MegaLab.it

Inviato: **lun apr 25, 2005 10:21 am**

Dopo la segnalazione dell'Antimalwere 2005 di pericolo del file SMSS.EXE e verificato che non si trattava del file di Windows con il medesimo nome, ho eliminato l'intruso e tutto è andato OK.
Tuttavia il segnale di tale file e rimasto come dal log:

- MOLTO SOSPETTO! (*): C:\WINDOWS\SMSS.exe
smss.exe - _winsystem.sys

- MOLTO SOSPETTO! (*): C:\WINDOWS\SMSS.exe
smss.exe - InteliSys

- MOLTO SOSPETTO! (*): C:\WINDOWS\SMSS.exe
smss.exe - Services.dll

- MOLTO SOSPETTO! (*): C:\WINDOWS\SMSS.exe
smss.exe - SMSS

- MOLTO SOSPETTO! (*): C:\WINDOWS\SMSS.exe
smss.exe - winsystem.sys

INFORMAZIONI SUL FILE C:\WINDOWS\SMSS.exe:
FILE NON TROVATO!

La stessa cosa mi succede con altri programmi antispywere etc.
Allora come togliere del tutto il riferimento?
Lo so che non ci sono pericoli, ma ormai è una questione di principio, una di quelle cose che fanno arrabbiare e che si vorrebbe tanto risolvere!

Grazie

Inviato: **lun apr 25, 2005 10:38 am**

Leggendo i nomi dei files sembra che si tratti del virus Sober, è probabile che sia rimasto qualche pezzo nascosto,o si rigeneri.
Disattiva il ripristino della configurazione se hai Xp e riavvia il pc .
Dalla modalità provvisoria fai la scansione con questo tools
http://securityresponse.symantec.com/av ... xSober.exe

Qui ci sono info sul virus
http://www.trendmicro.com/vinfo/virusen ... K&VSect=sono
e puoi fare anche una scansione utilizzando questo sistema per pulire tutto
http://www.MegaLab.it/2349

Che programma è che non lo conosco?

Codice: Seleziona tutto: Antimalwere 2005

Benveuto nel forum e facci sapere.

Inviato: **lun apr 25, 2005 1:46 pm**

Antimalwere è un programmino di [i]Il Software.it [/i]che rivela le bestioline cattive.
Ho fatto la scansione in modalità provvisoria ed eseguito il fix della Symantec che non ha rivelato nulla.

Inviato: **lun apr 25, 2005 2:11 pm**

Neanche l'antivirus ha pulito niente?

Mi fai la scansione con Hijackthis e prova a mandare qui il log della scansione.

Hijackthis rileva le bestioline nascoste molto meglio che Antimalwere

Inviato: **lun apr 25, 2005 2:20 pm**

Nella riga 04 appare SMSS.exe (file che ho eliminato), se lo fixo lui scompare. Rifacedno subito dopo Hijack.... oplà, riappare!

Logfile of HijackThis v1.99.1
Scan saved at 14.49.27, on 25/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programmi\Iomega\AutoDisk\ADUserMon.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\MSGTAG\MSGTAG.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\WinZip 9 SR1\WZQKPICK.EXE
C:\Programmi\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Microsoft Shared\Media Manager\airsvcu.exe
C:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Iomega\AutoDisk\ADService.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\Avant Browser\avant.exe
C:\Documents and Settings\Sartori\Desktop\RootkitRevealer.exe
C:\DOCUME~1\Sartori\IMPOST~1\Temp\GBYB.exe
C:\Documents and Settings\Sartori\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mmtask] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programmi\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Deskup] C:\Programmi\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Debug] C:\WINDOWS\SMSS.exe
O4 - HKLM\..\Run: [gcasServ] C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
O4 - HKLM\..\Run: [Schedulatore FinePrint v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSGTAG] "C:\Programmi\MSGTAG\MSGTAG.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Ad-watch.exe.lnk = C:\Programmi\Ad-Aware SE Professional\Ad-Watch.exe
O4 - Startup: Introducing Media Manager.lnk = C:\Programmi\File comuni\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip 9 SR1\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Aggiungi l'indirizzo alla Lista Nera della pubblicità - C:\Programmi\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Apri tutti i collegamenti nella pagina in linguette diverse - C:\Programmi\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - C:\Programmi\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Cerca con Google - C:\Programmi\Avant Browser\Search.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Programmi\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICOFF~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Evidenzia in questa pagina - C:\Programmi\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O8 - Extra context menu item: Pagine simili - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICOFF~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Fr ... gratis.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5251621421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1 ... gleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru ... ebscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A588803-1A92-4B8A-B483-6C89F9DDEE84}: NameServer = 209.47.15.118,64.157.143.38,212.216.112.112,212.216.172.62
O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - C:\PROGRA~1\FILECO~1\MICROS~1\REFERE~1\MSELL.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: GBYB - ??????????????????????????????????? - C:\DOCUME~1\Sartori\IMPOST~1\Temp\GBYB.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Task Manager Service (RTM) - Unknown owner - C:\WINDOWS\System32\rtmanager.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programmi\Iomega\AutoDisk\ADService.exe

Inviato: **lun apr 25, 2005 2:51 pm**

Se la scansione di prima non ti ha trovato niente (molto strano però), puoi utilizzare questa
http://www.MegaLab.it/2166

Questo puzza di dialer ed è da eliminare
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Fr ... gratis.exe

Sconosciuto, hai idea di cosa sia?
O23 - Service: GBYB - ??????????????????????????????????? - C:\DOCUME~1\Sartori\IMPOST~1\Temp\GBYB.exe

MegaLab.it

Sull'antimalwere 2005

Sull'antimalwere 2005