Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.474 - Postato: 29/Gennaio/2008 alle 12:20

Magari l'ho scaricato da un sito sbagliato.....è possibile avere un elenco ti tool sicuri????? perche' no ricordo dove li ho presi tutti...sigh....sembra una giungla scarichi e non sai cosa ti arriva...

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.475 - Postato: 29/Gennaio/2008 alle 12:24

Alla cansione di elibagle sono omparsi due file strani in C Dei due ( me li ricodo li ho individuti subito ) uno è stato ancellato comeworm virus sa sysclean Infattne è rimasto solo uno. Ora elimino la mi aversione di elibagle ma è possibile avere un elenco dei tool da cui scaricare senza trovar altri virus???? Magari l'url delle discussioni dove posso trovarli stesso su questo sito....perche' ho scaricato da altri siti e ora non sono sicuo di cio' che ho come tool ( a parte sysclean ottimo debbo dire )

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.476 - Postato: 29/Gennaio/2008 alle 12:29

Ho verificato all'avvio di elibagle ( in spagnolo ) compariano due file sospetti in C : ; dei due un è stato cancellato come virus worm da sysclean e ora ne è rimasto solo uno Prvvedo a cancellare il mio elibagle scaricato dalla rete perchè era lui stesso un worm mi sa...Potete dirmi da dove partire ( url delle pagine del sito stesso ) o darmi un elenco curo dei tool che mi servono perche' non ho modo di testae i programmini scaricati dalla rete....

tool ( a parte sysclen (ottimo direi) e safe boot gia' corsi sopra mi servono:

elibagle killbox antirootkit panda avenger gmer e forse sophos combofix

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.480 - Postato: 29/Gennaio/2008 alle 13:33

Ora ho scaricato il tool elibagla da qui ; spero sia sicuro adesso cersione 1.7.0.0.

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=9258

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.481 - Postato: 29/Gennaio/2008 alle 13:56

Ecco il log di scyclean:

2008-01-29, 00:20:22, An error was detected on "C:\System Volume Information\*.*": Accesso negato.
Report Date : 1/29/2008 00:20:34

Success Clean [ WORM_SPYBOT.HW](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\5CSAC12M\b64_1[1].jpg
Success Clean [   WORM_BAGLE.JT](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\S7FCZZ3O\b64_2[1].jpg
Success Clean [ WORM_SPYBOT.HW](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\XUGKAN5B\b64_1[1].jpg
Success Clean [   WORM_BAGLE.JT](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\XUGKAN5B\b64_2[1].jpg
Success Clean [ WORM_SPYBOT.HW](    1) from C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
Success Clean [ WORM_SPYBOT.HW](    1) from C:\Programmi\ATnotes\ATnotes.exe

6 files containing viruses.
Found 6 viruses totally.
Maybe 0 viruses totally.
Stop At : 1/29/2008 13:12:09 2 hours 38 minutes 7 seconds (9486.64 seconds) has elapsed.

Domande: l'acceso negato alla zona System volume information dipende dal blocco ripristino sistema'??

Mi sembra che non siano stati eliminati i file anche se nello scorrere del programma uscivano le scritte deleted: E' consigliabile tentare di cancellarli con killbox?

***LOG MODIFICATO: sono state lasciate solo le voci sospette***

Modificato da prisca85 - 30/Gennaio/2008 alle 19:01

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.482 - Postato: 29/Gennaio/2008 alle 13:59

In ogni caso ho constatato l 'effettiva rimozione del file C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
C:\Programmi\ATnotes\ATnotes.exe
di quest'ultimo ho rimosso il resto delprogramma manualmente nel cestino.....ma gli altri?

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.483 - Postato: 29/Gennaio/2008 alle 14:20

Ho fatto scansionare il file del tool elibagla da voi usato in precedenza e i sospetti su questo tool non mancano Controllate un po' i risultati di VIRUS TOTAL che confermano quanto trovato da syscleaner .....io non me ne intendo ma credo che su questo tool qualche problema ci sia

File EliBaglA.exe ricevuto il 2008.01.29 14:01:14 (CET)
Stato corrente: Finito

Risultato: 6/32 (18.75%)

Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2008.1.29.11	2008.01.29	-
AntiVir	7.6.0.57	2008.01.29	-
Authentium	4.93.8	2008.01.29	-
Avast	4.7.1098.0	2008.01.28	-
AVG	7.5.0.516	2008.01.29	-
BitDefender	7.2	2008.01.29	-
CAT-QuickHeal	9.00	2008.01.28	-
ClamAV	0.91.2	2008.01.29	-
DrWeb	4.44.0.09170	2008.01.29	-
eSafe	7.0.15.0	2008.01.28	suspicious Trojan/Worm
eTrust-Vet	31.3.5494	2008.01.29	-
Ewido	4.0	2008.01.29	Heuristic.Win32.AVKiller
FileAdvisor	1	2008.01.29	-
Fortinet	3.14.0.0	2008.01.29	-
F-Prot	4.4.2.54	2008.01.28	-
F-Secure	6.70.13260.0	2008.01.29	-
Ikarus	T3.1.1.20	2008.01.29	-
Kaspersky	7.0.0.125	2008.01.29	-
McAfee	5217	2008.01.28	-
Microsoft	1.3109	2008.01.28	-
NOD32v2	2831	2008.01.29	-
Norman	5.80.02	2008.01.29	-
Panda	9.0.0.4	2008.01.28	Suspicious file
Prevx1	V2	2008.01.29	Heuristic: Suspicious File With Persistence
Rising	20.29.12.00	2008.01.29	-
Sophos	4.25.0	2008.01.29	Mal/NafBot-A
Sunbelt	2.2.907.0	2008.01.29	-
Symantec	10	2008.01.29	-
TheHacker	6.2.9.201	2008.01.28	-
VBA32	3.12.2.5	2008.01.21	-
VirusBuster	4.3.26:9	2008.01.28	-
Webwasher-Gateway	6.6.2	2008.01.29	Win32.ModifiedUPX.gen!82 (suspicious)

Informazioni addizionali
File size: 49163 bytes
MD5: 44d128f5d89a4155ceb71de21da7856f
SHA1: d08f0947ebd21c9679c8f162128e4e0746c32ec9
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5660E1740B...............

Modificato da prgn - 29/Gennaio/2008 alle 16:26

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.488 - Postato: 29/Gennaio/2008 alle 14:54

Tra l'altro CCleaner è stato disabilitato Vedro' di scaricarlo nuovamente .......questo worm ha pensatoa tutto...

luigi2702
Apprendista

Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68

Riporta il testo di: luigi2702 Rispondi

Topic: Post n° 78.489 - Postato: 29/Gennaio/2008 alle 15:14

Mentre sysclean e antirootkit panda sono risultati pulitissimi al controllo di virus total invece presunti worm sono risultati eabgla ( soprattutto ) e un po' meno, ma semopre sospetto, killbox scaricato da killbox.net ( ma ad virustotal l'antivirus shopos lo ha riconosciuto come killbox ad ogni modo ho tralascaito i controlli euristici che logicamente potevano determinarne il contenuto malevolo e mi sono soffermato solo sul presunto worm trojan trovatovi Poi non so ma per ora non uso elibagla.....e continuo le scansioni con gli altri tool

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 78.491 - Postato: 29/Gennaio/2008 alle 16:32

Ciao... non ho letto tutta la discussione... comunque... il file HLDRRR.EXE è
relativo a bagle... e molto probabilmente... si tratta di una copia fatta da
elibagle... con l'aggiunta di un'altra estensione...
I tools che di solito vengono suggeriti nelle nostre discussioni... la maggior
parte delle volte... sono stati già usati da noi... è quindi con una certa sicurezza...
(anche se la sicurezza al cento per cento non si ha mai...) li suggeriamo anche
agli altri... e di solito usiamo quasi sempre i link del produttore quando è
possibile...
Elibagle... ti avevo già annunciato che poteva esser scambiato per un
malware... ma se noti dai nomi... (trovi spesso la dicitura heuristic o suspicius)
in pratica... dovrebbe essere un falso positivo...
Spesso... basta che un programma abbia qualche comportamento particolare...
per essere considerato infetto...
Se poi ti fa star tranquillo... usa gli altri tools... e non dimenticare la
rimozione manuale...
Ciao

PS: ho editato il post con il risultato di virustotal... per migliorare la
visione...

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !