Premesso che non uso MSN ma il suo clone opensource aMSN, volendo vedere come funzionava questo tool, l'ho scaricato ed eseguito.

Con mia grande sorpresa ha trovato delle "cose" che nemmeno so interpretare.

Questo è il txt che ne è scaturito:


MSNFix 1.484

E:\MSNFix
Fix effettuato il dom 02/09/2007 - 18.15.22,06 By Administrator
modalità normale

************************ Cercare i files presenti

... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

Nessuna cartella trovata


************************ Eliminazione dei files

.. OK ... C:\WINNT\system32\dllcache\lsass.exe



************************ Pulizia del Registro



************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B


I files e le chiavi di registro eliminati sono stati salvati nel file dom

02092007_18.16.4837.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

E questo è uno screenshot delle chiavi che mi ha eliminato:

http://img510.imageshack.us/img510/731/msnfixan2.th.png (http://img510.imageshack.us/my.php?image=msnfixan2.png)

Visto che sto lavorando nella partizione non infetta, vorrei non compromettere lle funzionalità del sistema operativo. Mi date una mano?

ti ha eliminato un file che dovrebbe stare in /%windir%/system32 e invece si trova in /%windir%/system32/dllcache la tecnica di utilizzare nomi di files di sistema per i files piazzandoli in cartelle differenti da quelle normali è usata da molti malware

Quindi tutto apposto...?

Hai dato un'occhiata anche allo screenshot?

Premesso che non uso MSN ma il suo clone opensource aMSN, volendo vedere come funzionava questo tool, l'ho scaricato ed eseguito.
Visto che sto lavorando nella partizione non infetta, vorrei non compromettere lle funzionalità del sistema operativo. Mi date una mano?

Questo è il risultato del tuo log di MSNFIX:

MSNFix 1.484
E:\MSNFix
Fix effettuato il dom 02/09/2007 - 18.15.22,06 By Administrator
modalità normale

************************ Cercare i files presenti
... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti
Nessuna cartella trovata

************************ Eliminazione dei files
.. OK ... C:\WINNT\system32\dllcache\lsass.exe

************************ Pulizia del Registro

************************ Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B

Ti ha semplicemente rilevato un worm (C:\WINNT\system32\dllcache\lsass.exe) e lo ha rimosso.
La cosa strana è che questa vulnerabilità era legata al Sasser e colpiva Windows 2000 o XP non patchati (quindi, cosa ci potesse fare sulla tua macchina è, per ora, un mistero).
Tieni comunque conto che, Isass.exe è un processo legittimo di Windows se è localizzato in sistem32 oppure C:\WINNT\sistem32.
Se viene localizzato in una posizione diversa da quella che ho indicato (come nel tuo caso), ovviamente, è da rimuovere (cosa che ha fatto MSNFIX).

Altra cosa che è stata rilevata, è questa:
C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B
che è uno screensaver che non mi appare legittimo; controlla (magari lo hai installato tu).
Se non fosse cosi, rimuovilo.

P.S.: voglio passare questo log a Laurent, perché il risultato è davvero curioso, visto che non usi MSN Messenger.

Non uso nemmeno MSN ma aMsn che non è di Microsoft!

Ho SP4 e tutte le patch aggiornate.

Grazie di tutto e fammi sapere cosa ti ha detto il tuo amico, interessa anche a me! ;)


[edit]
Ah, dimenticavo: ssmaze.scr non l'ho installato io, ma tutti gli screensaver che ho in System32 portano la stessa data. Mò lo faccio analizzare da virustotal. Grazie di nuovo.

Non uso nemmeno MSN ma aMsn
Lo avevo letto dopo.
Ho SP4 e tutte le patch aggiornate.
Windows 2000 .... chissà da quanto tempo era localizzato li.
Grazie di tutto e fammi sapere cosa ti ha detto il tuo amico, interessa anche a me!
Credo interessi maggiormente a lui, perchè, che io sappia, il tool é stato scritto, specificatemente, per MSN Messenger.
Controlla quello screensaver e fammi sapere.

Davvero, chissà da quanto tempo... me lo chiedo anch'io.

Ho fatto lo scan di ssmaze.scr, risultato: zero.

Ti aggiungo che non è soltanto in System32 ma anche in C.\WINNT\ServicePackFiles\i386

Ho fatto lo scan di ssmaze.scr, risultato: zero.
Ti aggiungo che non è soltanto in System32 ma anche in C.\WINNT\ServicePackFiles\i386
Altra cosa che mi devo annotare, da segnalare a Laurent.

Altra cosa che mi devo annotare, da segnalare a Laurent.

In tal caso, sono contenta di esservi stata utile, in qualche modo... :)

Già che ci stavo ho fatto uno scan con MSNFix anche su XP (SP 4, tutto 'mpestato de patch ;) )

Pure qui ha rimosso lsass.exe in Dllcache. Posto il file


MSNFix 1.484

E:\MSNFix
Fix effettuato il 02/09/2007 - 23.44.41,01 By Admin
modalità normale

************************ Cercare i files presenti

... D:\WINDOWS\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

Nessuna cartella trovata



************************ Eliminazione dei files

.. OK ... D:\WINDOWS\system32\dllcache\lsass.exe



************************ Pulizia del Registro



************************ Files sospetti

Nessun files trovato


I files e le chiavi di registro eliminati sono stati salvati nel file 02092007_23.45.0606.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

Considera anche che su XP ho installato il SP2 subito dopo l'installazione.

stesso file di prima ma non rileva lo screensaver sospetto

stesso file di prima ma non rileva lo screensaver sospetto

Sì infatti, ma questo è lo scan dell'altro SO (XP) che ho sulla seconda partizione. E ora che mi ci hai fatto pensare vado a dare un'occhiatina se esiste quello screen pure su 'sta partizione dove sto lavorando ora! ;)

No, su questo SO non c'è ssmaze.scr :what:

il file in questione potrebbe essere un trojan ( BANCBAN-FB TROJAN)..però assume anche il nome di screensaver legittimo.Per essere sicuri servirebbe un log hijackthis poiche il trojan si evince da una voce 04 presente nel log.Personalmente credo sia legittimo.
Per quanto riguarda la dll cache di solito windows recupera da lì le dll che si sono corrotte,quindi non è detto che il file sia malevolo.


Saluti :cool:

EDIT:il file ssmaze.scr non'è presente su XP, ma su WINNT in c:\\WINNT\\System32\\ssmaze.scr

Personalmente credo sia legittimo.

Per XP, sicuramente no, almeno, per quanto vedo tra quelli che ho trovato sul mio P.C.:

http://img98.imageshack.us/img98/1738/screenshot035zm2.jpg

Potrebbe, però, esserlo, su Win2000.

EDIT:il file ssmaze.scr non'è presente su XP, ma su WINNT in c:\\WINNT\\System32\\ssmaze.scr
Sei arrivato prima!!!.

Allora non lo cancello.

Grazie ad entrambi ;)

@ Riverside

Guarda, ad ulteriore conferma che ssmaze.scr molto probabilmente è un file legittimo, ti posto anche lo scan che ho eseguito sul pc del lavoro (male non gli faceva! ;) ) dove c'è win 2k (SP4):


MSNFix 1.485

F:\MSNFix1
Fix effettuato il lun 03/09/2007 - 9.55.49,10 By Administrator
modalità normale

************************ Cercare i files presenti

... C:\WINNT\system32\dllcache\lsass.exe

************************ Ricerca le cartelle presenti

... C:\Temp\


************************ Eliminazione dei files

.. OK ... C:\WINNT\system32\dllcache\lsass.exe


************************ Eliminazione delle cartelle

.. OK ... C:\Temp\


************************ Pulizia del Registro


************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\WINNT\system32\ssmaze.scr] E0EE9EE2D0778DE1E814B25A7464E16B


I files e le chiavi di registro eliminati sono stati salvati nel file lun 03092007_ 9.56.0996.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

Grazie bella donzella :) una conferma in più non fa mai male.

Grazie bella donzella :) una conferma in più non fa mai male.

Ma le pare, per così poco messieur (ho scritto bene?)?! ;)

per così poco messieur (ho scritto bene?)?! ;) no :asd:

salve.... scusate se scrivo nel topic sbagliato... praticamente l'altro giono ho preso un virus su msn dal nome myspaceimage.zip e kodak.zip... ovviamente mi è successo un manicomio... ho letto un paio di post... e sono arrivoto a msnfix... l'ho utilizzato e alla fine mi è comparso questo log...

MSNFix 1.577

C:\Documents and Settings\Xp.BAUCCI-U0IM0AER\Desktop\Collegamenti desktop inutilizzati\Anti trojan\MSNFix
Fix effettuato il 16/11/2007 - 17.15.06,82 By Xp
modalità normale

************************ Cercare i files presenti

Nessun files trovato

************************ Ricerca le cartelle presenti

... C:\Temp\




************************ Eliminazione dei files



************************ Eliminazione delle cartelle

.. OK ... C:\Temp\


************************ Pulizia del Registro



************************ Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\dd9.exe] 93652EF50289D402EF5B7F6B64BD77E1
[C:\Documents and Settings\Xp.BAUCCI-U0IM0AER\bsskwhyi.exe] 53571C3E5BBD69CD1E5085A15E7102B7
[C:\Documents and Settings\Xp.BAUCCI-U0IM0AER\rlwjnnsh.exe] 53571C3E5BBD69CD1E5085A15E7102B7
[C:\Documents and Settings\Xp.BAUCCI-U0IM0AER\wgjxefrf.exe] 53571C3E5BBD69CD1E5085A15E7102B7

==> Vi saremo grati se vorrete inviare il file C:\DOCUME~1\XP2D2D~1.BAU\Desktop\Upload_Me.zip su http://upload.changelog.fr



I files e le chiavi di registro eliminati sono stati salvati nel file 16112007_17.18.2334.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------


cosa ne pensate? sono ancora infetto? in tal caso per questo tipo di virus cosa dovrei fare? per nel web non ho trovato nulla... ma ho visto che con le persone che avevano come virus my photo.zip aveva funzionato... che ne dite? sono a posto? attendo al piu presto vostre notizie... grazie 1000

a comunque il file upload_me l'ho inviato a http://upload.changelog.fr, o per lo meno, credo di averlo mandato...

Innazitutto ti invito a leggere le Regole di Sezione
http://www.hwupgrade.it/forum/showthread.php?t=1589984
successivamente la Guida alla Disinfezione all'interno della quale c'è già un Thread in evidenza in merito al tuo problema
http://www.hwupgrade.it/forum/showthread.php?t=1599737
grazie per la collaborazione
Ciao

ok grazie... cmq volevo chiedervi ul'altra cosa... praticamente se eseguo tutto quello che c'e scritto nella guida, dovrei disattivare i punti di ripristino... siccome ho paura che vada storto qualche cosa, se li disattivo non posso piu tornare indietro... vorrei sapere come posso fare se è utile fare una copia di backup... e come farla... vi prego... un aiuto... grazie anticipatamente...