| Precedente :: Successivo |
| Autore |
Messaggio |
robart13
Mortale devoto
Registrato: 23/03/07 20:01
Messaggi: 5
|
 Inviato: 23 Mar 2007 20:11 Oggetto: servizio webjimp |
 |
|
mi ritrovo questo servizio:
webjimp
è in automatico ma non attivato
nei servizi in connessione di webjimp è scritto:
.\rvMDnjfiEdgkSJ
La cosa mi fà sospettare.
Il servizio fa capo a questo:
"C:\Programmi\File comuni\Services\sPoj.exe"
e nella cartella indicata non c'è nessun sPoj.exe
Ho provato a cancellarlo da CMD, lo toglie ma al riavvio riappare.
Ne AVG ne ad-ware nè hjiack segnalano niente di anomalo.
ma i miei sospetti restano o sbaglio??? |
|
| Top |
|
 |
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 24 Mar 2007 18:54 Oggetto: |
|
|
ciao! e benvenuto 
per essere sicuro, quel file lo puoi far analizzare su VirusTotal
riporta qui i risultati. |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 24 Mar 2007 18:59 Oggetto: |
|
|
Vai anche su Start->Esegui->digita control userpasswords2, dai invio.
Guarda nella lista degli account e dicci se ce n'è uno con un nome strano (lettere messe a caso, che può coincidere con rvMDnjfiEdgkSJ). |
|
| Top |
|
|
robart13
Mortale devoto
Registrato: 23/03/07 20:01
Messaggi: 5
|
| Inviato: 24 Mar 2007 19:18 Oggetto: |
|
|
Grazie per le risposte.
Per Smjert, non ci sono altri account oltre al mio, ad amministratore e guest.
Per Orange, NON ho capito quale file vuoi che faccia analizzare.
Mi sembra che webjimp sia un servizio attivato dalla console java. Quello che mi suona male è che:
1) in connessione di webjimp c'è questa strana stringa .\rvMDnjfiEdgkSJ
2) il servizio fa capo ad un file ( C:\Programmi\File comuni\Services\sPoj.exe) che non esiste sul mio PC.
Se era questo il file da far analizzare non posso farlo perchè non c'è.
Ho provato anche a cancellare il servizio, si cancella ma riappare al riavvio (cosa che mi fà pensare ad un malware)
ciao! |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 24 Mar 2007 19:26 Oggetto: |
|
|
In ogni caso, con quelle premesse lì hai il LinkOptimizer (ma può anche essere solo un rimasuglio).
Scarica sul desktop questi due tool camuffati:
Prevx
http://www.prevx.com/gromozon.asp
Symantec
http://www.mytempdir.com/1229910
Fai partire prima il tool Prevx e fagli fare una scansione, alla fine ti chiederà di riavviare il pc, tu accetta.
Quando ha finito di riavviare il pc tu riavvialo di nuovo in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità).
Da lì scompatta l'archivio e fai partire il tool Symantec facendogli fare una scansione.
Riavvia il pc in Modalità Normale
Vai poi in C:\Documents and Settings\ e cancella le cartelle con quel nome assurdo (se c'è).
Posta un log di HijackThis, il log del tool Prevx (Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log) |
|
| Top |
|
|
robart13
Mortale devoto
Registrato: 23/03/07 20:01
Messaggi: 5
|
| Inviato: 25 Mar 2007 13:04 Oggetto: |
|
|
Allora:
Ho seguito le procedure (automatica e manuale) per rimuovere gromozon).
Ma il servizio webjimp anche se cancellato continua a riapparire al riavvio.
Comunque posto:
Logfile of HijackThis v1.99.1
Scan saved at 12.58.34, on 25/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi\hijackthis\HijackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll (file missing)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS1\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS2\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean.
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Trojan.Linkoptimizer has not been found on your computer.
Si tratta di qualche altro malvare magari ancora non ben conosciuto???? |
|
| Top |
|
|
robart13
Mortale devoto
Registrato: 23/03/07 20:01
Messaggi: 5
|
| Inviato: 25 Mar 2007 13:15 Oggetto: |
|
|
ho fatto partire virit
Mi ha trovato un trojan (non mi sono scritto il nome)
ho edliminato webjimp
e non riappare più!
Forse ho risolto???
ciao grazie! |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 25 Mar 2007 16:54 Oggetto: |
|
|
Direi di sì.. fixa però con HijackThis queste voci:
| Citazione: | O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS1\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS2\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = .... |
|
|
| Top |
|
|
robart13
Mortale devoto
Registrato: 23/03/07 20:01
Messaggi: 5
|
| Inviato: 25 Mar 2007 17:40 Oggetto: |
 |
|
| Smjert ha scritto: | Direi di sì.. fixa però con HijackThis queste voci:
| Citazione: | O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS1\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = ....
O17 - HKLM\System\CS2\Services\Tcpip\..\{7307FCD8-A28F-4E88-9F35-E423C60CA07D}: NameServer = .... |
|
OK grazie! |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
