Re: [ml] EXE sotto C:\WINDOWS\TEMP

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2004 ml@sikurezza.org
Soggetto: Re: [ml] EXE sotto C:\WINDOWS\TEMP
Mittente: Gelpi Andrea
Data: Sat, 25 Dec 2004 11:45:41 +0100 (CET)

Il giorno 22/dic/04, alle 12:02, Mimmus ha scritto:

Salve, nella nostra azienda, protetta dagli antivirus ClamAV (sulla posta) e Trend (tutta la suite), e' in circolazione su quasi tutti i PC (tranne sul mio, eh, eh... che non uso nemmeno l'antivirus...) un piccolo EXE di 162K sotto c:\windows\temp, dal nome mutevole, che riparte allo startup, anche se abbiamo controllato in tutti i possibili posti tramite Startup-CPL.
Qualche idea da dove partire?
Domenico Viggiani (CS)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

I posti dove guardare sono diversi. Innanzitutto dove guardare dipende dal sistema operativo. Nelle ultime versioni di Windows i programmi avviati stanno nel registry. Cerca lì. Nelle vecchie versioni di Windows c'erano il file system.ini e win.ini, oltre a config.sys e autoexcec.bat

--
Andrea Gelpi
*************************************
Landmines must be stopped (IRC)
*************************************

In risposta a:
- [ml] EXE sotto C:\WINDOWS\TEMP, Mimmus

Data:
- precedente: [ml] Farewell OWASP, take care!, fabio.dianda
- successivo: [ml] iotrace 1.3 released, michele dallachiesa
- indice

Argomento:
- precedente: RE: [ml] EXE sotto C:\WINDOWS\TEMP, Luigi Iotti
- successivo: Re: [ml] EXE sotto C:\WINDOWS\TEMP, Cristiano Maranci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005