RE: [ml] EXE sotto C:\WINDOWS\TEMP

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2004 ml@sikurezza.org
Soggetto: RE: [ml] EXE sotto C:\WINDOWS\TEMP
Mittente: Luigi Iotti
Data: Fri, 24 Dec 2004 07:22:28 +0100 (CET)

> un piccolo EXE di 162K sotto
> c:\windows\temp, dal nome mutevole, che riparte allo startup, anche se
> abbiamo controllato in tutti i possibili posti tramite Startup-CPL.

Attenzione che un amico mio per il suo personale keylogger invece di andare
ad aggiungere una voce in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run rinominava
uno degli eseguibili ivi trovati, si sostituiva ad esso, e lo rilanciava.

Io cercherei se esiste un'utility analoga a filemon di sysinternals, ma da
command line (purtroppo nn ne conosco non avendola mai cercata), la farei
partire "presto" nell'avvio della macchina per loggare l'attività e vedere
chi crea questo file.
Un'altra cosa: prova a fare un giro con ADAware. Spesso trova schifezze che
non essendo rigorosamente "virus" vengono tralasciate dagli antivirus.

HTH

In risposta a:
- [ml] EXE sotto C:\WINDOWS\TEMP, Mimmus

Data:
- precedente: Re: [ml] EXE sotto C:\WINDOWS\TEMP, Gengis Dave
- successivo: [ml] Farewell OWASP, take care!, fabio.dianda
- indice

Argomento:
- precedente: Re: [ml] EXE sotto C:\WINDOWS\TEMP, Gengis Dave
- successivo: Re: [ml] EXE sotto C:\WINDOWS\TEMP, Gelpi Andrea
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005