Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: virus o trojan: netsad

Altre pagine della discussione:

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.216 - Postato: 14/Maggio/2009 alle 01:15

Ciao a tutti. Ho un grosso problema su un pc che uso per lavoro.
Premetto che ha windows xp e che tempo fa ero riuscito a rimuovere manualmente con successo il virus ooemumc.exe. Ora invece un altro virus è presente e a volte non fa partire l'antivirus, disattiva gli agg. automatici di windows, fa caricare un file di boot modificato e non mi fa visualizzare i file nascosti nemmeno se faccio la modifica nel registro sulla dword hidden. Ho fatto scansione con spyhunter e mi ha trovato winsys.exe, che ho eliminato. Con spybot search and destroy ho riparato alcune voci, ma il problema persiste. Antivir non ha trovato nulla. Non ci sono voci sospette se guardo i processi attivi e nemmeno i servizi. Riporto di seguito il log di hijackthis.

Logfile of Trend Micro HijackThis v2.0.2

********************************

Log analizzato; seguire le istruzioni dei post successivi

********************************

Attendo un aiuto....grazie!!

Modificato da RAVEN - 14/Maggio/2009 alle 15:12

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.217 - Postato: 14/Maggio/2009 alle 01:24

dimenticavo: in dati applicazioni c'è il seguente file GDIPFONTCACHEV1.DAT. E' da togliere?

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 89.218 - Postato: 14/Maggio/2009 alle 10:41

Ciao.. leggi questa discussione.. troverai indicazioni come disattivare il ripristino
configuarazione di sistema..

REGOLA : LEGGERE Prima di postare un LOG

GDIPFONTCACHEV1.DAT non è di per se infetto... comunque indica che c'è l'infezione...
perchè è tipico di infezioni da netsad worm...
Ti metto il link di un'analisi e soluzione della trend micro:

http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSAD.A&VSect=Sn

se vuoi puoi seguirla o tentiamo con una soluzine veloce.. la cosa antipatica
e che se è ancora attivo rompe un po' terminando alcuni processi importanti...
Allora, come ti dicevo prima, elimina il ripristino configurazione di sistema,
riavvia in modalità provvisoria... avvia antivir, vai inConfiguration e selezionando
Scan sulla parte a sinistra... metti il segno in All Files nella parte a destra...
e clicca su Ok...
Fai fare una scansione con questa impostazione...
Per sicurezza cerca sul pc se ci siano i seguenti file e se ci sono eliminali...:

winlogon.cab.exe
amircivil.exe
C:\symantec.exe
D:\fun.pic.scr
E:\wow.pif
F:\mail.cmd

(l'antivirus avrebbe già dovuti eliminarli)

Come puoi vedere dall'analisi che ti ho linkato... si compia
anche con il nome di notepad.exe quindi occhio a non eliminare
quello buono... (che poi sarebbe il blocco note... comunque se
antivir te lo da per infetto... eliminalo)

Poi vai in start -> esegui e digita regedit (penso che qui già
sai che fare...) Cerca ed elimina la seguente chiave:

(elimina le cose che indico in rosso)

HKEY_CURRENT_USER\SadNet

Poi cerca la seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ed elimina il seguente valore:

"SadNet" = "%System%\winlogon.cab.exe"

Riavvia e verifica il tutto e se ci sono ancora problemi...
Elimina quel file .dat di cui chiedevi prima (non dovrebbe essere infettivo
ma comunque va tolto...)
Inoltre sarebbe buono tu facessi una pulita con un programma tipo ccleaner
eliminado i temporanei compreso i file di prefetch...
Ciao

PS: quando sei certo di aver risolto potresti riattivare il ripristino configurazione
di sistema e creare un nuovo punto di ripristino configurazione...

Modificato da prgn - 14/Maggio/2009 alle 10:54

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 89.219 - Postato: 14/Maggio/2009 alle 10:45

Opps.. dimenticavo di darti il benvenuto su ppp!
Ricorda di indicare le cose che ti rivela antivir... Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.220 - Postato: 14/Maggio/2009 alle 10:47

Per il momento ti ringrazio tanto! Siccome il pc non è a casa quando effettuerò le azioni che mi hai consigliato riferirò i risultati.
Grazie

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 89.221 - Postato: 14/Maggio/2009 alle 10:56

Ok... tienici informati.. è stato un piacere.
Ciao

PS: ti ho corretto il titolo che era troppo generico e non descritto dell'argomento
all'oggetto della discussione...

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.223 - Postato: 14/Maggio/2009 alle 12:23

Dunque, ho tolto il ripristino config. di sistema. Riamane il fatto che se metto Visualizza cartelle e file "qualcosa" mi rimette la spunta su non visualizzare... Ho fatto la scansione in modalità provvisoria e mi ha trovato e messo in quarantena TR/Dropper Gen, TR/Lena.B e DR/Zlob.Gen. I file e le voci di registro che mi avevi indicato di cercare non c'erano. Come non c'era il processo winlogon.cab.exe, nemmeno se controllo con ProcessExplorer che ho scaricato da MicrosoftTechnet. Ho eliminato il file .dat. e sto facendo un'altra scansione di antivir con tutti i file in mod. provvisoria e anche una con spybot. La cosa positiva è che ora l'antivir parte sempre.
Dimenticavo: se faccio msconfig e guardo tra gli avvii, è rimasto quello che puntava a C:\documents and settings\studio\impostazioni locali\dati applicazioni\ooemumc.exe, ma il file l'ho eliminato e non c'è più...

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.225 - Postato: 14/Maggio/2009 alle 13:53

Spybot non ha trovato nulla.

Ecto
Principiante

Iscritto dal : 14/Maggio/2009
Da: Italy
Status: Offline
Posts: 10

Riporta il testo di: Ecto Rispondi

Topic: Post n° 89.226 - Postato: 14/Maggio/2009 alle 16:08

Non c'è più nessuno?

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 89.229 - Postato: 14/Maggio/2009 alle 19:31

Eravamo a far la pappa... siam piccinini!
Devi essere più preciso ed indicare nome e percorso dei file infetti...
TR/lena con molta probabilità è un falso positivo se hai prodotti hp...
Fai anche una scansione con Gmer... postando il log... insieme ad un ulteriore
log di hijackthis....
(la scansione di gmer.. la usiamo per determinare la presenza di rootkit...)
Fai partire il programma... e quando parte, lasciandolo nella cartella rootkit...
clicca su scan.... Alla fine, clicca sul tasto copy... poi incolla il risultato in un post...
incollando quello che hai appena copiato con il tasto copy...)
Qualora il file fosse troppo grande... fai l'upload su di un sito di file hosting...
tipo ad esempio http://www.mediafire.com e poi posta il link al file
(puoi inviarlo anche senza creare un account su mediafire)
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: virus o trojan: netsad

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: virus o trojan: netsad

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !