|
|||||||
|
|
|
 |
|
|
Strumenti |
16-02-2006, 11:11
|
#1 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
msx.dll
Prima una mia collega mi chiama tutta allarmata.
Norton rileva un trojan nel file msx.dll. Al momento del rilevamento il PC era acceso da diverse ore. Lo aveva dimenticato acceso ieri sera con Emule (  ) in funzione.Non si poteva riavviare ed andare alla modalità provvisoria, quindi passo con Norton ( ) dalla modalità normale la cartella C:\WINDOWS\system32.Rileva il file, tenta di ripararlo ma non ci riesce. Scarico Stinger, faccio la scansione dalla modalità normale della cartella C:\WINDOWS\system32 ma non rileva niente. Fianalmente posso andare per un attimo nella modalità provvisoria (Ma solo un attimo ... Mi raccomando .. Il PC mi serve) passo con Stinger ma non trova nulla. Attacco con Norton e trova il file. Non può ripararlo e così lo sbatto in quarantena. In attesa di risvolti. Mi sembra che quei file li crei un Trojan nuovo nuovo (fine gennaio) che era in allegato alla famosa mail del giochino. Ho controllato e in C:\WINDOWS\system32 c'è anche il file kaboom.dll. L'ho spostato in Documenti, zippato e controllato con Stinger e Norton. Non rilevano infezioni. Sono prossimo all'eliminazione dalla quarantena di Norton di msx.dll ed alla cestinazione di kaboo.dll. Procedo? Per sicurezza posto un log di Hijack, purtroppo non ho potuto effettuare la scansione dalla modalità provvisoria. Logfile of HijackThis v1.99.1 Scan saved at 12.08.48, on 16/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programmi\Analog Devices\SoundMAX\Smax4.exe C:\Programmi\Cobian Backup 6\CobBU.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Microsoft Office\Office\OSA.EXE C:\Programmi\Microsoft Office\Office\FINDFAST.EXE C:\Programmi\Cobian Backup 6\cobui.exe C:\WINDOWS\System32\atiisrgl.exe C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Documents and Settings\CAD 0\Documenti\Internet\Z Hider 1.02\ZHider.exe C:\Programmi\Opera\Opera.exe C:\Programmi\EGP2004\EPLUS6\EPLS.exe C:\Programmi\Messenger\msmsgs.exe C:\Documents and Settings\CAD 0\Documenti\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeinternet.it?PC=1 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSims - {4D64DAE1-DF1E-45E8-9372-84CA698335FA} - C:\WINDOWS\system32\kaboom.dll (file missing) O2 - BHO: ready2wear Class - {521693AA-7453-47ED-9959-3BD47DAA1B1A} - C:\WINDOWS\system32\msx.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [frymxins] atiimxgl O4 - HKLM\..\Run: [fryHighRes] rundll32 atipmogl.dll,DetectHighResMonitor O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Cobian Backup 6] "C:\Programmi\Cobian Backup 6\CobBU.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [cryptoexpert] "C:\Programmi\CryptoExpert 2006 Lite\cexpert.exe" /T O4 - Startup: Lavori.lnk = ? O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Get File Size - res://C:\Programmi\UnH Solutions\Get File Size\GetFileSize.exe/130 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Programmi\UnH Solutions\Get File Size\GetFileSize.exe (HKCU) O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Programmi\UnH Solutions\Get File Size\GetFileSize.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.freeinternet.it?PC=1 O17 - HKLM\System\CCS\Services\Tcpip\..\{57CECE25-F4FD-410D-A0E9-4290773DBE26}: NameServer = 212.216.172.62,212.216.112.112 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\WINDOWS\System32\atiisrgl.exe O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe Ciao e grazie
__________________
Ultima modifica di tutmosi3 : 16-02-2006 alle 11:17. |
|
|
|
16-02-2006, 11:14
|
#2 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
[tut, perchè lo hai messo in formato html che bisogna scorrere lateralmente la riga ogni volta...
 ]kaboom e freeinternet.it (a meno tu non sappia che roba sia) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
16-02-2006, 11:15
|
#3 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
è un trojan
 dovresti risolvere il problema cercando con google e seguendo le istruzioni che trovi al primo risultato |
|
|
|
|
16-02-2006, 11:15
|
#4 | ||
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Quote:
Quote:
|
||
|
|
|
|
16-02-2006, 11:17
|
#5 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
cmq scansiona con ewido e bitdefenderfree e immunizza gli host con spywareblaster che è meglio...
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
16-02-2006, 11:21
|
#6 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Per togliere definitivamente msx.dll e kaboom.dll basta seguire le istruzioni di questo sito:http://www.greatis.com/security/ICQC...%20remover.htm
Per quanto riguarda il log elimina queste: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: MSims - {4D64DAE1-DF1E-45E8-9372-84CA698335FA} - C:\WINDOWS\system32\kaboom.dll (file missing) O2 - BHO: ready2wear Class - {521693AA-7453-47ED-9959-3BD47DAA1B1A} - C:\WINDOWS\system32\msx.dll (file missing) Ultima modifica di andorra24 : 16-02-2006 alle 11:31. |
|
|
|
|
16-02-2006, 11:35
|
#7 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6394
|
visto che ci sei chiedi anche quanto ha fatto al gioco delle freccette
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
16-02-2006, 13:16
|
#8 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Quote:
Pare vada tutto bene, per sicurezza ho scaricato Reanimator. Grazie |
|
|
|
|
|
16-02-2006, 13:17
|
#9 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Quote:
Ha lanciato l'eseguibile ma gli ha dato errore perchè mancava un file. Ciao |
|
|
|
|
|
16-02-2006, 13:30
|
#10 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
Strano,di solito e' infallibile con kaboom.dll e msk.dll |
|
|
|
|
|
16-02-2006, 13:31
|
#11 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6394
|
Quote:
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
|
16-02-2006, 13:33
|
#12 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
|
|
|
|
|
|
16-02-2006, 14:26
|
#13 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Infatti il giovhino non ha funzionato.
Mentre Reanimator (grazie Andorra sei davvero una buona amica) l'ho scaricato ma non ho avuto modo/tempo di usarlo. Ho fatto una pulitina mauale del registro, fixato le voci di Hijack e pare che tutto sia OK. Qualora ci fossero rogne userò le maniere forti (Reanimator). Grazie |
|
|
|
|
16-02-2006, 14:38
|
#14 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
reanimator? chi è costui? fatemi imparare...
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
16-02-2006, 14:42
|
#15 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Quote:
Ciao |
|
|
|
|
|
16-02-2006, 14:47
|
#16 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
sta diavolaccia, lei e i suoi link cilindrici....
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
16-02-2006, 14:49
|
#17 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Quote:
Ciao |
|
|
|
|
|
16-02-2006, 14:51
|
#18 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
appunto: una diavolaccia....
 l'ho provato chiede una registrazione facoltativa iniziale e poi e mi dice: you are probably infected by a virus: siccome non è vero...
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK Ultima modifica di Stev-O : 16-02-2006 alle 14:54. |
|
|
|
|
16-02-2006, 14:52
|
#19 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
 
|
|
|
|
|
|
16-02-2006, 14:56
|
#20 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
è sempre li cmq non puoi parlarle dietro un attimo che sbuca fuori....
un diavolo in gonnella....(forse)  mi sembra un mezzo doppione di autoruns cmq mi dà in rosso ftp.kaspersky.com
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK Ultima modifica di Stev-O : 16-02-2006 alle 15:00. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:39.
