|
|||||||
|
|
|
 |
|
|
Strumenti |
12-08-2004, 18:52
|
#1 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
winsocker.exe e spoolvs
Questi due processi chiedono al mio Zone Alarm di accedere alla rete, ne sapete qcosa?
Su Google, in italiano, niente! In inglese e tedesco, qualcosa... Cmq sto provando spybot e hijackthis!
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
12-08-2004, 20:59
|
#2 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
Ecco Hijack
Questo è il log di hijackthis, dopo aver scansionato gli hdd con spyBot e Ad-Aware...
che ne pensate? Logfile of HijackThis v1.98.2 Scan saved at 21.56.58, on 12/08/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\PDesk\PDesk.exe C:\Programmi\Messenger\msmsgs.exe C:\WINDOWS\System32\winsocker.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\mgabg.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchosts.exe C:\WINDOWS\System32\msiexec.exe C:\Documents and Settings\bompis\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svchosts.exe O4 - HKLM\..\RunServices: [Microsoft Update] winsocker.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update] winsocker.exe O4 - HKCU\..\Run: [Microsoft WinUpdate] svchosts.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
|
12-08-2004, 22:26
|
#3 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
attenzione: nel tuo log ci sono dei processi svchosts.exe ed altre cosette che riconducono a qualche variante del trojan sdbot Un'occhiata qui: http://securityresponse.symantec.com...r.sdbot.t.html Fai un passaggio con un buon antivirus aggiornato dalla mod. provvisoria naturalmente dop aver cancellato tutti i temporanei, i temp di internet e disattivato il system restore. Edit: Un bun antivirus on line è questo: http://it.trendmicro-europe.com/cons...usecall_it.php Contro SDBOT è buono anche lo stinger: http://vil.nai.com/vil/stinger/ ... sempre da modalità provvisoria
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 12-08-2004 alle 22:33. |
|
|
|
|
13-08-2004, 11:24
|
#4 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
...ho controllato bene le indicazioni della symantec, sono molto
dettagliate. In effetti gli eseguibili nel log di hijack non sono gli stessi indicati per questo trojan. Ecco i colpevoli indicati da symantec Winsock2 driver"="kgzgjkpcw.exe" Winsock2 driver"="ZONEALARM.EXE" Ed ecco invece quello che ho io, anche nel registro di sistema: O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe Il primo è un generico processo del so, può essere associato a diversi eseguibili, in effetti anche pericolosi, ma sul pc possono comparirne diversi, anche tutti innoqui. Il secondo si occupa della funzione "windows update". Per quel che riguarda zonealarm.exe, in effetti è un file maligno, ma io ne ho uno dal nome diverso, contenuto nella legittima cartella di zonealarm. Insomma, dovrei essere pulito, come hanno già sentenziato spybot, ad-aware e stinger. Tuttavia sto scansionando, proprio ora, col sw online della trend. Ho cancellato i file temporanei internet, l'unica cosa è che non riesco ad avviare in modalità provvisoria: dopo averla scelta, il pc s'incanta su schermata nera e cursore lampeggiante, in alto a sx. Ti faccio sapere, grazie mille!
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
|
13-08-2004, 11:41
|
#5 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
Anche Trend conferma
Anche la scansione online della Trend dice che è tutto a posto.
Cmq continuerò a stuiare la situazione. Vorrei capire il problema della modalità provvisoria che non riesco ad attivare...
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
|
13-08-2004, 12:46
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
[quote]Ed ecco invece quello che ho io, anche nel registro di sistema:
O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe Il primo è un generico processo del so, può essere associato a diversi eseguibili, in effetti anche pericolosi, ma sul pc possono comparirne diversi, anche tutti innoqui. Il secondo si occupa della funzione "windows update/[quote] Attenzione, per come la so io: svchost.exe è un processo legittimo mentre svchosts.exe con la "S" finale è un malware! Inoltre winsock.exe è regolare mentre winsocker.exe è sconosciuto imho fortemente sospetto Ciao,  buon lavoro
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
14-08-2004, 10:43
|
#7 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
cacchio!
Quella "s" finale mi era sfuggita!
Ho appena tolto il permesso di accedere alla rete a quei due processi, solo non mi spiego perchè tutte le scansioni che ho fatto, anche in modalità provvisoria finalmente, non abbiano riscontrato nulla. Continuerò a cercare, grazie.
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
|
20-08-2004, 15:29
|
#8 |
|
Member
Iscritto dal: Apr 2000
Messaggi: 216
|
Risolto!
Sono riuscito ad eliminare sia winsocker.exe che svchosts.exe, effettivamente rivelatisi dei file malevoli.
Si trattava di due varianti del Gaobot, in particolare W32/Gaobot.AFV.worm W32/Gaobot.gen.worm rilevati ed eliminati dal servizio di scansione online di PANDA ANTIVIRUS. Norton, sempre online, ne aveva rilevato uno, ma il tool di romozione gratuito non aveva funzionato. McAfee, sempre online gratuitamente, li rilevava entrambi, senz aperò offrire una soluzione gratuita. PANDA ha anche rilevato un altro virus, finora sfuggito alle molte scansioni fatte, online e non. Virus:Trj/Libie.A in G:\syslibie.dll, nel terzo hd di questa macchina, davvero infestato! Bene, spero sianonotizie utili. Vorrei inoltre segnalare questi due link: - http://www.mvps.org/sramesh2k/Scanners.htm - http://www.computerselect.com/getmor...sid=40&level=1 Davvero utilissimi!
__________________
ASUS P4P800 - overclocked P4 2,8ghz - 1gb ram 3200 - HD Maxtor 7200rpm 80gb [partizione Xp SP2 & sw + partizione dati] - HD Samsung 160gb [2 partizioni dati] - GeForce2 64mb - audio integrato SOUND MAX 5.1 - Avast Antivirus - Sygate Personal Firewall - FireFox. ------------------------------- Superman è morto. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:34.
