View Full Version : Necessità di fermare i processi, urge aiuto!
RazorSharp
05-10-2006, 10:39
Premettendo che offrirò un PC fisso per la causa del calcolo distribuito, ho però bisogno di fermare ogni processo in corso sul portatile perché l'assorbimento di CPU mi riduce troppo l'uso della batteria e io con il portatile ci lavoro (e ci mangio).
Se cerco di killare un processo come einstein o rosetta in meno di un secondo ricompare. Considerate che non ho mai installato dei client né mai chiesto di partecipare ad alcun progetto di calcolo distribuito. Semplicemente, un bel giorno mi sono trovato improvvisamente con la batteria a zero e dopo lunghe ricerche ho visto che avevo una serie di processi che assorbivano la CPU al 100% riducendomi drasticamente l'autonomia.
Ma non è volontaria la partecipazione ai progetti di calcolo distribuito? Boh! :mad: Come mai mi ci sono ritrovato dentro senza aver mai saputo nulla???!?!?! Come faccio a rimuovere ogni progetto in corso in modo semplice ed indolore?
Il Capitano
05-10-2006, 12:18
Benvenuto Razorsharp, il tuo e' un evidente caso di infezione. Cioe' qualcuno ha installato boinc sul tuo portatile senza avvertirti :( .
Boinc e' la piattaforma su cui girano molti progetti tra cui einstein (progetto fisico, ricerca dei gravitoni) o rosetta (progetto medico, predizione di proteine).
Il servizio da arrestare (servizio, non processo) e' boinc.exe. Se vuoi disinstallare il tutto prova a cercare boinc tra i programmi installati. La cartella di default e' c:\programmi\BOINC.
Se invece vuoi mantenere il programma, ma decidere tu quando avviarlo o fermarlo, nella stessa cartella c'e' il file boincmgrexe, lancialo. E' l'interfaccia grafica per boinc, da li' puoi gestire un po' di cose.
Per il resto qui (http://www.hwupgrade.it/forum/showthread.php?t=927915) trovi la guida in italiano a boinc e al calcolo distribuito, e se non ti basta siamo qui per qualsiasi altro problema.
Comunque non prenderla male, chi l'ha fatto, l'ha fatto a fin di bene. ;)
gabi.2437
05-10-2006, 12:23
Mah...
La gente interessata al calcolo distribuito è poco...
Di questa ancor meno sa come "infettare" di nascosto un pc
E le probabilità che 1 di queste persone tu l'abbia trovata è ancor più bassa...
Sicuro di non aver installato te BOINC (magari come servizio) e poi essertene dimenticato?
Ciao RazorSharp,
il problema è sicuramente risolvibile e farò il possibile per darti una mano a risolverlo. La strategia è sicura e indolore, basta sapere dove mettere le mani! :D
Chi usa il portatile oltre a te? :Perfido: Perchè te lo chiedo? Perchè il calcolo distribuito non è un virus, che si prende andando in Internet. E' una scelta volontaria fatta da ognuno di noi, magari per i motivi più vari, ma è una scelta volontaria. :O
Quindi se BOINC, la piattaforma di calcolo distribuito su cui si appoggiano i progetti, è installato sul tuo portatile, qualcuno ce l'ha messo. E vedi di scoprire chi è stato, altrimenti lo eliminiamo per nulla... tanto poi quel qualcuno ce lo rimette! :muro:
Per rimuovere il tutto ci sono diversi modi, bisogna prima capire come è stato installato. Quindi tre domande:
1) Nella barra applicazioni c'è un'icona con una "B" gialla su un disco blu?
2) Richiamando il Task Manager (pulsante destro sulla barra applicazioni) e selezionando i processi trovi i processi boinc.exe e boincmgr.exe?
3) Dal pannello di controllo apri "Installazione applicazioni". Nella lista è presente la voce "BOINC" con la solita "B" gialla su disco blu?
Rispondimi a queste tre domande e poi ti dico cosa fare... anch'io devo capire la situazione! :p
Capitano... come al solito ci accavalliamo sempre nelle risposte, eh? :D Vediamo di risolvergli il problema, in due sarà una bazzecola! :cool:
Richiesta per gli altri utenti... evitate spam su questo thread, ok? Thanks a lot! :mano:
Il Capitano
05-10-2006, 12:35
Mah...
La gente interessata al calcolo distribuito è poco...
Di questa ancor meno sa come "infettare" di nascosto un pc
E le probabilità che 1 di queste persone tu l'abbia trovata è ancor più bassa...
Sicuro di non aver installato te BOINC (magari come servizio) e poi essertene dimenticato?
La probabilita' di installare un programma come boinc e poi dimenticarsene in pochi giorni (da come scrive razorsharp) e' ancora piu' bassa credimi ;)
Infezione fu :O
Capitano... come al solito ci accavalliamo sempre nelle risposte, eh? Vediamo di risolvergli il problema, in due sarà una bazzecola!
Siamo qua apposta :cool:
RazorSharp
05-10-2006, 14:27
Intanto grazie per l'interessamento.
Credo sia infezione perché:
- sono l'unico utente
- il PC ha 7 giorni di vita e ha installati solo i software forniti dal produttore, Norton Internet Security 2006, adaware, spybot
- non ho boinc installato
- non ho un servizio boinc.exe nell'elenco servizi
- non ho processi boinc.exe o boincmgr.exe in task manager
- non ho cartelle \boinc da nessuna parte
Nessun boinc da nessuna parte! Solo i processi attivi relativi a vari progetti (rosetta, seti, einstein, e altri)
Confesso: ho usato brevemente un software p2p (e-mule) :stordita: penso che il fattaccio sia successo con i warez :ops: Se giuro che non lo faccio più forse mi aiutate...
gabi.2437
05-10-2006, 14:54
emule di per se non è pericoloso, bisogna veder cosa scarichi :rolleyes:
Uhm...sei l'unica persona che può accedere a quel computer dici....
Allora, boinc da solo non si installa quindi o l'hai installato te, o l'ha installato qualcuno che ha avuto accesso a quel comptuer oppure un virus preso da internet te lo ha installato...quest'ultima ipotesi mi pare abbastanza improbabile però, un virus che installa boinc :D
Ti pareva... mai una cosa semplice, eh? :doh: :D
Considera che in giro c'è gente che vende computer con boinc nascosto e pre-installato! :rolleyes: Quindi non mi stupisco di quanto ti sta succedendo! Comunque ripeto: BOINC non è un virus! Non si prende sul web! Qualcuno ce l'ha messo a tua insaputa! Venditore o utente p2p non importa, resta sempre un'azione volontaria! :mad:
Il problema è il seguente: il processo boinc.exe, normalmente, si occupa di fare da gestore del lavoro, richiamando in esecuzione le applicazioni dei vari progetti. Ora: se il boinc.exe NON è in esecuzione sul tuo pc, ma ci sono le singole applicazioni, chi le fa partire ad ogni riavvio del pc? :confused:
Del resto le singole applicazioni dei progetti SENZA boinc.exe non possono procacciarsi nuovo lavoro (compito riservato al "gestore del lavoro") e quindi sarebbero costrette a fermarsi, prima o poi! :stordita:
Quindi boinc.exe DEVE essere presente sulla tua macchina! Evidentemente l'infettatore lo ha ridenominato per non farlo riconoscere nella lista dei processi. Non vedo altra soluzione! :O
Puoi postare uno screenshot dei processi attivi e uno sui servizi installati?
gabi.2437
05-10-2006, 14:58
Uhm...il venditore che pre-installa boinc sul computer...ai confini dell'improbabilità :D
Si, potrebbe anche averlo rinominato...e uno screen dei processi di sicuro ci aiuterà
Uhm...il venditore che pre-installa boinc sul computer...ai confini dell'improbabilità :D
Scherzi? Qua dentro c'è gente che sa di chi sto parlando! :mad:
Ma siamo OT quindi finiamola qui. :O
RazorSharp
05-10-2006, 15:06
Appena arrivo a casa vi posto un po' di videate di servizi, processi, file strani trovati in giro.
Intanto vi spiego quello che mi pare di aver capito: il computer è stato preso dall'imballo sigillato, senza nulla di installato, neppure il SO. Nuovo di pacca. Nessuno lo tocca (di persona), e questo è certo, ma qualche migliaio di persone lo può fare dalla rete, no?
Non schiaccio pulsanti allegramente e quindi sono sicuro che non mi è mai stato chiesto di installare nulla che non sapessi già che cos'era.
E poi, ripeto, NON HO BOINC, ma non è mica necessario installare il client boinc per avere processi di calcolo distribuito in corso! Evidentemente c'è un altro sw che non è boinc che ha provveduto a fare il tutto a mia insaputa e senza chiedere nulla a nessuno.
Continuo a pensare che sia qualche warez che ho tirato giù che mi ha infettato. E scusate se dico "infettato" ma anche il calcolo distribuito dev'essere volontario e non infilato a forza nei PC della gente!!!
Sto già pensando al... formattone :mad:
Vedi, il fatto è questo: chi ha ideato questo pacchetto di file nascosti che ti ritrovi nel portatile, non l'ha fatto per la scienza! Lo ha fatto per riscuotere crediti a suo nome, fare punti e scalare classifiche. E può far punti solo attraverso boinc, perchè con i soli eseguibili dei vari progetti non potrebbe collegare il lavoro svolto alle sue statistiche personali.
I progetti di ricerca (Rosetta, Einstein, ecc.) perderebbero la faccia se si venisse a sapere che infettano i pc per risolvere i loro progetti! Non ti pare?
Quindi è chiaro che DEVE esistere qualche traccia dell'infrastruttura. Puoi cercare un file chiamato "client_state.xml"?
Oppure c'è un'altra soluzione! :idea: Qualcuno ha ideato un'applicazione che infetta con gli eseguibili dei progetti col solo scopo di mettere sotto stress il tuo portatile e renderti la vita impossibile. Però mi sembra molto molto improbabile!
Appena ne sapremo di più, accerteremo anche le cause! :D
Ah, se ce l'hai, puoi fare uno scan con HijackThis e postare qui i risultati?
A più tardi!
Una volta trovata la cartella si potrebbe anche avere i dati di accesso dell'account dell'infettore :Perfido: Non cancellare nulla se trovi qualcosa:D Visto che il portatile è nuovo e tu sei l'unico utlizzatore anche io penso che sia stato venduto infettato...ce ne sono diversi che fanno in questo modo....però almeno sui portatili dovrebbe settare di fermarsi se vanno a batteria :doh: Cmq non è detto che il servizio si chiami BOINC (cerca anche "Microsoft resource explorer", tante volte avesse usato la nostra mod :asd: ). Altrimenti possiamo joinarlo tanto per ricambiare il favore dell'infezione :read: :Prrr: Come ha detto luca fai una ricerca del file "client_state.xml", se non trovi nulla posta il log di Hijackthis e facci sapere :D
Ciao,
GHz
RazorSharp
05-10-2006, 17:18
Allora, trovati un sacco di files qui: C:\WINDOWS\System32\sysupd
compreso il client_state.xml , devo copiare il contenuto??
In più ho arrestato un processo che andava in esecuzione automatica e che si chiamava "accelerometerSt.exe"; eliminato quello non mi partono più le applicazioni dei vari progetti.
Infine, vi posto il log di hijackthis, ma considerate che non c'erano processi in corso :
Logfile of HijackThis v1.99.1
Scan saved at 18.17.47, on 05/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
c:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programmi\ProtectTools\Embedded Security Software\SpTna.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTServs.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\Sysupd\sysupd.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Ale e Cri\Documenti\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programmi\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [System Updater] C:\WINDOWS\system32\Sysupd\sysupd.exe -detach
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O20 - Winlogon Notify: IfxWlxEN - C:\WINDOWS\SYSTEM32\IfxWlxEN.dll
O20 - Winlogon Notify: OneCard - C:\Programmi\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Servizio di Norton Protection Center (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programmi\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
Grazie!!!
Allora, trovati un sacco di files qui: C:\WINDOWS\System32\sysupd
compreso il client_state.xml , devo copiare il contenuto??
No non importa, inviami tutti i file che ci sono dentro a quella cartella (a parte la cartella projects che è grossa e non importa) zippali e mandameli via mail che ci do un'occhiata :D Chissà quanti pc ha infettato quello :sofico:
In più ho arrestato un processo che andava in esecuzione automatica e che si chiamava "accelerometerSt.exe"; eliminato quello non mi partono più le applicazioni dei vari progetti.
Ah....hai mica visto dove sta quel file?
Infine, vi posto il log di hijackthis, ma considerate che non c'erano processi in corso :
Logfile of HijackThis v1.99.1
Scan saved at 18.17.47, on 05/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
c:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programmi\ProtectTools\Embedded Security Software\SpTna.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTServs.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\Sysupd\sysupd.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Ale e Cri\Documenti\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programmi\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [System Updater] C:\WINDOWS\system32\Sysupd\sysupd.exe -detach
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O20 - Winlogon Notify: IfxWlxEN - C:\WINDOWS\SYSTEM32\IfxWlxEN.dll
O20 - Winlogon Notify: OneCard - C:\Programmi\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Servizio di Norton Protection Center (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programmi\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
Grazie!!!
Ho evidenziato le voci che dovrebbero essere correlate all'infezione (il primo è il processo in esecuzione, e l'altro il servizio. Dico dovrebbero perchè il nome è lo stesso usato da un dialer a quanto pare ( http://www.liutilities.com/products/wintaskspro/processlibrary/sysupd/ ) però il parametro -detach richiama BOINC. Fai una cosa. Riavvia e vedi se ripartono, altrimenti apri i servizi (esegui -> services.msc ), apri il servizio System Updater e vedi se è messo come "automatico" e prova a metterlo su disabilitato.
Ciao,
GHz
Come volevasi dimostrare! :D
Qualcuno ha colpito per propri interessi... ma, purtroppo per lui, stavolta gli è andata male. :ahahah:
1) Innanzitutto perchè il portatile lo ripuliamo e quei crediti lì non li riscuote più! :mc:
2) E poi perchè avendo il suo account BOINC (dentro il client_state.xml) lo sputxxxiamo nei vari progetti e gli facciamo tranciare l'account! :banned:
Grave, grave errore! :D
GHz, ci pensi te?
Su SIMAP e uFluids, se serve, posso pensarci io! ;)
RazorSharp
05-10-2006, 18:45
Sto inviando la mail con tutti i files, intanto il processo accelerometerSt.exe non c'entra, è una applicazione della HP.
Invece ho visto i due che hai grassettato e devono essere loro, provo a disabilitare il servizio e poi vi dico.
Sto inviando la mail con tutti i files, intanto il processo accelerometerSt.exe non c'entra, è una applicazione della HP.
Infatti, pensavo anche io che c'entrasse poco :D
Mail ricevuta! ;)
Invece ho visto i due che hai grassettato e devono essere loro, provo a disabilitare il servizio e poi vi dico.
E' quello, disabilita e vedrai che non parte più :) Non cancellare nulla però che può tornarci utile qualcosa per capire come ha agito tale utente! :mano:
Ciao,
GHz
fradeve11
06-10-2006, 22:18
Uhm...il venditore che pre-installa boinc sul computer...ai confini dell'improbabilità :D
Si, potrebbe anche averlo rinominato...e uno screen dei processi di sicuro ci aiuterà
Qui si sentono cose nuove... comunque possiamo spiegare al nostro fortunato amico che dalla situazione in cui è incappato si può trarre un piacevole lato positivo: aiutare la scienza senza muovere un dito! Anche se, effettivamente, bisognerebbe prima provvedere a fermare o gestire il processo :D
Il Capitano
07-10-2006, 07:35
Qui si sentono cose nuove... comunque possiamo spiegare al nostro fortunato amico che dalla situazione in cui è incappato si può trarre un piacevole lato positivo: aiutare la scienza senza muovere un dito! Anche se, effettivamente, bisognerebbe prima provvedere a fermare o gestire il processo :D
Venditori che preinstallano boinc e' cosa molto vecchia :sofico:
schizzobau
07-10-2006, 10:14
si ma effettivamente non l'ha istallato il venditore, ma qualcuno in remoto...
GHz ci sono novità?
Il Capitano
07-10-2006, 10:31
si ma effettivamente non l'ha istallato il venditore, ma qualcuno in remoto...
GHz ci sono novità?
Non volevo dire che e' stato il rivenditore, era un discorso parallelo sull'esistenza di revenditori che infettano ;)
schizzobau
07-10-2006, 11:31
Non volevo dire che e' stato il rivenditore, era un discorso parallelo sull'esistenza di revenditori che infettano ;)
bisognerebbe presentarsi al CNDTCDSDI (Convegno Nazionale Dei Tecnici Computer Delle Scuole D'Italia) e predicare la novella dell'inifettazone :sofico:
(so che infettazione non è italiano, ma mi piaceva)
Il Capitano
07-10-2006, 11:57
bisognerebbe presentarsi al CNDTCDSDI (Convegno Nazionale Dei Tecnici Computer Delle Scuole D'Italia) e predicare la novella dell'inifettazone :sofico:
(so che infettazione non è italiano, ma mi piaceva)
Dopo una tale predica, avremmo tre principali tipi di reazione, dipendente dalle conoscenze informatiche dei tecnici
Reazione 1 (il tecnico e' scarsamente competente, aka bidello reclutato come responsabile aula pc). Nascita di un sentimento di repulsione misto a terrore, dovuto alla consapevolezza di dover installare qualcosa e di non saperlo fare.
Reazione 2 (tecnico competente, aka sto qui perche' mi pagano ma non e' detto che ci voglia stare). Cenni di assenso con la testa e predisposizione della mano destra sotto il mento stile statua "il pensatore", mentre in verita' stanno pensando che boinc potrebbe ciucciare troppe risorse alle 20 versioni di emule installate sui 10 pc della scuola.
Reazione 3 (tecnico altamente competente, aka so quel che faccio, so quel che vuoi fare, ma potrei non voler fare quello che vuoi che faccia). Accetta boinc perche' crede che sia una naturale evoluzione della sua teoria preferita sul progresso del genere umano nei vari campi scientifici, ma non lo installa perche' ha gia' troppi impegni, forse domani piove e deve ancora mettere a posto l'ultima versione unstable del suo programma di masterizzazione che ha un bug che non ne vuole sapere di risolversi da solo.
Ergo tutta energia sprecata :sofico: :sofico: :sofico:
fradeve11
07-10-2006, 13:10
Capitano vivissimi complimenti per le tue capacità cognitive, hai brillantemente riassunto le tre tipologie standard di sfiga scolastica del Boinc. Eppure, noi qualcuno qui ci crede ancora :D
schizzobau
07-10-2006, 13:58
Dopo una tale predica, avremmo tre principali tipi di reazione, dipendente dalle conoscenze informatiche dei tecnici
Reazione 1 (il tecnico e' scarsamente competente, aka bidello reclutato come responsabile aula pc). Nascita di un sentimento di repulsione misto a terrore, dovuto alla consapevolezza di dover installare qualcosa e di non saperlo fare.
Reazione 2 (tecnico competente, aka sto qui perche' mi pagano ma non e' detto che ci voglia stare). Cenni di assenso con la testa e predisposizione della mano destra sotto il mento stile statua "il pensatore", mentre in verita' stanno pensando che boinc potrebbe ciucciare troppe risorse alle 20 versioni di emule installate sui 10 pc della scuola.
Reazione 3 (tecnico altamente competente, aka so quel che faccio, so quel che vuoi fare, ma potrei non voler fare quello che vuoi che faccia). Accetta boinc perche' crede che sia una naturale evoluzione della sua teoria preferita sul progresso del genere umano nei vari campi scientifici, ma non lo installa perche' ha gia' troppi impegni, forse domani piove e deve ancora mettere a posto l'ultima versione unstable del suo programma di masterizzazione che ha un bug che non ne vuole sapere di risolversi da solo.
Ergo tutta energia sprecata :sofico: :sofico: :sofico:
hai dimenticato un aspetto della reazione 3: il tecnico è tra i più grandi fan di star trek e appena sente della Flotta corre ad istallare, riscrivere BOINC e SETI di modo da poter sfruttare appieno anche i processori a 64 bit (vedi conroe).
Inoltre lo istallerà su qualunque computer poserà lo sguardo (appunto semplicemente posandoci lo sguardo)
si ma effettivamente non l'ha istallato il venditore, ma qualcuno in remoto...
GHz ci sono novità?
Si :O
Dopo aver analizzato i file che mi ha inviato, direi che si tratta di un'infezione da remoto. Entrando nell'account ho visto che la quantità di PC infettata è veramente esagerata :eek: (ci sta a decine di secondi per caricare la lista :doh: ). Non si tratta quindi di uno che infetta i pc che gli capitano a tiro, ma di qualcuno che sfrutta falle nei sistemi o file sul p2p per infettare i PC. I progetti agganciati sono: rosetta, burp, einstein, climataprediction, primegrid e uFluids.
Una cose del genre non può essere tollerata e quindi provvederemo a far bloccare tale account nei vari progetti :banned: :banned: :banned:
Grazie a RazorSharp per la collaborazione :mano: Tutto ok adesso? Non parte più nulla? :p Ancora aspetta a cancellare i file, tante volte servissero ulteriori info sappiamo dove reperirle ;)
Ciao,
GHz
Si, GHz, direi di segnalare la cosa sui forum dei vari progetti senza far nomi. Se poi gli admin vorranno contattarci per il nome del "baro infettatore", noi gli lasciamo i nostri indirizzi mail e attendiamo istruzioni!
Ho dato un'occhiata alle classifiche... è sempre nei top 20 per RAC!! :eek: Ma quanta cavolo di gente avrà infettato col suo sporco giochetto?? :eek:
Si, GHz, direi di segnalare la cosa sui forum dei vari progetti senza far nomi. Se poi gli admin vorranno contattarci per il nome del "baro infettatore", noi gli lasciamo i nostri indirizzi mail e attendiamo istruzioni!
Possiamo creare un testo unico da postare in tutte le board, oppure posso provare a segnalare la cosa nella mailing list degli sviluppatori di BOINC. Mi piacerebbe sapere come ha fatto il tizio a infettare....RazorSharp il S.O è aggiornato? Hai un firewall? Se non puoi scriverlo qua, puoi dirmi in PVT cosa hai scaricato di preciso dal p2p?
Ho dato un'occhiata alle classifiche... è sempre nei top 20 per RAC!! :eek: Ma quanta cavolo di gente avrà infettato col suo sporco giochetto?? :eek:
Tantissimi! Facendo una stima su einstein saranno su 1500-2000 :eek: Ovviamente ce ne sono tantissimi a zero rac e total credit e tantissimi con rac bassi....
gabi.2437
07-10-2006, 16:19
Avrà fatto un virus che quando scaricato e avviato, autoinstalla boinc all'insaputa dell'utente...
Nei top 20 per rac? Azz...se lo segnaliamo tutti gli altri team ci ringrazieranno (finalmente ci vanno loro nel top 20) ma lo staff dei vari progetti ci odierà ("azz...perdiamo un sacco di potenza di calcolo :D )
Cmq si beh, va segnalato...
fradeve11
07-10-2006, 16:42
Assurdo... urge operazione internazionale di sgamo :p Comunque, non si può dire che il nostro signore non abbia avuto inventiva :rolleyes:
Alvarone
07-10-2006, 16:49
Anche senza nome(nick) si individua facilmente :D :D :D credo....
su rosetta ha un disastro di PC , ma son tutti uguali :eek:
Anche senza nome(nick) si individua facilmente :D :D :D credo....
su rosetta ha un disastro di PC , ma son tutti uguali :eek:
No, ha tutti i pc diversi e nascosti. Per ogni progetto ha un country diverso e una mail diversa, quindi gli account non sono legati nelle stats globali.
Per ora non pubblico i nick, vediamo cosa dicono gli admin dei progetti :stordita:
Il Capitano
07-10-2006, 17:56
Qualcuno mi puo' passare quel virus? :sofico: :sofico:
Seriamente, arrivare a creare virus per installare boinc e' troppo da credit whore. Non mi abbasserei neache io :nono: :muro:
The Force
07-10-2006, 23:33
ho letto tutto e devo dire che è una cosa veramente esagerata! Quello che da più fastidio è poi l'infezione inconsapevole dei portatili... La batteria se ne va subito... Segnalatelo.
schizzobau
07-10-2006, 23:45
Non mi abbasserei neache io :nono: :muro:
se se :Prrr:
RazorSharp
08-10-2006, 09:54
Spero di avervi aiutato a smascherare qualche furbetto... :mbe:
Io sono pulito, conservo i files nel caso vi servissero ulteriori informazioni e intanto vi ringrazio di cuore, adesso la batteria dura anche 3 ore e mezza!!! :cincin:
Come promesso, lunedì dedicherò un fisso alla causa installando il client boinc (questa volta di mia spontanea volontà :D )
Il Capitano
08-10-2006, 10:30
Spero di avervi aiutato a smascherare qualche furbetto... :mbe:
Io sono pulito, conservo i files nel caso vi servissero ulteriori informazioni e intanto vi ringrazio di cuore, adesso la batteria dura anche 3 ore e mezza!!! :cincin:
Come promesso, lunedì dedicherò un fisso alla causa installando il client boinc (questa volta di mia spontanea volontà :D )
Ogni contributo e' bene accetto e non dimenticare di unirti al team ;) :D
se se
taci tu che dovevi fare il cd ma ancora non se ne' vista l'ombra :sofico: :ciapet:
The Force
08-10-2006, 10:33
il cd con le tracce audio del seti remixate? :stordita:
fradeve11
08-10-2006, 10:45
No, il cd INFECTION-READY per infettare facilmente i pc di scuole e uffici senza troppi casini... ma qui il progetto langue.. :mad:
No, il cd INFECTION-READY per infettare facilmente i pc di scuole e uffici senza troppi casini... ma qui il progetto langue.. :mad:
quando lo fai fammi un fischio che ho quei 150 pc da infettare :sofico:
scherzo. cmq mi metto al lavoro per farlo, così quando vado a casa di amici... :ciapet:
fradeve11
08-10-2006, 11:58
quando lo fai fammi un fischio che ho quei 150 pc da infettare :sofico:
scherzo. cmq mi metto al lavoro per farlo, così quando vado a casa di amici... :ciapet:
Il problema di quel cd è che non ci siamo organizzati: dovremmo creare un bel team di ricerca, e metterci di impegno per capire COSA vogliamo fare... comunque la discussione sull'infezione di Schizzobau è ancora lì, nessuno ci vieta di riprenderla, di organizzarci ma soprattutto darci degli OBIETTIVI... :rolleyes:
schizzobau
08-10-2006, 12:04
taci tu che dovevi fare il cd ma ancora non se ne' vista l'ombra :sofico: :ciapet:
io sono già abbastanza incastrato nel C per i fatti miei, la mia intenzione era solo quella di fare una versione di BOINC senza interfaccia grafica che non abbia bisogno di essere istallata per partire in automatico. il CD si può anche fare (credo) ma senza password dell'administrator è inutile....
Cerchiamo di rimanere IN TOPIC grazie :mbe:
Dunque, ho provato a scaricare anche io il file da emule che ha scaricato il nostro amico infettato, però appena l'ho estratto l'antivirus è subito scattato indicando che il file era infetto da una versione modificata di Win32/MoSucker, che sarebbe una backdoor che consente il controllo del computer da remoto. Quindi penso che le infezioni siano state eseguite da remoto utilizzando quel sistema. Evidentemente Norton non riconosce questa minaccia :doh: :nono: Ecco i report dei vari antivirus (by virustotal)
http://img61.imageshack.us/img61/1567/reportviruson5.th.gif (http://img61.imageshack.us/img61/1567/reportviruson5.gif)
Penso che bloccare gli account di questo infettore non basti a fermarlo, ma sicuramente gli scasserà dover ripartire da zero, e spero che in questo modo si scoraggi :banned:
Luca mettiamoci d'accordo in pvt su come procedere per fargli bloccare gli account. Posteremo qua tutti gli sviluppi.
Ciao,
GHz
schizzobau
08-10-2006, 20:57
Cerchiamo di rimanere IN TOPIC grazie :mbe:
sorry man :fagiano:
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.