Nukles
06-01-2005, 20:06
NO NO NO Fermi moderatori non mi bannate, era solo un modo sorridente per farvi sapere che virus mi ha preso :D
Malgrado abbia Outpost 2.1 (settato con "regole assistite", ovvero punto interrogativo), ma in sti casi continuo a essere colpiro da Rbot (o Agobot, devo ancora scoprire quale sia a colpirmi): NOD32 mi avvisa, io cancello e sempre mi dice che non stato in grado di cancellarlo, anche se riprovo dice lo stesso; prima addirittura il problema era irreversibile e il PC si riavviava da solo appena giunto a Windows. IL FW veniva chiuso dal worm.
Ora che è successo? E' ricormarso l'avviso di NOD32. Ho fatto cancella ma "magicamente" lo ha cancellato. Tuttavia mi è accaduto che il PC utilizzasse il 100% della CPU, grazie a un "svchost.exe" non precisato che lavora a pieno ritmo.
Così ho riavviato il PC e cosa mi è comparso all'inizio? OUTPOST che mi diceva che il seguente programma:
csrsss.exe - avete letto bene le "s" finali sono ben tre
voleva conntettersi al sito
inyourass.cracks.info
e come immmaginetta compariva un gif o jpeg chissà quanto disegnato male che voleva ingannare facendo presupporre fosse una normale applicazione (come quando svchost.exe chiede di connettersi e il FW te lo notifica).
Ovviamente ho detto ad Outpost di fermare qualsiasi azione di questo file, e ho settato un più alto livello di protezione ("punto esclamativo nella systray).
Ora anche il log di Hijackthis me lo notifica questo processo
Logfile of HijackThis v1.99.0
Scan saved at 20.52.02, on 06/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programmi\NOD32\nod32kui.exe
C:\Programmi\NetLimiter\NetLimiter.exe
C:\Programmi\Daemon Tools\daemon.exe
C:\Programmi\TweakNow PowerPack\RAM_XP.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\csrsss.exe
C:\Programmi\Active SMART\ActiveSMART.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Mozilla\Thunderbird\thundertray.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\NOD32\nod32krn.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\HijackThis!\HijackThis.exe
C:\Programmi\Mozilla\Firefox\firefox.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\AdunanzA Fastweb\eMule_AdnzA.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\NOD32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\TweakNow PowerPack\RAM_XP.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
[B]O4 - HKLM\..\Run: [Bcvsrv32] csrsss.exe
O4 - HKLM\..\RunServices: [Bcvsrv32] csrsss.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O4 - Global Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Global Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Global Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\NOD32\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PGPsdkService - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: StyleXPService - Unknown - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe (file missing)
anche se a dir la verità il sito hijackthis.de non lo riconosce come pericoloso, ma "sospetto".
Bene, ecco la mia storia...
volevo chiedervi: è possibile che settando OUTPOST con "permetti di più" (punto esclamativo), non attacchi più quel dannatissimo sysmsvc.exe???
PS - Con Kerio queste cose non succedevano: dicevo di non avviare il processo svchost.exe e tutto andava ok... si si si si probabilmente ho il PC bacato: una volta mi successe per sbaglio di aprire uno zip in cui c'era un magnifico trojan con terminazione *.exe e da citrullo l'ho messo sul desktop... ma l'antivirus l'aveva trovato e cancellato, così pensavo di aver posto fine ai problemi; in realtà accadeva che uno dei processi svchost.exe lavorasse al 100% delle risorse CPU a un certo punto; con Kerio ero appunto riuscito a fermarlo. COn Outpost non ci sono riuscito subito, o meglio non so come ho fatto che impostazione ho toccato ma ora non accade più, tuttavia vengo ogni 4 minuti scansionato (me lo dice il FW) da qualcuno, che ogni tanto riesce ad entrare e mettermi sysmsvc.exe.
Appunto ho il PC bacato ma voglio convinverci, persi una giornata a mettere i programmi e regolare le impostazioni per fare un backup ottimo; ora non mi va di annullate tutto quel lavoro, e ogni volta che backuppo ritrovo gli stessi "problemi". Mi scoccio di riformattare :D
Malgrado abbia Outpost 2.1 (settato con "regole assistite", ovvero punto interrogativo), ma in sti casi continuo a essere colpiro da Rbot (o Agobot, devo ancora scoprire quale sia a colpirmi): NOD32 mi avvisa, io cancello e sempre mi dice che non stato in grado di cancellarlo, anche se riprovo dice lo stesso; prima addirittura il problema era irreversibile e il PC si riavviava da solo appena giunto a Windows. IL FW veniva chiuso dal worm.
Ora che è successo? E' ricormarso l'avviso di NOD32. Ho fatto cancella ma "magicamente" lo ha cancellato. Tuttavia mi è accaduto che il PC utilizzasse il 100% della CPU, grazie a un "svchost.exe" non precisato che lavora a pieno ritmo.
Così ho riavviato il PC e cosa mi è comparso all'inizio? OUTPOST che mi diceva che il seguente programma:
csrsss.exe - avete letto bene le "s" finali sono ben tre
voleva conntettersi al sito
inyourass.cracks.info
e come immmaginetta compariva un gif o jpeg chissà quanto disegnato male che voleva ingannare facendo presupporre fosse una normale applicazione (come quando svchost.exe chiede di connettersi e il FW te lo notifica).
Ovviamente ho detto ad Outpost di fermare qualsiasi azione di questo file, e ho settato un più alto livello di protezione ("punto esclamativo nella systray).
Ora anche il log di Hijackthis me lo notifica questo processo
Logfile of HijackThis v1.99.0
Scan saved at 20.52.02, on 06/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programmi\NOD32\nod32kui.exe
C:\Programmi\NetLimiter\NetLimiter.exe
C:\Programmi\Daemon Tools\daemon.exe
C:\Programmi\TweakNow PowerPack\RAM_XP.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\csrsss.exe
C:\Programmi\Active SMART\ActiveSMART.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Mozilla\Thunderbird\thundertray.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\NOD32\nod32krn.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\HijackThis!\HijackThis.exe
C:\Programmi\Mozilla\Firefox\firefox.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\AdunanzA Fastweb\eMule_AdnzA.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\NOD32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\TweakNow PowerPack\RAM_XP.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
[B]O4 - HKLM\..\Run: [Bcvsrv32] csrsss.exe
O4 - HKLM\..\RunServices: [Bcvsrv32] csrsss.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O4 - Global Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Global Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Global Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\NOD32\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PGPsdkService - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: StyleXPService - Unknown - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe (file missing)
anche se a dir la verità il sito hijackthis.de non lo riconosce come pericoloso, ma "sospetto".
Bene, ecco la mia storia...
volevo chiedervi: è possibile che settando OUTPOST con "permetti di più" (punto esclamativo), non attacchi più quel dannatissimo sysmsvc.exe???
PS - Con Kerio queste cose non succedevano: dicevo di non avviare il processo svchost.exe e tutto andava ok... si si si si probabilmente ho il PC bacato: una volta mi successe per sbaglio di aprire uno zip in cui c'era un magnifico trojan con terminazione *.exe e da citrullo l'ho messo sul desktop... ma l'antivirus l'aveva trovato e cancellato, così pensavo di aver posto fine ai problemi; in realtà accadeva che uno dei processi svchost.exe lavorasse al 100% delle risorse CPU a un certo punto; con Kerio ero appunto riuscito a fermarlo. COn Outpost non ci sono riuscito subito, o meglio non so come ho fatto che impostazione ho toccato ma ora non accade più, tuttavia vengo ogni 4 minuti scansionato (me lo dice il FW) da qualcuno, che ogni tanto riesce ad entrare e mettermi sysmsvc.exe.
Appunto ho il PC bacato ma voglio convinverci, persi una giornata a mettere i programmi e regolare le impostazioni per fare un backup ottimo; ora non mi va di annullate tutto quel lavoro, e ogni volta che backuppo ritrovo gli stessi "problemi". Mi scoccio di riformattare :D