www.MegaLab.it

[houser89]

salve...ho un problema ho fatto la scansione con sdfix la quale mi ha eliminato alcuni trojan...il problema xro è che nei processi autorizzati ce ne sono un paio che non autorizzato ed ho il sospetto che siano pericolosi come "herjek.exe" il quale se non sbaglio è un hacktool o una backdoor se non mi sbaglio e poi "sessmgr.exe"...invece ci sono processi attivi sono elephant bit torrent, dna torrent l'incrementatore di download ed emule...gli avevo precedentemente disinstallati...dato che adesso uso adunanza...magari posso rimuoverli con il tanto acclamato tool avenger peccato che non sapendo cosa devo eliminare non posso creare lo script..ah e non so neanche crearlo..richiedo il vostro aiuto...applico il report di sdfix così potete aiutarmi meglio ...grazie aspetto una risposta al piu presto....


SDFix: Version 1.198
Run by Nicola on 01/07/2008 at 07.40

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 07:44:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmi\\eMule\\emule.exe"="C:\\Programmi\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programmi\\VirtualDJ\\virtualdj.exe"="C:\\Programmi\\VirtualDJ\\virtualdj.exe:*:Disabled:VirtualDJ"
"C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\bhbhpg.exe"="C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\bhbhpg.exe:*:Enabled:Enabled"
"C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\36.tmp.exe"="C:\\DOCUME~1\\Nicola\\IMPOST~1\\Temp\\36.tmp.exe:*:Enabled:msdefender.exe"
"%windir%\\explorer.exe"="%windir%\\explorer.exe:*:Enabled:Explorer"
"C:\\WINDOWS\\system32\\msdefender.exe"="C:\\WINDOWS\\system32\\msdefender.exe:*:Enabled:msdefender.exe"
"C:\\WINDOWS\\system32\\lExplore.exe"="C:\\WINDOWS\\system32\\lExplore.exe:*:Disabled:lExplore"
"C:\\Programmi\\AVG\\AVG8\\avgupd.exe"="C:\\Programmi\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\WINDOWS\\herjek.exe"="C:\\WINDOWS\\herjek.exe:*:Enabled:enable"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\Lphant\\eLePhantClient.exe"="C:\\Programmi\\Lphant\\eLePhantClient.exe:*:Enabled:Lphant"
"C:\\Programmi\\iTunes\\iTunes.exe"="C:\\Programmi\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programmi\\BitTorrent\\bittorrent.exe"="C:\\Programmi\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programmi\\DNA\\btdna.exe"="C:\\Programmi\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"="C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
Sun 15 Jun 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 3 Jun 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\Administrator\Dati applicazioni\U3\temp\Launchpad Removal.exe"
Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\Nicola\Dati applicazioni\U3\temp\Launchpad Removal.exe"

Finished!

[TheHacker66]

..."herjek.exe" il quale se non sbaglio è un hacktool o una backdoor se non mi sbaglio e poi "sessmgr.exe"...

Ciao, il primo è un bel Trojan, strano non sia stato rimosso da sdfix...
sessmgr.exe invece è un file rigurdante Gestione sessione di assistenza mediante desktop remoto (Remote Desktop Help Session), gestisce e controlla la funzione Assistenza remota, quindi lascialo pure stare.
Inoltre c'è anche "msdefender.exe", un'altro bel trojan.

Innanzitutto scaricati HijackThis da Da Qui, avvialo e clicca su "scan & save a log file", salva il log e postalo qui secondo QUESTE regole.

Poi scaricati Spybot Search & Destroy Da Qui, aggiornalo e avvia una scansione. Quando ha finito vai anche in Immunizza ed eseguila.

Infine scaricati CCleaner Da Qui, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore.
In Pulizia clicca su analizza e quando ha finito clicca su Avvia Pulizia, poi ripeti il processo, poi vai in Registro, Trova Problemi e quando ha finito su Ripara selezionati. Ripeti ancora una volta il processo, poi riposta il log di HijackThis.

[houser89]

ciao hacker....io ho già hijacthis spyboot search & destroy...ho anche avira, sdfix dr web cureit e per la sacnsione dettagliata sys61063....comunque dicevamo herjeck this è un trojan ed anche msdefender....ma msdefender so che è anche un processo eseguibile però a volte è un malaware giusto??
comunque ti allego il report di di sys61063...che è molto piu dettagliato nel quale nell'ultima parte del report...c'è anche il log di hijack...ma non posso caricarlo perché è molto corposo ti do il link di wikifortio è un sito di hosting nell quale ho caricato il report ......ok?? attendo la tua risposta..aiutami....grazie mille...

link wikifortio:

http://www.wikifortio.com/418391/02_07_ ... report.zip

[TheHacker66]

Ehm.. dal log di Hijackthis risulta che "sys61063.exe" è un virus, non un programma legittimo. Inoltre non si trova niente su Google riguardante questo file.
Eliminalo, è meglio.
C'è anche questo che non mi convince:

C:\DOCUME~1\Nicola\IMPOST~1\Temp\nsp5.tmp\runme.exe

Elimina pure questo. Hai fatto una scansione con tutto quello che hai? Vedi di andare in modalità provvisoria, così sei più sicuro.

P.S. Inoltre guarda QUI, ci sono tutte le chiavi di registro, i file e le dll da eliminare riguardanti il trojan "herjek.exe".

[crazy.cat]

Ehm.. dal log di Hijackthis risulta che "sys61063.exe" è un virus,.

Ad occhio e croce direi che si tratta di systemscan, e lo dico senza scaricare il log visto che non parte il download.

sacnsione dettagliata sys61063..

[TheHacker66]

Occacchio... Non lo conoscevo... strano che HijackThis lo riconosca come "sospetto" invece di "sconosciuto"... Mi ero basato su questo, evidentemente ho cannato.

[ste_95]

Occacchio... Non lo conoscevo... strano che HijackThis lo riconosca come "sospetto" invece di "sconosciuto"... Mi ero basato su questo, evidentemente ho cannato.

Che hijackthis.de sbagli qualcosa è risaputo, infatti sarebbe meglio non basarsi su quello per giudicare i log.

Entrambi i file appartengono, come diceva crazy.cat, a SystemScan.