|
|||||||
|
|
|
 |
|
|
Strumenti |
04-06-2009, 04:19
|
#1 |
|
Bannato
Iscritto dal: Mar 2003
Città: Roma
Messaggi: 1904
|
[LUNGO - CON LOGS] - Strani .exe creati durante navigazione...
Ciao,
stavo navigando in Google Maps per visualizzare tutte le discoteche di Milano quando Kasperky Internet Security 2009 se ne esce dicendo che un certo file "j'allégerais.exe" proveniente da http://updates.advert-network.com/bi...?tcpc=24218031 è stato messo in 'restrizione bassa'. Mi è preso un colpo, perchè non stavo navigando in alcun sito pericoloso, avevo aperto solo Google Maps con Firefox 2.0 e sulla colonna di sinistra alcuni nomi di discoteche trovate da G.Maps a Milano con relativo segno sulla mappa. Ho analizzato tutta l'attività del file e ho visto che ha fatto questo: 04/06/2009 2.16.36 Modifica HKEY_USERS \S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Connections/SavedLegacySettings 04/06/2009 2.16.35 Accesso a dati interni del browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/ KLShellWindowsAcceess 04/06/2009 2.16.33 Crea HKEY_USERS \S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows \CurrentVersion\Run/occmq 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\occmq/NoRepair 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\occmq/NoModify 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\occmq/NoRemove 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\occmq/UninstallString 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\occmq/DisplayName 04/06/2009 2.16.32 Crea HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SOFTWARE \MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OCCMQ 04/06/2009 2.16.32 Elimina C:\documents and settings\proprietario \impostazioni locali\dati applicazioni\wyqyi.exe 04/06/2009 2.16.32 Elimina HKEY_USERS \S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows \CurrentVersion\Run/wyqyi 04/06/2009 2.16.32 Avvio processo C:\documents and settings \proprietario\impostazioni locali\dati applicazioni\occmq.exe 04/06/2009 2.16.31 Inserito nel gruppo Restrizione bassa Per quanto riguarda quel file wyqyi.exe, ecco cosa ha fatto fino a poco prima (cronologia dal giorno precedente, ha creato molti file .js): 04/06/2009 2.16.32 Uscita processo C:\documents and settings \proprietario\impostazioni locali\dati applicazioni\wyqyi.exe 04/06/2009 2.16.29 Crea C:\documents and settings\proprietario \impostazioni locali\dati applicazioni\occmq.exe 03/06/2009 23.07.32 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \Finding_ShowItems_e615i8748675_6_it_IT[1].js 03/06/2009 23.07.32 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \Finding_Common_e617i8823120_6b_it_IT[1].js 03/06/2009 23.07.31 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S \GlobalNav14_RtmDC_e611i8276132_1_it_IT[1].js 03/06/2009 23.07.29 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S \GlobalNav14_EbayR2_e617i8823120_1_it_IT[1].js 03/06/2009 23.07.29 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC \Finding_Ajax_e617i8823120_3_it_IT[1].js 03/06/2009 23.07.28 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \SYS14_vjo_e617i8823120_1_it_IT[1].js 03/06/2009 20.36.26 Modifica HKEY_USERS \S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Connections/SavedLegacySettings 03/06/2009 20.36.25 Accesso a dati interni del browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/ KLShellWindowsAcceess 03/06/2009 20.36.24 Avvio processo C:\documents and settings \proprietario\impostazioni locali\dati applicazioni\wyqyi.exe 03/06/2009 19.34.03 Uscita processo C:\documents and settings \proprietario\impostazioni locali\dati applicazioni\wyqyi.exe 03/06/2009 18.47.19 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC \jquery.validate[1].js 03/06/2009 18.47.19 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \jquery.templating[1].js 03/06/2009 18.47.19 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\8MNBAFLV \jquery.cascade.ext[1].js 03/06/2009 18.47.18 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\A2KG592S \jquery.cascade[1].js 03/06/2009 18.47.18 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC \jquery[1].js 03/06/2009 18.42.33 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\MXHX24HC \Finding_ShowItems_e615i8748675_6_it_IT[1].js 03/06/2009 18.42.32 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \Finding_Common_e617i8823120_6b_it_IT[1].js 03/06/2009 18.42.31 Crea C:\documents and settings\proprietario \impostazioni locali\Temporary Internet Files\Content.IE5\U8Y5OSEV \GlobalNav14_RtmDC_e611i8276132_1_it_IT[1].js ecc.... WYQYI.EXE è stato creato da ACWEY.EXE in data 29/05/2009 2.14.48, come mostra il log di KIS: 29/05/2009 2.14.50 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe 29/05/2009 2.14.48 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\wyqyi.exe 28/05/2009 13.58.53 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe 28/05/2009 12.43.15 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe 28/05/2009 8.43.49 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\functions_with_telefono[1].js 28/05/2009 8.43.49 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\address_check[1].js 28/05/2009 7.42.42 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\ga[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\TopOffers[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\jquery.timers-1.1.2[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\jquery[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\caller[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\AutoSuggestBox[1].js 28/05/2009 7.42.41 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\select[1].js 28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\flights[1].js 28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\calendar-setup[1].js 28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\calendar-it[1].js 28/05/2009 7.42.40 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\calendar[1].js 27/05/2009 20.14.23 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\WBK66YV3\ga[1].js 27/05/2009 20.14.22 Accesso all'archiviazione protetta Consentito: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLPrtStgAccess 27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\AC_RunActiveContent[1].js 27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\237OUGI4\pageear[1].js 27/05/2009 20.14.22 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\EPIGAHVU\controller[1].js 27/05/2009 20.14.21 Crea C:\documents and settings\proprietario\impostazioni locali\Temporary Internet Files\Content.IE5\IZK4KQV3\model[1].js ecc... ACWEY.EXE a sua volta è stato creato da UCWKMWS.EXE in data 20/05/2009 come mostra sempre il log di KIS: 20/05/2009 14.09.50 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe 20/05/2009 14.09.48 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\acwey.exe 20/05/2009 7.38.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 19/05/2009 1.47.37 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 18/05/2009 23.11.09 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 18/05/2009 10.56.36 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 17/05/2009 21.32.23 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 17/05/2009 13.09.19 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings 17/05/2009 13.07.22 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe 17/05/2009 11.07.39 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe 15/05/2009 22.41.20 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 15/05/2009 13.39.14 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 15/05/2009 8.06.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 15/05/2009 2.11.15 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings ecc... e UCWKMWS.EXE è stato creato da EMMGKWA.EXE in data 15/05/2009 15/05/2009 2.11.13 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe 15/05/2009 2.11.07 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ucwkmws.exe 14/05/2009 9.37.12 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 14/05/2009 9.01.41 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 19.53.05 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 19.03.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 18.53.29 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 18.50.25 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 18.46.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 18.41.45 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 18.37.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 12.04.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 13/05/2009 1.03.22 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 12/05/2009 18.49.55 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 12/05/2009 17.41.59 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 12/05/2009 15.54.38 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings 12/05/2009 15.54.26 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe ecc... a sua volta creato da MGEYO.EXE in data 11/05/2009 11/05/2009 2.09.58 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe 11/05/2009 2.09.51 Crea C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\emmgkwa.exe 10/05/2009 10.45.58 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 09/05/2009 22.23.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 09/05/2009 21.35.18 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 09/05/2009 10.55.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 09/05/2009 10.12.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 08/05/2009 11.14.28 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 23.05.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 19.18.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 11.22.33 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 10.23.03 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 9.12.08 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 8.38.14 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 8.34.51 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 07/05/2009 8.18.51 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 21.45.52 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 20.00.00 Modifica HKEY_USERS\S-1-5-21-448539723-515967899-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings 06/05/2009 19.59.58 Accesso a dati interni del browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLShellWindowsAcceess 06/05/2009 19.59.55 Avvio processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe 06/05/2009 19.58.07 Uscita processo C:\documents and settings\proprietario\impostazioni locali\dati applicazioni\mgeyo.exe 06/05/2009 15.10.06 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 9.22.19 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 9.09.02 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 8.42.08 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 06/05/2009 7.57.59 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 05/05/2009 12.07.32 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 05/05/2009 12.02.34 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 05/05/2009 8.53.03 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 05/05/2009 8.04.53 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI 05/05/2009 7.02.05 Usa API dei browser Consentito: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserAPI A questo punto pare che la catena si interrompa e che quindi MGEYO.EXE sia all'origine di tutta la catena di files. Ho appena terminato la scansione del pc con KIS 2009 aggiornato su Windows XP aggiornato, ma non ha trovato virus/trojan...nulla, solo vulnerabilità note in programmi leciti. Cosa devo pensare? Sono infetto e non lo so? Ogni aiuto, consiglio è ben accetto. Grazie! |
|
|
04-06-2009, 08:43
|
#2 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
direi che si va avanti solo qui
http://www.hwupgrade.it/forum/showthread.php?t=1993770
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
04-06-2009, 09:15
|
#3 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Chiudo in quanto doppione.
__________________
Try again and you will be luckier.
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:24.
