Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Winfog.exe questo sconosciuto! o quasi!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Winfog.exe questo sconosciuto! o quasi!

Messaggioda ballacoilupi72 » lun nov 19, 2007 9:37 pm

Prima guardando nella lista delle installazioni / applicazioni ho notato la presenza del programma Winfog installato nel mio sistema!
Nella cartella c:/ programmi risultava infatti anche una cartella winfog!
Googleando ho trovato poche notizie riguardo a questo processo; si sa che è un malware e che richiede una procedura di disinstallazione particolare!
o sbaglio? [uhm]
Io l'ho semplicemente disinstallato da cambia / rimuovi programmi e sembra che ne se sia andato!
o sbaglio? [uhm]
Vi allego un log per conferma! mi sembra pulito e tutto in ordine!
qualcuno ha notizie a riguardo di winfog.exe?
[uhm] [uhm] [uhm]

Logfile of HijackThis v1.99.1
Scan saved at 21.27.46, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\mioexplorer.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programmi\UPHClean\uphclean.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\Eset\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Thoosje Sidebar 2.2\Thoosje Sidebar.exe
C:\Programmi\eMule\emule.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX00.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=mioexplorer.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Programmi\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programmi\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: Thoosje Sidebar.lnk = C:\Programmi\Thoosje Sidebar 2.2\Thoosje Sidebar.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{27AAF770-39D8-4F35-AC12-E8554E49117F}: NameServer = 85.37.17.47 85.38.28.82
O17 - HKLM\System\CS3\Services\Tcpip\..\{27AAF770-39D8-4F35-AC12-E8554E49117F}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » lun nov 19, 2007 10:31 pm

Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehostinge posta qui il link che ti viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » lun nov 19, 2007 11:11 pm

forse qualcosa mi sfugge o non mi è chiaro: io non ho winfog.exe nel task manager, ma mi sono trovato una cartella winfog (c:/programmi) di circa 70 kb e relativa installazione nella lista delle applicazioni!
mai avuto prima una cartella winfog!
ma è un file di windows???
[uhm] [uhm] [uhm] [boh] [boh] [boh]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone


Messaggioda ste_95 » mar nov 20, 2007 6:54 am

girando in internet ho scoperto che è una backdoor....segui queste istruziuzioni:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\winfog.exe
C:\WINDOWS\msnupdate.exe
C:\WINDOWS\winfog.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\lsass1.exe
C:\WINDOWS\lovcx.exe
C:\WINDOWS\winsress.exe
C:\WINDOWS\winlog.exe
C:\WINDOWS\winsock.exe
C:\WINDOWS\saveruser.exe
C:\WINDOWS\winbackup.exe
c:\programmi\winfog


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » mer nov 21, 2007 8:30 pm

Fatto tutta la procedura!
Questo è il log finale! ma mi sembra che non fossi infetto perché non ha trovato niente!
La cartella c:/programmi/winfog c'è ancora! e il programma è ancora nella lista delle applicazioni installate nel pannello di controllo!
[uhm] [uhm] [uhm]
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cejhwrhh

*******************

Script file located at: \??\C:\watusubc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\winfog.exe not found!
Deletion of file C:\WINDOWS\winfog.exe failed!

Could not process line:
C:\WINDOWS\winfog.exe
Status: 0xc0000034



File C:\WINDOWS\msnupdate.exe not found!
Deletion of file C:\WINDOWS\msnupdate.exe failed!

Could not process line:
C:\WINDOWS\msnupdate.exe
Status: 0xc0000034



File C:\WINDOWS\winfog.exe not found!
Deletion of file C:\WINDOWS\winfog.exe failed!

Could not process line:
C:\WINDOWS\winfog.exe
Status: 0xc0000034



File C:\WINDOWS\winsys.exe not found!
Deletion of file C:\WINDOWS\winsys.exe failed!

Could not process line:
C:\WINDOWS\winsys.exe
Status: 0xc0000034



File C:\WINDOWS\lsass1.exe not found!
Deletion of file C:\WINDOWS\lsass1.exe failed!

Could not process line:
C:\WINDOWS\lsass1.exe
Status: 0xc0000034



File C:\WINDOWS\lovcx.exe not found!
Deletion of file C:\WINDOWS\lovcx.exe failed!

Could not process line:
C:\WINDOWS\lovcx.exe
Status: 0xc0000034



File C:\WINDOWS\winsress.exe not found!
Deletion of file C:\WINDOWS\winsress.exe failed!

Could not process line:
C:\WINDOWS\winsress.exe
Status: 0xc0000034



File C:\WINDOWS\winlog.exe not found!
Deletion of file C:\WINDOWS\winlog.exe failed!

Could not process line:
C:\WINDOWS\winlog.exe
Status: 0xc0000034



File C:\WINDOWS\winsock.exe not found!
Deletion of file C:\WINDOWS\winsock.exe failed!

Could not process line:
C:\WINDOWS\winsock.exe
Status: 0xc0000034



File C:\WINDOWS\saveruser.exe not found!
Deletion of file C:\WINDOWS\saveruser.exe failed!

Could not process line:
C:\WINDOWS\saveruser.exe
Status: 0xc0000034



File C:\WINDOWS\winbackup.exe not found!
Deletion of file C:\WINDOWS\winbackup.exe failed!

Could not process line:
C:\WINDOWS\winbackup.exe
Status: 0xc0000034



Error: c:\programmi\winfog is a folder, not a file!
Deletion of file c:\programmi\winfog failed!

Could not process line:
c:\programmi\winfog
Status: 0xc00000ba


Completed script processing.

*******************

Finished! Terminate.
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » mer nov 21, 2007 8:36 pm

inserisci questo script:

Folders to delete:
C:\Programmi\winfog
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » mer nov 21, 2007 9:58 pm

la cartella winfog è stata cancellata! il programma è ancora presente nella lista delle applicazioni ma si toglie senza problemi!
[^]
che notizie hai a riguardo di winfog? io ho trovato poco in giro! che processi genera nel taskmanager? simula un processo di windows?
Su virus total lo riconosce qualcuno?

[uhm] [uhm] [uhm]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » gio nov 22, 2007 7:01 am

azzo...non i avevo pensato...winfog.exe avevo letto che era una backdoor...allora, vai in C:\Avenger e ci dovrebbe essere un archivio compresso, mandalo all'indirizzo che ti maderò in pm
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » ven nov 23, 2007 6:31 pm

ti ho mandato il file compresso che contiene il backup di winfog!
[^] [;)]
vuoi farlo analizzare su virustotal?
[;)]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » ven nov 23, 2007 7:13 pm

analizzarlo e testarlo.... [devil]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » ven nov 23, 2007 8:06 pm

non ho ricevuto nulla... [boh]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » ven nov 23, 2007 10:08 pm

provo a rispedire!
so che la posta di Alice da spesso i numeri e non manda allegati o messaggi!
[;)] [^]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda crazy.cat » sab nov 24, 2007 8:18 am

ballacoilupi72 ha scritto:provo a rispedire!
so che la posta di Alice da spesso i numeri e non manda allegati o messaggi!
[;)] [^]

Usa un sito di hosting
http://www.wikifortio.com/
magari la mail contenendo un virus non viene fatta passare.

Poi mandi solo il link per il download.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ballacoilupi72 » sab nov 24, 2007 1:46 pm

la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » sab nov 24, 2007 1:51 pm

grazie mille, è arrivato [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » sab nov 24, 2007 2:00 pm

mi sa di rootkit....facciamo una prova:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
c:\winnt\system32\drivers\Winfog\Winfog.log
c:\windows\system32\drivers\disdn\suka.log
c:\windows\system32\drivers\disdn\svchost.exe
c:\windows\system32\drivers\Winfog\pro.exe
c:\windows\system32\drivers\Winfog\service.exe
c:\windows\system32\drivers\Winfog\cygcrypt-0.dll
c:\windows\system32\drivers\Winfog\cygwin1.dll
c:\windows\system32\drivers\Winfog\lsass.exe
c:\windows\system32\drivers\Winfog\rarnew.dat
c:\windows\system32\drivers\Winfog\BugSlayerUtil.dll
c:\windows\system32\drivers\Winfog\move.txt
c:\windows\system32\drivers\Winfog\h3yb0y.reg
c:\windows\system32\drivers\Winfog\kit.exe
C:\WINDOWS\system32\drivers\Winfog\LSASS.exe
C:\WINDOWS\system32\drivers\Winfog\service.exe
C:\WINDOWS\system32\drivers\Winfog\conf.dll
C:\WINDOWS\system32\drivers\Winfog\LSASS.exe
C:\WINDOWS\system32\drivers\Winfog\system.exe
C:\WINDOWS\system32\drivers\Winfog\serv-u.ini
C:\WINDOWS\system32\drivers\Winfog\LSASS.exe
C:\WINDOWS\system32\drivers\Winfog\server.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » sab nov 24, 2007 3:01 pm

Grazie ma ha funzionato la pulizia con Folders to delete:
C:\Programmi\winfog!
di winfog non c'è piu traccia nel sistema!
Mi sembra inoltre di non avere processi strani in taskmanager!
La curiosità per questo file pseudo virus rimane xò! in giro non si legge niente a riguardo! anche gli antivirus niente notizie!

[;)]
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » sab nov 24, 2007 3:05 pm

ho analizzato un file della cartella che ho ricevuto e conteneva la copia di tutti i files che ho messo nello script, magari il malware c'è ancora, ma non in programmi...
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ballacoilupi72 » sab nov 24, 2007 6:32 pm

quali processi attiverebbe in taskmanager?
il log di hijackthis è pulito! mi pare!
[uhm] [uhm] [uhm]
Logfile of HijackThis v1.99.1
Scan saved at 18.35.16, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\mioexplorer.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Eset\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Thoosje Sidebar 2.2\Thoosje Sidebar.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX00.641\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=mioexplorer.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programmi\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: Thoosje Sidebar.lnk = C:\Programmi\Thoosje Sidebar 2.2\Thoosje Sidebar.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{27AAF770-39D8-4F35-AC12-E8554E49117F}: NameServer = 85.37.17.47 85.38.28.82
O17 - HKLM\System\CS3\Services\Tcpip\..\{27AAF770-39D8-4F35-AC12-E8554E49117F}: NameServer = 85.37.17.47 85.38.28.82
O17 - HKLM\System\CS4\Services\Tcpip\..\{27AAF770-39D8-4F35-AC12-E8554E49117F}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Messaggioda ste_95 » dom nov 25, 2007 7:08 pm

purtroppo i processi non sarebbero visibili nel task manager, poiché un rootkit svolge proprio la funzione di nascondersi...avenger ha prodotto risultati?in caso negativo sei pienamente a posto...
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising