IDE Controller sconosciuto
-
a parte la gran mole di programmi anti-malware in esecuzione, sembrerebbe tutto perfettamente a posto
l'unico dettaglio che non mi quadra, è la presenza di questo eseguibile residente:
C:WINDOWSsystem32RUNDLL32.EXE
RUNDLL32.EXE (Modulo di esecuzione DLL come applicazioni) è un file di sistema, utilizzato da Windows per far partire delle .dll (estensioni di un'applicazione), alcuni tipi di script e/o altri tipi di file, o per attività particolari di sistema.
Ad esempio, la riproduzione dei suoni di sistema viene avviata col suo tramite, impostando come parametri la .dll interessata e il suono stesso:
rundll32 winmm.dll,sndPlaySoundA "c:file.wav"
per cancellare una coda di stampa locale che collega ad una coda di rete:
rundll32 printui.dll,PrintUIEntry /dn /n "\ /q
per bloccare la sessione corrente:
rundll32 user32.dll, LockWorkStation'
oppure (in Vista) per estendere di ulteriori 30 giorni il periodo di attivazione:
rundll32 slc.dll, SLReArmWindows
Tali file o attività hanno bisogno di essere avviate da RUNDLL32.EXE, quindi, perchè in realtà non hanno la possibilità di essere avviabili direttamente, e vengono rese eseguibili tramite questo file di sistema.
Tale file, in buona sostanza, permette di svolgere dei compiti ben precisi, ma di solito brevi.
Normalmente non rimane in esecuzione che per pochi secondi, o comunque per un periodo abbastanza limitato nel tempo.
Questo meccanismo è tra i più utilizzati dai virus che, eseguendo degli script o porzioni di codice, risultano alla fine praticamente invisibili; il fatto che si trovi residente in memoria, quindi, mi dà molto da pensare.
Stabiliamo, andando alle cose più pratiche, se è l'originale:
click dx -> Proprietà su
C:WINDOWSsystem32RUNDLL32.EXE
e, dato che hai installato il Service Pack 3, dovresti avere questo risultato
tab -> Generale
[table]dimensioni: 32,5 KB (33.280 byte)
dimensioni su disco: 36,0 KB (36.864 byte)
data creazione: venerdì 31 agosto 2001, 13.00.00
modificato: lunedì 14 aprile 2008, 3.14.18[/table]
tab -> Versione
Versione file: 5.1.2600.5512
Quindi controlla all'interno del registro di sistema tutto ciò che viene fatto partire con rundll32
Start -> Esegui -> regedit -> OK -> Modifica -> Trova -> rundll32 -> Trova successivo
se tutto è a posto, dovresti trovare solo 2 riferimenti.
Se vedi anche solo una volta il suo nome seguito da quello di un altro file, all'interno di un valore, annotalo e postalo
-
Buongiorno Totocellux.
Grazie innanzitutto per le dettagliate delucidazioni sul file Rundll32.exe.
Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.
Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.
Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.
Passo poi ad elencare quanto mi hai richiesto:
Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:
Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00
Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".
Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte), se invece lo spunto trova le seguenti tre voci:
1 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcess undll32DEBUG
Nome-> Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->TraceLevel
Tipo-->REG_SZ
Dati-->( nessun valore)
2 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregBluetoothAuthenticationAgent
Nome->Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->Command
Tipo-->REG_SZ
Dati-->rundll32.exebthprops.cpl,,BluetoothAuthenticationAgent
Nome->hkey
Tipo-->REG_SZ
Dati-->HKLM
Nome->inimapping
Tipo-->REG_SZ
Dati-->0
Nome->item
Tipo-->REG_SZ
Dati-->rundll32
Nome->key
Tipo-->REG_SZ
Dati-->SOFTWAREMicrosoftWindowsCurrentVersionRun
3 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerCompatibilityApplicationsRUNDLL32
Nome->Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->Flags
Tipo-->REG_DWORD
Dati-->0X00000408 (1032)
-
oldman50 ha scritto:
......Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.
Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.
Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.
.............
queste sono le voci interessate
C:ProgrammiAviraAvira Premium Security Suitesched.exe
C:ProgrammiAviraAvira Premium Security Suiteavguard.exe
C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe
C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe
C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe
C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll
oldman50 ha scritto:
.............
Passo poi ad elencare quanto mi hai richiesto:
Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:
Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00
.............
dovrebbe essere corretto, quantomeno se hai messo su WinXP direttamente col pacchetto di installazione comprensivo di SP3.
Quel riferimento a Venerdì 31 agosto 2001, 13.00.00, sarebbe stato corretto nel caso fosse stato installato SP3, passando per SP1 e SP2, su Windows XP prima versione, come nel mio caso.
oldman50 ha scritto:
.............
Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".
Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte)
.............
infatti impostando come criterio "rundll32" e stringa intera, la maggior dei riferimenti viene saltata, in quanto nel registro di norma è presente invece il riferimento rundll32 (o rundll32.exe) seguito dalle voci di parametro.
Quindi non impostare stringa intera, controllando per quanto possibile che nella parte dx della finestra di regedit, all'interno delle stringhe dei valori, esista un qualche riferimento ad un file o cartella sospetta.
So che è lunga la faccenda, ma si deve per forza di cose fare così, altrimenti può sfuggire un qualche elemento importante.
oldman50 ha scritto:
.............
se invece lo spunto trova le seguenti tre voci:
.............
sono OK
osservando ancore più approfonditamente i precedenti report, esiste la possibilità cha la presenza in memoria di rundll32.exe abbia una spiegazione quantomeno logica, e che possa dipendere da questi riferimento trovati da HijackThis
O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
nwprovau.dll è una libreria di appoggio al client Netware (quello certificato Microsoft).
Quindi, se tra i componenti di una delle schede di rete installate
click dx -> Risorse di Rete -> Proprietà ->Scheda interessata ->Proprietà -> Generale
hai anche il Client per reti Netware oltre ai soliti:
Client per reti Microsoft
Condivisione file e stampanti per reti Microsoft
Utilità di pianificazione pacchetti QOS
Protocollo Internet (TCP/IP)
potrebbe essere; ma rimane del tutto anormala la sua presenza residente in memoria
-
Le voci di protezione che mi elenchi credo siano tutte giustificate:
di Avira ho installato la Suite completa ( Antivirus + Firewall), mentre il McAfee SiteAdvisor è un componente aggiuntivo di Firefox, che, durante la navigazione in Internet, segnala i siti da evitare.
L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.
Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".
Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.
Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?
Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !
-
oldman50 ha scritto:
..........
L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.
.............
verosimilmente è il modulo di SuperAntiSpyware che si incarica di intercettare le attività eseguite durante le operazioni di logon, logoff e shutdown di WinXP.
Un innesto software sul WinLogon è molto rischioso: se la dll non funziona perfettamente o il meccanismo ne è compromesso, anche solo a causa di una disinstallazione non portata automaticamente bene a termine, potrebbe provocare una non più fruibile procedura di logon ...... e sarebbero guai seri.
oldman50 ha scritto:
.............
Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".
Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.
.............
AvFw Packet Filter Driver è il miniport driver del pacchetto AVIRA, e più precisamente del Firewall. Non c'entra nulla con nwprovau.dll.
oldman50 ha scritto:
.............
Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?
Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !
sono pressoché convinto che verrebbero ricreate al successivo riavvio. Se pensi che valga la pena cancellarle, naturalmente fa pure: provare, oculatamente, a proprie spese fa senza dubbio crescere la propria esperienza.
Quelle voci nel registro sono caricate dal modulo della pseudo-minaccia che verosimilmente ti porti dietro, e che viene avviato di volta in volta ad ogni partenza: cancellarle dovrebbe non bastare ad eliminarlo.
-
Avevi proprio ragione: dopo Backup del registro ho eliminato le chiavi che si riferivano al servizio della periferica, ma al riavvio vengono puntualmente ricreate sotto altra definizione.
Sto anche anallizzando tutte le chiavi trovate con ricerca " Rundll32.exe " nel registro di Windows, ma non è facile capire quale possa essere quella infetta. Oltretutto ce sono tantissime...
Ho provato a fare una scansione con Gmer, ma non ha trovato nulla.
Usare qualche altro scanner ?
-
prova anche sBS Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
non dimenticare la scansione con i vari: drweb cureit, prevx, spybot search & destroy
ciao
-
Effettuate tutte le scansioni consigliate.
Risultato : sistema pulito !
Ma Gestione periferiche si presenta ancora cosi:
http://www.xtremeshack.com/immagine/i13826_IdeController.JPG
-
in questo periodo purtroppo non ho molto tempo a disposizione, ed è veramente arduo trovare il punto di innesto di un malware così progredito, non avendo a portata di mano la tastiera del tuo pc.
Spero che la minaccia non stia utilizzando gli ADS, altrimenti diverrebbe ancora più complicato.
Se hai qualche altro indizio o un'intuizione falla sapere .... a volte in questi casi sono proprio le intuizioni a dare una svolta alla dinamica degli eventi
Ciao! Sembra che tu sia interessato a questa conversazione, ma non hai ancora un account.
Stanco di dover scorrere gli stessi post a ogni visita? Quando registri un account, tornerai sempre esattamente dove eri rimasto e potrai scegliere di essere avvisato delle nuove risposte (tramite email o notifica push). Potrai anche salvare segnalibri e votare i post per mostrare il tuo apprezzamento agli altri membri della comunità.
Con il tuo contributo, questo post potrebbe essere ancora migliore 💗
Registrati Accedi