PDA

Visualizza versione completa : log hijackthis


luca2
02-02-2007, 22.32.16
Ci dovrebbe essere un virus
Avast intercetta un virus trj nei file comuni (non ricordo il nome, il pc è di un mio amico):

Logfile of HijackThis v1.99.1
Scan saved at 18.25.51, on 02/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I09 1.EXE
C:\Programmi\File comuni\{C8A2E4EF-0A63-1040-0606-060715050027}\Update.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\programmi\voipstunt.com\voipstunt\voipstunt.exe
C:\Documents and Settings\utente\Dati applicazioni\??mbols\m?dtc.exe
C:\Programmi\Microsoft Student\Microsoft Encarta 2007 - Premium + Student DVD\EDICT.EXE
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {A8003408-F7C3-8C1F-9A3A-8CBAAA3B40C4} - C:\WINDOWS\system32\muygrqhr.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: (no name) - {A8003408-F7C3-8C1F-9A3A-8CBAAA3B40C4} - C:\WINDOWS\system32\muygrqhr.dll (file missing)
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I09 1.EXE /P23 "EPSON Stylus C48 Series" /O6 "USB001" /M "Stylus C48"
O4 - HKLM\..\Run: [{C8A2E4EF-0A64-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A64-1040-0606-060715050027}\Update.exe" te-110-12-0000307
O4 - HKLM\..\Run: [IpWins] C:\Programmi\Ipwindows\ipwins.exe
O4 - HKLM\..\Run: [{C8A2E4EF-0A63-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A63-1040-0606-060715050027}\Update.exe" te-110-12-0000307
O4 - HKLM\..\Run: [{C8A2E4EF-0A65-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A65-1040-0606-060715050027}\Update.exe" te-110-12-0000307
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipStunt] "C:\programmi\voipstunt.com\voipstunt\voipstunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Lrlu] "C:\DOCUME~1\utente\DOCUME~1\FNTS~1\dexplore.exe" -vt yazb
O4 - HKCU\..\Run: [Wawpmwg] C:\Documents and Settings\utente\Dati applicazioni\??mbols\m?dtc.exe
O4 - HKCU\..\Run: [L07IXLRD_324296] "C:\Programmi\Microsoft Student\Microsoft Encarta 2007 - Premium + Student DVD\EDICT.EXE" -m
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{87E246A4-6C41-4371-860F-C4BA677C68A5}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000307 (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Programmi\Windows Media Player\WMPNetwk.exe (file missing)

Grazie

Lionsquid
02-02-2007, 23.05.58
Ci dovrebbe essere un virus
Avast intercetta un virus trj nei file comuni (non ricordo il nome, il pc è di un mio amico):

...cut...


R3 - URLSearchHook: (no name) - {A8003408-F7C3-8C1F-9A3A-8CBAAA3B40C4} - C:\WINDOWS\system32\muygrqhr.dll (file missing)

O2 - BHO: (no name) - {A8003408-F7C3-8C1F-9A3A-8CBAAA3B40C4} - C:\WINDOWS\system32\muygrqhr.dll (file missing)

O4 - HKLM\..\Run: [{C8A2E4EF-0A64-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A64-1040-0606-060715050027}\Update.exe" te-110-12-0000307

O4 - HKLM\..\Run: [{C8A2E4EF-0A63-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A63-1040-0606-060715050027}\Update.exe" te-110-12-0000307
O4 - HKLM\..\Run: [{C8A2E4EF-0A65-1040-0606-060715050027}] "C:\Programmi\File comuni\{C8A2E4EF-0A65-1040-0606-060715050027}\Update.exe" te-110-12-0000307

O4 - HKCU\..\Run: [Wawpmwg] C:\Documents and Settings\utente\Dati applicazioni\??mbols\m?dtc.exe

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000307 (file missing)

O23 - Service: Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Programmi\Windows Media Player\WMPNetwk.exe (file missing)

Grazie

questi sono sicuramente processi maligni, probabilmente è un rootkit, c'è un nome file con un carattere jolly che non è ammesso usare... tipico dei rootkit l'uso di nomi di device, periferiche e nomi inammissibili

usa una scansione online oppure virit oppure ancora i tools rapidi http://www.wintricks.it/manuali/tools_rapidi.html

luca2
03-02-2007, 15.03.28
scusate la domanda banale, ma è per me un'occasione per conoscere altre
cose.
Cosa è un rootkit?
Da cosa te ne accorgi?
E il carattere jolly qual'è?
grazie

Lionsquid
03-02-2007, 17.02.18
Un rootkit è un programma (o puù) che si intrufola in modo invisibile e permanente all'interno di un sistema. Un rootkit non è necessariamente nocivo. Un rootkit non è un virus o un trojan. Per rootkit si intende solitamente solo l'insieme delle tecnice di occultamento e di per sé non è un elemento dannoso.
La pericolosità è insita nello scopo che ci si prefigge con il suo utilizzo poichè una volta introdotto nel sistema è (era) invisibile al sistema stesso e tempo fa anche agli antivirus.
Il KAV per esempio usa tecniche rootkit per nascondere negli ADS le informazioni dell'ultima scansione.
Mentre i virus o trojan che sfruttano le tecniche rootkit usano solitamente sistemi ancora più rognosi per impedire una facile cancellazione.
Per esempio, uno dei sistemi più comuni è usare nomi file destinati a device o periferiche come: LPT4.exe, COM5.exe, etc.. nomifile vietati per i normali file e sono protetti dalla cancellazione (normale) dal S.O. stesso
Stessa cosa se il file contiene caratteri vietati nel nome. I caratteri jolly infatti appartengono a questa categoria. chi ha avuto modo di conoscer eil DOS li ricorderà sicuramente, chi usa win da poco avrà meno dimestichezza ma sicuramente avrà sperimentato che non si possono usare caratteri come: ?, *, :, \, /, ", <, >, |

http://www.tgsoft.it/italy/download.htm

scarica virit lite e vedi se è come penso io

nel frattempo puoi leggerti questo > http://www.wintricks.it/manuali/gromozon.html

LoryOne
03-02-2007, 18.05.06
Un Rootkit è un insieme di software (kit) che permette di ottenere il controllo di un computer (acquisire i privilegi dell' utente Root su sistemi Unix o Administrator su sistemi Windows) in lo-cale oppure da remoto in maniera nascosta, permettendo ai malware di installarsi senza essere rilevati, poichè sfruttano librerie e driver di sistema che non sono scansionate dalla maggior par-te dei software antivirus in quanto ritenuti sicuri.
I Rootkit costituiscono il più recente metodo di manomissione dei controlli di sicurezza attual-mente adottato dagli incursori informatici; Questo sistema consta sostanzialmente nell’ aggan-ciare il software malevolo ad uno o più componenti di sistema che sono vitali al funzionamento del S.O., assicurandosi, in tal modo, di essere eseguito in simbiosi con il sistema che lo ospita.
E' anche vero che molti software di scansione e protezione da questa tipologia di malware adot-tano le stesse tecniche e spesso necessitano di essere eseguiti con privilegi di amministratore per ottenere la massima copertura, quindi devono necessariamente rientrare tra gli aplicativi di fiducia di un qualsiasi utente che ne faccia uso.