appena accendo il pc.....

[francesco25]

.....questo inizia a trasmettere tramite rete locale una grande quantita' di dati.....


eppure non sto trasmettendo niente....
spybot non rileva nulla......


che puo' essere?

[bluepix]

potrebbero essere i programmi installati che si vanno a cercare gli aggiornamenti qualora siano settati ad "aggiornamento automatico" oppure...... potrebbe essere qualche trojan che trasmette i dati raccolti in giornata o a scaricare il trojan da qualche sito.

Se vuoi puoi postare il log di Hijackthis.

[francesco25]

ok ora lo posto.....

nel frattempo o fatto uno stinger e non ha rilevato nulla..

ora faccio un Ad aware e posto il log di Hijackthis.

[francesco25]

eccolo.....


Logfile of HijackThis v1.98.2
Scan saved at 10.11.03, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Documents and Settings\ziso\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neteservice.it/mdr_wmail/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunOnce: [DelDirTree] C:\WINDOWS\UnInst32.exe C:\WINDOWS\DelDir.BEN
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112694782442
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE566367-FB0A-40D2-8A83-7F16453F2F41}: NameServer = 151.99.125.2,151.99.125.3

[bluepix]

Allora .. dovresti essere infettato dal virus W32/Rbot-ZP.

devi fixare le seguenti linee:

O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6...bridge-c267.cab


disabilitare il rispristino di sistema
ed eliminare il file:

C:\WINDOWS\System32\MSMSN32.exe

PS: Controlla se, col task manager hai il programma MSMSN32.exe attivo se si stoppalo prima di cancellare il file.

- Scarica la nuova versione di Hijeckthis che attualmente è la V1.99.1

Installa un firewall

[francesco25]

grazie della risposta


intanto volevo chiederti come fai a capire che sono infettato da quel virus o a un virus in generale....leggendo il log.....io non ci capisco

un' altra cosa , "fixare le linee" basta che seleziono la linea e clicco FIX tutto qui? ?

poi ti posto il log fatto con la nuova versione, se puo essere utile


Logfile of HijackThis v1.99.1
Scan saved at 10.50.00, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Documents and Settings\ziso\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neteservice.it/mdr_wmail/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunOnce: [DelDirTree] C:\WINDOWS\UnInst32.exe C:\WINDOWS\DelDir.BEN
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112694782442
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE566367-FB0A-40D2-8A83-7F16453F2F41}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe



poi adesso mi è venuto in mente che questo pc è attaccato ad un altro in lan da cui prende la connessione internet....non vorrei chee anche l'altro fosse infettato da qualcosa perche' in effetti anche da quello fuoriescono troppi dati...posto il log pure dell'altro pc

Logfile of HijackThis v1.99.1
Scan saved at 11.03.22, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\notes.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Documents and Settings\SETTE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - Startup: Internet Explorer.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108742824640
O17 - HKLM\System\CCS\Services\Tcpip\..\{522091DD-9028-4859-94AD-A881031D7293}: NameServer = 217.141.255.204 151.99.125.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

spero tu possa aiutarmi

[bluepix]

idem come sopra, però stavolta il file malefico è notes.exe

O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\RunServices: [notes] notes.exe

stesse operazioni come l'altro.

Anche qui installa un firewall.

Ps: Si fixare significa spuntare la voce a sinista e poi clikkare su fix.

Mi chiedi come faccio a capire l'infezione.
Beh ... per prima cosa posto il log in un analizzatore.
sulle voci sospetti vado a fare una ricerca in Internet con google.
Al 99% il virus/trojan etc etc è già stato segnalato da qualcuno.
Se trovo qualcosa di utile lo segnalo.
E' chiaro che anche vedendo molti log nasce una sensibilità particolare perchè, anche se ci sono tantissime varianti, il parco programmi è abbastanza stabilizzato e quindi, quando c'è qualcosa di non visto, nasce il sospetto che poi viene approfondito.

ciaooooo

[francesco25]

Quote:

Originariamente inviato da bluepix
idem come sopra, però stavolta il file malefico è notes.exe

O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\RunServices: [notes] notes.exe

stesse operazioni come l'altro.

Anche qui installa un firewall.

Ps: Si fixare significa spuntare la voce a sinista e poi clikkare su fix.

Mi chiedi come faccio a capire l'infezione.
Beh ... per prima cosa posto il log in un analizzatore.
sulle voci sospetti vado a fare una ricerca in Internet con google.
Al 99% il virus/trojan etc etc è già stato segnalato da qualcuno.
Se trovo qualcosa di utile lo segnalo.
E' chiaro che anche vedendo molti log nasce una sensibilità particolare perchè, anche se ci sono tantissime varianti, il parco programmi è abbastanza stabilizzato e quindi, quando c'è qualcosa di non visto, nasce il sospetto che poi viene approfondito.

ciaooooo

ok grazie di tutto
mi dici una cosa, dove trovo questi analizzatori di log?

[bluepix]

ce ne sono due che conosco:

http://www.hijackthis.de/index.php

e

http://hjt.iamnotageek.com/

Il primo è migliore e più sicuro mentre il secondo si appoggia ad un proprio DB con la descrizione dei programmi.

[francesco25]

thx

[juninho85]

Platform: Windows XP SP1 (WinNT 5.01.2600)
installa l'SP"

C:\WINDOWS\system32\spoolsv.exe
impostalo su "manuale" da services.msc

C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
hai screendragon 3 installato?se la risposta è no cancella pure questi due file

C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\MSAOL32.exe
sempre piu rincoglioniti questi lameroni

O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
dipende da sopra

O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunOnce: [DelDirTree] C:\WINDOWS\UnInst32.exe C:\WINDOWS\DelDir.BEN
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
ancora lameroni
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
romuovilo da msconfig

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
idem come sopra

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112694782442
disattiva gli aggiornamenti automatici
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE566367-FB0A-40D2-8A83-7F16453F2F41}: NameServer = 151.99.125.2,151.99.125.3 [/quote]
altro lamerone poco arguto

[francesco25]

non capisco cosa intendi? lamerone

[juninho85]

Quote:

Originariamente inviato da francesco25
non capisco cosa intendi? lamerone

lamerone=chi usa il pc credendosi un gran intenditore mentre invece non sa manco dove c'ha li piedi

[francesco25]

lo so che significa lamer, non capisco quello che vuoi dire te....

[juninho85]

Quote:

Originariamente inviato da francesco25
lo so che significa lamer, non capisco quello che vuoi dire te....

...che almeno se voglio fare i bastardi che lo facciano bene,sono file sgammabili al primi colpo d'occhio.

prendi invece il caso di isass.exe e lsass.exe,secondo quali die 2 e il virus?

[francesco25]

cmq questi ip ( NameServer = 151.99.125.2,151.99.125.3) sono gli ip dei DNS che usa la rete dove era attaccato il pc...quindi non sono nulla di estraeno...