PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: bla.exe è un spyware?

Altre pagine della discussione:




karmak
Principiante Principiante
karmak
Principiante Principiante
karmak
Principiante
Principiante

Avatar


Iscritto dal : 27/Dicembre/2004
Da: Italy
Status: Offline
Posts: 141
Riporta il testo di: karmak Rispondibullet Topic: Post n° 20.142 - Postato: 14/Giugno/2005 alle 19:39


Ciao a tutti

Avviso di Norton: bla.exe sta tentando di connettersi ad un server DNS (Rischio Medio).

Programma: bla.exe / Protocollo: UDP (in uscita) / Percorso: C:\

Ho già ricevuto diversi avvisi come questo tanto è vero che avendo negato l'accesso il firewall di norton lo aveva bloccato

però questa volta anche se ho negato l'accesso me lo ritrovo in C:\. Che cos'è esattamente? Lo posso eliminare direttamente da C:\? E poi perchè è passato se norton lo aveva bloccato?

Grazie per l'aiuto ciao

karmak                        

 



anaconda
Apprendista Apprendista
anaconda
Apprendista Apprendista
anaconda
Apprendista
Apprendista

Avatar


Iscritto dal : 18/Aprile/2005
Da: Italy
Status: Offline
Posts: 304
Riporta il testo di: anaconda Rispondibullet Topic: Post n° 20.146 - Postato: 14/Giugno/2005 alle 19:44


ciao...ho fatto una ricerca e pare sia un po complicata la rimozione...cmq se vuoi puoi dare un'okkiata a qst discussione così capisci cos è... http://newsgroup.tecnologia.virgilio.it/newsgroup/message.js pa?messageID=4611686018440756064&threadStatus=0

ciao




Gli uomini ammucchiano gli errori di tutta la loro vita e creano un mostro che chiamano destino (Hobbes)



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 20.147 - Postato: 14/Giugno/2005 alle 19:45


ciao è un bel guaio ma se hai negato come ha fatto ad entrare comunque posta il log di hijach e fai questo passagio apri blocco note non scrivere niente, fai salva con nome e metti bla.exe sotto anziche File di testo cambia in Qualsiasi file poi quando lai salvato vai nelle proprieta e selezionalo come sola lettura in questo modo non dovrebbe replicarsi e non lo puo modificare!!!!facci sapere ciao ciao


karmak
Principiante Principiante
karmak
Principiante Principiante
karmak
Principiante
Principiante

Avatar


Iscritto dal : 27/Dicembre/2004
Da: Italy
Status: Offline
Posts: 141
Riporta il testo di: karmak Rispondibullet Topic: Post n° 20.194 - Postato: 14/Giugno/2005 alle 21:45


Grazie lucas

Ho fatto come di hai indicato, con il blocco note potevo solo scegliere tra file di testo o tutti i file, comunque è stato salvato in "documenti". Però non ho ben compreso il motivo di questo passaggio. Su proprietà ho impostato solo lettura. Ho fatto una prova e si può cancellare da C:\ mandandolo nel cestino però questo non significa que sia stato eliminato completamente.

Logfile of HijackThis v1.99.1
Scan saved at 21.38.39, on 14/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dsl*gent.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Encarta\Encarta Enciclopedia Plus\EDICT.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\DOCUME~1\Ugo\IMPOST~1\Temp\Directory temporanea 16 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [Dsl*gENTEXE] C:\Program Files\D-Link\DSL-200\dsl*gent.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSn iff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/130866d461c87fd1e817/netzip/RdxI E601_it.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en /x86/client/wuweb_site.cab?1118683914849
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/ cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en /x86/client/muweb_site.cab?1118683771072
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF95775C-7E5F-4510-9C11-8 F9644685D36}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

ciao

karmak



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 20.195 - Postato: 14/Giugno/2005 alle 21:49


sul log non appare e di solito appare quel file che ti ho fatto creare lo puoi cancellare se vuoi serviva per non fare replicare il virus nel caso c'era e mettendolo in sola lettura difficilmente poteva essere modificato,non è una cosa che mi sono inventato io l'ho letto sul sito secunia ciao ciao !!!!!!


karmak
Principiante Principiante
karmak
Principiante Principiante
karmak
Principiante
Principiante

Avatar


Iscritto dal : 27/Dicembre/2004
Da: Italy
Status: Offline
Posts: 141
Riporta il testo di: karmak Rispondibullet Topic: Post n° 20.201 - Postato: 14/Giugno/2005 alle 21:58


Da un po di tempo ho notato che quando entro in un sito mi appare quasi sempre la console java:

Poi scompare riducendosi ad icona. Può dipendere da bla.exe?

Karmak



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 20.210 - Postato: 14/Giugno/2005 alle 22:14


il bla.exe non è un virus cioè è un eseguibile che si lega a trojan con funzione di backdoor quella finestra che ti appare evidentemente quel sito che tu visiti usa il java che tu molto probabilmente non hai installato!!ciao ciao


Yusuke
Senior Senior
Yusuke
Senior Senior
Yusuke
Senior
Senior

Avatar


Iscritto dal : 20/Aprile/2005
Da: Italy
Status: Offline
Posts: 4.776
Riporta il testo di: Yusuke Rispondibullet Topic: Post n° 20.226 - Postato: 14/Giugno/2005 alle 22:35


Infatti, Java lo puoi scarikare da qui:

http://www.java.com/it/download/windows_xpi.jsp



La notte è più bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la città riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...



karmak
Principiante Principiante
karmak
Principiante Principiante
karmak
Principiante
Principiante

Avatar


Iscritto dal : 27/Dicembre/2004
Da: Italy
Status: Offline
Posts: 141
Riporta il testo di: karmak Rispondibullet Topic: Post n° 20.230 - Postato: 14/Giugno/2005 alle 22:40


ciao luca

veramente java c'è l'ho istallata

Addirittura adesso mi compare la console anche quando apro I.E. alla pagina di rosso alice.

Inoltre il file bla.exe salvato in "documenti" non è più eliminabile

Come mai tutto questo scompiglio? Cosa posso fare?

Grazie ciao

karmak



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 20.231 - Postato: 14/Giugno/2005 alle 22:42


da quel file che ti ho fatto fare vai su propieta e leva la spunta che ti ho fatto mettere e poi eliminalo!!!!!!ciao ciao poi dimmi se quel file che ti ho fatto fare le dimensioni dovrebbe essere o byte


Modificato da lucas


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,031 secondi.

Sostienici

Versione 5.4 Sviluppata da Stefano Ravagni