|
|||||||
|
|
|
 |
|
|
Strumenti |
20-08-2004, 22:34
|
#1 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
omsoosrv.exe
Pensavo fosse un virus (infatti vedevo che cercava di connettersi ad internet quando ero connesso)
L'ho eliminato manualmente ed e' successo il pandemonio. Praticamente non riuscivo piu' a lanciare nessun eseguibile. Poi sono riuscito a ricollocarlo nella sua durectory (system32/rr32/omsoosrv.exe) ed ho riavvato. E da quel momento in poi tutto rifunziona. Devo dire che non riuscivo neanche ad aprire le cartelle. Mi diceva che non ritrovava i percorsi. Chi sa dirmi che tipo di file e'???? Grazie Ecco il log di Hijack Logfile of HijackThis v1.97.7 Scan saved at 22.36.41, on 20/08/2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programmi\Sygate\SPF\Smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\rr32\omsoosrv.exe C:\Programmi\Grisoft\AVG6\avgcc32.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programmi\CpuIdle\cpuidle.exe C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe D:\01 - Installazione\10 - MbProbe 1.31\MBProbe.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\WINNT\explorer.exe C:\WINNT\regedit.exe D:\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [AVG_CC] C:\Programmi\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CpuIdle] C:\Programmi\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Wintask] C:\WINNT\system32\rr32\omsoosrv.exe O4 - HKLM\..\Run: [Configuration Loader] msgcfgsrv.exe O4 - HKLM\..\RunServices: [Configuration Loader] msgcfgsrv.exe O4 - HKLM\..\RunOnce: [Wintask] C:\WINNT\system32\rr32\omsoosrv.exe /RunOnce O4 - Startup: MBProbe.lnk = D:\01 - Installazione\10 - MbProbe 1.31\MBProbe.exe O9 - Extra button: Ricerche (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...140.5974074074 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FBB5C2C8-6BF1-4A2C-9CFA-79929D24E028}: NameServer = 62.211.69.150 212.48.4.15
__________________
CHRISTIAN NOEMI VINCENZA VI AMO Ultima modifica di overthetop : 20-08-2004 alle 22:36. |
|
|
|
20-08-2004, 23:03
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
io ti posso solo dire che sei infestato da qualcosa che non conosco (e di cui non trovo neppure tracce su internet) anche se ho dato un'occhiata fugace. I problemi sono questi: C:\WINNT\system32\rr32\omsoosrv.exe O4 - HKLM\..\Run: [Wintask] C:\WINNT\system32\rr32\omsoosrv.exe O4 - HKLM\..\Run: [Configuration Loader] msgcfgsrv.exe O4 - HKLM\..\RunServices: [Configuration Loader] msgcfgsrv.exe O4 - HKLM\..\RunOnce: [Wintask] C:\WINNT\system32\rr32\omsoosrv.exe /RunOnce Normalmente dovrei dirti di terminare quel processo ed eliminarlo(C:\WINNT\system32\rr32\omsoosrv.exe) e fissare con hijackthis tutte le 04 che ho segnalato. Tuttavia, dato il casino che ti è successo dopo l'eliminazione di omsoosrv.exe conviene indire un summit (una specie di consulto  ) ed attendere il parere degli esperti del forum. Posso consigliarti di inviare quell'eseguibile ad Eraser e a MrOz perchè lo possano analizzare e consigliarti una strategia. Questi gli indirizzi per l'invio dei file sospetti: [email protected] [email protected] EDIT: scarica una versione più recente di hijackthis, la tua è vecchia e potrebbe non mostrare tutti i problemi
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 20-08-2004 alle 23:05. |
|
|
|
|
20-08-2004, 23:10
|
#3 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
Ok ho mandato il files.
Ora aspettiamo risposte
__________________
CHRISTIAN NOEMI VINCENZA VI AMO |
|
|
|
|
20-08-2004, 23:12
|
#4 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
Scusa ma la piu' recente che riesco a trovare e' la 1.97.7 cioe' quella che sto usando.
__________________
CHRISTIAN NOEMI VINCENZA VI AMO |
|
|
|
|
20-08-2004, 23:20
|
#5 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Una curiosità:
per caso, lanciando una ricerca con start->cerca-file e cartelle trovi anche questo eseguibile? "msgcfgsrv.exe" naturalmente attivando la visualizzazione di files e cartelle nascosti... di msgcfgsrv.exe c'è qualche traccia su un forum tedesco (trovato con altavista, google non lo trova) Io però non capisco una parola di quell'infernale idioma 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
20-08-2004, 23:22
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Hijackthis 1.98.2: http://www.tweakness.net/showfiles.php?fid=5
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
21-08-2004, 00:02
|
#7 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
è semplicemente la backdoor Mosucker.G compressa con l'ultima versione (ancora beta) del packer UPX (versione 1.92).
Qualcuno si è divertito a ripackare la backdoor con il nuovo packer in modo che alcuni antivirus avessero problemi nel decomprimerlo 
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 21-08-2004 alle 00:05. |
|
|
|
|
21-08-2004, 00:45
|
#8 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
Ok come si fa a togliere???
Hai letto cosa sucede se lo elimino????
__________________
CHRISTIAN NOEMI VINCENZA VI AMO |
|
|
|
|
21-08-2004, 11:56
|
#9 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
mi mandi anche msgcfgsrv.exe?
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
21-08-2004, 23:07
|
#10 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
Non riesco a trovarlo nel pc.
Forse la scansione on line di trend l'ha tolto. Bohhh. Per l'altro files che mi dici????
__________________
CHRISTIAN NOEMI VINCENZA VI AMO |
|
|
|
|
21-08-2004, 23:42
|
#11 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
che secondo me se togli quei due files dal pc e dalle voci del registro funziona tutto, però non ci metterei la mano sul fuoco
Te prova  ovviamente prima fai un backup di files e registro
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
22-08-2004, 22:23
|
#12 |
|
Senior Member
Iscritto dal: Feb 2001
Città: Colleferro 40 KM a sud di ROMA
Messaggi: 7609
|
Magari potessi permetermi di fare queste prove.
Non posso spegnere il pc Se c'e' un altro modo ok, altrimenti devo imparare a conviverci. Tanto comunque ho bloccato i loro processi con sygate.
__________________
CHRISTIAN NOEMI VINCENZA VI AMO |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:02.
