Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.459 - Postato: 28/Gennaio/2008 alle 22:43

Prgn,

sto seguendo la tua procedura: ho controllato in cronologia, non ho trovato quei numeri però ce n'erano due sospetti che ho eliminato, poi ho cercato il RasPhone però nella cartella "all user" non c'è, ho fatto una ricerca è l'ho trovato in Windows/system32 ma se metto la spunta a "sola lettura" mi dice: "impossibile file di sola lettura utilizzato da un'altra applicazione"...

e' normale questo?

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.551 - Postato: 29/Gennaio/2008 alle 22:12

Oltre a farmi sapere quanto chiesto nel mio precedente post, vi informo che ho continuato con la procedura.

Ho trocvato il file "abc123.pid", l 'ho tolto, ho riacceso il pc ma c'è ancora...

ho fatto il log di FindAWF:

.....

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

     10256 27 Jan 2008 "C:\Programmi\Eset\nod32kui.exe"
    949376 3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
   1103752 27 Jan 2008 "C:\Programmi\Spyware Doctor\pctsTray.exe"
   1103752 10 Dec 2007 "C:\Programmi\Spyware Doctor\bak\pctsTray.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     10256 27 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
    155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
     32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
    406016 5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
     10256 27 Jan 2008 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
    313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
     83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
    132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
     10256 27 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
    132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"

end of report

Poi ho controllato ed effettivamente ho il file "lsasss.exe", però non ho ben capito: devo digitarlo su virtustotal e vedere cosa mi dice?

Aspetto info.

Ciao.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.559 - Postato: 29/Gennaio/2008 alle 23:09

Ciao...
Ho l'impressione che forse non sia stato chiaro...
L'ip in cronologia non l'hai trovato... perchè .... se non sbaglio hai passato
ccleaner... ed avrai cancellato anche la cronologia... (quel contagio era del
31/12) da quel che vedo dal log che mi hai postato... ti sei reinfettato il
27/01...
(l'ip potrebbe essere anche diverso... ce ne sono anche altri...)
Per quanto riguarda lsasss.exe in system32 non dovrebbe essere legittimo...
ma bada che deve avere quel nome preciso... visto che in system32 c'è
un file che si chiama lsass.exe (cioè... con due sole s finali e non 3) che è
legittimo...
Quindi... il file infetto... dovrebbe avere questo nome: lsasss.exe (tre s finali)
...
RasPhone... c'è... ma non lo vedi... perchè non avrai impostato la visione
dei file nascosti e di sistema.
Per farlo... apri risorse del computer... vai in strumenti... opzioni cartella...
visualizzazione... ed imposta: Visualizza cartelle e file nascosti
Poi, più giù, togli il segno di spunta in: Nascondi i file protetti di sistema
E clicca su Ok...
Adesso rifai la ricerca... e troverai il file... (è presente anche in system32...
ma non è quello che ci interessa...)
Intanto ti preparo lo script per avenger...

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.577 - Postato: 30/Gennaio/2008 alle 00:46

Allora... avrai letto questa discussione...:

REGOLA : LEGGERE Prima di postare un LOG

Rileggi quello che trovi riguardo il ripristino configurazione di sistema...
e disattivalo... (in questo caso... dovrebbe lasciare qualche file infetto...
tra i file di ripristino... ed in questo modo lo elimini... ma nel tuo caso...
ti sei ricontagiato visitando qualche sito che veicola il virus...)
Poi... fai partire avenger... ed applica il seguente script (come hai fatto
in precedenza...):

Segue del testo riportato...

Files to delete:
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\system32\lsasss.exe

Files to move:
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

Fine testo riportato...

Adesso... usa ancora il file DelDomains.inf
Rifai la pulitura con Ccleaner... (compresi i file più recenti di 48 ore... e i
files di prefetch) e rifai il controllo sulla presenza o meno del file abc123.pid...
e facci sapere...
Ciao

PS: ciò non toglie... che se visiti il sito che te l'ha veicolato... con Iexplorer
impostazioni di sicurezza medie... lo ripigli... senza problemi...

Modificato da prgn - 30/Gennaio/2008 alle 02:09

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.629 - Postato: 30/Gennaio/2008 alle 23:06

Grazie mille prgn,

ho eseguito tutto ciò che mi hai indicato sia per Rasphone (compreso "enableAutodial"), il file "lsass.exe" cho ho ha solo due ese, poi ho inserito lo script su avenger, usato "DelDomains", pulito con Ccleaner e ho ricontrollato il file "abc123.pid" ora non c'è più.

Allora abbiamo risolto tutto?

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.633 - Postato: 31/Gennaio/2008 alle 02:57

Figurati... è un piacere...
Si... in pratica si... controlla per un po' se si ripresenta il file abc123.pid...
ma in pratica... se hai fatto riavviare e non si è creato... significa che il
"bacarozzo" è stato debellato... Big%20smile

E se in futuro ti si dovesse ripresentare... significa che nei siti che visiti
abitualmente... ci deve essere un sito che fa il furbo... (forse anch'esso
vittima... ma questo non li giustifica...)
...
Se invece decidi di optare per Firefox... non corri pericolo con questo trojan...
e benissimo i due browser non si intralceranno... ed in questo modo...
potrai valutare anche il funzionamento di entrambi... (ma questa è una
scelta che devi fare tu...)
...
Ci sarebbe un'ultima cosa da fare... eliminare i files .zip con i backup di
avenger... e poi... per formalità... ci sarebbe da passare regdelnull...
per cancellare eventuali valori inseriti dal malware nel registro...
Per farlo... scarica il file RegDelNull.zip dal link che ti ho inserito...
scompatta il file e mettilo nel disco C in posizione C:\
(in modo che puoi poi usare i comandi che ti scrivo di seguito...)
Dopo aver messo il contenuto del file .zip in C... vai in start -> esegui e
digita cmd e premi invio per far accettare... adesso... nella finestra che
ti compare... al prompt scrivi i seguenti comandi che ti indico di seguito:

cd\

(premi invio per fare accettare)

regdelnull hklm -s

(premi invio per fare accettare)

Se ti dovesse trovare valori da cancellare... alla domanda rispondi y
fino alla fine dello scan...
...
Hai corretto anche i problemi al registro di windows... quando hai fatto
le pulizie con Ccleaner... dopo aver usato Avenger?
...
Inoltre... adesso, se hai fatto tutto, puoi riattivare il ripristino configurazione
di sistema..., e se vuoi, ...puoi creare un punto di ripristino pulito... che potrà esserti
utile in futuro...
Ciao

PS: sarebbe opportuno postassi un log di hijackthis... per un'ulteriore verifica...

Modificato da prgn - 31/Gennaio/2008 alle 11:43

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.644 - Postato: 31/Gennaio/2008 alle 11:09

Apro una parentesi riguardo le truffe telefoniche con dialer...
In questi casi... si deve richiedere subito alla propria compagnia telefonica
il resoconto delle chiamate effettuate... e qualora risultassero chiamate
fatte a numeri a pagamento che non riconoscete come legittime...
contestare subito la cosa... e magari... esporre denuncia presso la
polizia postale... (esiste un sito della polizia postale... con i vari suggerimenti...)
Inoltre... all'arrivo della bolletta... mettersi d'accordo con la propria compagnia
telefonica... pagando solo il traffico riconosciuto... ed in caso di contestazioni
da parte della stessa... richiedere l'assistenza di un'associazione di
consumatori... ed un eventuale conciliazione presso la camera di commercio...
o presso l'autorità per le comunicazioni...

Ciao.

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

gionnix
Senior

Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575

Riporta il testo di: gionnix Rispondi

Topic: Post n° 78.670 - Postato: 31/Gennaio/2008 alle 22:19

Prgn,

senti abbi pazienza: sto andando in tilt

...devo un attimo riorganizzare le idee.

Intanto come già detto all'inizio del topic, io navigo con il cellulare usato come modem...in pratica se il cell. è collegato al pc cade la linea e non parte la chiamata...percui tutte le chiamate fatte dal dialer non mi hanno spillato neanche un centesimo!

Poi aggiungo che quando ho aperto il topic ho tolto la connessione "intrusa", in genere si ristallava anche lo stesso giorno o al massimo dopo un paio: ebbene quella connessione non si è più istallata per cui forse quel problema è risolto? Giusto?

Comunque se il dialer oltre a far partire chiamate non crea altri problemi (e qui vorrei la tua conferma), mi fermerei qui.

Ora però mi sembra di capire che, mentre facevamo pulizia abbiamo trovato un trojan ("abc123.pid") cioè un altro problema, giusto?

E se proviene dal sito che ti ho indicato, e che per studio devo frequentare, mi sembra di capire che l'unico rimedio sia usare firefox se non voglio diventare scemo a ripulire ogni volta il pc, è così?

Ecco sii gentile, rispondimi a questi dubbi, perché ho bisogno di capire bene quale la situazione.

Ciao.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.675 - Postato: 31/Gennaio/2008 alle 22:52

Ciao...
Non c'è da andare in tilt... Smile

La mia parentesi... è per tutti quelli che leggeranno la discussione... non solo
per te... inoltre... non vorrei dire una panzana... ma ci sono dialer che possono
far numeri anche da cellulari...
Veniamo al tuo caso...
Non puoi dire... mi fermo qui... in quanto il tuo pc è stato ormai infettato...
Ti spiego quello che è accaduto...
Questo trojan entra nel pc... e si sostituisce ai programmi in auto esecuzione...
abbassa e varia le impostazioni di sicurezza di internet... e può impostare
dei siti... in modo che risultino facenti parte dell'area dei siti senza restrizioni...
dopo di che... può scaricare altri malware...
Il file abc123.pid... non è altro che un file di servizio... in pratica è una traccia
che lascia nella cartella %temp% del pc... insieme ad un file .dat...
quindi non è il trojan...
Il trojan... risulta sostituito a malti programmi che vanno in auto esecuzionie...
Quindi... è doverosa la pulizia... dopo tutto penso che avrai compreso
le operazioni di Avenger... che non sono altro che cancellazione di files
infetti... e spostamento dei file legittimi al proprio posto
Quindi... segui quello che ti ho indicato... lo togliamo... e poi utilizza esclusivamente
Firefox...

Ti indico ancora i passi da seguire...:

Rifai la scansione con FindAWF e posta il log...
Rifai lo scan con hijackthis e posta il log...

Dopo di che ti preparo lo script per Avenger... e lo applichi...
Si fa una bella pulizia... ed installi Firefox...
E finalmente... starai più tranquillo...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.677 - Postato: 31/Gennaio/2008 alle 23:07

Postato originariamente da gionnix

Poi aggiungo che quando ho aperto il topic ho tolto la connessione "intrusa", in genere si ristallava anche lo stesso giorno o al massimo dopo un paio: ebbene quella connessione non si è più istallata per cui forse quel problema è risolto? Giusto?

Fino a quando non togli il trojan... il trojan stesso continuerà a scaricare
malware... (per adesso si tratta di dialer... perchè il fine ultimo è spillare
soldi... ma nulla vieta a chi c'è dietro di cambiare tipologia di malware...)

Postato originariamente da gionnix

Comunque se il dialer oltre a far partire chiamate non crea altri problemi (e qui vorrei la tua conferma), mi fermerei qui.

Hai detto niente...
Se rimani un dialer installato... non navigherai mai tranquillamente... inoltre
avrai una connessione instabile... pensa al solo fastidio di caduta della
linea... mentre stai scaricando un file...

Postato originariamente da gionnix

...l'unico rimedio sia usare firefox se non voglio diventare scemo a ripulire ogni volta il pc, è così?

Non è l'unico rimedio... ma penso sia il più conveniente...
Non ti comporta particolari rinunce... ed inoltre può coesistere insieme a
IExplorer... qualora in futuro ti serva quest'ultimo...
Oltre ad essere un ottimo browser

Ciao.

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !