Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
Logfile of HijackThis v1.99.1
Scan saved at 21.36.42, on 27/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\MouseWare\system\em_exec.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\user\Dati applicazioni\pwao.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\user\Desktop\RUBEN\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [ZGCleanTemp] zg.exe -cleantemp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Itao] C:\Documents and Settings\user\Dati applicazioni\pwao.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Organizzatore ricerche -
{9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File
comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0591A6B-FBE3-41B2-859E-E AFE24099B8F}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-------------
<
>
Risposte:
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 15:49
C:\WINDOWS\system32\spoolsv.exe dovrebbe essere quasi sicuramente un processo che nn rientra in windows mentre
C:\Documents and Settings\user\Dati applicazioni\pwao.exe è sconosciuto quindi se sai cos'è nn eliminarlo ma per maggiori informazioni aspetta gli esperti.
Postato da: seymour91
Postato in data: 27/Aprile/2005 alle 15:52
Grazie, servonoi aiuti da parte di tutti!
-------------
<
>
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 16:04
Il log sembra pulito, tuttavia ci sono alcune voci non del tutto chiare, ma non essendo esperto al massimo in questo settore aspetterei ultriori chiarimenti da Kuma
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:07
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Questi sono sicuramente da levare!!
:\WINDOWS\system32\spoolsv.exe (penso che sia un worm) questo è tutto quello che posso dirti aspetta kuma che lui ne sa piu di me!!ciao ciao
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 16:08
YODA84 sei sicuro che spoolsv.exe sia un processo di windows?
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:09
YUSUKE è un possibile worm leggi sopra ma aspettiamo kuma!!!
Postato da: seymour91
Postato in data: 27/Aprile/2005 alle 16:12
i file missing ci sono! L'ho già detto a Kuma.
-------------
<
>
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:16
Ma perchè non ti fidi di quello che tico di io!!!
e fai bene aspetta kuma non vorrei farti sbagliare!!!!
Postato da: seymour91
Postato in data: 27/Aprile/2005 alle 16:18
Non è che nn mi fido, anzi! Ma ho già controllato e ci sono. Dovrebbe esserci un immagine da queste parti nel forum.
-------------
<
>
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:23
Come un immaggine spiegati meglio!!
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 16:25
é ANCHE un worm, confermo, ma è anche un processo id windows che gestisce i processi di stampa. Infatti NON ho detto che il Log è pulito, ma SEMBRA, infatti aspetto anche io di sapere a quale dei due casi questo spoolsv appartenga!
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: seymour91
Postato in data: 27/Aprile/2005 alle 16:28
è l'immagine che testimonia che i file "missing" non sono "missing"! Se la ritrovo la posto!
-------------
<
>
Postato da: seymour91
Postato in data: 27/Aprile/2005 alle 16:29
ecco
http://lnx.spyro.it/gta/modules/zeuploader/upload_dir/ecco.jpg - l'immagine !
-------------
<
>
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 16:33
Aggiungo che è il servizio di windows che nel nostro corso sui servizi di win 2000-XP sta sotto il nome spooler di stampa, che è da lasciare in automatico!
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:34
When first run the worm copies itself to the Windows system folder as SPOOLSVC.EXE and creates the following registry entries so that the worm runs when Windows starts up:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SPOOL Configuration = spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SPOOL Configuration = spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
la descrizione non corrisponde al nome del file guardando bene ma aspettiamo Kuma!!!
C:\WINDOWS\system32\spoolsv.exe (questo e il file del log postato)
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 16:40
cosa ti dice se ti porti con il mouse sul file senza cliccarci sopra? Guardaci che ce l'hai anche te..
Ps comunque è ovvio che aspettiamo Kuma, di ste cose lui è il RE!
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:48
Yoda se è come dici tu cioè che puo essere un processo di stampa anche gli altri log lo dovrebbero almeno qualcuno ma controllando non ho trovato riscontro perdono ho sbagliato a scrivere volevo dire che anche negli altri log sono presenti!!!!scusate
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 16:50
Infatti anche io ho dei dubbi e aspetto kuma per chiarimenti, mi era stato chiesto cosa potesse essere ed io ho detto le due possibilità, non ho detto "è quello". Vedremo.
Ciao
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 16:52
ho controllato anch'io: o è un processo print print/fax o un worm, ma guardando bene i log, ha ragione lucas. perlomeno secondo me poi è tutto da vedere...
Postato da: lucas
Postato in data: 27/Aprile/2005 alle 16:54
No in quello mio e quello di anaconda sono presenti infatti sopra mi sono corretto e scusate ancora per l'imprecisione!!
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 16:59
Ragazzi... ora ne ho la certezza: è un trojan/backdoor e se nn vi fidate andate a controllare la discussione CHI MI CONTROLLA QUESTO LOG e guardate la risposta di Kuma
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 17:15
Nella discussione sopracitata Kuma ha scritto:
"La voce C:\WINDOWS\system32\spoolsv.exe è legittima.
Quella che risultava strana era: O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe che ora non appare più nel log."
Infatti il gruppo O4 indica i processi che partono in automatico, e non è escluso che possano essere virus o altra robaccia del genere.
La voce riferita a spoolsv.exe non è presente negli elenchi degli startup, nel log di seymour91.
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 17:24
è vero yoda84 hai ragione però se vai a leggere sulla discussione SPOOLSV.EXE,il dubbio rimane ancora. io penso che sarà meglio che lasciamo fare il lavoro a Kuma che ne sa certamente più di noi
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 17:28
Hai pienamente ragione, ma è quello che dico dall'inizio!
Ciao
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: Yusuke
Postato in data: 27/Aprile/2005 alle 17:35
si scusa è vero ma mi faccio sempre prendere dalla mania di aiutare gli altri. che ci posso fare
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 17:40
guarda che fai bene, non è mica un problema, poi non è detto che ho ragione io.. ciao!
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: yoda84
Postato in data: 27/Aprile/2005 alle 17:41
Anzi, te e lucas siete due nuovi utenti e molto partecipi, il che è un bene per tutta la comunity!
-------------
yoda84--Provare no! Fare! O non fare! Non c'è provare!
Postato da: seymour91
Postato in data: 28/Aprile/2005 alle 04:27
Grazie a tutti... Aspettiamo il responso finale di kuma!
-------------
<
>
Postato da: seymour91
Postato in data: 28/Aprile/2005 alle 14:09
Allora il file spoolsv.exe è legittimo. Poi ho già insallato di nuovo
avast! ma nulla, ora ci riprovo! X quanto concerne il firewall ho
quello di win XP, come va?
ps: Il file pwao.exe non c'è nella directory indicata da hijack (:?)
-------------
<
>
Postato da: seymour91
Postato in data: 28/Aprile/2005 alle 14:15
Ma i processi " missing" ci sono nel task manager!
-------------
<
>
Postato da: lucas
Postato in data: 28/Aprile/2005 alle 14:41
Scusa se sono missing=sparito,mancante!!!cancellali per quando riguarda il firewall di xp lo usano anche alla NASA!!apparte li scherzi disattiva il firewall di xp vai nella sezione download del forum e troverai un buon firewall si chiama outpost firewall e poi trovare qui un'altra guida a Outpost
http://web.tiscali.it/winzozz/outpost.htm - http://web.tiscali.it/winzozz/outpost.htm
CIAO CIAO!!!!!!!!