MSNFix mi ha trovato qualcosa

[demi@n]

Premesso che non uso MSN ma il suo clone opensource aMSN, volendo vedere come funzionava questo tool, l'ho scaricato ed eseguito.

Con mia grande sorpresa ha trovato delle "cose" che nemmeno so interpretare.

Questo è il txt che ne è scaturito:

Quote:

MSNFix 1.484

E:\MSNFix
Fix effettuato il dom 02/09/2007 - 18.15.22,06 By Administrator
modalità normale

************************ Cercare i files presenti

... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

Nessuna cartella trovata


************************ Eliminazione dei files

.. OK ... C:\WINNT\system32\dllcache\lsass.exe



************************ Pulizia del Registro



************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B


I files e le chiavi di registro eliminati sono stati salvati nel file dom

02092007_18.16.4837.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

E questo è uno screenshot delle chiavi che mi ha eliminato:



Visto che sto lavorando nella partizione non infetta, vorrei non compromettere lle funzionalità del sistema operativo. Mi date una mano?

[Bugs Bunny]

ti ha eliminato un file che dovrebbe stare in /%windir%/system32 e invece si trova in /%windir%/system32/dllcache la tecnica di utilizzare nomi di files di sistema per i files piazzandoli in cartelle differenti da quelle normali è usata da molti malware

[demi@n]

Quindi tutto apposto...?

Hai dato un'occhiata anche allo screenshot?

[Riverside]

Quote:

Originariamente inviato da demi@n

Premesso che non uso MSN ma il suo clone opensource aMSN, volendo vedere come funzionava questo tool, l'ho scaricato ed eseguito.
Visto che sto lavorando nella partizione non infetta, vorrei non compromettere lle funzionalità del sistema operativo. Mi date una mano?

Questo è il risultato del tuo log di MSNFIX:

MSNFix 1.484
E:\MSNFix
Fix effettuato il dom 02/09/2007 - 18.15.22,06 By Administrator
modalità normale

************************ Cercare i files presenti
... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti
Nessuna cartella trovata

************************ Eliminazione dei files
.. OK ... C:\WINNT\system32\dllcache\lsass.exe

************************ Pulizia del Registro

************************ Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B

Ti ha semplicemente rilevato un worm (C:\WINNT\system32\dllcache\lsass.exe) e lo ha rimosso.
La cosa strana è che questa vulnerabilità era legata al Sasser e colpiva Windows 2000 o XP non patchati (quindi, cosa ci potesse fare sulla tua macchina è, per ora, un mistero).
Tieni comunque conto che, Isass.exe è un processo legittimo di Windows se è localizzato in sistem32 oppure C:\WINNT\sistem32.
Se viene localizzato in una posizione diversa da quella che ho indicato (come nel tuo caso), ovviamente, è da rimuovere (cosa che ha fatto MSNFIX).

Altra cosa che è stata rilevata, è questa:
C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B
che è uno screensaver che non mi appare legittimo; controlla (magari lo hai installato tu).
Se non fosse cosi, rimuovilo.

P.S.: voglio passare questo log a Laurent, perché il risultato è davvero curioso, visto che non usi MSN Messenger.

[demi@n]

Non uso nemmeno MSN ma aMsn che non è di Microsoft!

Ho SP4 e tutte le patch aggiornate.

Grazie di tutto e fammi sapere cosa ti ha detto il tuo amico, interessa anche a me!


[edit]
Ah, dimenticavo: ssmaze.scr non l'ho installato io, ma tutti gli screensaver che ho in System32 portano la stessa data. Mò lo faccio analizzare da virustotal. Grazie di nuovo.

[Riverside]

Quote:

Originariamente inviato da demi@n

Non uso nemmeno MSN ma aMsn

Lo avevo letto dopo.

Quote:

Originariamente inviato da demi@n

Ho SP4 e tutte le patch aggiornate.

Windows 2000 .... chissà da quanto tempo era localizzato li.

Quote:

Originariamente inviato da demi@n

Grazie di tutto e fammi sapere cosa ti ha detto il tuo amico, interessa anche a me!

Credo interessi maggiormente a lui, perchè, che io sappia, il tool é stato scritto, specificatemente, per MSN Messenger.
Controlla quello screensaver e fammi sapere.

[demi@n]

Davvero, chissà da quanto tempo... me lo chiedo anch'io.

Ho fatto lo scan di ssmaze.scr, risultato: zero.

Ti aggiungo che non è soltanto in System32 ma anche in C.\WINNT\ServicePackFiles\i386

[Riverside]

Quote:

Originariamente inviato da demi@n

Ho fatto lo scan di ssmaze.scr, risultato: zero.
Ti aggiungo che non è soltanto in System32 ma anche in C.\WINNT\ServicePackFiles\i386

Altra cosa che mi devo annotare, da segnalare a Laurent.

[demi@n]

Quote:

Originariamente inviato da Riverside

Altra cosa che mi devo annotare, da segnalare a Laurent.

In tal caso, sono contenta di esservi stata utile, in qualche modo...

[demi@n]

Già che ci stavo ho fatto uno scan con MSNFix anche su XP (SP 4, tutto 'mpestato de patch )

Pure qui ha rimosso lsass.exe in Dllcache. Posto il file

Quote:

MSNFix 1.484

E:\MSNFix
Fix effettuato il 02/09/2007 - 23.44.41,01 By Admin
modalità normale

************************ Cercare i files presenti

... D:\WINDOWS\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

Nessuna cartella trovata



************************ Eliminazione dei files

.. OK ... D:\WINDOWS\system32\dllcache\lsass.exe



************************ Pulizia del Registro



************************ Files sospetti

Nessun files trovato


I files e le chiavi di registro eliminati sono stati salvati nel file 02092007_23.45.0606.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

Considera anche che su XP ho installato il SP2 subito dopo l'installazione.

[Bugs Bunny]

stesso file di prima ma non rileva lo screensaver sospetto

[demi@n]

Quote:

Originariamente inviato da Bugs Bunny

stesso file di prima ma non rileva lo screensaver sospetto

Sì infatti, ma questo è lo scan dell'altro SO (XP) che ho sulla seconda partizione. E ora che mi ci hai fatto pensare vado a dare un'occhiatina se esiste quello screen pure su 'sta partizione dove sto lavorando ora!

[demi@n]

No, su questo SO non c'è ssmaze.scr

[lancetta]

il file in questione potrebbe essere un trojan ( BANCBAN-FB TROJAN)..però assume anche il nome di screensaver legittimo.Per essere sicuri servirebbe un log hijackthis poiche il trojan si evince da una voce 04 presente nel log.Personalmente credo sia legittimo.
Per quanto riguarda la dll cache di solito windows recupera da lì le dll che si sono corrotte,quindi non è detto che il file sia malevolo.


Saluti

[lancetta]

EDIT:il file ssmaze.scr non'è presente su XP, ma su WINNT in c:\\WINNT\\System32\\ssmaze.scr

[Riverside]

Quote:

Originariamente inviato da lancetta

Personalmente credo sia legittimo.

Per XP, sicuramente no, almeno, per quanto vedo tra quelli che ho trovato sul mio P.C.:



Potrebbe, però, esserlo, su Win2000.

Quote:

Originariamente inviato da lancetta

EDIT:il file ssmaze.scr non'è presente su XP, ma su WINNT in c:\\WINNT\\System32\\ssmaze.scr

Sei arrivato prima!!!.

[demi@n]

Allora non lo cancello.

Grazie ad entrambi

[demi@n]

@ Riverside

Guarda, ad ulteriore conferma che ssmaze.scr molto probabilmente è un file legittimo, ti posto anche lo scan che ho eseguito sul pc del lavoro (male non gli faceva! ) dove c'è win 2k (SP4):

Quote:

MSNFix 1.485

F:\MSNFix1
Fix effettuato il lun 03/09/2007 - 9.55.49,10 By Administrator
modalità normale

************************ Cercare i files presenti

... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

... C:\Temp\


************************ Eliminazione dei files

.. OK ... C:\WINNT\system32\dllcache\lsass.exe


************************ Eliminazione delle cartelle

.. OK ... C:\Temp\


************************ Pulizia del Registro


************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B


I files e le chiavi di registro eliminati sono stati salvati nel file lun 03092007_ 9.56.0996.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

[Riverside]

Grazie bella donzella una conferma in più non fa mai male.

[demi@n]

Quote:

Originariamente inviato da Riverside

Grazie bella donzella una conferma in più non fa mai male.

Ma le pare, per così poco messieur (ho scritto bene?)?!