Suchoparek
14-05-2008, 17:24
Ciao a tutti, volevo chiedere un parere agli esperti in merito ad una infezione che fortunatamente tengo sotto controllo...
Nei giorni scorsi sono stato colpito da quello che penso sia un rootkit. Su Winpatrol sotto la voce BHO c'erano delle stranissime dll impossibile da eliminare, né normalmente né al riavvio. Seguendo la guida agli infetti di questo splendido forum :D sono riuscito a ripulire tutto, ma facendo una nuova scansione con HijackThis ho notato che una cosa sospetta è rimasta .
O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing)
Il file incriminato non è presente sul pc (file missing), quindi non si può né fixare con HT né eliminare con Avenger (c'ho pure provato).
Un altro "file missing" è relativo a questa voce:
O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing)
Sembrerebbe un file legittimo ma il fatto che sia unfixable mi puzza... :ciapet:
Un'ultima cosa (già che ci sono): da quando ho fatto la pulizia completa, WinPatrol ogni circa 10 minuti "fiuta" un cambiamento in un'associazione ai files .URL. Ecco quello che dice il mio cane da guardia:
Il programma attualmente associato a questo tipo di file è: C:\Program Files\Internet Explorer\iexplore.exe %1
E' avvenuto un cambiamento nell'uso del seguente programma con questo tipo di file: Sistema operativo Microsoft Windows, Microsoft Corporation, rundll32.exe ieframe.dll,OpenURL %l
Finora ho sempre rifiutato, ho paura che sia il rootkit che torna alla carica, secondo voi c'è da fidarsi?
Uso WinXP SP2, AVG free, Spyware Doctor, ZoneAlarm e WinPatrol.
E questo è il log completo di HijackThis, che ho già analizzato tramite il servizio apposito: 62269
Vi ringrazio a prescindere. :)
Nei giorni scorsi sono stato colpito da quello che penso sia un rootkit. Su Winpatrol sotto la voce BHO c'erano delle stranissime dll impossibile da eliminare, né normalmente né al riavvio. Seguendo la guida agli infetti di questo splendido forum :D sono riuscito a ripulire tutto, ma facendo una nuova scansione con HijackThis ho notato che una cosa sospetta è rimasta .
O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing)
Il file incriminato non è presente sul pc (file missing), quindi non si può né fixare con HT né eliminare con Avenger (c'ho pure provato).
Un altro "file missing" è relativo a questa voce:
O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing)
Sembrerebbe un file legittimo ma il fatto che sia unfixable mi puzza... :ciapet:
Un'ultima cosa (già che ci sono): da quando ho fatto la pulizia completa, WinPatrol ogni circa 10 minuti "fiuta" un cambiamento in un'associazione ai files .URL. Ecco quello che dice il mio cane da guardia:
Il programma attualmente associato a questo tipo di file è: C:\Program Files\Internet Explorer\iexplore.exe %1
E' avvenuto un cambiamento nell'uso del seguente programma con questo tipo di file: Sistema operativo Microsoft Windows, Microsoft Corporation, rundll32.exe ieframe.dll,OpenURL %l
Finora ho sempre rifiutato, ho paura che sia il rootkit che torna alla carica, secondo voi c'è da fidarsi?
Uso WinXP SP2, AVG free, Spyware Doctor, ZoneAlarm e WinPatrol.
E questo è il log completo di HijackThis, che ho già analizzato tramite il servizio apposito: 62269
Vi ringrazio a prescindere. :)