• User

    strano uplod dal mio computer

    salve ,
    navigando per il web per un problema ho scoperto questo interessante forum.
    Mi spiego: Quando mi connetto ad Internet con alice 2M mi accorgo di uno strano uplod, sia dall'icona che segnala il collegamento, sia da un piccolo programma installato che si chiama DU-meter, che mi dice che sono in upload
    ad una velocità che varia da 3 a 10 Kb/s.
    Ho provato a fare ricerca di virus con vari programmi, tipo VirIT,AGV,e in linea con TOTAL SCAN di Panda antivirus. Quest'ultimo mi ha segnalato il file C:\WINDOWS\system\usnsvc.exe negandomi però la possibilità di disinfezione.
    In allegato il log di hijack.
    Se qualcuno mi può aiutare ......Grazie a tutti.

    Logfile of HijackThis v1.99.1
    Scan saved at 18.18.26, on 10/06/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
    C:\WINDOWS\system\usnsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\VEXPLITE\viritsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
    C:\Programmi\DU Meter\DUMeter.exe
    C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\System32\clockz.exe
    C:\VEXPLITE\MONLITE.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programmi\Sitecom\IVT BlueSoleil\BlueSoleil.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\VEXPLITE\VIRITEXP.EXE
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM..\Run: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
    O4 - HKLM..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
    O4 - HKLM..\RunServices: [Syntax2 Positive] syntax2.exe
    O4 - HKLM..\RunServices: [File Mapping Services] hp-1003.exe
    O4 - HKLM..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\RunServices: [File Mapping Services] hp-1003.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
    O16 - DPF: {ADC5034D-4DF4-4952-9F33-0A55BC68BF1E} (IDPersist Class) - http://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab
    O17 - HKLM\System\CCS\Services\Tcpip..{40140ECF-98CD-40DE-85DA-0591F0D47B24}: NameServer = 85.37.17.57 85.38.28.80
    O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programmi\Ares\chatServer.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
    O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
    O23 - Service: Print Scheduler (prtsch) - Unknown owner - C:\WINDOWS\system\usnsvc.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe


  • User Attivo

    Ciao, lovedog, e benvenuto nel Forum GT;)

    Intanto, dopo aver disattivato la funzione di ripristino configurazione di sistema, potresti fixare queste voci, con hijack:

    O4 - HKLM..\RunServices: [Syntax2 Positive] syntax2.exe
    O4 - HKLM..\RunServices: [File Mapping Services] hp-1003.exe
    O4 - HKCU..\RunServices: [File Mapping Services] hp-1003.exe

    Quanto alla voce seguente:

    C:\WINDOWS\system[usnsvc](http://www.hijackthis.de/index.php#).exe

    il file in questione è un processo di Messenger, ma dovrebbe stare in una delle cartelle di Messenger. Mi sembra dunque sospetto.
    Fixa pure quello, se non sai cosa sia...

    Poi, scarica The Avenger e killa i files di quei processi. Credo siano in questi percorsi:
    C:\WINDOWS\System32\syntax2.exe
    C:\WINDOWS\System32\hp-1003.exe

    ( C:\WINDOWS\system[usnsvc](http://www.hijackthis.de/index.php#).exe ) in dubbio 🙂

    Fatto questo, allega un altro LOG di Hijack.

    Facci sapere!


  • Consiglio Direttivo

    Ciao lovedog,

    dopo aver fixato le voci con hijackthis, apri avenger, spunta la voce:
    Input Script Manually e clicca sulla lente d'ingrandimento! All'interno della schermata view/edit script riporta queste righe:

    Files to delete:
    C:\WINDOWS\System32\syntax2.exe
    C:\WINDOWS\System32\hp-1003.exe
    
    

    Fatto questo, clicca su done ed infine sull'icona del semaforo, premendo due volte Si!!

    Al riavvio del pc, rieffettua un nuovo scan con hijack come suggerito da Kru, e allega il suo log!


  • User

    Grazie della vostra collaborazione .
    Ho seguito le vostre istruzioni ed ecco in log:

    Logfile of HijackThis v1.99.1
    Scan saved at 6.49.14, on 11/06/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
    C:\WINDOWS\system\usnsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\VEXPLITE\viritsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
    C:\Programmi\DU Meter\DUMeter.exe
    C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\System32\clockz.exe
    C:\VEXPLITE\MONLITE.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM..\Run: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
    O4 - HKLM..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
    O4 - HKLM..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
    O16 - DPF: {ADC5034D-4DF4-4952-9F33-0A55BC68BF1E} (IDPersist Class) - http://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab
    O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programmi\Ares\chatServer.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\Sitecom\IVT BlueSoleil\BTNtService.exe
    O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
    O23 - Service: Print Scheduler (prtsch) - Unknown owner - C:\WINDOWS\system\usnsvc.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe


    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\hlbms^gh


    Script file located at: ??\C:\qigxllkw.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger


    Beginning to process script file:

    File C:\WINDOWS\System32\syntax2.exe not found!
    Deletion of file C:\WINDOWS\System32\syntax2.exe failed!

    Could not process line:
    C:\WINDOWS\System32\syntax2.exe
    Status: 0xc0000034

    File C:\WINDOWS\System32\hp-1003.exe not found!
    Deletion of file C:\WINDOWS\System32\hp-1003.exe failed!

    Could not process line:
    C:\WINDOWS\System32\hp-1003.exe
    Status: 0xc0000034

    Completed script processing.


    Finished! Terminate.

    L'UPLOAD RIMANE!


  • User Attivo

    Ok. Il log adesso sembra pulito.
    Avenger però non ha eliminato i files sospetti, forse perchè non esistono.

    Resta sempre il dubbio di quel file di cui hai chiesto all'inizio, che a mio parere è sospetto.
    Prova a rimuoverlo manualmente, a fixare la sua riga di comando con Hijack e, dopo aver riavviato, verifica se persiste l'upload.

    Bada bene, però, che l'upoload può essere generato da svariati programmi non maligni che tu hai installato!

    Sarebbe bene cercare di monitorare i processi che si connettono al web senza la tua autorizzazione. Che Firewall usi? Puoi vedere se il tuo FW ti consente di vedere le connessioni In/OUT in tempo reale?


  • User

    purtroppo non ho la possibilità di controllare in tempo reale le connesioni, esite
    qualche programma al tal proposito?
    Quale è il percorso per cambiare le impostazioni del firewall (no service pack2)?
    Il file sospetto usnsvc.exe adesso non compare più nei processi di task manager, ma l'upload continua


  • User

    scusate se riscrivo subito senza aspettare le risposte, ma adesso sul pc è comparsa una richiesta di collegamento :
    lesproduhack.cjb.net .... il nome penso già la dice lunga. Come posso disattivare questa richiesta che si ripete ad intervalli di circa 10-20 secondi se non sono connesso?

    grazie


  • User Attivo

    mmm... vediamo un pò...

    conosci questo programma? Un file exe non di windows nella cartella System32 è sempre sospetto:

    O4 - HKLM..\Run: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe
    O4 - HKLM..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe

    Se non hai idea di cosa sia, in modalità provvisoria, fixa queste 2 voci con Hijackthis, poi rimuovi manualmente il file C:\WINDOWS\System32\clockz.exe.

    Prova così.

    Poi, riposta un log...


  • User

    credo che il file responsabile sia rasautou.exe che innesca la richiesta di connessione, con hijack non compare nel log, ma se sono sconnesso compare nei processi di task manager .Quando chiedo di terminare il processo, la finestra di connessione scompare insieme al file, per poi subito ripresentarsi.
    Un file con lo stesso nome, ma con l'estensione .pf è sotto la cartella di sistema....


  • User Attivo

    Guarda, quel file eseguibile, è un componente di windows. Viene utilizzato per molte operazioni essenziali durante la connessione ad internet, compreso Win Update.

    può anche essere utilizzato come vettore da virus, però.

    Prova una scansione online con kaspersky; visto che i tuoi antivirus non hanno rilevato nulla, magari una scansione online riesce...


  • Consiglio Direttivo

    @lovedog said:

    credo che il file responsabile sia rasautou.exe che innesca la richiesta di connessione.
    Un file con lo stesso nome, ma con l'estensione .pf è sotto la cartella di sistema....

    Ciao lovedog,

    effettua anche uno scan di questi file, tramite uno di questi due tools:

    suspectfile - virustotal! 🙂