Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

programmino sospetto

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

programmino sospetto

Messaggioda bis_2 » mer ott 25, 2006 1:29 pm

Avendo dimenticato la password di un file di WORD, ho utilizzato un programma scaricato da un sito suggeritomi in questo forum, si chiama MSOFPAS (cioè, che trova tutte le password dei file di M.S. Office), che, decompresso, pesa 19 Kb, 96 Kb su disco. Il problema è che, una volta cliccato sull'unico file esecutivo (.exe), costituito da un'icona banca col bordo superiore blu (tipica dei file funzionanti con MS DOS), non accade niente, tranne un istantaneo "lampo" della finestra, tipico del pulsante quando viene rilasciato dopo essere stato schiacciato. Il mio timore è di avere, in tal modo, introitato nel sistema qualche virus, o spyware, o dialer, poiché l'effetto del clic è quello tipico dei piccoli file esecutivi ingannevoli. Mi date qualche delucidazione o consiglio?
Avatar utente
bis_2
Bronze Member
Bronze Member
 
Messaggi: 636
Iscritto il: dom ott 09, 2005 7:38 am
Località: Sicilia

Messaggioda aris73 » mer ott 25, 2006 3:37 pm

posta un log di Hijackthis http://www.merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda crazy.cat » mer ott 25, 2006 5:05 pm

Il programma sospetto lo puoi caricare sul sito www.virustotal.com e farlo analizzare.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda bis_2 » gio ott 26, 2006 10:17 am

aris73 ha scritto:posta un log di Hijackthis http://www.merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
Grazie, Aris, ti posto due log, uno fatto prima della scansione acon l'antivirus (25 ottobre) e uno eseguito dopo tale scansione (26 ottobre). Ciao (li trascrivo di seguito perché sembra non sia consentito l'invio in allegato di file .log).

LOG 25 ottobre
Logfile of HijackThis v1.99.1
Scan saved at 21.22.17, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmon.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MemInfo\meminfo.exe
C:\Programmi\Memento\Memento.exe
E:\Documenti\SOFTWARE\!!!TE LI SEGNALO!!!\hijack this\estratto\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.GOOGLE.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.GOOGLE.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.GOOGLE.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wordart - The Universal Portal
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Ordina_Menu] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - HKCU\..\Run: [DIRECTX] REGEDIT /S C:\WINDOWS\system32\DirectX\Dinput\DIRECTX.REG
O4 - HKCU\..\Run: [ORDINA_MENU2] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O4 - Startup: Memento.lnk = C:\Programmi\Memento\Memento.exe
O4 - Global Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

LOG 26 ottobre
Logfile of HijackThis v1.99.1
Scan saved at 11.10.16, on 26/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MemInfo\meminfo.exe
C:\Programmi\Memento\Memento.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.GOOGLE.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wordart.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wordart.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.GOOGLE.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.GOOGLE.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wordart - The Universal Portal
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Ordina_Menu] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - HKCU\..\Run: [DIRECTX] REGEDIT /S C:\WINDOWS\system32\DirectX\Dinput\DIRECTX.REG
O4 - HKCU\..\Run: [ORDINA_MENU2] C:\WINDOWS\command\Regdelw.exe /q /n "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder"
O4 - Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O4 - Startup: Memento.lnk = C:\Programmi\Memento\Memento.exe
O4 - Global Startup: MemInfo.lnk = C:\Programmi\MemInfo\meminfo.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Avatar utente
bis_2
Bronze Member
Bronze Member
 
Messaggi: 636
Iscritto il: dom ott 09, 2005 7:38 am
Località: Sicilia

Messaggioda bis_2 » gio ott 26, 2006 10:32 am

Se non chiedo troppo, invio anche la scansione fatta su VIRUSTOTAL.COM, sia del file incrimimnato, sia di altro file scaricato dallo stesso sito sospetto.
Vorrei sapere il significato delle avvertenze in carattere rosso. Ciao e grazie.
Antivirus Version Update Result
AntiVir 7.2.0.32 10.26.2006 no virus found
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.25.2006 Win32:MSOfpass
AVG 386 10.26.2006 no virus found
BitDefender 7.2 10.26.2006 Spyware.Pws.Msofpass.A
CAT-QuickHeal 8.00 10.25.2006 no virus found
ClamAV devel-20060426 10.26.2006 no virus found
DrWeb 4.33 10.26.2006 no virus found
eTrust-InoculateIT 23.73.37 10.26.2006 no virus found
eTrust-Vet 30.3.3158 10.26.2006 no virus found
Ewido 4.0 10.26.2006 Not-A-Virus.PSWTool.Win32.MSOfPass.a
Fortinet 2.82.0.0 10.26.2006 HackerTool/MSOfPass
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 no virus found
Kaspersky 4.0.2.24 10.26.2006 not-a-virus:PSWTool.Win32.MSOfPass.a
McAfee 4881 10.25.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1834 10.26.2006 no virus found
Norman 5.80.02 10.26.2006 no virus found
Panda 9.0.0.4 10.25.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 Aplicacion/Riskware.PSWTool.MSOfPass.a
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.25.2006 no virus found
VirusBuster 4.3.15:9 10.26.2006 no virus found


Antivirus Version Update Result
AntiVir 7.2.0.32 10.26.2006 no virus found
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.25.2006 no virus found
AVG 386 10.26.2006 no virus found
BitDefender 7.2 10.26.2006 Application.Revelation.1.1
CAT-QuickHeal 8.00 10.25.2006 RiskWare.SnadBoy (Not a Virus)
ClamAV devel-20060426 10.26.2006 no virus found
DrWeb 4.33 10.26.2006 no virus found
eTrust-InoculateIT 23.73.37 10.26.2006 no virus found
eTrust-Vet 30.3.3158 10.26.2006 no virus found
Ewido 4.0 10.26.2006 Not-A-Virus.PSWTool.Win32.SnadBoy.11
Fortinet 2.82.0.0 10.26.2006 HackerTool/SnadBoy
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 no virus found
Kaspersky 4.0.2.24 10.26.2006 not-a-virus:PSWTool.Win32.SnadBoy.11
McAfee 4881 10.25.2006 potentially unwanted program PWCrack-SnadBoy
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1834 10.26.2006 no virus found
Norman 5.80.02 10.26.2006 no virus found
Panda 9.0.0.4 10.25.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 Aplicacion/Riskware.PSWTool.SnadBoy.11
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.25.2006 no virus found
VirusBuster 4.3.15:9 10.26.2006 no virus found
Avatar utente
bis_2
Bronze Member
Bronze Member
 
Messaggi: 636
Iscritto il: dom ott 09, 2005 7:38 am
Località: Sicilia

Messaggioda BilloKenobi » gio ott 26, 2006 1:59 pm

sono entrambi sicuramente virus da cancellare...

per cortesia, potresti gentilmente mandarmi con un messaggio privato l'indirizzo incriminato? sai com'è, sto facendo una collezione di virus, ma per ora sto solo a 11 [boxed]

EDIT

essendo software per l'hacking, normale che gli antivirus ne riconoscano alcuni come maligni... potrebbero avere caratteristiche da keylogger...
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Amantide » gio ott 26, 2006 8:08 pm

BilloKenobi ha scritto:sono entrambi sicuramente virus da cancellare....

Più che i virus, sono degli elementi a rischio (per appunto riskware), visto che la procedura di estrazione della password da un archivio o documento protetti non sempre viene richiesta dal proprietario di questo archivio/documento.
Oltre ad essere potenzialmente pericolosi, questi file non dovrebbero/potrebbero recare ulteriori danni.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising