranquillamente? E' molto strano il fatto che su google non siano conosciuti...questo mi suggerisce una casualità nei nomi che non mi indica nulla di buono, non trovi?
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 23-08-2006 alle ore 19.38.12 |
23-08-2006, 19.43.17 | #4 | |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Quota:
Devo ancora capire questi rootkit, aspettiamo se altri hanno qualche idea.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
|
23-08-2006, 19.51.20 | #5 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Ho fatto un controllo anche con f-secure blacklight beta e ha trovato solo un file nascosto...
Provo a fare una copia dei file e a eliminarli per vedere se si creano problemi...
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) |
23-08-2006, 19.56.23 | #6 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Ho trovato su google qualcosa su tMt.exe...ma credo che il file che ho io non sia quello...
Ho trovato qualcosa anche su jeo.exe ... ma io l'ho in una cartella diversa...su internet l'ho vista in System32... Una volta usai Fixwareout per risolvere un problema di rootkit...può essere utile?
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 23-08-2006 alle ore 20.02.53 |
23-08-2006, 21.19.47 | #7 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Ho preso la decisione di cancellare i file...l'ho fatto e il sistema è ok...tutti i file erano cancellabilissimi, tranne uno che è totalmente incancellabile: unlocke non funziona e non è eliminabile neanche dalla modalità provvisoria...
Come eliminare un file ineliminabile come questo? Ciao
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) |
24-08-2006, 12.07.58 | #8 | |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Quota:
Per eliminarli è necessario utilizzare una sintassi particolare ==> vedi qui.
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
[*NIX] Puppy - 2 domande: root e modem | luca2 | Linux e altri Sistemi Operativi | 5 | 30-12-2006 18.05.25 |
[MDK] Root nel menù avvio. | davlak | Linux e altri Sistemi Operativi | 9 | 20-04-2005 21.22.27 |
Virus "W32.Famus-F": Sophos - Un worm pericoloso in video E-Mail di Bin Laden | Giorgius | Sicurezza&Privacy | 1 | 09-11-2004 15.38.40 |
[SFTW] programma con interfaccia grafica da utente root | Eteria | Linux e altri Sistemi Operativi | 6 | 30-10-2004 12.28.11 |
mandrake 10rc1 | claudia1974 | Linux e altri Sistemi Operativi | 43 | 12-03-2004 11.43.09 |