PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: virus o trojan: netsad

Altre pagine della discussione:




Ecto
Principiante Principiante
Ecto
Principiante Principiante
Ecto
Principiante
Principiante

Avatar generico


Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10
Riporta il testo di: Ecto Rispondibullet Topic: Post n° 89.233 - Postato: 14/Maggio/2009 alle 21:00


Ecco il percorso dei file infetti.
I dropper.gen erano in systemVolumeInformation\_restore una roba fra parentesi lunghissima A0000286.exe, A0000299.dll. Poi in recycler jwgksvq.vmx. Lena.b era infatti hphuni03.exe e dropper/zlob.gen era A0000285.exe.




Ecto
Principiante Principiante
Ecto
Principiante Principiante
Ecto
Principiante
Principiante

Avatar generico


Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10
Riporta il testo di: Ecto Rispondibullet Topic: Post n° 89.234 - Postato: 14/Maggio/2009 alle 21:33


Ecco il link per il log di gmer:
http://myfreefilehosting.com/f/66950be80e_1.53MB

ed ecco quello per il log di hijackthis:
http://myfreefilehosting.com/f/d51fa2fc0f_0.01MB


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 89.239 - Postato: 15/Maggio/2009 alle 01:47


Ciao.. è tardi... i file che hai mandato li guardo appena posso... jwgksvq.wmx
mi fa pensare al classico malware che si scambia con gli archivi removibili
(penne usb, schede di memoria, lettori mp3, macchinette fotografiche, hdd esterni
ecc.ecc.) Quindi se hai apparecchiature del genere potrebbero essere infette...
e sarebbero da controllare.. per adesso pensiamo al pc...
C'è un tool symantec per la rimozione di un malware (Downadup)... che sembra
creare il file jwgsvq.vmx  (senza la d però...) nella stessa posizione dove l'hai trovato
tu... il tool lo scarichi nella seguente pagina:

http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

segui le istruzioni e facci sapere se trova ancora qualcosa..

Per gli altri file infetti... erano nella cartella di ripristino configurazione di sistema
e dovrebbe esser stata svuotata quando hai eliminato il ripristino dal pc...
(ricontrolla se è stato eliminato)
Ciao

PS: i dischi/partizioni che hai sul pc contengono un file che si chiama Autorun.inf ???
Se c'è forse è nascosto... te comunque prova a creare nella root
del disco una cartella con questo nome (autorun.inf)... Se non te la fa creare
allora è presente e va cancellato...
Quindi sul tuo disco C, in posizione C:\, devi creare una cartella con lo stesso
nome del file (questo rende difficile che il malware crei il file in seguito...
appunto perchè trova un oggetto con lo stesso nome)
Se non riesci ad aliminarlo... scarica avanger ed incolla all'interno della casella
del programma il seguente script:

Files to delete:
C:\autorun.inf

e fallo eseguire... Il programma avenger lo trovi a quasto link:
http://swandog46.geekstogo.com/avenger.zip
Naturalmente se hai altri dischi installati sul pc... puoi aggiungere anche
altre righe allo script... ad esempio se dovessi cancellare il file dal disco D...
ti basterebbe aggiungere il seguente percorso: D:\aurorun.inf

(dopo averlo cancellato creati la cartella con il nome autorun.inf)

PPS: Riguardo Lena.b è decisamente un falso positivo... se vuoi puoi comunicarlo
tu stesso ad avira.. in modo che non avrai problemi in future scansioni...
http://analysis.avira.com/samples/?lang=it
Mandalo il file hphuni03.exe come falso positivo ed indica che è un file di HP...
Nei prossimi aggiornamenti correggeranno il problema... altrimenti se dopo
averlo ripristinato ti viene rilevato ancora.. potresti fare la scelta di ignorarlo e mettere
il segno di spunta nella casellina preposta... in modo da far ricordare all'antivirus
di ricordare quella scelta...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Ecto
Principiante Principiante
Ecto
Principiante Principiante
Ecto
Principiante
Principiante

Avatar generico


Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10
Riporta il testo di: Ecto Rispondibullet Topic: Post n° 89.244 - Postato: 15/Maggio/2009 alle 09:45


ok. ti posto il log di mbam, seguquello che mi hai detto e ti dico! grazie

Malwarebytes' Anti-Malware 1.36
Versione del database: 2132
Windows 5.1.2600 Service Pack 3

15/05/2009 9.36.23
mbam-log-2009-05-15 (09-36-20).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 165421
Tempo trascorso: 44 minute(s), 27 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 12
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 4
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:
C:\Programmi\WebMediaPlayer (Adware.EGDAccess) -> No action taken.
C:\Programmi\WebMediaPlayer\resources (Adware.EGDAccess) -> No action taken.
C:\Programmi\WebMediaPlayer\skins (Adware.EGDAccess) -> No action taken.
C:\Programmi\WebMediaPlayer\updates (Adware.EGDAccess) -> No action taken.

File infetti:
C:\Programmi\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> No action taken.
C:\Programmi\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> No action taken.
C:\Programmi\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> No action taken.



Ecto
Principiante Principiante
Ecto
Principiante Principiante
Ecto
Principiante
Principiante

Avatar generico


Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10
Riporta il testo di: Ecto Rispondibullet Topic: Post n° 89.246 - Postato: 15/Maggio/2009 alle 11:09


Allora: il tool della symantec non ha trovato nulla, e non è presente nemmeno il file autorun in nessun disco. Mbam ha fatto un buon lavoro pechè ora i file nascosti li vedo! Sto facendo una scansione online con trendmicro housecall.
Grazie!


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 89.254 - Postato: 15/Maggio/2009 alle 14:35


Ho l'impressione che ti sei trovato a contatto con variè infezioni...
ti metto una fonte in modo da avere conferme a ciò che ti dicevo...:
http://www.f-secure.com/weblog/archives/00001575.html
riguardo il tool che ti ho fatto utilizzare. (la modifica delle impostastazioni riguardo
la visibilità dei files... è tipica di malware che sfruttano questo sistema...
e forse era rimasta mentre il malware è stato già eliminato in qualche modo...)
Io comunque darei uno sguardo anche agli archivi removibili..
Per farlo devi inserirli nella presa usb senza però che vadano in autoplay...
(prima di inserirli premi il tasto shift sinistro sulla tastiera del pc... e mantenendolo
premuto inseriscili nella presa usb, o nella firewire se son firewire, mantieni
premuto ancora un po' il tasto shift... e poi puoi lasciarlo... e per accedere
apri la finestra Risorse del Computer e cliccando con il tasto sinistro sull'icona
del device... scegli dal menù contestuale "Esplora" e guarda se ci siano file
nascosti sospetti... (eseguibili... o comunque lo stesso autorun.inf)
facci inoltre una passata con l'antivirus (con l'impostazione per scansionare
tutti i files...) Riguardo i log ancora non ho potuto leggerli...
Dopo aver attivato la visione dei file nascosti... hai controllato ancora la
cartella Dati applicazioni?
Se non l'hai fatto...  controllala... e se vedi file sospetti... altri .dat o eseguibili...
penso tu abbia avuto contatto anche con Navipromo... (stessa pasta di webmediaplayer...)
per navipromo ti ricordo che si può usare un tool molto efficace...
al seguente link trovi le istruzioni più il link per scaricarlo:

http://www.steven.altervista.org/files/tools1.html

Antivir potrebbe considerarlo infetto... ma si tratta di un falso positivo.
(quindi disattiva l'ombrellino mentre lo stai usando)

Webmediaplayer l'hai installato tu?

Va beh.. fammi sapere se ha trovato navipromo
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,035 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni