WireShark ha provato a caricare un system.dll sospetto

3

All'avvio di Wireshark (v1.12.2, usando runas / user: administrator) su un vecchio sistema Windows XP SP3, Privacyware Privatefirewall mi ha avvisato che Wireshark stava cercando di caricare c: \ docume ~ 1 \ admini ~ 1 \ locals ~ 1 \ temp \ nsq18.tmp \ system.dll

C'è un modo in cui questo non è un sistema sfruttato? C'è qualche motivo legittimo per cui un programma potrebbe caricare un "system.dll" da tale percorso?

Ho avuto una paranoia crescente che questa macchina è stata hackerata, ma non sono stata in grado di individuare nulla. Ho provato a bloccare la macchina nel miglior modo possibile, ma è un vecchio sistema e non sono esperto. (Ho solo servizi minimi in esecuzione, corro sempre come utente non privilegiato, tutte le porte chiuse dall'esterno, ecc., Ma sento davvero di essere davvero in testa)

    
posta Jonathan J. Bloggs 03.12.2016 - 08:34
fonte

2 risposte

1

Hmm, come hai installato wireshark sul tuo sistema? IMHO, ciò che è male è l'esistenza di un file system.dll in c:\Document and settings\administrator\locals...\temp (non riesco a ricordare esattamente come viene definita la cartella temporanea locale in XP).

Detto questo, le regole di Windows specificano che un file DLL viene prima cercato nella cartella che contiene l'eseguibile. Quindi ciò che è la colpa non è il fatto che un'istanza in esecuzione di wireshark tenta di caricare una DLL da una cartella strana, ma il fatto è che potrebbe essere installato in quella cartella e che la sua installazione (o l'installazione di qualsiasi altro programma) ha inserisci un system.dll lì.

Il mio consiglio quando le cose vanno in questo modo è di mantenere la calma, salvare tutti i dati, reinstallare il sistema (inclusa la formattazione del disco rigido), installare un buon antivirus (avira o avast o corrette possibilità gratuite), chiedere all'antivirus di eseguire la scansione i dati salvati e ripristinarli. Quindi reinstallare tutti i software correttamente da fonti ufficiali o ben conosciute in posti accettabili (una cartella temporanea non è ...). Potrebbe essere o non essere possibile se questo computer ha programmi che non sei più in grado di reinstallare e che non vuoi perdere, ma è il modo più semplice e robusto per recuperare un ambiente sano.

L'alternativa sono:

  • non fare nulla e prega sperando che non accada nulla di peggio
  • esamina attentamente tutti i software installati per costruire una mappa di tutti i file e le cartelle usati (buona fortuna con quello ...)

Semplicemente passando antivirus o qualsiasi altro software di rilevamento malware automatico senza comprendere appieno cosa possono fare e quali possono essere i loro limiti non è molto diverso rispetto alla prima alternativa (solo pregare) ...

    
risposta data 03.12.2016 - 10:43
fonte
1

Scarica la versione di Wireshark di 32bit Portable App direttamente da Wireshark.org non da un sito di terze parti in cui il loro sistema potrebbe sono stati compromessi Verifica la firma con i file hash se non sei sicuro.

Se la DLL viene ancora chiamata quando si esegue l'app portatile, la DLL è stata agganciata da qualcosa all'interno di explorer e c'è una possibilità molto alta che il sistema sia stato compromesso.

È sempre possibile caricare qualsiasi file sospetto su VirusTotal e lo getteranno su diversi prodotti AV diversi per vedere cosa catturano.

Dovresti prendere in seria considerazione la possibilità di spostare i sistemi che vengono utilizzati negli ambienti di produzione fuori da Windows XP.

    
risposta data 03.12.2016 - 10:37
fonte

Leggi altre domande sui tag