Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

CIAO , FORSE HO PRESO IL WORM SKYNET............

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

CIAO , FORSE HO PRESO IL WORM SKYNET............

Postdi ozzy » 01/12/05 02:26

ciao a tutti ,,,hoaperto il task manager e mi sono ritrovato questo processo :

CSRSS.EXE

leggendo un po in giro mi è sembrato di capire che si tratti di un worm


allego log fatto col programma hijackthis v. 1.99.1


Logfile of HijackThis v1.99.1
Scan saved at 2.12.54, on 01/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programmi\Aspire Arcade\PCMService.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\OzzY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D669FE9-7448-404C-AC36-A91F7A8D6187}: NameServer = 151.99.125.1 151.99.125.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



ho letto in precedenti messaggi che devo eliminare alcuni file dalla modalita' provvisoria,,,,,,ma intendete avviando il pc con f8 e quindi la mod prov di windows ? o altro

mi dite come posso eliminare il worm ? avevo scaricato un fixtool della symanteck ma non mi ha trovato un bel niente,,,intanto a me il processo CSRSS ...mi sembra molto sospetto

GRAZIE DELL'ATTENZIONE


ps: come antivirus uso free-av
ozzy
Newbie
 
Post: 5
Iscritto il: 01/12/05 02:19

Sponsor
 

Postdi Luke9792005 » 01/12/05 04:48

Ciao.

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe Sai di cosa si tratta?

Al di là di questo, il log è pulitissimo.

Comunque, quel processo di per sé è più che normale (è relativo ad un prodotto Microsoft). Per dettagli, leggi qui:
http://www.liutilities.com/products/win ... ary/csrss/

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi ozzy » 01/12/05 10:14

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe Sai di cosa si tratta?


non so di cosa si tratta,,,,altrimenti non postavo nel forum :-)

è un processo normale ? risp, ciao
ozzy
Newbie
 
Post: 5
Iscritto il: 01/12/05 02:19

Postdi Luke9792005 » 01/12/05 13:42

Ciao.

Ho fatto una ricerca più approfondita, dalla quale è risultato che LManager.exe è legato al software NetHASP License Manager. L'hai installato tu?

Se così non fosse, fixalo con HijackThis seguendo le indicazioni contenute in questa utile guida:
http://www.pc-facile.com/guida_hijackthis_t148946/

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi ozzy » 01/12/05 13:58

io non so neanche cosa sia NETASP...... che faccio lo tolgo ?
ozzy
Newbie
 
Post: 5
Iscritto il: 01/12/05 02:19

Postdi Luke9792005 » 01/12/05 15:09

Sei l'unico ad usare quel PC?

Per dettagli sul software in discorso, leggi qui:
http://www.wavefun.com/support/pc/faqpcnetwork1.html

Ti viene in mente qualcosa?

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi ozzy » 01/12/05 15:23

ciao , si sono l'unico,,,ma il mio pc ècollegato in rete con quello di mio fratello,,,forse questo processo c'entra con la rete lan ?
ozzy
Newbie
 
Post: 5
Iscritto il: 01/12/05 02:19

Postdi Luke9792005 » 01/12/05 16:56

Sulla base di quanto ho letto, si direbbe un software di gestione delle LAN, ma deve essere stato installato da qualcuno! Chiedi a tuo fratello delucidazioni.

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi ozzy » 01/12/05 17:38

mio fratello non sa installare manco winamp :-)

mi sa che qualcuno me l'ha installato per entrare nel pc
ozzy
Newbie
 
Post: 5
Iscritto il: 01/12/05 02:19

Postdi Dylan666 » 01/12/05 17:44

Considerazioni?

  1. da che cosa hi dedotto che hai un worm? Solo dal file che citi all'inizio? Beh, quando hai un worm te ne accorgi soprattutto per i problemi che crea! ;)
  2. il file che citi (CSRSS.EXE) NON è un worm, è un normalissimo componente del sistema operatvio:
    http://www.liutilities.com/products/win ... ary/csrss/
  3. non puoi avere il worm anche perché hai il sp2, che è una raccolta di aggiornamenti fra i quali una patch che sanava la vulnerabilità sfruttata da quel worm
  4. fra le cose installate nel sp2 c'è anche un bel firewall che dal log NON risulta attivo. Tale firewall impedirebbe infezioni al tuo PC dai worm futuri. Dovrai però configurarlo per farlo convivere con la lan
  5. La prova finale che non hai NetSky sul PC è quella di passare questo tool gratuito di rimozione dei worm più famosi attuamente in circolazione:
    http://vil.nai.com/vil/stinger/
  6. LManager.exe è al 99% un programma sicuro ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "CIAO , FORSE HO PRESO IL WORM SKYNET............":

Ciao a tutti
Autore: visualdrome
Forum: Forum off-topic
Risposte: 1
Ciao
Autore: Tequi
Forum: Applicazioni Office Windows
Risposte: 1
Ciao a tutti!
Autore: Marlov
Forum: Forum off-topic
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti