Services.exe, aka il virus + bello che abbia mai beccato.

[DJ Schwarz]

Ragazzi, mi sono accorto di un maledetto cavallo di t***a che un paio di giorni fa qualche genio ha installato sul mio PC tramite un worm che viaggiava come sempre tramite mail.

Tra i processi attivi ho pescato questo services.exe che mi insospettiva. Ho cercato info su internet e pare che si tratti di Trojan.W32.Sober (o almeno una variante). Chi l'ha programmato (gli muoiano tutti i cari in un modo terribile) pare sia un genio: non si riesce a toglierlo dai processi attivi perchè è visto come processo critico; non sembra avere qualche chiave di registro a lui collegata; ho scaricato il removal tool per w32.Sober ma, anche senza il ripristino configurazione di sistema, non riesce a manco a trovarlo (figuriamoci rimuoverlo); pure in modalità provvisoria si avvia automaticamente e non si lascia terminare; in msconfig non c'è tra i processi che si avviano automaticamente.

Mi rimane solo più avviare il PC dal disco di Windows e vedere se almeno riesco così a cancellase il file services.exe (che sta come al solito in System32); altrimenti posso ancora togliere il mio HD, metterlo su un altro PC come secondario e seccarlo da lì.

Qualcuno si è trovato nella stessa situazione o ha altri suggerimenti?

Thanks

[blue_tech]

posta un log con hijackthis -> http://www.hijackthis.de/it

fai una scansione completa con l'antivirus aggiornato che probabilmente ci sarà anche dell'altro oltre a quel singolo eseguibile

[DJ Schwarz]

Allora, ho anche fatto una scansione totale con Ad-aware che però non ha trovato nulla.

Ho fatto il Log di Hijackthis e l'ho postato sull'analizzatore online (fatto benissimo tra l'altro). Contrariamente a quanto pensavo pare che sto services.exe sia un normale file di sistema (ma allora quello che avevo trovato digitando su Google services.exe Process Information che diavolo era???); inoltre trova altre cose sospette (di cui un emulatore software di un certo programma che mi serve...ehm), più altre cose.
Ma eccolo qui sotto:


Logfile of HijackThis v1.99.1
Scan saved at 19.23.57, on 04/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programmi\SyncroSoft\Pos\H2O\cledx.ex e
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Radeon Omega Drivers\v3.8.221\ATI Tray Tools\atitray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Save\IMPOST~1\Temp\Rar$EX00. 937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.ms n.it/installsuccess.aspx&&FORM=T OOLBR&DI=3026&CM=MsgrInstall
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusche d.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmi\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.ex e
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Radeon Omega Drivers\v3.8.221\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCE L.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O9 - Extra button: Regolazione del Browser - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share dContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share dContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F54 BD1-F05D-4472-85D7-F873EAC34E5B}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B9AD 8EE-A03E-4D96-8CEA-24E68ECE5AAE}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

[firewall76]

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
fixa queste voci e stai a vedere.
Fai una bella scansione on line sul sito della trend micro.

[DJ Schwarz]

Ho fatto fuori le voci interessate e pure questa qui:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31F54 BD1-F05D-4472-85D7-F873EAC34E5B}: NameServer = 62.211.69.150 212.48.4.15

perchè ho controllato con whois e ho visto che si tratta di indirizzi in Olanda, quindi di fisso li ha messi qualche hijacker o chi per lui. Per il resto pare che adesso sia del tutto a posto.

Certo però che chi ha scritto questa pagina:

http://www.liutilities.com/products/wint askspro/processlibrary/services/

dovrebbe essere deununciato per allarmismo, visto che services.exe è un normale processo del sistema operativo...

[Sticky©]

DJ Schwarz ha scritto ven, 05 maggio 2006 alle 15:42
Ho fatto fuori le voci interessate e pure questa qui:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31F54 BD1-F05D-4472-85D7-F873EAC34E5B}: NameServer = 62.211.69.150 212.48.4.15

perchè ho controllato con whois e ho visto che si tratta di indirizzi in Olanda, quindi di fisso li ha messi qualche hijacker o chi per lui. Per il resto pare che adesso sia del tutto a posto.

Certo però che chi ha scritto questa pagina:

http://www.liutilities.com/products/wint askspro/processlibrary/services/

dovrebbe essere deununciato per allarmismo, visto che services.exe è un normale processo del sistema operativo...

Dipende in che cartella si trovi... Molto spesso vengono messi files dai nomi di sistema in cartelle non di sistema, esempio in c:\windows invece che in c:\windows\system32

E li e' facile confondersi...

[firewall76]

DJ Schwarz ha scritto ven, 05 maggio 2006 alle 15:42
Ho fatto fuori le voci interessate e pure questa qui:

O17 - HKLM\System\CCS\Services\Tcpip\..\{31F54 BD1-F05D-4472-85D7-F873EAC34E5B}: NameServer = 62.211.69.150 212.48.4.15

perchè ho controllato con whois e ho visto che si tratta di indirizzi in Olanda, quindi di fisso li ha messi qualche hijacker o chi per lui. Per il resto pare che adesso sia del tutto a posto.

Certo però che chi ha scritto questa pagina:

http://www.liutilities.com/products/wint askspro/processlibrary/services/

dovrebbe essere deununciato per allarmismo, visto che services.exe è un normale processo del sistema operativo...

generalmente è un sito affidabile
edit: scusa ma non dice che si tratta di un processo di windows, dove è la parte allarmistica?

[vaitrafra]

Quote:
Ho fatto il Log di Hijackthis e l'ho postato sull'analizzatore online (fatto benissimo tra l'altro).

analizzatore online?

ma perchè non lo inseriscono direttamente nel programma

[firewall76]

Aragorn ha scritto dom, 07 maggio 2006 alle 03:07

Quote:
Ho fatto il Log di Hijackthis e l'ho postato sull'analizzatore online (fatto benissimo tra l'altro).

analizzatore online?

ma perchè non lo inseriscono direttamente nel programma

perché i riscontri su molti processi sono gestiti dagli utenti: ossia esiste la possibilità di valutare il processo come pericolo oppure no.

[Netherlander]

credo che il sito abbia confuso services.exe con service.exe

[DJ Schwarz]

Infatti, ora la ricerca dà il risultato corretto!