MegaLab.it

Inviato: **dom mag 29, 2011 7:04 pm**

Lasciando stare che è un OS a 64 bit,ho appena ripristinato da partizione nascosta un dell, e per vedere se formact factory aveva installato componenti aggiuntivi ,ho lanciato HijachThis. La cosa strana è che mi riporta un file (proprio della Dell) come spyware

Uploaded with ImageShack.us

di seguito allego il log

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:58:28, on 30/05/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Dell DataSafe Local Backup\Components\Scheduler\STService.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe
C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Windows Live\Toolbar\wltuser.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10q_ActiveX.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" /mode2
O4 - HKLM\..\Run: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\RunOnce: [Launcher] C:\Program Files (x86)\Dell DataSafe Local Backup\Components\Scheduler\Launcher.exe
O4 - HKLM\..\RunOnce: [STToasterLauncher] C:\Program Files (x86)\Dell DataSafe Local Backup\toasterLauncher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8714 bytes

Grazie..

Inviato: **dom mag 29, 2011 7:18 pm**

Il file è legittimo;

Per sicurezza genera l'hash md5 del file e inseriscilo nel prossimo messaggio

Inviato: **dom mag 29, 2011 7:22 pm**

hashcat ha scritto:Il file è legittimo;

Per sicurezza genera l'hash md5 del file e inseriscilo nel prossimo messaggio

Come genero l'hash md5?

Inviato: **dom mag 29, 2011 7:24 pm**

Il metodo più semplice è utilizzare Hashcodes:

Indichi all'applicazione il percorso del file e questa genererà l'hash md5 che identifica univocamente il file. [^]

Inviato: **dom mag 29, 2011 7:29 pm**

Purtroppo

Uploaded with ImageShack.us

Inviato: **dom mag 29, 2011 8:00 pm**

Scusa ho postato il link della versione a 32 bit, da questo link puoi scaricare la versione per i 64 bit che non richiede installazione. [;)]

Inviato: **dom mag 29, 2011 8:23 pm**

Troppo tardi,me ne sono già andato [grazie]

Una cosa:una volta generato l'hash del file ,come facevi poi a vedere se era legittimo,cioè come o dove lo confrontavi? [brindisi]

Inviato: **dom mag 29, 2011 9:04 pm**

Visto che al momento hashcat è assente,se qualche amico può spiegarmi come fare gli sarei grato,perché l'ho installato anche sul mio Windows 7.

Inviato: **dom mag 29, 2011 9:19 pm**

provo a darti una mano ma non so con quali risultati .
1) MD5 che hai generato è del presunto spyware o del programma legittimo?
2) intanto puoi immettere questo codice su virustotal e threatexpert per vedere se corrisponde a qualche minaccia
3) se pensi che il programma non sia legittimo genera MD5 scaricandolo da qui e confrontalo con quello che hai scaricato tu.

Inviato: **dom mag 29, 2011 9:23 pm**

No,ormai non sono più sul quel computer.
Volevo capire quale è la procedura da fare (in futuro) per confrontare una volta ottenuto l'MD5 del file-di un file.

Inviato: **dom mag 29, 2011 9:28 pm**

una cosa è sicura:
se pensi che qualche programma non sia legittimo puoi comunque scaricarlo da siti affidabili (tipo filehippo) o quello ufficiale del produttore e confrontare MD5 per vedere se si tratto dello stesso file oppure è stato "modificato".

Inviato: **dom mag 29, 2011 9:35 pm**

eugenio19911 ha scritto: .. e confrontare MD5 per vedere se si tratto dello stesso file oppure è stato "modificato".

è proprio questo che vorrei fare. Confronto con chi-cosa? (è quello che non ho capito come fare) [;)]

Inviato: **dom mag 29, 2011 9:38 pm**

confronti con uno stesso programma ma scaricato in due posti diversi es uno preso dal sito ufficiale e l'altro preso da cnet e calcolando MD5 entrambi dovrebbero darti lo stesso valore

Inviato: **dom mag 29, 2011 9:40 pm**

eugenio19911 ha scritto:confronti con uno stesso programma ma scaricato in due posti diversi es uno preso dal sito ufficiale e l'altro preso da cnet e calcolando MD5 entrambi dovrebbero darti lo stesso valore

Chi sa hashcat dove andava a prenderlo il file della Dell se gli postavo l'MD5 del file in questione [uhm]

Inviato: **lun mag 30, 2011 4:00 am**

Sabbb ha scritto:La cosa strana è che mi riporta un file (proprio della Dell) come spyware.

A parte che prima lo segnala in verde come davvero sicuro e poi dice di eliminarlo...già qui dovrebbe dirti qualcosa.
Come dobbiamo dirlo che quel sito non è affidabile al 100%.

Inviato: **lun mag 30, 2011 12:14 pm**

crazy.cat ha scritto:A parte che prima lo segnala in verde come davvero sicuro e poi dice di eliminarlo...già qui dovrebbe dirti qualcosa.
Come dobbiamo dirlo che quel sito non è affidabile al 100%.

Bisognerebbe infatti prendere in considerazione sia la valutazione degli utenti sia quella automatica:

Questa è la linea riassuntiva (notare la valutazione negativa da parte del motore automatico e quella estremamente positiva degli utenti):

Immagine

Analisi dettagliata automatica:

Immagine

Valutazione degli utenti:

Immagine

Per quanto riguarda la tua domanda mi scuso per la risposta tardiva:

Sabbb ha scritto:una volta generato l'hash del file ,come facevi poi a vedere se era legittimo,cioè come o dove lo confrontavi?

Avrei effettuato prima una ricerca su Virustotal poi su ThreatExpert, una su CheckFileName, sul database di systemexplorer ed infine una ricerca su Google per approfondire.

Una precisazione necessaria:

Un algoritmo di hashing, in questo caso MD5, non è reversibile, cioè se si è in possesso di una stringa MD5 non esiste un algoritmo che mi restituisce il valore di partenza, a differenza della crittografia che si avvale di un algoritmo o di un informazione segreta grazie alla quale possiamo ottenere il file/stringa originale. In pratica l'unico modo per recuperare il valore di un hash è provare tutte le combinazioni possibili/probabili.

Spero di essere stato chiaro [^]

Inviato: **lun mag 30, 2011 12:54 pm**

Aò,che squadra [^]

MegaLab.it

Info Log Hijach this

Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this

Re: Info Log Hijach this