PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: malware blocca win 7, TR/Agent.pviz





Wonder
Principiante Principiante
Wonder
Principiante Principiante
Wonder
Principiante
Principiante

Avatar


Iscritto dal : 24/Ottobre/2011
Da: Italy
Status: Offline
Posts: 5
Riporta il testo di: Wonder Rispondibullet Topic: Post n° 99.067 - Postato: 24/Ottobre/2011 alle 19:05


Ciao a tutti e grazie in anticipo per il vostro tempo, come suggeritomi creo una nuova discussione dato che non è stato possibile risolvere il problema con i primi suggerimenti:
ho eseguito un file malevolo che si camuffava da .doc mentre in realtà era appunto un eseguibile. Risultato all'avvio successivo è black screen con puntatore del mouse e l'unica azione disponibile è l'accesso al task manager con ctrl alt canc, stessa situazione anche da modalità provvisoria.
ho provato il rescue system scan di avira che non ha risolto autonomamente il problema anche se ha trovato diverse infezioni. Il log potete scaricarlo da qui http://www.megaupload.com/?d=M2P5DW0H

 riassumendo credo che le cose più interessanti siano le seguenti:

ALERT: [TR/Crypt.XPACK.Gen]
WARNING: [Archive not completly scanned. Reason: maximum recursion level (10) reached]
ALERT: [TR/Agent.pviz]
ALERT: [TR/Agent.pviz] /media/Devices/sda1/$Recycle.Bin/S-1-5-21-222524566-2152439504-1161752442-1001/$RLPBV6H.zip --> Info.Doc__________________________________________________________________.exe <<< Is the Trojan horse TR/Agent.pviz [archive scan abort]
ALERT: [ADSPY/AdSpy.Gen2]
ALERT: [DR/Delphi.Gen5]
ALERT: [TR/Drop.Scheduler.NR]
ALERT: [TR/Black.Gen2]
ALERT: [Adware/OpenCandy.A.18]
ALERT: [TR/Dropper.Gen]
ALERT: [TR/Spy.48128.85]
ALERT: [TR/Obfuscated.XZ.1624]
ALERT: [SPR/Tool.Keygen.225]
ALERT: [Worm/Virtool.BUY]
ALERT: [TR/Spy.48128.85]
ALERT: [TR/Ranpax.1655808]
ALERT: [DR/Gator.3202.14]
ALERT: [EXP/ASF.GetCodec.Gen]

Statistics :
Directories............... : 58385
Archives.................. : 22809
Files..................... : 1558158
Infected.............. : 33
Renamed........... : 33
Warnings.............. : 265
Suspicious............ : 0
Infections................ : 33



Wonder
Principiante Principiante
Wonder
Principiante Principiante
Wonder
Principiante
Principiante

Avatar


Iscritto dal : 24/Ottobre/2011
Da: Italy
Status: Offline
Posts: 5
Riporta il testo di: Wonder Rispondibullet Topic: Post n° 99.068 - Postato: 24/Ottobre/2011 alle 19:09


Qui è da dove è partita la discussione:
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=13160


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.071 - Postato: 25/Ottobre/2011 alle 03:22


Ricapitolando, avviando la gestione attività, vedi il processo explorer.exe?

Poi...
Avvia la gestione attività, vai in File, Nuova attività (esegui) e nella casellina che si apre digita  "regedit" (senza virgolette), premi invio per avviare il file.
Avviato il regedit, che sarebbe l'editore del file di registro, dobbiamo cercare una chiave, la chiave che avvia il file: 
71c9ffff.com
Il file è stato rinominato dall'antivirus, quindi, presumibilmente potrebbe anche essere che si sia aggiunto un ulteriore valore alla chiave, ulteriore valore che avvia un altro file dal nome simile al precedente:  <valore esadecimale>.com
Oppure, comunque il valore che riporta la posizione del file da avviare sia stato modificato e punta ad un altro file dal nome simile.

Quindi, in regedit, vai in modifica -> trova e, nella casellina trova, cerca il nome file:

71c9ffff.com

Presumo che potrebbe trovarsi a questo percorso: (devi espandere le voci che trovi nella colonna di sinistra, fino ad arrivare a Run, a questo punto, nella parte destra, dovresti trovare il valore infetto)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

2600 = ".../TEMP/71c9ffff.com"

(in luogo di HKEY_LOCAL_MACHINE potrebbe esserci HKEY_CURRENT_USER, non cambia, l'importante è trovare dove si avvia)

il valore che ti ho indicato in rosso (2600), associato appunto al file 71c9ffff.com o comunque a file dal nome simile, va eliminato, eventuali altri valori che trovi al percorso che ti ho indicato, riportali nella discussione.

Qualora, in regedit, non dovessi trovare nessuna stringa 71c9ffff.com, vai comunque al prercorso che ti ho indicato e verifica che non ci sia il valore 2600.

Il malware è ancora presente, nei temporanei, internet e non, nella cartella del cestino, e comunque potrebbe esserci qualche eventuale altro file che si avvia... per questo potresti usare, al riavvio, un altro rescue cd, questa volta di kaspersky:

http://support.kaspersky.com/faq/?qid=208282173

considera che avira ha trovato altri file infetti, e lo stesso farà kaspersky, file che non sono relativi al malware in questione... quindi valuta tu l'eventuale eliminazione o meno.

Hai ancora il link del file infetto che hai scaricato? Se si, inviamelo per messaggio privato, usando appunto il messenger privato del forum.

Se non è chiaro, chiedi chiarimenti... Facci sapere

Ciao


Modificato da prgn - 25/Ottobre/2011 alle 12:59



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Wonder
Principiante Principiante
Wonder
Principiante Principiante
Wonder
Principiante
Principiante

Avatar


Iscritto dal : 24/Ottobre/2011
Da: Italy
Status: Offline
Posts: 5
Riporta il testo di: Wonder Rispondibullet Topic: Post n° 99.072 - Postato: 25/Ottobre/2011 alle 10:47


Ho trovato il valore che mi hai indicato nelle chiavi di registro, grazie mille !
Il file infetto era un allegato di una mail e la mail è sparita dal mio indirizzo, spam e cestino compresi quindi non riesco a inviartela...
Da modalità provvisoria ho fatto File, Nuova attività (esegui)explorer e già questo mi ha permesso di lanciare in modalità normale... comunque tornando alla modalità provvisoria ho seguito delle guide e con process explorer e autorun ho cancellato un'istanza di svchost che faceva uso di crypt.dll poi ho fatto scansioni con malware bytes Anti-malware, Combofix e anche avg.
Per sicurezza però potrei comunque provare anche kaspersky, male di sicuro non fa...


Wonder
Principiante Principiante
Wonder
Principiante Principiante
Wonder
Principiante
Principiante

Avatar


Iscritto dal : 24/Ottobre/2011
Da: Italy
Status: Offline
Posts: 5
Riporta il testo di: Wonder Rispondibullet Topic: Post n° 99.073 - Postato: 25/Ottobre/2011 alle 11:00


Come dicevo ho trovato il valore 2600 di 71c9ffff.com ma non posso eliminarlo mi dice "impossibile eliminare tutti i valori selezionati" ho provato anche in modalità provvisoria e non cambia niente, e ho notato con processexplorer di sysinternals che l'svchost che fa uso di crypt.dll è ancora presente... quindi il pc è ancora infetto


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.074 - Postato: 25/Ottobre/2011 alle 13:47


Riguardo crypt.dll, non dovrebbe appartenere al malware in questione, molto probabilmente deve appartenere a qualche software che hai installato in precedenza, quindi va valutata l'eliminazione. Per adesso occupiamoci di TR/Agent.pviz.

Da quello che ho capito, riesci ad avviare la shell di windows (explorer.exe), quindi, avvia il pc in modalità provvisoria, avvia explorer da gestione attività  (se non ti appare la shell), clicca sull'iconcina di windows in basso a sinistra (come se volessi aprire qualche programma), nella casella "Cerca programmi e file" digita:  regedit
Ti dovrebbe apparire il nome del file appena cercato, cliccaci con il tasto destro del mouse e scegli,  dal menù contestuale che ti apparirà, "Esegui come amministratore".
Vai alla voce 2600 in questione, cliccaci con il tasto destro del mouse sopra e poi scegli elimina (fai così, singolarmente, per ogni altra voce simile da elminare, tranne che per (predefinito) -> (valore non impostato) che non te lo farà eliminare) Se non te lo dovesse fare eliminare, bisogna agire sui permessi della chiave Run, che contiene il valore in questione... vai nella colonna a sinistra, clicca con il tasto destro sulla chiave Run e scegli autorizzazioni, in autorizzazioni, in utenti e gruppi, verifica che ci sia l'utente usato come amministratore... selezionalo e verifica che, nella casella sotto, in Autorizzazioni per..., ci sia la spunta in "Controllo completo", se non dovesse esserci la spunta in "controllo completo", clicca su "Avanzate", in autorizzazioni, seleziona l'utente amministratore che stai utilizzando, clicca su modifica e e metti il segno di spunta, nella colonna consenti, in controllo completo. (se sulla stessa riga di controllo completo, vedi la spunta in "nega", elimina la spunta in nega) Ok e applica. Ritenta la cancellazione del valore. Se poi, in run, non ci sono altri valore oltre quelli che sono sospetti (a parte il valore predefinito che non conta), puoi eliminare direttamente la chiave Run.
Dopo aver eliminato la voci infette, bisogna riavviare, ed io ti consiglio di farlo utilizzando il rescue cd di kaspersky, perchè ancora non sappiamo se la chiave rischia di essere rigenerata da altri file infetti che si avviano all'avvio del pc. Purtroppo, non avendo analisi precise del malware, ci stiamo basando su malware simili.
Quindi, dopo aver editato il file di registo con regedit, riavvia il pc ma utilizzando il resque cd di kaspersky, altrimenti l'editing del registro di sistema appena effettuato potrebbe essere vanificato...
Ciao




SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...







Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,031 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni