NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Problemi con il Computer
 Hardware
 Problema con la CPU
 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Precedente
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

Ciki
Junior Member




55 Messaggi


Inserito il - 28/11/2005 : 21:12:12  Mostra Profilo
Grazie a tutti
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi

Inserito il - 28/11/2005 : 21:37:08  Mostra Profilo
Citazione:
Messaggio inserito da Yves

...il processo C:\WINDOWS\system32\wuauclt.exe è relativo all'aggiornamento automatico .....


E' vero ma il fatto strano è che è legittimo per WinME lei invece ha SP 2 ??? non dovrebbe esserci
Vedi quì

Insospettisce questa presenza anche perchè in Questo Database viene presentato come Trojan

Come ti sembra la faccenda a te Yves? Io non mi fiderei

Comunque la risposta finale " Grazie a tutti " è chiara
Torna all'inizio della Pagina

Ciki
Junior Member




55 Messaggi

Inserito il - 28/11/2005 : 22:16:04  Mostra Profilo
Devo dire che ho seguito l'indicazione di Yves e quella voce non si è più presentata nell'avvio. Ho cercato di fare un po' pulizia, anche se regedit mi fa venire un gran mal di testa.

Non mi è chiaro però come levare il BitDefender dalla condizione di missing.


Logfile of HijackThis v1.99.1
Scan saved at 22.17.15, on 28/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45FF0F7-DFBA-43C3-8B8B-8AF95A1BFC8A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS3\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi

Inserito il - 28/11/2005 : 23:02:24  Mostra Profilo
Per Ale: il files in questione è presente anche sul mio sistema, penso sia quello (anche se sicuro è morto da un pezzo...), ma comunque se disattivando l'aggiornamento automatico è sparito dai processi credo sia benigno (si fa per dire, visto il fornitore...). è comunque presente (sul mio) anche un wuauclt1.exe, e i trjan hanno la magnifica facolta di moltiplicarsi anche se non sono in coppia...ma avendo "limato" l'intero disco una settimana fà e con tutte le precauzioni del caso per installare tutto EX novo (non ho potuto usare il backup, il disco è differente da prima e collegato su di una altro bus ) non credo sia riuscito a pizzicarmi (anche perche sono quasi sempre sulla partizione Linux...), comunque al limite controllate anche voi nella vostra cartella System32 se è presente, se sulle vostre non c'è (XP SP2 Pro) lo impiombo immediatamente pure io ,

Comunque anche queste 4 voci non mi convincono troppo:

O17 - HKLM\System\CCS\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45FF0F7-DFBA-43C3-8B8B-8AF95A1BFC8A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS3\Services\Tcpip\..\{04CDD73B-0304-44D4-9F1A-2EF441E10659}: NameServer = 69.50.168.178,85.255.112.16

4 chiavi sono identice con un \CS che cambia ed una ha una chiave diversa, fino ad ora ho sempre visto 1 (o 2) chiavi riguardante il provider, ma 5 è la prima volta, l'IP è uguale per tutte, è più che altro per sapere se non si è per caso "avvitato" il registro e quindi ha ricreato connessioni perchè le prime non andavano più...

Ciao.

Modificato da - Yves in data 28/11/2005 23:19:23
Torna all'inizio della Pagina

ori
Moderatore


Città: Verona


2043 Messaggi

Inserito il - 29/11/2005 : 09:02:41  Mostra Profilo
Yves, anch'io ho quel processo (wuauclt.exe) sempre in C:\windows\system32 (xp pro sp2) e ho notato che non e` sempre presente nella task list. Stando all'analizzatore on line di hijackthis e` un processo sicuro (?). Anch'io ho anche la versione wuauclt1.exe e, insospettito, ho fatto una scansione con Antivir e BitDefender8 aggiornati ma non hanno rilevato nulla.
Torna all'inizio della Pagina

n/a
deleted

Città: eh eh ti piacerebbe saperlo


2419 Messaggi

Inserito il - 29/11/2005 : 10:31:35  Mostra Profilo
si c'è lo anche io..e come dice ori..non c'è sempre....

ciaoooo
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi

Inserito il - 29/11/2005 : 14:36:48  Mostra Profilo
Per Yves e Ori
Io concordo con voi però io ragiono come un FW cioè tutto quello che non è esplicitamente permesso viene negato.
Come avete potuto verificare sui link che ho postato il file wuauclt.exe può lasciare perplessi,oltretutto si riferisce all'autoupdate di Win (cosa che io odio)
1) Io vorrei decidere da sola se e quando scaricare gli aggiornamenti (Ritengo che la Microsoft abbia più info della CIA , ma questa è una mia personale convinzione)
2) Questo non vieta che io possa fare gli aggiornamenti (settanto di scaricarli ma non di installarli)
3) perchè zio Bill vuole tutto questo???

Se cerchi in regedit dovresti avere queste chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU

Io non ce le ho ,voi le avete?

La mia idea?? Non datemi per pazza adesso.

Io credo che tramite Win update tutti gli utenti Win siano dei bei client e tramite quelle chiavi (facendo l'update) noi comunichiamo al caro Zio Bill anche quante volte accendiamo il pc. dei file citati solo trovato info che portano a win server.

Ci sarebbe da aprire una disc in merito,vi mando un breve sunto via MP e dopo vediamo

Per il file wuauclt1.exe non compare in nessun database che ho consultato (che cavolo è??? quale applicazione lo ha installato??) ci sono troppi misteri in win (lecito in winserver stranissimo !!!)

Io stò litigando con Linux ma credo che sia una grande e vera soluzione
Torna all'inizio della Pagina

ori
Moderatore


Città: Verona


2043 Messaggi

Inserito il - 29/11/2005 : 15:34:50  Mostra Profilo
Ho controllato. Le due chiavi non esistono (non esiste WindowsUpdate nel percorso indicato). C'e` da dire che io ho impostato windows update in modo che verifichi se ci sono aggiornamenti ma 1) per scaricarli deve avere il mio permesso; 2) per installarli deve avere il mio permesso (ovviamente dopo aver guardato cosa dichiarano di fare)

Modificato da - ori in data 29/11/2005 15:38:18
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi

Inserito il - 29/11/2005 : 15:46:09  Mostra Profilo
Così và benissimo anche se hai quei file sono innoqui,è la stessa cosa che faccio io.

Per il resto del mio post che ne pensi?
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
© Nazzareno Schettino
RSS NEWS
Torna all'inizio della Pagina
Pagina generata in 0,52 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000