File sospetto: 6706D589.exe (file missing)

Suchoparek · 14-05-2008, 17:24

Ciao a tutti, volevo chiedere un parere agli esperti in merito ad una infezione che fortunatamente tengo sotto controllo...

Nei giorni scorsi sono stato colpito da quello che penso sia un rootkit. Su Winpatrol sotto la voce BHO c'erano delle stranissime dll impossibile da eliminare, né normalmente né al riavvio. Seguendo la guida agli infetti di questo splendido forum

sono riuscito a ripulire tutto, ma facendo una nuova scansione con HijackThis ho notato che una cosa sospetta è rimasta .

O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing)

Il file incriminato non è presente sul pc (file missing), quindi non si può né fixare con HT né eliminare con Avenger (c'ho pure provato).
Un altro "file missing" è relativo a questa voce:

O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing)

Sembrerebbe un file legittimo ma il fatto che sia unfixable mi puzza...

Un'ultima cosa (già che ci sono): da quando ho fatto la pulizia completa, WinPatrol ogni circa 10 minuti "fiuta" un cambiamento in un'associazione ai files .URL. Ecco quello che dice il mio cane da guardia:

Il programma attualmente associato a questo tipo di file è: C:\Program Files\Internet Explorer\iexplore.exe %1
E' avvenuto un cambiamento nell'uso del seguente programma con questo tipo di file: Sistema operativo Microsoft Windows, Microsoft Corporation, rundll32.exe ieframe.dll,OpenURL %l

Finora ho sempre rifiutato, ho paura che sia il rootkit che torna alla carica, secondo voi c'è da fidarsi?

Uso WinXP SP2, AVG free, Spyware Doctor, ZoneAlarm e WinPatrol.
E questo è il log completo di HijackThis, che ho già analizzato tramite il servizio apposito: hijackthis.txt

Vi ringrazio a prescindere.

**Chill-Out** · 14-05-2008, 18:17

Le due voci le puoi fixare, per quanto riguarda WinPatrol la segnalazione è normale, pero pirma di fare ciò allega un log di Hjt in versione aggiornata Download: http://www.trendsecure.com/portal/en...HiJackThis.exe

Suchoparek · 14-05-2008, 18:52

Ecco il log di HT nuova versione: hijackthis.txt

Comunque, come ho scritto anche prima, quelle due voci sono impossibili da fixare. O meglio, dice di averle fixate ma dopo sono ancora presenti...

Riguardo al rundll, quando WinPatrol mi fa la richiesta accetto, giusto?

**Chill-Out** · 14-05-2008, 22:16

Esegui HijackThis e fixa le sottoindicate voci:

O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.5.cab
O16 - DPF: {CB0EEA65-ACBA-477A-A169-10540F204AD7} (PriMusX Control) - hxxp://download.acca.it/Download/Files/PriMus-DCFWebSetup.EXE
O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing)
O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing)

Dopodichè da Start - Esegui - digita cmd - OK

sc stop 6706D589 -> invio
sc delete 6706D589 -> invio

sc stop RunDLL -> invio
sc delete RunDLL -> invio

Exit

Allega nuovo log di HijackThis

Suchoparek · 14-05-2008, 23:16

Fatto tutto, ecco il nuovo log: hijackthis.txt

Sembra proprio che ora sia tutto ok!

Un'ultima conferma, posso accettare l'avvertimento di WinPatrol?

**Chill-Out** · 15-05-2008, 08:50

Quote:

Originariamente inviato da Suchoparek

Fatto tutto, ecco il nuovo log: Allegato 62285

Sembra proprio che ora sia tutto ok!

Direi di si

Quote:

Un'ultima conferma, posso accettare l'avvertimento di WinPatrol?

Si

Dai una letta qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383

Suchoparek · 15-05-2008, 12:31

Grazie mille, sei stato gentilissimo ed efficiente!

**Chill-Out** · 15-05-2008, 12:38

Quote:

Originariamente inviato da Suchoparek

Grazie mille, sei stato gentilissimo ed efficiente!

Prego

14-05-2008, 17:24	#1
Suchoparek Member Iscritto dal: May 2008 Messaggi: 71	File sospetto: 6706D589.exe (file missing) Ciao a tutti, volevo chiedere un parere agli esperti in merito ad una infezione che fortunatamente tengo sotto controllo... Nei giorni scorsi sono stato colpito da quello che penso sia un rootkit. Su Winpatrol sotto la voce BHO c'erano delle stranissime dll impossibile da eliminare, né normalmente né al riavvio. Seguendo la guida agli infetti di questo splendido forum sono riuscito a ripulire tutto, ma facendo una nuova scansione con HijackThis ho notato che una cosa sospetta è rimasta . *O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing)* Il file incriminato non è presente sul pc (file missing), quindi non si può né fixare con HT né eliminare con Avenger (c'ho pure provato). Un altro "file missing" è relativo a questa voce: *O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing)* Sembrerebbe un file legittimo ma il fatto che sia unfixable mi puzza... Un'ultima cosa (già che ci sono): da quando ho fatto la pulizia completa, WinPatrol ogni circa 10 minuti "fiuta" un cambiamento in un'associazione ai files .URL. Ecco quello che dice il mio cane da guardia: Il programma attualmente associato a questo tipo di file è: C:\Program Files\Internet Explorer\iexplore.exe %1 E' avvenuto un cambiamento nell'uso del seguente programma con questo tipo di file: Sistema operativo Microsoft Windows, Microsoft Corporation, rundll32.exe ieframe.dll,OpenURL %l Finora ho sempre rifiutato, ho paura che sia il rootkit che torna alla carica, secondo voi c'è da fidarsi? Uso WinXP SP2, AVG free, Spyware Doctor, ZoneAlarm e WinPatrol. E questo è il log completo di HijackThis, che ho già analizzato tramite il servizio apposito: hijackthis.txt Vi ringrazio a prescindere. Ultima modifica di Suchoparek : 14-05-2008 alle 17:26.

14-05-2008, 18:17	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Le due voci le puoi fixare, per quanto riguarda WinPatrol la segnalazione è normale, pero pirma di fare ciò allega un log di Hjt in versione aggiornata Download: http://www.trendsecure.com/portal/en...HiJackThis.exe __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 14-05-2008 alle 18:20.

14-05-2008, 22:16	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Esegui HijackThis e fixa le sottoindicate voci: O9 - Extra button: (no name) - AutorunsDisabled - (no file) O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.5.cab O16 - DPF: {CB0EEA65-ACBA-477A-A169-10540F204AD7} (PriMusX Control) - hxxp://download.acca.it/Download/Files/PriMus-DCFWebSetup.EXE O23 - Service: 6706D589 - Unknown owner - C:\WINDOWS\system32\6706D589.exe (file missing) O23 - Service: RunDLL 32 (RunDLL) - Unknown owner - C:\WINDOWS\rundll.exe (file missing) Dopodichè da Start - Esegui - digita cmd - OK sc stop 6706D589 -> invio sc delete 6706D589 -> invio sc stop RunDLL -> invio sc delete RunDLL -> invio Exit Allega nuovo log di HijackThis __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 14-05-2008 alle 22:30.

14-05-2008, 18:52	#3
Suchoparek Member Iscritto dal: May 2008 Messaggi: 71	Ecco il log di HT nuova versione: hijackthis.txt Comunque, come ho scritto anche prima, quelle due voci sono impossibili da fixare. O meglio, dice di averle fixate ma dopo sono ancora presenti... Riguardo al rundll, quando WinPatrol mi fa la richiesta accetto, giusto?

14-05-2008, 23:16	#5
Suchoparek Member Iscritto dal: May 2008 Messaggi: 71	Fatto tutto, ecco il nuovo log: hijackthis.txt Sembra proprio che ora sia tutto ok! Un'ultima conferma, posso accettare l'avvertimento di WinPatrol?

15-05-2008, 12:31	#7
Suchoparek Member Iscritto dal: May 2008 Messaggi: 71	Grazie mille, sei stato gentilissimo ed efficiente!

Strumenti
Mostra una versione stampabile Invia questa pagina per email