Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Hijacked This! Due servizi sospetti...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Hijacked This! Due servizi sospetti...

Postdi andreabis » 09/02/05 15:14

Ciao, finalmente ho provato HijackThis sul mio PC... credevo che Spybot e AdAware facessero il loro lavoro alla perfezione.... pochi problemi e sempre risolti...
Capita a volte che dalle casse fuoriescano rumori e scariche assordanti... non so se c'azzecca qualcosa, ma potrebbe anche, quindi anche se inutile metto sta info...

In ogni caso veniamo a noi... ecco il log di HijackThis (limitato alle voci non sicure): qualche notizia sulle "entries" segnalate?
    Logfile of HijackThis v1.99.0
    Scan saved at 14.47.47, on 09/02/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    [...]
    C:\WINDOWS\system32\SSMS.EXE
    C:\WINDOWS\system32\LSSAS.EXE
    O23 - Service: COM+ Component Service - Unknown - C:\WINDOWS\system32\winmgnt.exe (file missing)
    O23 - Service: COM+ System Service - Unknown - C:\WINDOWS\system32\SSMS.EXE
    O23 - Service: Network DDE Connections - Unknown - C:\WINDOWS\system32\winmgnt.exe (file missing)
    [...]


Ci sono poi altre voci sospette ma si riferisco a estensioni di firefox...

Sapete qualcosa di più di queste voci? E dei file mancanti, sembrano essere Backdoor.

Grazie
Andrea
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Sponsor
 

Postdi dado » 09/02/05 20:05

Copia il tutto qui e vedrai che ti dice che buona parte di quei processi sono legati ai virus sober e sasser. Ovviamente sono da eliminare con la funzione fix di Hijackthis. Fa anche pulizia con l'antivirus...

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Re: Hijacked This! Due servizi sospetti...

Postdi pjfry » 09/02/05 20:15

andreabis ha scritto:C:\WINDOWS\system32\SSMS.EXE
C:\WINDOWS\system32\LSSAS.EXE

a meno che non li hai copiati male, le S sono al posto sbagliato... non credo che spybot e adaware siano molto adatti contro i virus :mmmh:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi andreabis » 09/02/05 20:39

pjfry ha scritto:a meno che non li hai copiati male, le S sono al posto sbagliato...

Ho fatto copia incolla dal log di Hijack... sono giusti.... :undecided:

dado ha scritto:Copia il tutto qui e vedrai che ti dice che buona parte di quei processi sono legati ai virus sober e sasser. Ovviamente sono da eliminare con la funzione fix di Hijackthis. Fa anche pulizia con l'antivirus...

Sì è vero... ma come mai l'AV non li ha bloccati? Ho fatto la scansione completa un mese fa con Norton 2004 aggiornatissimo, ma non ha trovato nulla.... riproverò, grazie...

Cmq volevo sapere se riconoscevate queste voci.... allora posso eliminare con HT ssms e lssas senza problemi?
E per winmgnt, come mi regolo?

Andrea
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi pjfry » 09/02/05 20:54

controlla su win\system32 : dovresti avere lsass.exe e smss.exe , quindi gli altri puoi cancellarli.
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi dado » 09/02/05 22:07

Dimmi una cosa: il sistema operativo lo hai aggiornato con il windows update? Xè al giorno d'oggi, beccarsi ancora il Sasser, sembra quasi anacronistico.... ;)

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi andreabis » 09/02/05 22:07

NAV non li ha visti... li elimino con HT.
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi pjfry » 09/02/05 22:10

non so se c'entra sasser, quello si propaga sfruttando lsass.exe originale, non la brutta copia :P
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi dado » 09/02/05 22:12

pjfry ha scritto:non so se c'entra sasser, quello si propaga sfruttando lsass.exe originale, non la brutta copia :P


In effetti HJT non parla di sasser, ma di sober e di gismo. Faccio mea culpa. Nella fretta, m'ero convinto del sasser... :oops:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi andreabis » 09/02/05 23:10

Un attimo solo:
Come mai NAV e il tool di rimozione di Sober non rilevano tale virus?

Dimmi una cosa: il sistema operativo lo hai aggiornato con il windows update? Xè al giorno d'oggi, beccarsi ancora il Sasser, sembra quasi anacronistico....

Il mio PC è superaggiornato, anche se uso Firefox, IE6 gira un giorno sì e l'altro pure sul Windows Update.

pjfry ha scritto:non so se c'entra sasser, quello si propaga sfruttando lsass.exe originale, non la brutta copia

come si riconosce l'originale dalla brutta copia?

Ultimo, ma più importante: sarò io che son cecato ma nella lista all'interno del programma di HT non trovo:
    Running processes:
    [...]
    C:\WINDOWS\system32\SSMS.EXE
    C:\WINDOWS\system32\LSSAS.EXE
e non posso farci "FIX CHECKED"!

Trovo solo:
    O23 - Service: COM+ Component Service - Unknown - C:\WINDOWS\system32\winmgnt.exe (file missing)
    O23 - Service: COM+ System Service - Unknown - C:\WINDOWS\system32\SSMS.EXE
    O23 - Service: Network DDE Connections - Unknown - C:\WINDOWS\system32\winmgnt.exe (file missing)

è normale?
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi andreabis » 09/02/05 23:16

Ho trovato anche questo forum in cui parlano di lssas.exe.

Forse nel mio caso non è un worm vero (niente battutine sul Virus chiamato Windows!! :lol: )
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi pjfry » 09/02/05 23:20

andreabis ha scritto:
pjfry ha scritto:non so se c'entra sasser, quello si propaga sfruttando lsass.exe originale, non la brutta copia

come si riconosce l'originale dalla brutta copia?

la tua brutta copia si chiama lssas.exe , con una esse al posto sbagliato, no?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi andreabis » 09/02/05 23:25

Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi andreabis » 09/02/05 23:40

Risolto.... se possibile cancellate le tracce delle mie brutte figure..... :oops:
.....ahhh la dislessia!!!
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI

Postdi pjfry » 10/02/05 09:39

quali brutte figure?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi andreabis » 10/02/05 11:33

lssas.exe e lsass.exe

faccio fatica anche ora a distinguerle :P
Muttley, fa qualcosaaaaaaa....!!!!!!
WWW, mi piaci tu... Gentoo!
Immagine
Avatar utente
andreabis
Utente Senior
 
Post: 800
Iscritto il: 06/07/04 11:04
Località: LODI


Torna a Sicurezza e Privacy


Topic correlati a "Hijacked This! Due servizi sospetti...":


Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti