Slave.exe

[-Yara-]

Salve a tutti.

E' da un po di tempo che nel task manager mi compare questo processo....credo che sia un backdoor perchè se zone alarma di negargli l'accesso ad internet...nessun problema...se invece glielo permetto la connessione risulta occupata (come se stesse scaricando qualcosa).

Ho provato a terminare il processo ma non me lo permette, neppure in modalità provvisoria.
Mi era venuto in mente di cancellarlo da DOS..ma non so dove sia

HElp

Ah NOD32 non rileva nulla....

[wgator]

Ciao,

... si, è un backdoor, ed è abbastanza pericoloso.

Strano che NOD32 non lo rilevi, quello viene beccato persino dal norton

E' anche strano che non si riesca a cancellare da modalità provvisoria.

Potresti aiutarti con il solitohijackthis per capire il percorso esatto, (dovrebbe essere in system32) e vedere quali chiavi di registro ha pasticciato.

Puoi anche usare process explorer per tentare di killare il processo prima di rimuovere l'eseguibile: http://www.sysinternals.com/

[-Yara-]

Quote:

Originariamente inviato da wgator
Ciao,

... si, è un backdoor, ed è abbastanza pericoloso.

Strano che NOD32 non lo rilevi, quello viene beccato persino dal norton

E' anche strano che non si riesca a cancellare da modalità provvisoria.

Potresti aiutarti con il solitohijackthis per capire il percorso esatto, (dovrebbe essere in system32) e vedere quali chiavi di registro ha pasticciato.

Puoi anche usare process explorer per tentare di killare il processo prima di rimuovere l'eseguibile: http://www.sysinternals.com/

Grazei 1000
Ho visto che sta merda è in WINNT\Slave.exe
Allora ho cercato sul registro Slave.exe ed individua una chiave:
Nome: ImagePath
Tipo: REG_EXPAND_SZ
Dati: E:\WINNT\Slave.exe

Che faccio la cancello?

EDIT: cmq non ho provato a cancellarlo in modalità provv., bensi solo di terminarlo..quasi quasi adesso provo

[wgator]

Ciao,

se sei riuscito a terminare il processo e cancellare l'eseguibile, lancia hijackthis e cancella i riferimenti con quello, è + sicuro.

Se non l'hai mai usato incollail log qui che ci guardiamo insieme

[-Yara-]

Quote:

Originariamente inviato da wgator
Ciao,

se sei riuscito a terminare il processo e cancellare l'eseguibile, lancia hijackthis e cancella i riferimenti con quello, è + sicuro.

Se non l'hai mai usato incollail log qui che ci guardiamo insieme

MMM ho avviato la modalità provvisoria di windows 2000..ariva al caricamente e si riavvia
Allora decido di fare modalità provvisoria con prompt di comandi...
per fortuna si avvia allora nella schermata scrivo DEL E:\WINNT\Slave.exe
Riavvio e il backdoor non c'è +
Apro regedit e cancello tutto quello che c'è su Slave.exe..cmq provo anche questo prog. che mi hai dato e ti faccio sapere...alla fine era + ISI di quello che credevo
Tiè

Cmq grazie 1000 per la disponibilità

[-Yara-]

Ecco il logLogfile of HijackThis v1.98.2
Scan saved at 2.34.10, on 01/01/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\Ati2evxx.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\atiisrgl.exe
E:\Programmi\Eset\nod32krn.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\ZoneLabs\vsmon.exe
E:\WINNT\system32\Ati2evxx.exe
E:\WINNT\Explorer.EXE
E:\Programmi\WinGate\WinGate.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\SOUNDMAN.EXE
E:\Programmi\Trust\CnxDslTb.exe
E:\Programmi\Eset\nod32kui.exe
E:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINNT\system32\internat.exe
E:\Programmi\MSN Messenger\MsnMsgr.Exe
E:\mIRC\mirc.exe
E:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Documents and Settings\Antonio1\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwmod.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [trustras] trustras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] E:\Programmi\Trust\CnxDslTb.exe
O4 - HKLM\..\Run: [nod32kui] "E:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows WKS] wsass.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] E:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [frymxins] atiimxgl
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Windows WKS] wsass.exe
O4 - HKLM\..\RunServices: [Configuration] explorer32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Configuration] explorer32.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinGate Engine Monitor.lnk = E:\Programmi\WinGate\wgengmon.exe
O4 - Global Startup: WinGate VPN Monitor.lnk = E:\PROGRA~1\WinGate\WGVPNMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.hwupgrade.it/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{665D91BB-397E-4766-A61C-5FB8A155EB3F}: NameServer = 192.168.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C17FC177-ECF2-40A5-BAA6-5C5CCBA527E7}: NameServer = 195.31.14.211 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{665D91BB-397E-4766-A61C-5FB8A155EB3F}: NameServer = 192.168.100.1

[wgator]

Ciao,

ti avevo chiesto il log di hijackthis perchè immaginavo che quel backdoor avesse degli amichetti.

Nel tuo log ci sono dei processi che non mi sono noti (dovrei controllarli bene) tuttavia mi sono balzati all'occhio queste cose:

Questo potrebbe essere il lovgate

E:\Programmi\WinGate\WinGate.exe

e questi dovrebbero essere altri virus e backdoor:

O4 - HKLM\..\RunServices: [Windows WKS] wsass.exe
O4 - HKLM\..\RunServices: [Configuration] explorer32.exe
O4 - HKCU\..\Run: [Configuration] explorer32.exe

Hai provato a fare una scansione on line con un buon antivirus?

Ho paura che il tuo nod non funzioni bene

[wgator]

Per lovgate e sdbot dovrebbe andare bene lo stinger (è un remover) da modalità provvisoria: http://vil.nai.com/vil/stinger/

Provalo

[-Yara-]

Quote:

Originariamente inviato da wgator
Ciao,

ti avevo chiesto il log di hijackthis perchè immaginavo che quel backdoor avesse degli amichetti.

Nel tuo log ci sono dei processi che non mi sono noti (dovrei controllarli bene) tuttavia mi sono balzati all'occhio queste cose:

Questo potrebbe essere il lovgate

E:\Programmi\WinGate\WinGate.exe

e questi dovrebbero essere altri virus e backdoor:

O4 - HKLM\..\RunServices: [Windows WKS] wsass.exe
O4 - HKLM\..\RunServices: [Configuration] explorer32.exe
O4 - HKCU\..\Run: [Configuration] explorer32.exe

Hai provato a fare una scansione on line con un buon antivirus?

Ho paura che il tuo nod non funzioni bene

Allora WinGate è sotto controllo è un programma per condivdidere le connessioni
explorer32 è un noto virus..ma l'ho cancellato tempo fa da modalità provvisorai..quello il nod me lo trovava

Ora provo col link che mi hai dato..cmq non c'è nessun processo nel task manager che si chiami explorer32.exe apunto perchè me ne sono gia liberato..quello dev'essere un residuo
Cmq grazie ancora per l'aiuto

[wgator]

Quote:

Originariamente inviato da -Yara-
Allora WinGate è sotto controllo è un programma per condivdidere le connessioni
explorer32 è un noto virus..ma l'ho cancellato tempo fa da modalità provvisorai..quello il nod me lo trovava

Ora provo col link che mi hai dato..cmq non c'è nessun processo nel task manager che si chiami explorer32.exe apunto perchè me ne sono gia liberato..quello dev'essere un residuo
Cmq grazie ancora per l'aiuto

Ciao,

bene, meglio così allora evedentemente l'antivirus a suo tempo ha eliminato gli eseguibili e hijackthis evidenzia solamente le vecchie chiavi "Run" che sono rimaste nel registro di sistema.

P.S.

wingate come programma per condividere le connessioni non lo conoscevo quel nome lo associavo solamente ad un virus...

[-Yara-]

Quote:

Originariamente inviato da wgator
Ciao,

bene, meglio così allora evedentemente l'antivirus a suo tempo ha eliminato gli eseguibili e hijackthis evidenzia solamente le vecchie chiavi "Run" che sono rimaste nel registro di sistema.

P.S.

wingate come programma per condividere le connessioni non lo conoscevo quel nome lo associavo solamente ad un virus...

Ciao, ho bisogno ancora del tuo aiuto
Adesso ho 2 processi che si chiamano WebRates0.exe e WebRates1.exe che non riesco ne ad individuare, ne a terminare

Consigli? Ho gia cancellato la chuiave run di questi 2...