Service32.exe ovvero rootkit rognoso

MadCow · 19-12-2006, 08:18

Ciao gente
solito PC del collega in pensione
e solita rottura di scatole preNatalizzia

il PC è infetto (era infettoda) dal Service32.exe un rootkit, segnalato dal "fantastico" Norton ma non lo rimuoveva e dopo questa segnalazione il PC andava in videata BLU bloccando il sistema
partendo in modalità provvisoria non è stato difficile trovare le sue istanze ed eliminarlo (almeno credo) sia dal hd che dal registro...

si è lasciato però una spiacevole coda: la videata BLU con blocca di sistema

dopo un minuto e 5 sec esatti (cronometrati) dall'inserimento username/password di avvio, si stente lhd ke carica brevemente qualcosa e subito dopo pc bloccato

in questo minuto e 5 sec io posso lasciare il PC a riposo farci girarare superPi, in pratica lo adope normalmente, ma passato quel tempo si blocca

dubito sia un problema hardware, ma dove lo trovo un progamma ke mi scovi un file ke non va in avvio al boot ma dopo X tempo?

avast (installato dopo) non rileva + nulla

thx
Caio

FOXYLADY · 19-12-2006, 11:32

Se sei assolutamente sicuro di aver già eliminato service32.exe, vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema e fai un ulteriore controllo in windows per verificare l'eventuale presenza di uno di questi file
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplore32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\623958248.exe o altro numero
C:\WINDOWS\iexplorre32.dll
C:\WINDOWS\lsas32.dll
C:\WINDOWS\svchost32.dll
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\winsyst32.exe
C\WINDOWS\scrss32.dll

nel caso eliminali.

Controlla anche se è presente questa chiave nel registro
HKEY_LOCAL_MACHINE\SOFTWARE\ 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, ma non e' detto che ci sia per forza).

Infine posta un log di hijackthis.

MadCow · 19-12-2006, 14:08

wow thx

dll non le avevo cercate

stasera provo e poi t dico

thx
Ciao

MadCow · 19-12-2006, 19:03

eccomi allora
sul registo questa kiave HKEY_LOCAL_MACHINE\SOFTWARE\"numeroelettereinsequenza"
l'ho trovata (iniziava per 8*****) e deliminata, ma non è servito

con il lo di hijackthis fatto analizzare dal sito...
l'unico provesso sospetto è
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
ke ho rimosso ma non ha cambiato la situazione

cmq il log è questo

Logfile of HijackThis v1.99.1
Scan saved at 18.53.32, on 19/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Documents and Settings\Madcow\Desktop\HijackThis.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

ke faccio format C:

thx a tutti
Ciao

FOXYLADY · 20-12-2006, 00:28

Prima di formattare, prova ad installare e fare una scansione con prevx
http://www.prevx.com/
dovrebbe ripulirti dei residui dell'infezione.
Nel caso anche ciò non funzionasse dovresti scaricare questo
http://www.mytempdir.com/1088004
e postarne il log, io non ho molta esperienza nell'analizzare questo tipo di log, ma magari qualcun'altro ti suggerirà cosa fare

MadCow · 20-12-2006, 01:22

thx per le info

ma ho già finito di istalalre win

pultroppo o le diagnosi virus le fai tutti i giorni..
o con 2 orette ricariki l'SO

thx Ciao

cmq spero ke poi alla fine non si aun problem hw

19-12-2006, 08:18	#1
MadCow Senior Member Iscritto dal: Mar 2001 Città: Saluzzo (CN) Messaggi: 3508	Service32.exe ovvero rootkit rognoso Ciao gente solito PC del collega in pensione e solita rottura di scatole preNatalizzia il PC è infetto (era infettoda) dal Service32.exe un rootkit, segnalato dal "fantastico" Norton ma non lo rimuoveva e dopo questa segnalazione il PC andava in videata BLU bloccando il sistema partendo in modalità provvisoria non è stato difficile trovare le sue istanze ed eliminarlo (almeno credo) sia dal hd che dal registro... si è lasciato però una spiacevole coda: la videata BLU con blocca di sistema dopo un minuto e 5 sec esatti (cronometrati) dall'inserimento username/password di avvio, si stente lhd ke carica brevemente qualcosa e subito dopo pc bloccato in questo minuto e 5 sec io posso lasciare il PC a riposo farci girarare superPi, in pratica lo adope normalmente, ma passato quel tempo si blocca dubito sia un problema hardware, ma dove lo trovo un progamma ke mi scovi un file ke non va in avvio al boot ma dopo X tempo? avast (installato dopo) non rileva + nulla thx Caio __________________ CPU Intel® Core™ i7-7700K Processor ~ MainBoard-msi270 SLIPuls ~ RAM DDR4 Corsair Vengeance LPX CMK16GX4M2B3000C15 ~ Samsung 850 Pro 256G ~ MSI GTX 1070 OC ~ Corsair HX850w BattleField3-4-1 nickname MadCow70

19-12-2006, 11:32	#2
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Se sei assolutamente sicuro di aver già eliminato service32.exe, vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema e fai un ulteriore controllo in windows per verificare l'eventuale presenza di uno di questi file C:\WINDOWS\sys32exploer.dll C:\WINDOWS\syst32.dll C:\WINDOWS\syshost.dll C:\WINDOWS\mdm32.dll C:\WINDOWS\winsmgr32.dll C:\WINDOWS\iexplore32.dll C:\WINDOWS\spoolvs32.dll C:\WINDOWS\623958248.exe o altro numero C:\WINDOWS\iexplorre32.dll C:\WINDOWS\lsas32.dll C:\WINDOWS\svchost32.dll C:\WINDOWS\sys32exploer.dll C:\WINDOWS\winsyst32.exe C\WINDOWS\scrss32.dll nel caso eliminali. Controlla anche se è presente questa chiave nel registro HKEY_LOCAL_MACHINE\SOFTWARE\ 9F65E3H10M (questa chiave è variabile.... ad esempio: 9P78Q3B10L, ma non e' detto che ci sia per forza). Infine posta un log di hijackthis. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

19-12-2006, 14:08	#3
MadCow Senior Member Iscritto dal: Mar 2001 Città: Saluzzo (CN) Messaggi: 3508	wow thx dll non le avevo cercate stasera provo e poi t dico thx Ciao __________________ CPU Intel® Core™ i7-7700K Processor ~ MainBoard-msi270 SLIPuls ~ RAM DDR4 Corsair Vengeance LPX CMK16GX4M2B3000C15 ~ Samsung 850 Pro 256G ~ MSI GTX 1070 OC ~ Corsair HX850w BattleField3-4-1 nickname MadCow70

19-12-2006, 19:03	#4
MadCow Senior Member Iscritto dal: Mar 2001 Città: Saluzzo (CN) Messaggi: 3508	eccomi allora sul registo questa kiave HKEY_LOCAL_MACHINE\SOFTWARE\"numeroelettereinsequenza" l'ho trovata (iniziava per 8***) e deliminata, ma non è servito con il lo di hijackthis fatto analizzare dal sito... l'unico provesso sospetto è C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE ke ho rimosso ma non ha cambiato la situazione cmq il log è questo Logfile of HijackThis v1.99.1 Scan saved at 18.53.32, on 19/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Avast4\aswUpdSv.exe C:\Programmi\Avast4\ashServ.exe C:\Programmi\Symantec AntiVirus\DefWatch.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Documents and Settings\Madcow\Desktop\HijackThis.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Avast4\ashMaiSv.exe C:\Programmi\Avast4\ashWebSv.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe ke faccio format C: thx a tutti Ciao __________________ CPU Intel® Core™ i7-7700K Processor ~ MainBoard-msi270 SLIPuls ~ RAM DDR4 Corsair Vengeance LPX CMK16GX4M2B3000C15 ~ Samsung 850 Pro 256G ~ MSI GTX 1070 OC ~ Corsair HX850w BattleField3-4-1 nickname MadCow70**

20-12-2006, 00:28	#5
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Prima di formattare, prova ad installare e fare una scansione con prevx http://www.prevx.com/ dovrebbe ripulirti dei residui dell'infezione. Nel caso anche ciò non funzionasse dovresti scaricare questo http://www.mytempdir.com/1088004 e postarne il log, io non ho molta esperienza nell'analizzare questo tipo di log, ma magari qualcun'altro ti suggerirà cosa fare __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci Ultima modifica di FOXYLADY : 20-12-2006 alle 01:12.

20-12-2006, 01:22	#6
MadCow Senior Member Iscritto dal: Mar 2001 Città: Saluzzo (CN) Messaggi: 3508	thx per le info ma ho già finito di istalalre win pultroppo o le diagnosi virus le fai tutti i giorni.. o con 2 orette ricariki l'SO thx Ciao cmq spero ke poi alla fine non si aun problem hw __________________ CPU Intel® Core™ i7-7700K Processor ~ MainBoard-msi270 SLIPuls ~ RAM DDR4 Corsair Vengeance LPX CMK16GX4M2B3000C15 ~ Samsung 850 Pro 256G ~ MSI GTX 1070 OC ~ Corsair HX850w BattleField3-4-1 nickname MadCow70

Strumenti
Mostra una versione stampabile Invia questa pagina per email