PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: controllo log, ancora!

Altre pagine della discussione:




lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 12.025 - Postato: 27/Aprile/2005 alle 16:23


Come un immaggine spiegati meglio!!


yoda84
Esperto Esperto
yoda84
Esperto Esperto
yoda84
Esperto
Esperto

Avatar

Maestro jedi

Iscritto dal : 07/Novembre/2003
Da: Italy
Status: Offline
Posts: 3.926
Riporta il testo di: yoda84 Rispondibullet Topic: Post n° 12.026 - Postato: 27/Aprile/2005 alle 16:25


é ANCHE un worm, confermo, ma è anche un processo id windows che gestisce i processi di stampa. Infatti NON ho detto che il Log è pulito, ma SEMBRA, infatti aspetto anche io di sapere a quale dei due casi questo spoolsv appartenga!



yoda84--Provare no! Fare! O non fare! Non c'è provare!



seymour91
Apprendista Apprendista
seymour91
Apprendista Apprendista
seymour91
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Aprile/2005
Da: Italy
Status: Offline
Posts: 259
Riporta il testo di: seymour91 Rispondibullet Topic: Post n° 12.027 - Postato: 27/Aprile/2005 alle 16:28


è l'immagine che testimonia che i file "missing" non sono "missing"! Se la ritrovo la posto!



<>



seymour91
Apprendista Apprendista
seymour91
Apprendista Apprendista
seymour91
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Aprile/2005
Da: Italy
Status: Offline
Posts: 259
Riporta il testo di: seymour91 Rispondibullet Topic: Post n° 12.028 - Postato: 27/Aprile/2005 alle 16:29


ecco l'immagine!



<>



yoda84
Esperto Esperto
yoda84
Esperto Esperto
yoda84
Esperto
Esperto

Avatar

Maestro jedi

Iscritto dal : 07/Novembre/2003
Da: Italy
Status: Offline
Posts: 3.926
Riporta il testo di: yoda84 Rispondibullet Topic: Post n° 12.029 - Postato: 27/Aprile/2005 alle 16:33


Aggiungo che è il servizio di windows che nel nostro corso sui servizi di win 2000-XP  sta sotto il nome spooler di stampa, che è da lasciare in automatico!



yoda84--Provare no! Fare! O non fare! Non c'è provare!



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 12.030 - Postato: 27/Aprile/2005 alle 16:34


When first run the worm copies itself to the Windows system folder as SPOOLSVC.EXE and creates the following registry entries so that the worm runs when Windows starts up:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SPOOL Configuration = spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SPOOL Configuration = spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\


la descrizione non corrisponde al nome del file guardando bene ma aspettiamo Kuma!!!

C:\WINDOWS\system32\spoolsv.exe (questo e il file del log postato)



Modificato da lucas


yoda84
Esperto Esperto
yoda84
Esperto Esperto
yoda84
Esperto
Esperto

Avatar

Maestro jedi

Iscritto dal : 07/Novembre/2003
Da: Italy
Status: Offline
Posts: 3.926
Riporta il testo di: yoda84 Rispondibullet Topic: Post n° 12.032 - Postato: 27/Aprile/2005 alle 16:40


cosa ti dice se ti porti con il mouse sul file senza cliccarci sopra? Guardaci che ce l'hai anche te..

Ps comunque è ovvio che aspettiamo Kuma, di ste cose lui è il RE!



Modificato da yoda84



yoda84--Provare no! Fare! O non fare! Non c'è provare!



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 12.034 - Postato: 27/Aprile/2005 alle 16:48


Yoda se è come dici tu cioè che puo essere un processo di stampa anche gli altri log lo dovrebbero almeno qualcuno  ma controllando non ho trovato riscontro perdono ho sbagliato a scrivere volevo dire che anche negli altri log sono presenti!!!!scusate

Modificato da lucas


yoda84
Esperto Esperto
yoda84
Esperto Esperto
yoda84
Esperto
Esperto

Avatar

Maestro jedi

Iscritto dal : 07/Novembre/2003
Da: Italy
Status: Offline
Posts: 3.926
Riporta il testo di: yoda84 Rispondibullet Topic: Post n° 12.037 - Postato: 27/Aprile/2005 alle 16:50


Infatti anche io ho dei dubbi e aspetto kuma per chiarimenti, mi era stato chiesto cosa potesse essere ed io ho detto le due possibilità, non ho detto "è quello". Vedremo.

Ciao




yoda84--Provare no! Fare! O non fare! Non c'è provare!



Yusuke
Senior Senior
Yusuke
Senior Senior
Yusuke
Senior
Senior

Avatar


Iscritto dal : 20/Aprile/2005
Da: Italy
Status: Offline
Posts: 4.776
Riporta il testo di: Yusuke Rispondibullet Topic: Post n° 12.038 - Postato: 27/Aprile/2005 alle 16:52


ho controllato anch'io: o è un processo print print/fax o un worm, ma guardando bene i log, ha ragione lucas. perlomeno secondo me poi è tutto da vedere...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni