Accedi per seguire   
Seguaci 0
bludiamond

Dubbi Su Segnalazioni Di A-squared 3.0

Iniziato da bludiamond,

10 messaggi in questa discussione

Inviato

Ciao, oggi ho fatto una scansione con A-Squared Free 3.0 e mi dà 3 segnalazioni di spyware

1) d:\windows\gtwatch.exe rilevati: Trace.File.Suspicious

2) Value: HKEY_CLASSES_ROOT\CLSID\{41FAF0F4-DCEC-4F6A-82D2-56E100F2A8E5}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Radlight

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41FAF0F4-DCEC-4F6A-82D2-56E100F2A8E5}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Radlight

3) D:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1172331154jtun_nav2k7en70223017.m25.seg1.zip/VIRSCAN5.984 rilevati: Heuristic.ArchiveBomb

D:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1178580725jtun_enfwc326.327.seg1.zip/AleUpdt.xml rilevati: Heuristic.ArchiveBomb

Prima di eliminare chiavi vorrei un vostro parere, infatti:

1) Il "gtwatch" sono quasi sicuro che è collegato al mio scanner Trust.

3) Fa riferimento alla Symantec!! Perchè me lo vede come spyware?

2) Cos'è questo "InprocServe32" ? Posso eliminare le chiavi che suggerisce?

Grazie

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao

A-Squared è famoso per segnalare falsi positivi (usa un'euristica troppo spinta)

Quelli che segnali qui, per me sono TUTTI falsi positivi:

gtwatch.exe (a me risulta un driver di Mustek)

InprocServer32 (dovrebbe riguardare qualche driver audio o video)

Anche per gli altri due, vista la posizione, probabilmente, usando l'euristica prende una cantonata :)

Usi altri programmi come Antispyware???

Ti consiglierei di provare (se non lo hai già) Spyware Terminator

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Sì ho anche SpyBot, che mi ha segnalato un'altra cosa:

MZS.Spoolserver32 (trojan)... non so se c'entra qualcosa con quell' InprocServer32 di A-Squared.

La descrizione di SpyBot riguardo questo presunto trojan è:

csmss.exe e winacpi.dll si copiano nella cartella di sistema e iniziano a contattare i seguenti host: 205.209.172.230 - exbandos.biz - zorrocoolboy.biz - nobro.net

Comunque adesso scarico Spyware Terminator e vediamo cosa dice!

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao...

se hai i files csmss.exe e winacpi.dll sei probabilmente infetto dalla Backdoor CLK

allora A-Squared, in questo caso, potrebbe non avere tutti i torti...

Ti metto qui sotto le voci di registro ed i file che lo interessano:

Per prima cosa: Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

-----

I file o le voci in rosso sono da eliminare se le individui:

Quando questo trojan BackDoor è eseguito si copia nella cartella C:\Windows\System32 come: CSMSS.EXE.

Aggiunge queste chiavi al registro

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "spoolsvr32"= C:\Winnt\system32\CSMSS.EXE

Una DLL (WINACPI.DLL) è anch'essa messa nella cartella C:\Windows\System32 come BHO (Browser Helper Object) e questa DLL è iniettata nello spazio di memoria di Explorer.exe.

La seguente chiave viene create per il richiamo ad ogni avvio del Pc::

HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ "InprocServer32"= C:\winnt\System32\winacpi.dll

Questo trojan inoltre, tenta di terminare i processi di sicurezza con i seguenti nomi:

  • kpf4gui.exe
  • NPROTECT.EXE
  • MpfService.exe
  • outpost.exe
  • ZAPRO.EXE
  • amon.exe
  • kpf4ss.exe
  • firewall.exe
  • zonealarm.exe

Una porta a caso viene aperta sul computer infetto....

Altre possibili chiavi create dalla Backdoor:

  • HKEY_CURRENT_USER\Software\mzs
  • HKEY_CLASSES_ROOT\acpi.acpi.1
  • HKEY_CLASSES_ROOT\acpi.ext

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Allora ho controllato ma i file csmss.exe e winacpi.dll non sono presenti nel sistema.

La scansione di Spyware Terminator mi dà come sospetto (ma livello di rischio 1) il file D:\WINDOWS\SYSTEM32\PerfStringBackup.tmp (questo invece è presente).

Ho scansionato anche con Hiijackthis e questo è il log:

Logfile of HijackThis v1.99.1

Scan saved at 23.54.53, on 06/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

D:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\LEXPPS.EXE

D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\WINDOWS\system32\svchost.exe

D:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

D:\WINDOWS\Explorer.EXE

D:\Programmi\File comuni\Symantec Shared\ccApp.exe

D:\Programmi\TweakNow PowerPack 2006\RAM2_XP.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

D:\Documents and Settings\USER\Documenti\UTILITY\T-Clock\tclock.exe

D:\Programmi\M1HS\Modem.exe

D:\Programmi\Mozilla Firefox\firefox.exe

D:\Documents and Settings\USER\Documenti\UTILITY\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - D:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - D:\Programmi\ONSPEED\PBHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - D:\Programmi\ONSPEED\components\NOWImaging.dll

O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - D:\Programmi\Moyea\FLV Downloader\MoyeaCth.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll

O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - D:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - D:\Programmi\ONSPEED\Toolband.dll

O4 - HKLM\..\Run: [ccApp] "D:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "D:\Programmi\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [RAM Idle Professional] D:\Programmi\TweakNow PowerPack 2006\RAM2_XP.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Disk Cleaner.lnk = D:\Documents and Settings\USER\Documenti\UTILITY\CARTELLA - PRIVACY\Disk Cleaner\dclean.exe

O4 - Startup: ERUNT AutoBackup.lnk = D:\Programmi\ERUNT\AUTOBACK.EXE

O4 - Startup: MRU-Blaster Silent Clean.lnk = D:\Programmi\MRU-Blaster\mrublaster.exe

O4 - Startup: tclock.lnk = D:\Documents and Settings\USER\Documenti\UTILITY\T-Clock\tclock.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe

O12 - Plugin for .spop: D:\Programmi\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6E31CDE-033D-49CF-814A-2726EF39D2A7}: NameServer = 213.230.128.222 213.230.129.94

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - D:\Programmi\Norton Internet Security\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - D:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "D:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - D:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

Che dite, può andare bene? :leggi:

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao,

il tuo log è pulito, ti manca solo un firewall degno di questo nome...

questo è uno dei più semplici, leggeri ed in italiano:

http://www.wininizio.it/forum/index.php?showtopic=62657

il file PerfStringBackup.tmp , non mi pare sia nulla di dannoso

dovresti anche avere un PerfStringBackup.ini (nella stessa cartella)

quest'ultimo sono sicuro fa parte del SO

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Sì, infatti ho anche il PerfStringBackup.ini, allora non lo tocco.

Riguardo il firewall, quello integrato nel Norton Internet Security non va bene? :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao..

Sicuro che sia la suite e non solo l'antivirus???

Nel log vedo lantivirus, ma non vedo nessun firewall attivo (è per questo che te l'ho segnalato)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Sì è il Norton Internet Security 2007, il firewall c'è, me ne accorgo perchè ogni tanto mi dice "il tal programma sta cercando di connettersi a internet. consentire?" o qualcosa del genere...

Però strano che non compaia nel log, a meno che non sia compreso in queste due voci nel log stesso.

D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

D:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe

Comunque sul fatto che è installato e funzionante non ho dubbi perchè altrimenti non mi verrebbero quegli avvisi che ti ho detto sopra :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Potrebbe essere, ma mi pare strano che siano due programmi invisibili :leggi:

L'importante è comunque che se qualcosa cerca di connettersi, visualizzi il messaggio :)

Il File ccSvcHst.exe is located in a subfolder of "C:\Program Files\Common Files". Known file sizes on Windows XP are 108648 bytes , 107624 bytes, 105632 bytes, 109160 bytes, 105120 bytes, 92320 bytes.

The program has no visible window. It is a Verisign signed file

Invece AppSvc32.exe is located in a subfolder of "C:\Program Files\Common Files". Known file sizes on Windows XP are 46736 bytes 47712 bytes, 45712 bytes.

The program is not visible. File AppSvc32.exe is a Verisign signed file.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0
Vai alla lista Discussioni Antispyware - Problemi e consigli d'uso