RegAsm.exe mi spia? (keylogger)

jackslater · 24-10-2016, 12:06

Ciao ragazzi,

Mi sono accorto di avere in esecuzione il processo RegAsm.exe con un certo uso di CPU.
Andando a monitorare con Process Monitor (Sysinternals) ho scoperto che il processo accede a dei file .DAT che si trovano in una cartella (nel percorso \AppData\Roaming\[lunga cifra di numeri e lettere]\logs\[nome utente]).
Andando ad aprire uno di questi file *.DAT ho scoperto, con enorme sorpresa, che contiene un lungo elenco di tutto ciò che ho digitato nel PC, incluso quali azioni ho compiuto, finestre aperte, etc. TUTTO.

Sono andato a controllare il file RegAsm.exe e mi appare come un normalissimo componente firmato Microsoft.
Si trova in C:\Windows\Microsoft.NET\Framework\v4.0.30319.
L'ho testato con vari antivirus (Comodo - sempre attivo, Malwarebytes), ed anche con VirusTotal, e non mi trovano nessun tipo di virus.

Avete idea di cosa possa essere? Su Google non trovo niente.

Telemetria di Windows? in questi mesi avevo escluso tutti gli aggiornamenti coinvolti.
Tra l'altro vedo che RegAsm.exe è un componente di NET framework, non vedo cosa c'entri con la telemetria.

Grazie per le vostre dritte.

Eress · 24-10-2016, 15:00

Intanto dicci che SO utilizzi, in effetti quello è un processo legittimo, però ne esistono anche varianti malevole a quanto pare

https://file-intelligence.comodo.com...are/exe/RegAsm

Cmq se il processo non occupa cpu non dovrebbe essere nulla di che, anche in considerazione che l'hai analizzato con vari strumenti, tra cui VirusTotal e Comodo.

jackslater · 24-10-2016, 15:22

Quote:

Originariamente inviato da Eress

Intanto dicci che SO utilizzi, in effetti quello è un processo legittimo, però ne esistono anche varianti malevole a quanto pare

https://file-intelligence.comodo.com...are/exe/RegAsm

Cmq se il processo non occupa cpu non dovrebbe essere nulla di che, anche in considerazione che l'hai analizzato con vari strumenti, tra cui VirusTotal e Comodo.

Il S.O. è quello in firma, ovvero Windows 8.1.
Ho continuato a cercare e ho trovato che potrebbe essere qualcosa di simile al virus Latentbot (https://www.fireeye.com/blog/threat-..._trace_me.html) che guarda caso si inietta appunto dentro RegAsm.exe.

Il file è originale e pulito, l'ho caricato su VT e non trova nessun virus (0/0).

Eress · 28-10-2016, 07:36

L'unica via che hai è provare altre scansioni con altri tool di rimozione malware.

24-10-2016, 12:06	#1
jackslater Senior Member Iscritto dal: Apr 2007 Città: dappertutto Messaggi: 680	RegAsm.exe mi spia? (keylogger) Ciao ragazzi, Mi sono accorto di avere in esecuzione il processo RegAsm.exe con un certo uso di CPU. Andando a monitorare con Process Monitor (Sysinternals) ho scoperto che il processo accede a dei file .DAT che si trovano in una cartella (nel percorso \AppData\Roaming\[lunga cifra di numeri e lettere]\logs\[nome utente]). Andando ad aprire uno di questi file *.DAT ho scoperto, con enorme sorpresa, che contiene un lungo elenco di tutto ciò che ho digitato nel PC, incluso quali azioni ho compiuto, finestre aperte, etc. TUTTO. Sono andato a controllare il file RegAsm.exe e mi appare come un normalissimo componente firmato Microsoft. Si trova in C:\Windows\Microsoft.NET\Framework\v4.0.30319. L'ho testato con vari antivirus (Comodo - sempre attivo, Malwarebytes), ed anche con VirusTotal, e non mi trovano nessun tipo di virus. Avete idea di cosa possa essere? Su Google non trovo niente. Telemetria di Windows? in questi mesi avevo escluso tutti gli aggiornamenti coinvolti. Tra l'altro vedo che RegAsm.exe è un componente di NET framework, non vedo cosa c'entri con la telemetria. Grazie per le vostre dritte.

24-10-2016, 15:00	#2
Eress Senior Member Iscritto dal: Jan 2010 Messaggi: 37081	Intanto dicci che SO utilizzi, in effetti quello è un processo legittimo, però ne esistono anche varianti malevole a quanto pare https://file-intelligence.comodo.com...are/exe/RegAsm Cmq se il processo non occupa cpu non dovrebbe essere nulla di che, anche in considerazione che l'hai analizzato con vari strumenti, tra cui VirusTotal e Comodo. __________________ Analemma - Slowdive - Facebook Motto Microsoft: "If it's broken, and I'm the one who broke it, don't fix it!" Ultima modifica di Eress : 24-10-2016 alle 15:18.

28-10-2016, 07:36	#4
Eress Senior Member Iscritto dal: Jan 2010 Messaggi: 37081	L'unica via che hai è provare altre scansioni con altri tool di rimozione malware. __________________ Analemma - Slowdive - Facebook Motto Microsoft: "If it's broken, and I'm the one who broke it, don't fix it!"

Strumenti
Mostra una versione stampabile Invia questa pagina per email