Olimpo Informatico

[ilovetoothedog]

Ecco il nuovo log di Gmer per i rootkit:


Log Gmer rootkit2.txt

[ilovetoothedog]

Ecco il log di Autostart 2:



Log Autostart2.txt

[bdoriano]

Ecchime qui, scusa l'attesa...

Dunque, ci sono un paio di cose che mi lasciano perplesso ma, a quanto ho capito, sembra che possano essere riconducibili a Alcohol... almeno, spero!

Ho visto che, in fase di installazione di Alcohol, hai lasciato attiva l'opzione StarWindService. E' una funzione utile per far utilizzare il proprio CD in un ambiente di rete.

Se ti è possibile, dovresti:

1. disinstallare Alcohol
   
2. riavviare il pc
   
3. Fare un nuovo log con gmer (solo rootkit)
   
4. reinstallare Alcohol senza l'opzione StarWindService
   
5. Fare un nuovo log con gmer (solo rootkit)
   
6. postare i 2 logs creati

[ilovetoothedog]

Ecco il log senza Alcohol:


Log Gmer senza Alcohol.txt

[ilovetoothedog]

Ah, una cosa: per quanto riguarda il programma Alcohol lo disinstallato e tanto vale non lo reinstallo più, tanto ho Nero.

Grazie di tutto comunque! Ciò non vuol dire che non andiamo fino in fondo!

[bdoriano]

Bhé, Alcohol ha utilizzi leggermente diversi rispetto a Nero.

Comunque, tornando ai logs, adesso una delle 2 voci che mi incuriosivano è scomparsa.

Ce n'è un'altra, però, che mi incuriosisce sempre di più... non riesco a capire a cosa sia dovuta.
Praticamente, in ogni log rootkit che hai postato, c'è una voce che cambia continuamente nome:

• nel log del 7/7/09 ore 10.14, sppl.sys
  
• nel log del 7/7/09 ore 21.08, sput.sys
  
• nel log del 9/7/09 ore 00.02, spoi.sys

Ora vado a nanna, che sto crollando...

[ilovetoothedog]

Neanche io conosco le voci che nomini. A che cosa fanno riferimento ?
Ad ogni modo buon riposo!

[ilovetoothedog]

Bdoriano...tocca qualsiasi cosa, ma per il momento non mi ha più fatto quello scherzo...
Ad ogni modo ho dato una guardata su Google, ma di quei file nessuna traccia...

[bdoriano]

Anch'io sto googlando in giro per il web in cerca di ulteriori info...

[ilovetoothedog]

Beh, se può esserti di aiuto... Allora, ieri sera decido di giocare con Doom 3, e lo carico. Appena parte, sento che c'è qualcosa che non va. Infatti tulla la presentazione è in lingua Inglese, mentre io ho acquistato la versione in lingua Italiana. Disinstallo tutto con questo programma e reinstallo tutto. Tutto è ritornato a posto. Il programma ora è in lingua Italiana. Pensavo...Questi strani files non potrebbero avere una origine anche da questa applicazione ?
Ad ogni modo, ti posto la scansione fatta con Gmer per i rootkit, se può esserti di aiuto....

[bdoriano]

Tu postali... meglio un log in più che uno in meno.

[ilovetoothedog]

Ecco il log di Gmer rootkit 3:


Gmer rootkit 3.txt

[ilovetoothedog]

Un'altra cosa che ho constatato adesso è che ho le porte 135 e la 139 aperte!
Cosa posso fare ?
Non so come chiuderle!

[ilovetoothedog]

Problema risolto, ora ho chiuso le due porte.

[ilovetoothedog]

Ma siete spariti tutti ?

[bdoriano]

Ogni tanto la vita reale reclama la nostra presenza...

Ho dato un'occhiata all'ultimo log di GMER ed è ancora presente un file misterioso: spwu.sys
Sempre della serie spxx.sys... mi sa che viene creato al volo all'avvio del pc...

Le porte 137/139 (NETBIOS per la condivisione di file e stampanti) le hai chiuse con Comodo?

[ilovetoothedog]

[ilovetoothedog]

Scusate un attimo, ho dato un'occhiata al log di HT, e mi sembra di aver visto delle strane voci:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.21.34, on 13/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\Opera\opera.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit <---------
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226001063187
O17 - HKLM\System\CCS\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Update Service (gupdate1c98c4526d06656) (gupdate1c98c4526d06656) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6092 bytes

[bdoriano]

[ilovetoothedog]

No, io dicevo la virgola verso la fine:

C:\WINDOWS\system32\NvMcTray.dll, <-- NvtaskbarInit

E' normale questo ?