strano processo all'avvio ise32

LordObiWan · 08-10-2008, 09:14

Salve a tutti. Una mia amica ha un toshiba che monta copia originale Windows Vista Home Premium
All'avvio le parte una finestra che rileva un processo attivato..ise32
cercando in giro ho visto che si tratterebbe di un worm. Il fatto è che sia nel registro di sistema sia facendo una scansione con hijackthis non ho rilevato nulla di strano. Può essere che non si tratti allora di un worm o io devo mettere in campo altri programmi?
Grazie in anticipo

wjmat · 08-10-2008, 09:37

ciao

Scarica da qui Process Explorer.
Estrailo → fallo partire e cerca il processo incriminato → click destro sul processo → seleziona Properties.... → sotto la scheda Image copiati la stringa alla voce Path e incollala qui

**Chill-Out** · 08-10-2008, 09:38

Quote:

Originariamente inviato da wjmat

ciao

Scarica da qui Process Explorer.
Estrailo → fallo partire e cerca il processo incriminato → click destro sul processo → seleziona Properties.... → copiati la stringa sotto la voce Path e incollala qui

E' infetto probabile Trojan Backdoor

wjmat · 08-10-2008, 09:42

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/star...exe-22719.html

LordObiWan · 08-10-2008, 11:05

Quote:

Originariamente inviato da wjmat

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/star...exe-22719.html

Prima di tutto, grazie dell'aiuto che mi state dando!!!!

Dunque...il sito che hai postato l'ho visto anche io e ho anche cercato nel registro di sistema come dicono loro...però non ho trovato il riferimento CLSID: {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Per quello ad un certo punto mi son domandato se era veramente una backdoor
Stasera dovrei vederla ed eseguo cmq il programma processexplorer
Domanda...se non fosse lanciato come lo scopro? potrebbe anche aver un nome diverso forse.

LordObiWan · 08-10-2008, 11:07

Quote:

Originariamente inviato da wjmat

ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo...
http://www.bleepingcomputer.com/star...exe-22719.html

Prim
Dunque...il sito che hai postato l'ho visto anche io e ho anche cercato nel registro di sistema come dicono loro...però non ho trovato il riferimento CLSID: {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Per quello ad un certo punto mi son domandato se era veramente una backdoor
Stasera dovrei vederla ed eseguo cmq il programma processexplorer
Domanda...se non fosse lanciato come lo scopro? potrebbe anche aver un nome diverso forse.
ps scusate ho la linea un po' impaccata e ho duplicato il post.

wjmat · 08-10-2008, 11:10

se non lo trovi fai un check-up veloce (15 minuti circa)

scansione rapida con Malwarebytes' Anti-Malware
scansione rootkit con Gmer
log classico con HiJackThis
scansione con Prevx (richiesta connessione ad internet)

poi carica secondo le modalità tutti log
se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti per una pulizia completa

LordObiWan · 08-10-2008, 11:13

Quote:

Originariamente inviato da wjmat

se non lo trovi fai un check-up veloce (15 minuti circa)

scansione rapida con Malwarebytes' Anti-Malware
scansione rootkit con Gmer
log classico con HiJackThis
scansione con Prevx (richiesta connessione ad internet)

poi carica secondo le modalità tutti log
se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti per una pulizia completa

Ok entro stasera farò quanto dici.
A proposito...una scansione con hijackthis l'ho già fatta ma c'è un dannatissimo pulsante ebay che nel log mi compare ma non nella schermata fix

wjmat · 08-10-2008, 11:16

quando carichi tutto vediamo...

LordObiWan · 11-10-2008, 16:46

ho fatto le scansioni con i programmi che mi hai detto
http://www.fileqube.com/shared/itWBtq130782
http://www.fileqube.com/shared/KFSwA130783
http://www.fileqube.com/shared/jSgZFcNFN130785

questa è l'immagine della finestra che compare all'apertura di windows vista
http://img376.imageshack.us/my.php?i...mmagineah6.jpg

wjmat · 11-10-2008, 19:15

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16  - tutte le voci

wjmat · 11-10-2008, 19:17

da bigino in firma fai pulizia con sdfix
http://www.hwupgrade.it/forum/showpo...8&postcount=20

LordObiWan · 11-10-2008, 20:48

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O16  - tutte le voci

dunque...non so come mai ma non trovo le righe di skype e rundll32

Inoltre lei aveva norton antivirus...l'ho tolto...però non so se tutto....non ricordo dove si trovi sul forum la guida di disinstallazione di Norton
Le ho installato antivir che con una scansione mi ha trovato ise32 e l'ha eliminato...fantastico!!! cmq seguo il bigino...non capisco però la mancanza di queste righe nel fix...
posso levare anche le varie toolbar???
ps: gestisci allegati? ho sbagliato a mettere sul forum i log?

wjmat · 11-10-2008, 20:56

nel trattamento in firma sez antivirus c'è il link per le rimozioni antivirus
carica il log della scansione completa con antivir

LordObiWan · 11-10-2008, 21:01

Quote:

Originariamente inviato da wjmat

nel trattamento in firma sez antivirus c'è il link per le rimozioni antivirus
carica il log della scansione completa con antivir

sdfix è compatibile con win vista?
ecco il log
http://www.fileqube.com/shared/pULSiWS131024

**Chill-Out** · 11-10-2008, 21:02

Quote:

Originariamente inviato da LordObiWan

sdfix è compatibile con win vista?
ecco il log
http://www.fileqube.com/shared/pULSiWS131024

No, inoltre Avira non è configurato come da Guida

LordObiWan · 11-10-2008, 21:14

Quote:

Originariamente inviato da Chill-Out

No, inoltre Avira non è configurato come da Guida

eh ora lo sto configurando....un attimo di pazienza

08-10-2008, 09:14	#1
LordObiWan Member Iscritto dal: Oct 2008 Messaggi: 35	strano processo all'avvio ise32 Salve a tutti. Una mia amica ha un toshiba che monta copia originale Windows Vista Home Premium All'avvio le parte una finestra che rileva un processo attivato..ise32 cercando in giro ho visto che si tratterebbe di un worm. Il fatto è che sia nel registro di sistema sia facendo una scansione con hijackthis non ho rilevato nulla di strano. Può essere che non si tratti allora di un worm o io devo mettere in campo altri programmi? Grazie in anticipo

08-10-2008, 09:37	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao Scarica da qui Process Explorer. Estrailo → fallo partire e cerca il processo incriminato → click destro sul processo → seleziona Properties.... → sotto la scheda Image copiati la stringa alla voce Path e incollala qui __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 08-10-2008 alle 09:39.

08-10-2008, 09:42	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ho visto su bleeping che può si può far fuori con sdfix e volevo verificare l'indirizzo... http://www.bleepingcomputer.com/star...exe-22719.html __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-10-2008, 11:10	#7
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	se non lo trovi fai un check-up veloce (15 minuti circa) scansione rapida con Malwarebytes' Anti-Malware scansione rootkit con Gmer log classico con HiJackThis scansione con Prevx (richiesta connessione ad internet) poi carica secondo le modalità tutti log se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti per una pulizia completa __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-10-2008, 11:16	#9
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	quando carichi tutto vediamo... __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

11-10-2008, 16:46	#10
LordObiWan Member Iscritto dal: Oct 2008 Messaggi: 35	ho fatto le scansioni con i programmi che mi hai detto http://www.fileqube.com/shared/itWBtq130782 http://www.fileqube.com/shared/KFSwA130783 http://www.fileqube.com/shared/jSgZFcNFN130785 questa è l'immagine della finestra che compare all'apertura di windows vista http://img376.imageshack.us/my.php?i...mmagineah6.jpg

11-10-2008, 19:15	#11
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Lancia HiJackThis Clicca Do a scan only Metti la spunta a fianco delle righe che ti segnalo qui sotto Clicca su Fix Checked Riavvia il pc Lancia HiJackThis Do a system scan and save a logfile Carica il nuovo log con la funzione gestisci allegati _________________________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16711) Codice: Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16711) O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE') O16 - tutte le voci __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

11-10-2008, 19:17	#12
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	da bigino in firma fai pulizia con sdfix http://www.hwupgrade.it/forum/showpo...8&postcount=20 __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 11-10-2008 alle 19:19.

11-10-2008, 20:56	#14
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	nel trattamento in firma sez antivirus c'è il link per le rimozioni antivirus carica il log della scansione completa con antivir __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

Strumenti
Mostra una versione stampabile Invia questa pagina per email