MegaLab.it


http://www.megalab.it/forum/

programmino sospetto

./viewtopic.php?f=33&t=25209&start=0

Pagina 1 di 1

programmino sospetto

MessaggioInviato: mer ott 25, 2006 1:29 pm
da bis_2
Avendo dimenticato la password di un file di WORD, ho utilizzato un programma scaricato da un sito suggeritomi in questo forum, si chiama MSOFPAS (cioè, che trova tutte le password dei file di M.S. Office), che, decompresso, pesa 19 Kb, 96 Kb su disco. Il problema è che, una volta cliccato sull'unico file esecutivo (.exe), costituito da un'icona banca col bordo superiore blu (tipica dei file funzionanti con MS DOS), non accade niente, tranne un istantaneo "lampo" della finestra, tipico del pulsante quando viene rilasciato dopo essere stato schiacciato. Il mio timore è di avere, in tal modo, introitato nel sistema qualche virus, o spyware, o dialer, poiché l'effetto del clic è quello tipico dei piccoli file esecutivi ingannevoli. Mi date qualche delucidazione o consiglio?

MessaggioInviato: mer ott 25, 2006 3:37 pm
da aris73
posta un log di Hijackthis http://www.merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare

MessaggioInviato: mer ott 25, 2006 5:05 pm
da crazy.cat
Il programma sospetto lo puoi caricare sul sito www.virustotal.com e farlo analizzare.

MessaggioInviato: gio ott 26, 2006 10:17 am
da bis_2
aris73 ha scritto:posta un log di Hijackthis http://www.merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
Grazie, Aris, ti posto due log, uno fatto prima della scansione acon l'antivirus (25 ottobre) e uno eseguito dopo tale scansione (26 ottobre). Ciao (li trascrivo di seguito perché sembra non sia consentito l'invio in allegato di file .log).

LOG 25 ottobre
Logfile of HijackThis v1.99.1
Scan saved at 21.22.17, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmon.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MemInfo\meminfo.exe
C:\Programmi\Memento\Memento.exe
E:\Documenti\SOFTWARE\!!!TE LI SEGNALO!!!\hijack this\estratto\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.GOOGLE.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.GOOGLE.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.GOOGLE.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wordart - The Universal Portal
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Ordina_Menu] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - HKCU\..\Run: [DIRECTX] REGEDIT /S C:\WINDOWS\system32\DirectX\Dinput\DIRECTX.REG
O4 - HKCU\..\Run: [ORDINA_MENU2] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O4 - Startup: Memento.lnk = C:\Programmi\Memento\Memento.exe
O4 - Global Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

LOG 26 ottobre
Logfile of HijackThis v1.99.1
Scan saved at 11.10.16, on 26/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MemInfo\meminfo.exe
C:\Programmi\Memento\Memento.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.GOOGLE.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.GOOGLE.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.GOOGLE.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wordart - The Universal Portal
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Ordina_Menu] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - HKCU\..\Run: [DIRECTX] REGEDIT /S C:\WINDOWS\system32\DirectX\Dinput\DIRECTX.REG
O4 - HKCU\..\Run: [ORDINA_MENU2] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O4 - Startup: Memento.lnk = C:\Programmi\Memento\Memento.exe
O4 - Global Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

MessaggioInviato: gio ott 26, 2006 10:32 am
da bis_2
Se non chiedo troppo, invio anche la scansione fatta su VIRUSTOTAL.COM, sia del file incrimimnato, sia di altro file scaricato dallo stesso sito sospetto.
Vorrei sapere il significato delle avvertenze in carattere rosso. Ciao e grazie.
Antivirus Version Update Result
AntiVir 7.2.0.32 10.26.2006 no virus found
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.25.2006 Win32:MSOfpass
AVG 386 10.26.2006 no virus found
BitDefender 7.2 10.26.2006 Spyware.Pws.Msofpass.A
CAT-QuickHeal 8.00 10.25.2006 no virus found
ClamAV devel-20060426 10.26.2006 no virus found
DrWeb 4.33 10.26.2006 no virus found
eTrust-InoculateIT 23.73.37 10.26.2006 no virus found
eTrust-Vet 30.3.3158 10.26.2006 no virus found
Ewido 4.0 10.26.2006 Not-A-Virus.PSWTool.Win32.MSOfPass.a
Fortinet 2.82.0.0 10.26.2006 HackerTool/MSOfPass
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 no virus found
Kaspersky 4.0.2.24 10.26.2006 not-a-virus:PSWTool.Win32.MSOfPass.a
McAfee 4881 10.25.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1834 10.26.2006 no virus found
Norman 5.80.02 10.26.2006 no virus found
Panda 9.0.0.4 10.25.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 Aplicacion/Riskware.PSWTool.MSOfPass.a
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.25.2006 no virus found
VirusBuster 4.3.15:9 10.26.2006 no virus found


Antivirus Version Update Result
AntiVir 7.2.0.32 10.26.2006 no virus found
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.25.2006 no virus found
AVG 386 10.26.2006 no virus found
BitDefender 7.2 10.26.2006 Application.Revelation.1.1
CAT-QuickHeal 8.00 10.25.2006 RiskWare.SnadBoy (Not a Virus)
ClamAV devel-20060426 10.26.2006 no virus found
DrWeb 4.33 10.26.2006 no virus found
eTrust-InoculateIT 23.73.37 10.26.2006 no virus found
eTrust-Vet 30.3.3158 10.26.2006 no virus found
Ewido 4.0 10.26.2006 Not-A-Virus.PSWTool.Win32.SnadBoy.11
Fortinet 2.82.0.0 10.26.2006 HackerTool/SnadBoy
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 no virus found
Kaspersky 4.0.2.24 10.26.2006 not-a-virus:PSWTool.Win32.SnadBoy.11
McAfee 4881 10.25.2006 potentially unwanted program PWCrack-SnadBoy
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1834 10.26.2006 no virus found
Norman 5.80.02 10.26.2006 no virus found
Panda 9.0.0.4 10.25.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 Aplicacion/Riskware.PSWTool.SnadBoy.11
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.25.2006 no virus found
VirusBuster 4.3.15:9 10.26.2006 no virus found

MessaggioInviato: gio ott 26, 2006 1:59 pm
da BilloKenobi
sono entrambi sicuramente virus da cancellare...

per cortesia, potresti gentilmente mandarmi con un messaggio privato l'indirizzo incriminato? sai com'è, sto facendo una collezione di virus, ma per ora sto solo a 11 [boxed]

EDIT

essendo software per l'hacking, normale che gli antivirus ne riconoscano alcuni come maligni... potrebbero avere caratteristiche da keylogger...

MessaggioInviato: gio ott 26, 2006 8:08 pm
da Amantide
BilloKenobi ha scritto:sono entrambi sicuramente virus da cancellare....

Più che i virus, sono degli elementi a rischio (per appunto riskware), visto che la procedura di estrazione della password da un archivio o documento protetti non sempre viene richiesta dal proprietario di questo archivio/documento.
Oltre ad essere potenzialmente pericolosi, questi file non dovrebbero/potrebbero recare ulteriori danni.
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/