Trojan che si reinstalla

gellok · 17-12-2006, 17:41

Ciao,ho un file in c/windows/sistem32/svkp.sys che il programma Virit lite me lo segnala come Trojan Win32.Small.ND,ma è l'unico perchè nè Avg,nè Ewido,nè AdAware ecc..mi trovano niente.Ho fatto una scansione on line con Panda e niente nemmeno quì.Penso allora a un falso allarme,ma facendo un'altra scansione on line con Virus Total e Jotti's mi viene trovato questo
Poi l'avevo eliminato,ma dopo un pò si è ripresentato.Allora in modalità provvisoria e togliendo il ripristino di configurazione l'ho ri-eliminato,ma 5/6 gg dopo eccolo ancora quì(ho rimesso il ripristino).Vi posto il log di Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17.35.05, on 17/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
D:\Programmi\Executive Software\Diskeeper\DkService.exe
D:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
D:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
D:\VEXPLITE\MONLITE.EXE
D:\Programmi\Mozilla firefox\firefox.exe
D:\Programmi\eMule AcKroNiC\emule.exe
D:\Programmi\PeerGuardian2\pg2.exe
D:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.062\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVG7_CC] "D:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] D:\VEXPLITE\MONLITE.EXE
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{51D54F90-A7E4-4A77-960E-20D2F8243AF1}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{51D54F90-A7E4-4A77-960E-20D2F8243AF1}: NameServer = 213.205.32.70 213.205.36.70
O20 - AppInit_DLLs: d:\progra~1\agnitum\outpos~1\wl_hook.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - D:\VEXPLITE\viritsvc.exe

Il server del punto 17 è il mio...che ne dite?

lucas84 · 17-12-2006, 18:18

Ciao,il file svkp.sys è un driver relativo ad un software di protezione per files,il software,è usato da moltissimi softwares leggittimi ma anche da alcuni malwares,ma dal log penso che non sia il tuo caso

Ciao

wizard1993 · 17-12-2006, 19:01

è pulito

gellok · 17-12-2006, 19:31

Quindi sto tranquillo...però in proprietà

normale?
Grazie ancora

lucas84 · 17-12-2006, 19:35

software di protezione=anticracking

Questi software "impediscono" o mettono in difficoltà l'attività di reverse engineering sui files

Ciao

gellok · 17-12-2006, 22:55

Quote:

Originariamente inviato da lucas84

software di protezione=anticracking

Questi software "impediscono" o mettono in difficoltà l'attività di reverse engineering sui files

Ciao

Quindi per quanto lo elimini si ricreerà sempre,fa parte del S.O.?

lucas84 · 18-12-2006, 12:21

No,non fa parte di windows,non eliminarlo in quanto il driver può essere parte integrante di qualche software installato sul tuo pc

Ciao

gellok · 19-12-2006, 23:53

Grazie 1000

17-12-2006, 17:41	#1
gellok Senior Member Iscritto dal: Apr 2006 Città: Belluno Messaggi: 311	Trojan che si reinstalla Ciao,ho un file in c/windows/sistem32/svkp.sys che il programma Virit lite me lo segnala come Trojan Win32.Small.ND,ma è l'unico perchè nè Avg,nè Ewido,nè AdAware ecc..mi trovano niente.Ho fatto una scansione on line con Panda e niente nemmeno quì.Penso allora a un falso allarme,ma facendo un'altra scansione on line con Virus Total e Jotti's mi viene trovato questo Poi l'avevo eliminato,ma dopo un pò si è ripresentato.Allora in modalità provvisoria e togliendo il ripristino di configurazione l'ho ri-eliminato,ma 5/6 gg dopo eccolo ancora quì(ho rimesso il ripristino).Vi posto il log di Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 17.35.05, on 17/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe D:\PROGRA~1\Grisoft\AVG7\avgemc.exe D:\Programmi\Executive Software\Diskeeper\DkService.exe D:\Programmi\ewido anti-malware\ewidoctrl.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Programmi\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe D:\VEXPLITE\viritsvc.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE D:\PROGRA~1\Grisoft\AVG7\avgcc.exe D:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe D:\VEXPLITE\MONLITE.EXE D:\Programmi\Mozilla firefox\firefox.exe D:\Programmi\eMule AcKroNiC\emule.exe D:\Programmi\PeerGuardian2\pg2.exe D:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.062\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [AVG7_CC] "D:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP O4 - HKLM\..\Run: [SpywareTerminator] "D:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [Outpost Firewall] D:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [VIRIT LITE MONITOR] D:\VEXPLITE\MONLITE.EXE O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Converti in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti nel file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti selezione in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti selezione in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{51D54F90-A7E4-4A77-960E-20D2F8243AF1}: NameServer = 213.205.32.70 213.205.36.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{51D54F90-A7E4-4A77-960E-20D2F8243AF1}: NameServer = 213.205.32.70 213.205.36.70 O20 - AppInit_DLLs: d:\progra~1\agnitum\outpos~1\wl_hook.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programmi\Executive Software\Diskeeper\DkService.exe O23 - Service: ewido security suite control - ewido networks - D:\Programmi\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programmi\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - D:\VEXPLITE\viritsvc.exe Il server del punto 17 è il mio...che ne dite?

17-12-2006, 18:18	#2
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Ciao,il file svkp.sys è un driver relativo ad un software di protezione per files,il software,è usato da moltissimi softwares leggittimi ma anche da alcuni malwares,ma dal log penso che non sia il tuo caso Ciao __________________ Il dubbio è il padre del sapere.

17-12-2006, 19:01	#3
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	è pulito __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

17-12-2006, 19:35	#5
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	software di protezione=anticracking Questi software "impediscono" o mettono in difficoltà l'attività di reverse engineering sui files Ciao __________________ Il dubbio è il padre del sapere.

18-12-2006, 12:21	#7
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	No,non fa parte di windows,non eliminarlo in quanto il driver può essere parte integrante di qualche software installato sul tuo pc Ciao __________________ Il dubbio è il padre del sapere.

17-12-2006, 19:31	#4
gellok Senior Member Iscritto dal: Apr 2006 Città: Belluno Messaggi: 311	Quindi sto tranquillo...però in proprietà normale? Grazie ancora

19-12-2006, 23:53	#8
gellok Senior Member Iscritto dal: Apr 2006 Città: Belluno Messaggi: 311	Grazie 1000

Strumenti
Mostra una versione stampabile Invia questa pagina per email