| Autore |
 Discussione  |
|
papillon
Advanced Member
368 Messaggi |
Inserito il - 27/08/2005 : 10:57:03
|
Si...sarebbe l'ideale...
intanto una buona notizia me l'hai già data...
ps. come mai stamattina le pagine del sito hanno tempi di caricamento da paura???? 12 minuti....e solo su questo sito....strano |
 |
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 27/08/2005 : 19:55:44
|
Allora, ecco qui un log che presenta alcuni malware.
Aprire a questo punto 5 pagine internet. Precisamente sono:
htt*://sysinfo.org/startuplist.php
htt*://[www].windowsstartup[.com]/wso/search.php
htt*://[www].processlibrary[.com]/notfound/index.php
htt*://[www].tasklist.org/
htt*://[www].google.it/
La procedura è semplice. Prendiamo i nomi dei processi in avvio automatico e controlliamo nei siti indicati se sono maligni o meno.
Per esempio, la prima voce del log si riferisce a smss.exe. apriamo la prima pagina linkata (htt*://sysinfo.org/startuplist.php) ed inseriamo nel form la voce smss.exe.
Vediamo il responso del sito. Ad una prima occhiata sembrerebbe che il sito segnali come malware la voce appaena ricercata. Ma non è così. Noi dobbiamo controllare il Name or Startup Item e nessuna voce ha questo Startup Item.
Allo stesso modo controlliamo le voci del log della prima parte della lista Running Processes
Per maggiore sicurezza controlliamo le singole voci su ogni sito che vi ho indicato. Con un po’ di esperienza e passione arriverete al punto di non essere più costretti ad utilizzare tutti i siti per il controllo dei log, ma lo farete mentalmente con esperienza e memoria.
Logfile of HijackThis v1.99.1
Scan saved at 15.03.40, on 03/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
Quella che segue è la seconda parte del log. Allo stesso modo si devono controllare le singole voci sui siti di prima.
Alcune voci si riconoscono a memoria come non maligne, in questo caso le voci sino alla 04 (esclusa) non sono maligne.
Controlliamo la voce 04 atiptaxx.exe Risulta non maligna
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\RunServices: [Msn Plus Updater] msnplus.exe (questa è un worm RBOT-MU WORM)
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe (questo è un trojan)
O4 - HKLM\..\RunServices: [Windows Update] host32.exe (anche questa è segnalata come worm)
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe (anche queste è segnalata come worm)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll (questa non è maligna)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll (questa non è maligna)
O15 - Trusted Zone: [www].master70.biz (queste vanno eliminate in quanto è un malware che effettua una serie di operazioni (installa dialer, aggiunge icone, ecc..)
O15 - Trusted Zone: [www].master71.biz (anche questa)
O15 - Trusted Zone: [www].realarea.biz (anche questa)
O15 - Trusted Zone: [www].sfonditalia.biz (anche questa)
O15 - Trusted Zone: [www].sgrunt.biz (anche questa)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (questa non è maligna)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (questo è l’antivirus)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (questo è l’antivirus)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (questo è l’antivirus)
O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing) (questo è un worm)
Bene, fatta la verifica voce per voce e necessario ripulire con hijackthis. Selezioniamo le voci maligne e clicchiamo fix.
Non è finita. Ora per i sistemi ME e XP disabilitiamo il ripristino del sistema e riavviamo in provvisoria.
Con il cerca di windows cerchiamo i file segnalati da hijackthis (per esempio l’ultima voce riporta muamgrd.exe) cerchiamo il file ed eliminiamolo se lo troviamo. Stessa procedura per tutti i file maligni.
A questo punto avviamo una scansione con Ad-aware e Spybot Per quanto riguarda gli spy
E con un Antivirus per quanto riguarda i virus
Eliminamo ciò che viene trovato
Riavviamo in modalità normale ed seguiamo un’altra scansione con hijackthis controlliamo se il log è pulito.
|
|
|
|
papillon
Advanced Member
368 Messaggi |
 Inserito il - 27/08/2005 : 20:43:15
|
Grazie davvero ..questo era ciò che mi serviva per incominciare a capire i vari passaggi per esaminare un log... Purtroppo stasera è impossibile stare sul forum....pensa che per aprire la pagina del forum ci ha messo 33 minuti esatti e per il login e la risposta ...altrettanto....cosa da non credere...non me lo spiego perchè qui non è mai successo ...del resto tutti gli altri siti si caricano velocemente (ho adsl 4 mega) solo qui c'è questo problema ....voi avete idea del perchè? forse lavori in corso sul sito?? Bohhh.. Ma domani mi studierò bene tutto e sono certo di capire poi qualcosa di più...eventualmente chiederò ancora il tuo supporto di cui ti ringrazio ancora..
Ciao |
|
|
|
papillon
Advanced Member
368 Messaggi |
Inserito il - 29/08/2005 : 20:10:21
|
Bene...ora il sito si carica velocemente ed eccomi qua.... gli arcani (per me!!) della interpretazione dei log cominciano a svelarsi....unico neo...le 5 voci "015" "Trusded Zone" per chi non le conosce da dove determina che sono "pericolose"? Sempre nell'ottica che uno voglia fare da sè.....Spero di non stufare...ma sono domande da profano.....però molto curioso e desidoroso di capire un po di più questo mondo dell'informatica ....è davvero intrigante.....
Grazie |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 29/08/2005 : 20:48:46
|
Citazione:
Messaggio inserito da papillon
Bene...ora il sito si carica velocemente ed eccomi qua.... gli arcani (per me!!) della interpretazione dei log cominciano a svelarsi....unico neo...le 5 voci "015" "Trusded Zone" per chi non le conosce da dove determina che sono "pericolose"? Sempre nell'ottica che uno voglia fare da sè.....Spero di non stufare...ma sono domande da profano.....però molto curioso e desidoroso di capire un po di più questo mondo dell'informatica ....è davvero intrigante.....
Grazie
ciao, generalmente se non conosco personalmente le voci le cerco con google.it e controllo. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 31/08/2005 : 02:49:45
|
Papillon, con mille scuse, non avevo più seguito questa discussione, per la domanda (il tempo che fa qui) 'na schifezza, siamo fine inverno, umidità, freddo e anche pioggia... sono stato un mese nella Madre Patria, dal 18/7 al 17/8 (per sbriagare questioni amministarative e vedere un po la famiglia), zona Liguria confine Francia, e devo dire che il cambio di clima mi ha sconvolto non poco (sono partito da BsAs con 4° e a Nizza ce n'erano 34°), mi sono letteralmente sciolto....
Per il resto tutto Ok, o seguito ora l'evoluzione (ed il tuto di erreale) ed ho imparato qualcosa anch'io, come sempre la sapienza bisogna coltivarla...
Un salutone. |
|
|
|
papillon
Advanced Member
368 Messaggi |
Inserito il - 31/08/2005 : 18:50:14
|
|
Ciao Yves...non avrei mai pensato....4° a Bs.As....??? In quanto alla Liguria non mi dici nulla di nuovo....Ero ad Arma di Taggia...e so del caldo.... Per tornara in tema...si questo supporto di Erreale si è rivelato utilissimo ...piano piano comincio a capirci qualcosa....era proprio ciò che volevo....ora basta apllicarsi.... Ciao |
|
|
|
Discussione |
|
analisi dei log di hijack
Forum Bloccato
