PDA

Visualizza versione completa : Voce di registro MOLTO strana


Daniela
13-05-2004, 11.57.36
Ecciao.

Sto avendo questi problemi evidenziati qui (http://www.wintricks.it/forum/showthread.php?s=&goto=lastpost&threadid=67509)

Vado a spulciare il registro e che mi trovo subito subito non appena apro il regedit?

Si posiziona subito in HKLocal etc\Run e trovo questa chiave:

!!!!AAAAAA-aaaamsmixgr... /ns


E' un bel virus eh?

Sto facendo una scansione con The Cleaner intanto, avete qualche altra idea? :confused:

Giorgius
13-05-2004, 12.08.35
potrebbe trattarsi:

Microsoft Security Bulletin MS04-015 Vulnerability in Help and Support Center Could Allow Remote Code Execution (840374)

Scarichi la patch dal link Web di Wintricks, riavvi poi il Sistema non appena installata e succesivamente con "CWShredder", scansioni per l'eventuale presenza di qualche Trojan o altra schifezza.
http://allsecpros.com/download/CWShredder.zip

Nel caso l'utility non riscontri nulla, usa il solito "HijackThis" per rimuovere manualmente le eventuali tracce anomale all'interno del registro di Winzozzo.

davlak
13-05-2004, 12.09.26
Usa HijackThis e posta un log...

http://www.spywareinfo.com/~merijn/files/HijackThis.exe

Giorgius
13-05-2004, 12.14.48
N.B.: Sono riscontrati dei problemi di registro (interpretazione) tra il pacchetto Office2K3 e vecchie release di programmi MS come il Project, Visio etc.

Daniela
13-05-2004, 12.18.34
Vorrei volentieri ma siccome ora la "capa" ci sta lavorando, mi ha detto di farlo domanni :wall:

Daniela
13-05-2004, 12.22.03
Originariamente inviato da Giorgius
potrebbe trattarsi:

Microsoft Security Bulletin MS04-015 Vulnerability in Help and Support Center Could Allow Remote Code Execution (840374)



Un momento, sulla Home di WT dice che la patch è per XP e Win 2003.
Il PC che ha problemi è invece un Win 2000 SP4.

Giorgius
13-05-2004, 12.25.36
Allora è un prob java/script (Trojan o casini di pacchetti MS). ;)

Daniela
13-05-2004, 12.30.00
Originariamente inviato da Giorgius
Allora è un prob java/script (Trojan o casini di pacchetti MS). ;)

Sì anche perchè ho controllato sul sito MS ed è confermato che Win2000 SP4 è "non-affected operating system".

Quindi?

Scan con i SW che mi avete detto tu e Dav?

Giorgius
13-05-2004, 12.38.59
;)

Daniela
14-05-2004, 09.52.11
Domanda: potrei usare questi programmi dalla mia postazione verso quel computer? :confused:


(magari è fantascienza nè :D)

Giorgius
14-05-2004, 10.47.08
Meglio nel PC presunto infetto ;) :)

Daniela
14-05-2004, 13.03.51
Originariamente inviato da Giorgius
Meglio nel PC presunto infetto ;) :)


ffffatto! :D

CWD shredder mi ha detto che il sistema è pulito.

Ecco il log di Hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 12:57:44, on 14/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\rtmservice.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\Sysdrv32.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\The Cleaner\tca.exe
C:\Programmi\The Cleaner\tcm.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxx.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [!!!!AAAA-aaaamsmixgr] C:\DOCUME~1\ISTITU~1.SCA\DATIAP~1\WEBCAM~1.EXE /ns
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E451303C-423A-4A46-B15F-A30B7C567097}: NameServer = xxxx

crazy.cat
14-05-2004, 13.12.49
Ci sono un paio di ospiti indesiderati.

C:\WINNT\System32\rtmservice.exe
http://www.pestpatrol.com/PestInfo/r/remote_task_manager.asp

C:\WINNT\system32\Sysdrv32.exe
http://ro.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_DAFLY.B

Daniela
14-05-2004, 13.51.11
E mi sa pure qualcos'altro :(

davlak
14-05-2004, 13.55.02
Segui queste istruzioni:

http://www.wintricks.it/forum/showthread.php?s=&postid=629709&highlight=sdat%2A#post629709

però il link allo sdat cambialo in

ftp://ftp.nai.com//CommonUpdater/sdat4360.exe

(è il nuovo aggiornamento)

Daniela
14-05-2004, 15.27.29
Ok Dav ci sono.

Ho fatto come dici tu e sta facendo la scansione.

Daniela
14-05-2004, 16.50.08
Ecco il log di sdat e scangui:

McAfee VirusScan for Win32 v4.32.0
Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Nov 27 2003

Scan engine v4.3.20 for Win32.
Virus data file v4360 created May 12 2004
Scanning for 90134 viruses, trojans and variants.



05/14/2004 16:17:38


Options:
"C:\" /SUB /UNZIP /RPTCOR /RPTERR /REPORT C:\SCAN.TXT /MOVE C:\QUARANTINE

Scanning C: []
Scanning C:\*.*
C:\PAGEFILE.SYS ... file could not be opened.
C:\WINNT\system32\config\SECURITY ... file could not be opened.
C:\WINNT\system32\config\SAM ... file could not be opened.
C:\WINNT\system32\config\SYSTEM ... file could not be opened.
C:\WINNT\system32\config\SOFTWARE ... file could not be opened.
C:\WINNT\system32\config\DEFAULT ... file could not be opened.
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.da t ... file could not be opened.
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.da t ... file could not be opened.
C:\Documents and Settings\Istituto scenze del .xxx\NTUSER.DAT ... file could not be opened.
C:\Documents and Settings\Istituto scenze del .xxx\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\Istituto scenze del .xxx\Documenti\Eudora\Attach\Agenda-2000.rtf ... file could not be opened.
C:\quarantine ... file could not be opened.

Summary report on C:\*.*
File(s)
Total files: ........... 84270
Clean: ................. 56003
Not scanned: ........... 28256
Possibly Infected: ..... 0
Moved: ................. 0
Non-critical Error(s): 1


Time: 00:26.10




... mmh... :( :wall:



ps: con le xxx ho editato i dati sensibili.

Daniela
14-05-2004, 17.13.25
Comunque è un bel casino.

Oltre a non fare il WinUpdate, non aprire le risorse di rete, non aprire il pannello di controllo, non mi fa neppure la finestra "cerca file" e nemmeno i pop-up e "apri in un altra finestra" di IE.

A questo punto sono veramente preoccupata.

Eppure avevo ultrapatchato tutto in vista del Sasser! :wall:

Daniela
17-05-2004, 11.29.06
UP!

Sto postando dal PC infetto... ora provo a rimuovere manualmente le chiavi di registro incriminate, ma se avete qualche idea... scrivetela!!! :eek:

The_Prof
17-05-2004, 11.55.16
Prova con Spybot versione 1.3
e poi con a^2 Trojan Remover
lo trovi qua http://www.sicurezzainrete.com/trojan_protection.htm

Ciao :)

Daniela
17-05-2004, 11.58.21
Grazie Prof (K) provo subito! :)

davlak
17-05-2004, 12.11.18
ma con lo sdat hai fatto lo Scan all network drives???

Daniela
17-05-2004, 12.16.48
Originariamente inviato da davlak
ma con lo sdat hai fatto lo Scan all network drives???

Eh... chi se lo ricorda...

Comunque ripeto, mentre fa lo scan, i problemi che ha questo pc.

- Impossibilità di fare Windows Update

- Impossibilità di fare ricerche "trova file" (non mi si apre la pagina proprio)

- Impossibilità di accedere alle risorse di rete (dà quell'errore di debug che ho scritto all'inizio"

- non mi fa aprire links all'interno di una pagina, tipo quelli che mi avete dato finora. Ho dovuto copiarli nella barra degli indirizzi.


... la vedo brutta :wall:

Daniela
17-05-2004, 12.20.10
Pest Patrol mi ha trovato un trojan chiamato FakeGina.g ... ovviamente essendo un trial non posso nè cancellarlo nè metterlo in quarantena :rolleyes:

Ora provo con gli altri programmi.

crazy.cat
17-05-2004, 13.13.37
Dovresti riuscire a cancellarlo anche manualmente.
http://www.pestpatrol.com/pestinfo/t/trojan_win32_fakegina.asp

Daniela
18-05-2004, 10.35.46
Up.

Il pc ora è pulito, ma funziona da schifo.

Temo dovrò spostarmi nel forum Reti :(