|
|||||||
|
|
|
 |
|
|
Strumenti |
20-11-2004, 14:45
|
#1 |
|
Senior Member
Iscritto dal: Apr 2004
Messaggi: 666
|
winampa.exe
Oggi navigando ad un certo punto explorer si chiude,guardo nel task manager e ho 2 processi strani,bla.exe e winampa.exe.
Ho subito trovato ed eliminato il file bla.exe (poi identificato come un isulso trojan),invece winampa.exe sembra non esistere,apparte un file preftech. Ho cercato su internet,e sembra sia un programmino che si aggancia a Winamp e ciuccia tutta la memoria,io però non ho winamp! Comunque dopo aver eliminato bla.exe ho riavviato per vedere se si ripresentava winampa,però ora sembra nn ci sia,si vede che non avendo winamp non riesce ad agire sul mio pc. Spete qualcosa in piu su qesto winampa.exe? se volete darci un occhiata questo è il log di hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 14.48.39, on 20/11/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\GSICON.EXE C:\WINDOWS\System32\dslagent.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\andrea@\Documenti\installazioni\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9899FFA1-4522-45F8-9B88-38EDF0A9CB95}: NameServer = 217.141.109.207 151.99.125.1 |
|
|
|
20-11-2004, 20:54
|
#2 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
si, winampa.exe l'ho analizzato io e segnalato alle società di antivirus
 bla.exe è un trojan downloader, si collega ad un determinato sito e scarica il file winampa.exe. winampa.exe è una backdoor. Panda l'ha chiamato Javudoor.A, Computer Associates Reckmess.A, altre società hanno usato nomi generici (agent.ec Kaspersky). É un file compresso (PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT). Una volta lanciato crea un file <random>.exe e un <random>.dat dentro la directory di sistema e una chiave "JavaUpdate0.07"="C:\system32\<random>.exe" sotto la voce "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". Apre una porta tcp random e la comunica ad un server web remoto. Inoltre tenta di terminare alcuni software di sicurezza Ciao Eraser
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
20-11-2004, 23:52
|
#3 |
|
Senior Member
Iscritto dal: Oct 2002
Messaggi: 5675
|
è strano, perchè a me ogni volta che installo winamp mi appare anche un winampa.exe nella stessa directory relativa, avevo sentito di comunicazioni più o meno lecite, tra winamp e non mi ricordo bene cosa... a chi
 ... ma è lo stesso di quello indagato qui?P.S. l'ho messo in allegato, per un eventuale controllo... Grazie!
__________________
CONTRO L'HIMMOBILISMO vàluta contro il madrinaggio/in psicologia casalinga, e casereccia, che si propaga dal quotidiano feedback massmediale (televisivo) in italia; silenzia quelle trasmissioni TV pseudizzanti, e tutta la cultura celebrante dei successi proposti da e per adolescenti e da gente da apparenza |
|
|
|
|
20-11-2004, 23:54
|
#4 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
ho tolto l'allegato
 ora lo vedo però se è un virus meglio non pubblicarlo
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
21-11-2004, 00:09
|
#5 | |
|
Senior Member
Iscritto dal: Oct 2002
Messaggi: 5675
|
Quote:
__________________
CONTRO L'HIMMOBILISMO vàluta contro il madrinaggio/in psicologia casalinga, e casereccia, che si propaga dal quotidiano feedback massmediale (televisivo) in italia; silenzia quelle trasmissioni TV pseudizzanti, e tutta la cultura celebrante dei successi proposti da e per adolescenti e da gente da apparenza |
|
|
|
|
|
21-11-2004, 14:32
|
#6 | |
|
Senior Member
Iscritto dal: Apr 2004
Messaggi: 666
|
Quote:
Sono aposto? |
|
|
|
|
|
21-11-2004, 20:27
|
#7 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
si
@raxas: quello che hai postato te non è lo stesso winampa.exe di cui si parla nel thread non mi sembra un virus a prima vista
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
21-11-2004, 21:25
|
#8 | |
|
Senior Member
Iscritto dal: Oct 2002
Messaggi: 5675
|
Quote:
cmq preciso che si tratta di uno dei file, insieme a winamp.exe, che viene messo nella cartella winamp quando appunto si installa il player, credo che si ritrovi in tutti i winamp installati, il mio dubbio nasceva dal fatto che si è parlato di comunicazioni sospette che winamp rimandava non mi ricordo a chi, problema presentatosi poco tempo fa, cmq questo winampa.exe (che ho allegato) appartiene all'ultima versione di winamp (506full) quella dopo l'acquisizione di AOL, nota per trafficamenti vari...
__________________
CONTRO L'HIMMOBILISMO vàluta contro il madrinaggio/in psicologia casalinga, e casereccia, che si propaga dal quotidiano feedback massmediale (televisivo) in italia; silenzia quelle trasmissioni TV pseudizzanti, e tutta la cultura celebrante dei successi proposti da e per adolescenti e da gente da apparenza Ultima modifica di raxas : 21-11-2004 alle 21:37. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:18.
