PDA

Visualizza versione completa : Winlogon.exe


monroo
30-11-2006, 11.37.24
Ultimamente avevo beccato un trojan (credo), e rimosso grezzamente cercando le chiavi di registro e i file che aveva installato... Sinceramente non so se ho fatto un buon lavoro, in questi giorni ho purtroppo poco tempo per mettermi a smanettare a fondo, quindi mi metto nelle vostre mani...
Allora, da un po' di tempo, Sygate (5.6 build 2808, l'ultima free), mi da questo mex:

File Version : 5.1.2600.2180
File Description : Applicazione Accesso a Windows NT (winlogon.exe)
File Path : C:\WINDOWS\system32\winlogon.exe
Process ID : 0x2AC (Heximal) 684 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.1.33
Local Port : 4394
Remote Name : parladent-doc.org
Remote Address : 209.123.181.80
Remote Port : 80 (HTTP - World Wide Web)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-a0-c5-d0-03-5d
Source: 00-11-50-78-6f-6e
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x25fb (Correct)
Source: 192.168.1.33
Destination: 209.123.181.80
Transmission Control Protocol (TCP)
Source port: 4394
Destination port: 80
Sequence number: 2951292383
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x4713 (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 A0 C5 D0 03 5D 00 11 : 50 78 6F 6E 08 00 45 00 | .....]..Pxon..E.
0010: 00 30 B7 0C 40 00 80 06 : FB 25 C0 A8 01 21 D1 7B | .0..@....%...!.{
0020: B5 50 11 2A 00 50 AF E9 : 25 DF 00 00 00 00 70 02 | .P.*.P..%.....p.
0030: 40 00 13 47 00 00 02 04 : 05 B4 01 01 04 02 F3 EC | @..G............
0040: A2 40 D3 8A 31 BB F7 D4 : 72 01 F1 75 | .@..1...r..u


Che punta qui: http://209.123.181.80/

A vederla nulla di strano, solo che prima (del trojan) non me lo faceva, e anche se ho letto a giro che winlogon.exe che starta da quella cartella è corretto, non mi pare "normale" che prima non lo faceva, contando che non ho fatto aggiornamenti di patch di windows....

Poi ho usato RootKitRevealer, segnalato anche qui su WT:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 05/11/2006 12.23 0 bytes Access is denied.
C:\WINDOWS\system32\p79bsksb.sys 16/11/2006 2.15 2.98 KB Hidden from Windows API.
C:\WINDOWS\system32\pasksa.dll 16/11/2006 2.15 10.54 KB Hidden from Windows API.


E infine:
Logfile of HijackThis v1.99.1
Scan saved at 11.33.30, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate Personal Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Belkin Wireless Network Utility\WLService.exe
C:\Programmi\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
E:\eMule\emule.exe
C:\Programmi\Canon\MultiPASS4\MPDBMgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\Rar$EX00.121\Root kitRevealer.exe
C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\A.exe
C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\Rar$EX00.173\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [PmProxy] C:\Programmi\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)
O23 - Service: A - ??????????????????????????????????? - C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\A.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programmi\Belkin Wireless Network Utility\WLService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Grazie a chiunque mi illumini un po'... Intanto torno a studiare.. :inn:

crazy.cat
30-11-2006, 14.08.31
Aclune zozzerie ci sono:
O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)
O23 - Service: A - ??????????????????????????????????? - C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\A.exe

controlla la presenza di questi file nel tuo pc
http://research.sunbelt-software.com/threatdisplay.aspx?name=Haxdoor.Fam&threatid=44159

C:\WINDOWS\system32\p79bsksb.sys 16/11/2006 2.15 2.98 KB Hidden from Windows API.
http://www.greatis.com/appdata/d/p/p79bsksb.sys_Removal.htm

monroo
30-11-2006, 18.49.08
Allora, dovrei aver fixato lo 020, ovvero pasksa e xartcd5 con RegRun.

A.exe non lo trovo nella cartella temp....

Per quanto riguarda la lista di file nel pc, non credo di averne, mi pare un paio di averli visti una volta, ma li cancellai...

Il log di Hackjthis è pulito ora....

Ps: Nella cartella temp c'è un unico file non cancellabile, ovvero : Perflib_Perfdata_690.dat

I due file che vedevo con RookItRevelear non li vedo nella cartella...ma le windows API li nascondono? Ovviamente ho "visualizza tutti i file di sistema....

monroo
03-12-2006, 22.08.01
Nuovo log dopo riavvio...direi che va bene no?

Logfile of HijackThis v1.99.1
Scan saved at 22.07.22, on 03/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate Personal Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Belkin Wireless Network Utility\WLService.exe
C:\Programmi\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
E:\eMule\emule.exe
C:\Programmi\BitComet\BitComet.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\Rar$EX00.823\Root kitRevealer.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\MoNrOo\IMPOST~1\Temp\Rar$EX00.634\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PmProxy] C:\Programmi\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programmi\Belkin Wireless Network Utility\WLService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe


Poi RootKitRevealer:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 05/11/2006 12.23 0 bytes Access is denied.

Ma la cosa strana è che il programma della synaptics tenta di lanciare IE a questo indirizzo: 209.167.111.110 ....

Boh...

Lionsquid
05-12-2006, 19.56.43
ma altri strumenti specifici ???

tipo adsspy?

o il virit lite??

monroo
05-12-2006, 20.16.39
Boh, AdAware e trackZapper, oltre a RegRun, non hanno rilevato nulla... Ergo, credo che non ci sia nulla, visto anche che al momento non ho problemi...il "winlogon.exe" motivo del thread è sparito....

Per la verità anche quello della synaptics è sparito.. Boh!...

monroo
13-01-2007, 12.51.34
Mmmmhhh... Secondo me, quello che mi succede da un po' di tempo è sempre legato a questa storia...

In pratica, ogni volta che avvio windows, dopo un po', qualche secondo, una applicazione tenta l'accesso a internet... Questa applicazione è sempre la stessa finchè per dire non cancello manualmente l'exe, in quel caso, al riavvio successivo sarà un altro .exe a far questo lavoro...

Faccio l'esempio, magari è più chiaro:

avevo pmproxy.exe che tentava l'accesso; disinstallato (driver scheda audio), reinstallato, al riavvio era hotkey.exe (roba del touchpad se non erro), e se levavo quello, al riavvio dopo era dkicon (quella di diskeeper per capirsi).

Detto questo, se vado a fare le proprietà dei vai exe, risultano tutti "installati" il 7 dicembre.. Peccato che gli abbia installati a ottobre, quindi ritengo che qualcosa li abbia modificati....

Ora il punto è....che cosa? Il computer, dopo il lavoro che ho fatto in tutta questa discussione, dovrebbe essere pulito...
Che altre scansioni di programmi posso fare????
O sennò le rifaccio tutte....

(Ditemi qualcosa pliiiiiissss, mi sto angustiando....)

crazy.cat
13-01-2007, 13.00.01
O fai analizzare alcuni dei file "modificati" o sospetti sul sito www.virustotal.com e vedi se sono dei virus.
Oppure una scansione totale su www.kaspersky.com e vedi cosa ne esce, riporta il log dinale qui nella discussione.

monroo
13-01-2007, 13.06.05
Mmmhhh...Stavo rifacendo ora, ora, l'ennesima analisi, e ho ritirato fuori VirIt Lite... Dopo averlo aggiornato, mi sta trovando trojan annidati negli .exe di cui parlavo... Quindi magari risolvo...

Grazie lo stesso, lo tengo di conto per le prossime volte... (Comunque vediamo se si risolve eh...)

Lionsquid
13-01-2007, 13.31.21
W32.Tenga??? (F-Prot) ... W32.Stanit (Antivir).. non ricordo come lo ha identificato il McAfee...

ho ripulito 2 pc ieri e ieri l'altro... centinaia di exe infetti e tutti che avviano una connessione... sembrerebbe quello :mm:

monroo
13-01-2007, 13.45.26
Sì, mi pare fosse una cosa del genere... Lo segnalava come Trojan; poi mi dava i file di Flashget come virus... Dato che mi ero rotto di trovarmelo in ogni scansione, l'ho eliminato, tanto non sto usando Download Manager da una vita... :D