|
Argomento: Un giallo: TCPTEST.EXE scompare e XP non sale a SP2
|
| Creato da |
Messaggio |
mraffa
07/09/2005 00:14:13 |
Ho già inoltrato questo messaggio su un newsgroup, purtroppo senza risposte: qui sarebbe [OT] (chiedo venia a tutti) ma è che non so proprio che pesci pigliare e il caso mi pare così strano ... ricopio il messaggio dal newsgroup .... nessun suggerimento? - Bye - MR
--------------
E` una storia un po` complessa e (per me) misteriosa, e quindi lunghetta da raccontare.
Se qualcuno però avesse pazienza e alla fine potesse darmi
qualche consiglio .... Sto dando una mano ad un amico a sistemare un PC con XP SP1 e ADSL.
Nonostante NORTON 2005 si è beccato qualche virus e qualche spy (fra i più recenti Dialer.Sfonditalia e Findspy.A). La bolletta telefonica è rimasta
tranquilla grazie all`ADSL ma ....
Tempo fa Windows XP era già stato aggiornato a SP2, ma poi si era dovuti tornare indietro per la mancanza di compatibilità con un driver di smart-card.
Ora si è trovato il driver aggiornato ma non si riesce a tornare a SP2 .... che lo aiuterebbe a non prendere altri "malaware" ... (e a continuare a ricevere le "patch" di Windows Update: in questo momento le ha tutte ... tutte quelle che non richiedono come presupposto il SP2).
Quando cerco di riaggiornare a SP2 l`intallazione fallisce perchè non trova il file tcptest.exe (più precisamente il messaggio di errore parla di tcptest.ex_)
Nel "CAB" autoestranete del CD Microsoft [già usato su più PC] ho verificato che in effetti c`è tcptest.exe (e non ex_: bha!)
I LOG di installazione citano il file e citano l`errore: l`installazione del SP2 estrae il file ma non riesce a determinare la sua dimensione, e allora chiede il file all`operatore ... che non sa che pesci pigliare ....
In effetti .... se su quel PC cerco di creare un file con quel nome .... esso viene istantaneamente cancellato!
Per esempio, da Prompt DOS:
C:\BUFF> DIR > TCPTEST.XXX
C:\BUFF> REN TCPTEST.XXX TCPTEST.EXE
....... ma il file di destinazione, se vado a vedere, non c`è!
IDEM ce cerco di crearlo direttamente con quel nome.
Se ci riprovo facendo in modo diverso:
C:\BUFF> DIR > TCPTEST.XXX
C:\BUFF> REN TCPTEST.XXX TCPTEST.EXE
Nome duplicato o impossibile
trovare il file
C:\BUFF> REN TCPTEST.XXX TCPTEST.EXE345
cioè:
- creo un file qualunque
- cerco di rinominarlo in TCPTEST.EXE, ma questa volta ottengo il messaggio di errore che corrisponderebbe a "nome di destinazione già esistente"
- se faccio una variazione sull`estensione, il rename riesce ma ..... poi in ogni caso il file scompare di nuovo [e la volta successiva il PC si "ricorderà" di questa estensione e non riuscirò a riusarla, neanche dopo una
riaccensione: dove e come se lo ricorda non lo ho capito ... non ne ho trovato traccia nè in dei file nè con regedit]
Magari avrò sbagliato qualcosa, ma io quei file "scomparsi" non sono proprio riuscito a trovarli da nessuna parte, neanche abilitando la visibilità dei
file di sistema.
Estraendo il file direttamente da un CAB .... se ho aperta una maschera di ricerca per i file con quel nome riesco a vederne l`icona .... per un file lungo 0 .... che poi scompare .....
In questo momento non segnalano più cose "strane" nè NORTON 2005, nè SpyBot, nè "AD-Aware SE Personal" (tutti aggiornatissimi a "oggi"), ma il problema
permane, e in questa situazione ovviamente l`aggiornamento a XP SP2 continua a fallire.
Ho cercato con "Google", ma non ho saputo trovare indizi utili ad una soluzione.
Spero che questo sia il newsgroup adatto e che qualcuno abbia avuto pazienza ....: secondo me sul quel PC c`è ancora qualche porcheria (oltre a XP intendo ;-)) che si "difende" .....
Ringrazio fin da ora che mi potrà dare suggerimenti.
-------------
|
mraffa
09/09/2005 00:15:46 |
Se a qualcuno interessa: dai newsgroup un primo indizio. Qualcuno ha un problema simile e ha trovato qualche traccia in:
http://www.bleepingcomputer.com/forums/sexandpokercom-fake-Windows-Security-popups-nasty-malwa-t21983.html
Nei prossimi giorni andrò dal mio amico per verificare se nel frattempo si è beccato qualcosa che sia (o sia diventato) "noto" a Norton, SpyBot e AD-Aware riaggiornati.
Poi indagherò sulle tracce desumibili dal sito qui sopra. Fra un po` di giorni ridarò mie notizie.
Se intanto qualcuno avesse altri indizi, sono sempre e ovviamente graditi. -- Ciao - MR |
mraffa
23/09/2005 00:29:32 |
Per gli interessati, ricopio il messaggio mandato sugli NG.
-----------
Che ce l`abbia fatta?
Un amico mi ha dato "BartPE" su CD (si fa il boot del PC da CD, niente utente e niente password, e il contenuto del disco del PC è tutto lì, a disposizione => vergogna a Bill!!!)
Tutte le mie prove di creazione di un file di nome TCPTEST.EXE e sue varianti erano lì, in bella vista (come mi aveva già confermato un TYPE di quei file .... e anche il comportamento dei rename lo poteva far supporre ....)
Ho poi guardato in \WINDOWS\SYSTEM32: ecco i bastardi! Una serie di file con date recenti e dall`aspetto sospetto, che da XP non si vedevano in nessun modo (a parte che con il TYPE da finestra DOS .... a saperne il nome!)
Tralasciando i dettagli e le varie iterazioni per vedere che cosa succedeva .... ora che li vedevo .... ho pesantemente rinominato o cancellato:
- HCLEAN32.EXE (era stato creato/ricreato al boot del mattino, non ai boot successivi .... lo ricreerà domani mattina?)
- NTFSNLPA.EXE (idem)
- rdsndin.exe e il relativo file ".pf" (idem)
- LOADCTR32.EXE
- CSxxx.EXE (dove al posto di xxx .... dopo ogni boot di XP, se poi tornavo a far partire BartPE, ritrovavo un nome di file nuovo ... ma sempre con stessa data e ora)
Nelle varie fasi il NORTON a un certo punto (ora che finalmente poteva vedere i file ...) mi ha riconosciuto HCLEAN32.EXE e CSxxx.EXE come trojan (il primo del tutto generico, il secondo come PWSTEAL.TROJAN)
Identificazioni comunque abbastanza generiche che mi hanno lasciato un po` perplesso .... ma che fossero file bastardi è certo.
Quei nomi di file li ho visti variamente associati fra loro e con altri (alcuni di questi ultimi li ho cercati per tutto il disco, ma non li ho trovati) in diversi messaggi su google.
Poi era tardi ...... io confido che la situazione ora sia tornata controllabile, anche se non ne sono del tutto sicuro .... nel registro non ho trovato citato nessuno di quei file .......
Appena possibile tornerò a controllare la situazione.
Voglio vedere se i file si sono "rigenerati", e se vedo ancora i miei TCPTEST.EXE
Poi farò una nuova scansione generale con il NORTON, con SPYBOT e AD-AWARE
Infine .... se tutto OK riproverò a fare l`ugrade di XP a SP2.
HijackThis e altro similare, sui quali non ho avuto proprio il tempo di "indagare", .... me li tengo come ultima spiaggia.
Se qualcuno ha altro da suggerire, grazie.
Ri-ringrazio "Attila" per gli utili indizi di qualche giorno fa.
Se ci sarà qualcosa di significativo da segnalare mi rifarò comunque vivo.
---
Ciao a tutti - MR
-----------
|
|
| Donazione con paypal |
Se ritieni che StopDialers ti sia stato utile o apprezzi la musica MP3 scaricata puoi effettuare una donazione di qualsiasi entità per supportare il mio lavoro, grazie. In alternativa potete cliccate i banner pubblicitari... |
| Advertizing |
|
|
