Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Stranezze quando navigo (rootkit ben nascosto?) Opzioni
Ded-efre
Inviato: Friday, January 26, 2007 6:53:59 PM

Rank: Member

Iscritto dal : 1/10/2006
Posts: 2
Questa volta cio' che vi chiedo è un po' strano. Il mio pc va bene lavorandoci, non va su internet. Da qualche giorno in rapido aumento direi, su internet si verificano strane cose, come rallentamenti, errori di caricamento, blocchi temporanei di rete ed infine blocco totale della navigazione e del pc, con elaborazioni interminabili come se chissà cosa stesse facendo, e di sicuro non mi manca la ram. Inoltre un' altra cosa che è andata peggiorando è che non posso piu' cancellare la cronologia. Io sono abituato a pulire sempre a fine navigazione la cache per eliminare gli eventuali files nocivi caricati (non so se realmente serve a qualcosa), comunque ora la cronologia non viene cancellata, devo farlo manualmente, è da notare che in realtà è disattivata, cioè io non ne richiedo il salvataggio.
Passiamo alla questione strana, non so se essere contento o preoccuparmi, ma in tutto cio' antivirus (avast), antispy(spyware blaster, ad-aware,ad-watch) nelle scansioni non trovano assolutamente nulla. Ho usato un anti root consigliatomi in passato ma niente. Sophos mi dà due hidden value che non posso cancellare e nemmeno eliminare dal registro perchè non le trovo al percorso indicato. Ho fatto scansioni online, Norton ad esempio dice che il pc è ben protetto e altre scansioni non danno niente. Ho provato con Panda, dopo scaricato il controllo activex inizia la scansione e avast la blocca trovando un trojan da panda, uso avast remover e niente ma trova alcuni files non controllabili. L'ultimo problema è stato un avviso che xp stava ridimensionando il file paging, apro task manager e trovo allocazione 940mb su 512 effettivi e 190circa usuali.Dalla disperazione ho installato il vecchio Doctor alex ormai non piu' seguito dagli autori da mesi non c'è aggiornamento e mi trova:
-Adware/network1.popups
-Backdoor/bifrose.d
ora a meno di un falso positivo è preoccupante che un vecchio programma non aggiornato trova due problemi non rilevati dalle altre protezioni.
Il log hijack sembra pulito, le applicazioni che vengono segnalate strane sono lo driver della mia canon e il flash plugin.
Vi riporto comunque il log, un'altra volta qualcuno mi vide il rootkit, magari puo' essere utile, e allego l'immagine si sophos e il log di avast remover.
<img src="http://img249.imageshack.us/img249/3908/immagine1vr.jpg" border=0>
<font color=red>Log hijack</font id=red>
Logfile of HijackThis v1.99.1
Scan saved at 18.49.37, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\SiteAdvisor\4608\SAService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\SiteAdvisor\4608\SiteAdv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Windows XP\Documenti\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\4608\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\4608\SiteAdv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\4608\SiteAdv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8192DA75-4712-4CED-BC4D-8B6F55C82DF7}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\4608\SiteAdv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Programmi\SiteAdvisor\4608\SAService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

<font color=red>Log Avast cleaner</font id=red>
25/01/2007, 20.13.57
Memory scanning started...
No virus body found in memory.
Memory scanning finished (10,6s).

Files scanning started...
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
C:\WINDOWS\Temp\ZLT06cfc.TMP... file could not be scanned!
C:\WINDOWS\Temp\ZLT06d03.TMP... file could not be scanned!
No virus body found.
Files scanning finished (24892 files, 0 infected, 300,6s).
Drives scanned: C:


Scusate per essermi dilungato, ma ho cercato di darvi tutte le informazioni di cui dispongo.


Grazie a presto
Sponsor
Inviato: Friday, January 26, 2007 6:53:59 PM

 
Ded-efre
Inviato: Saturday, January 27, 2007 7:37:14 PM

Rank: Member

Iscritto dal : 1/10/2006
Posts: 2
proposte? nessuna? <img src=icon_smile_sad.gif border=0 align=middle>

ok formatterò appena mi è possibile. <img src=icon_smile_clown.gif border=0 align=middle>
monsee
Inviato: Saturday, January 27, 2007 10:29:52 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Avast! Cleaner devi usarlo quando sei in Modalità Provvisoria (non quando sei in Modalità Normale).
Ti suggerisco di provare pure con lo Stinger di McAfee e -visto che ci siamo- con lo "Strumento rimozione malware" di Microsoft. In tutti i casi, agisci in Modalità Provvisoria.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.