PDA

View Full Version : 3 file molto strani

lucafes
08-07-2004, 09:19
guardate l'allegato.pc-cillin ha trovato quel video32sD,l'ha eliminato ma è sempre là.gli altri due (kernel e winini)non li trova.
ad-aware e spybot nn trovano niente.
tutto ha originato con un worm che è stato eliminato.
cmq questi files sembrano innocui.tra l'altro nel registro di windows non si trovano (a dire il vero nn si trova proprio la cartella run).

:confused:
wgator
08-07-2004, 10:08
Ciao,

per caso l'antivirus lo aveva individuato come W32.Spybot Worm?

Prova a postare il log di hijackThis... forse si riesce a capire cos'è rimasto di quel worm
lucafes
08-07-2004, 10:38
nn ho quel programma che dice te,cmq nn era lo spybot.
ecco l'allegato:il secondo l'ho cancellato,l'altro pure ma è sempre lì nei processi.
lucafes
08-07-2004, 10:54
tra l'altro noto che nn funge più windows update.quado vado per scaricare gli aggiornamenti mi dice...(allegato).
http://www.spammers.it/clas/9.gif

ps: prima dei virus ho reinstallato windows (senza formattazione)a causa del fatto che nn mi faceva più la pulitura disco.
lucafes
08-07-2004, 10:55
l'allegato
lucafes
08-07-2004, 23:27
ho il log di hijackthis,come lo uppo?

:rolleyes:
lucafes
08-07-2004, 23:35
scusate mi sto proprio rincoglionendo,è che sono fuso:

Logfile of HijackThis v1.98.0
Scan saved at 0.22.32, on 09/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxiway.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winini.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://D:\PROGRA~1\MICROS~1\Office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Download with Star Downloader - D:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programmi\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programmi\Free Surfer\FS20.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/016ee6e37a5472968305/netzip/RdxIE601_it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37660ABD-B793-41EB-BDBC-722FD4B52DAE}: NameServer = 62.211.69.150 212.48.4.15
lucafes
09-07-2004, 17:44
can u help me?
alla situazione di cui sopra aggiungo la cpu al 100%:(
bastardissimi worm!:mad:
wgator
09-07-2004, 18:41
Ciao,

ho dato un'occhiata veloce al tuo log ed ho rilevato queste voci che probabilmente appartengono alla categoria delle "schifezze assortite"

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O8 - Extra context menu item: Download with Star Downloader - D:\Programmi\Star Downloader\sdie.htm

In pratica nella cartella D:\Programmi\Star Downloader c'è una dll (SDIEInt.dll) probabilmente dannosa. Non so cosa sia "star downloader", suppongo un acceleratore di download, non so fino a quale punto legittimo... Aspetta altre risposte prima di intervenire, io personalmente cancellerei la cartella e fisserei quelle due voci

Personalmente avrei altre cose da dire, per esempio... sono proprio necessari tutti quei wizard automatici per l'aggiornamento di mouse, scheda video ecc... Vabbè, non sono troyan o spyware, però rallentano il sistema e fanno confusione.

Ho espresso una mia opinione, prima di cancellare qualcosa aspetta anche altri consigli, non ho la certezza assoluta che il problema sia proprio questo.
wgator
09-07-2004, 18:51
Ah, scusate...

un piccolo consiglio generale, vale per tutti coloro che postano i log: per facilitare la lettura dei log di hijackthis, sarebbe meglio chiudere tutti i programmi attivi, compreso il browser, altrimenti ci sono troppe voci e ci si perde un po'.

Consiglio anche di eliminare dall'esecuzione automatica tutte quelle cosette orribili come "reminder di registrazioni schede audio", aggiornamenti automatici mouse, aggiornamenti automatici assortiti ecc... helper vari se non assolutamente necessari. Questo non solo per semplificare la vita a chi legge il log, ma soprattutto per dare un po' più di sprint al povero computer.

Ciao :D
wgator
09-07-2004, 18:57
Ah, pardon, sono decisamente fuori forma :p

Anche questo dovrebbe essere "malvagio:
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

non credo abbia nulla a che fare con windows update

Inoltre questo:
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

è il driver della scheda video oppure è un pezzo del worm sdbot?
lucafes
09-07-2004, 18:58
grazie mille per l'intervento (e grazie a OZ che mi ha scritto in pvt).

allora,quei file nn dovrebbero essere un problema,anche se prendo in condiderazione ciò che dici.
problema certo (guardate uno degli allegati più su)sono questi file che e che io ho rintracciato dentro il registro:

O4 - HKLM\..\RunServices: [Microsoft Update Machine] winini.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

Ne ho un terzo nel registro che nel log nn appare: kernelz-mxe.exe.
Nota:l'Update di windows nn funziona in concomitanza con sti bastardi.

su questo ho dei dubbi.
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

il worm che pc-cillin aveva beccato è WORM_SPYBOT.WY.
wgator
09-07-2004, 19:13
Originariamente inviato da lucafes
grazie mille per l'intervento (e grazie a OZ che mi ha scritto in pvt).
----
problema certo (guardate uno degli allegati più su)sono questi file che e che io ho rintracciato dentro il registro:

O4 - HKLM\..\RunServices: [Microsoft Update Machine] winini.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
------

su questo ho dei dubbi.
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe



Si, sembrano tutte schifezze... facendo una ricerca in rete su quelle voci
risultano worm et similia
Non capisco un'acca di tedesco, ma ne parlano (male) qui: http://www.kaltmacher.de/ptopic463956.html :D
lucafes
09-07-2004, 19:18
ma come li levo?
spybot non li toglie (e nn mi funziona neanche l'update).
dal registro leverei le chiavi,ma temo di levarne di fondamentali.
:rolleyes:
lucafes
09-07-2004, 19:30
:cry:

ciascuno di quei cosi ha circa 7-8 presenze nel registro.
questo è solo 1 esempio di 1 di loro.
wgator
09-07-2004, 21:11
Ciao,

facciamo una prova (non rischiosa)


Prova a cancellare
-tutti i file temporanei
-i temporanei di internet
-disattiva il system restore (ripristino di configurazione del sistema)

Prova a fare una passata con cwshredder:
http://www.spywareinfo.com/~merijn/downloads.html

Tramite il comando start->cerca, vedi di individuare queste voci:

winini.exe
video_32sD.exe
snlogsvc.exe

Questo naturalmente dopo aver attivato la visualizzazione dei file nascosti e di sistema.
Se le individui cancellale. Se non te le fa cancellare prova da modalità provvisoria

Tramite hijackthis metti la spunta su queste voci e premi il tasto "FIX"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winini.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

-riavvia il computer

Scarica stinger e prova a lancialo, casomai trovasse qualcosa:
http://vil.nai.com/vil/stinger/

Lancia ed esegui un antivirus on line, per esempio questo:
http://www.pandasoftware.com/activescan/it/activescan_principal.htm


Cerca di disattivare dall'esecuzione automatica tutte le voci che non ti servono (quelle che dicevo più sopra)

Posta un nuovo log di hijackthis per vedere cos'è rimasto

:sperem: buona fortuna!
lucafes
09-07-2004, 21:16
entro qualche ora provo.
grazie mille;) :ave:
wgator
09-07-2004, 21:59
Mi sono dimenticato una cosa fondamentale: mi sembra (scusa se ho visto male ma sono un po' cotto :p ) che non hai nessun firewall inserito.

Se è così, attiva assolutamente ICF dalla connessione internet che usi (in proprietà->avanzate) altrimenti come ti colleghi a internet ti riempi di schifezze di nuovo

Ciao
lucafes
10-07-2004, 18:21
fatto un po' di pulizia,ma solo un po'.
panda oonline ha pulito due ospiti.
stimger nessuno.
con hijack ho fissato 2 file.
risultato: windows update non funziona ancora,e se apro msconfig ci sono ancora (insieme ad altri...in tutto sono 5; vedi allegato)
gli aggiornamenti automatici penso siano disabilitati o cmq già ridotti al minimo.

Logfile of HijackThis v1.98.0
Scan saved at 19.10.13, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxiway.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://D:\PROGRA~1\MICROS~1\Office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Download with Star Downloader - D:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programmi\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programmi\Free Surfer\FS20.exe
O16 - DPF: Java Mainframe Display (MFDFTX) - O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [url]http://software-dl.real.com/016ee6e37a5472968305/netzip/RdxIE601_it.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab