cia a tutti
purtroppo attendevo una mail dalla spagna da un amico che mi doveva mandare delle foto fatte in immersione in egitto
e quando mi è arrivato questo:"Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer...me dijo que te pasara, descargalas de aca: http://diexe.t35.com/fotos.zip ..tene cuidado a quien le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!"
ho proprio creduto fosse lui la fretta e la mia stupidita mi ha fatto clikkare e solo dopo mi sono reso conto che stavo facendo una cakkiata...
poi quando ho visto @libero.....
ma ora mai la frittata era fatta ora ho riacceso il pc e mi esce lo schermo blu senza icone dei programmi, è sparita la funzione cerca e
ma in parte riesco a fare quasi tutto.
ho usato hijack e mi da questo log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.22.13, on 06/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
c:\programmi\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\svchost.exe
C:\Programmi\Norton Ghost\Agent\VProSvc.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\msiexec.exe
c:\programmi\panda software\panda antivirus + firewall 2007\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\AvltMain.exe
C:\Documents and Settings\Tiziano\Desktop\HiJackThis_v2.exe
C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prostitutas.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk.disabled
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Logo Calibration Loader.lnk = C:\Programmi\Pantone\Eye-One Match\CalibrationLoader\CalibrationLoader.exe
O4 - Global Startup: ProfileReminder.lnk = C:\Programmi\Pantone\Eye-One Match\ProfileReminder.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176283375015
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programmi\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\programmi\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Unknown owner - C:\Programmi\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

--
End of file - 9296 bytes


sto facendo girare panda e ad aware
oltre a spyboot ma mi sa che mi serve una mano
ps alla riacensione del sistema
esce una finestrella in spagnolo che in pratica dice che sono curioso!!!!!
oltre che pirla...:mc: :mc: :mc: :mc: :mc: :mc: :mc:

Ti sei beccato :
Kaspersky Internet Security 6.0

The requested URL http://diexe.t35.com/fotos.zip is infected with Trojan-Dropper.Win32.Agent.bjw virus

per il log :
fixa

C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe

e poi fai uno scan on-line con http://www.bitdefender.com/scan8/ie.html


e la prossima volte nella sezione delle infezioni ;)

Ti conviene postare nella sezione "aiuto, sono infetto"...non vorrei che ci prendessimo delle belle "martellate" se proseguissimo qui la conversazione...:D

Già hai avuto risposta al riguardo :)

e NON disattivare il system restore, altrimenti con il cavolo te lo rimetti a posto il sistema

spero che un mod sposti il mio messaggio in zona corretta e un grazie a tutti

mi sono infettato di questo virus che è un figlio di p****, non tanto per toglierlo ma per rimettere tutto a posto;
con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to delete:
C:\WINDOWS\svchost.exe

a questo punto riavvia vai, abilita la visualizzazione dei file nascosti e disabilita la condivizione semplice e in C:\ clikka con il destro su system vlume information; proprieta --> protezione --> aggiungi; scrivi il tuo nome utente e premi controlla nomi; a questo punto fai applica poi ok seleziona il tuo account e dagli accesso completo; a questo punto fai una scan on-line con bitdefender e dopo di che usa il ripristiono di configurazione di sistema

io ho fatto questa procedura e mi sembra che abbia risolto ...
odio io non ci capisco molto ma probleimi non ne vedo
come posso fare a capire se ho debellato??
ho avviato spy-boot
e ho fixato cio che mi diceva di fixare da hijack
poi ho fatto una scansione con bit defender che ha appunto trovato il file;
C:\WINDOWS\svchost.exe e che dice che ha pulito
ho riavvito in modalita provvisoria e ho fatto fare una scansione a spy boot
e adAw che non ha trovato piu nulla
ora sembra a posto
la procedura chemi ha indicato wizard per me è troppo complessa considerate che sono un fotografo e l'inglese lo conosco poco e il programma da te indicato mi fa paura...
che dite sono pulito??

io ho fatto questa procedura e mi sembra che abbia risolto ...
odio io non ci capisco molto ma probleimi non ne vedo
come posso fare a capire se ho debellato??
ho avviato spy-boot
e ho fixato cio che mi diceva di fixare da hijack
poi ho fatto una scansione con bit defender che ha appunto trovato il file;
C:\WINDOWS\svchost.exe e che dice che ha pulito
ho riavvito in modalita provvisoria e ho fatto fare una scansione a spy boot
e adAw che non ha trovato piu nulla
ora sembra a posto
la procedura chemi ha indicato wizard per me è troppo complessa considerate che sono un fotografo e l'inglese lo conosco poco e il programma da te indicato mi fa paura...
che dite sono pulito??

il menù di windows è ritornato come era prima?

in effetti manca nel menu sotto start la funzione cerca e
nella barra mi è sparito l'orologio...
per ora noto questo...

entra in modalità provvisoria; ti si presenterà un finestra relativa al ripristino di configurazione di sistema; tramite quello strumetno ripristina una condizione precendente all'infezione

non ce ne sono piu
cioè gia fatto ma mi dice impossibile ripristinare alla data richiesta...
mi sa che qualcosa ha fatto sto virus malefico

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prostitutas.com
:rotfl: :rotfl:

per l'orologio prova qui: http://lateshnair.blogspot.com/2007/04/windows-xp-tray-clock-missing.html

per il cerca, vai nella sezione di windows e fai un cerca. si era già parlato

non ce ne sono piu
cioè gia fatto ma mi dice impossibile ripristinare alla data richiesta...
mi sa che qualcosa ha fatto sto virus malefico

prova a creare un nuovo account utente dalla modalità privvisoria

scarico il virus e con le signatures 2312 lo interecetta.
Aggiorno alla 2313 non lo becca piu' :-D :-D


Nod32 sempre meno affidabile. Peccato perche' è un prodotto molto valido

scarico il virus e con le signatures 2312 lo interecetta.
Aggiorno alla 2313 non lo becca piu' :-D :-D


Nod32 sempre meno affidabile. Peccato perche' è un prodotto molto valido

era un prodotto molto valido

ho risolto in modalita provvisoria sono riuscito a fare fare un ripristino del sistema e sembra tornato tutto come prima
ora la cosa che mi chiedo perche il panda non ha rilevato il virus???
inoltre adesso che ho ripristinato sara davvero pulito???
ma mi sa che forse per il mio lavoro mac era l'ideale...
anche se la colpa ce la l'utente impedito piu che il pc

ho risolto in modalita provvisoria sono riuscito a fare fare un ripristino del sistema e sembra tornato tutto come prima
ora la cosa che mi chiedo perche il panda non ha rilevato il virus???
inoltre adesso che ho ripristinato sara davvero pulito???
ma mi sa che forse per il mio lavoro mac era l'ideale...
anche se la colpa ce la l'utente impedito piu che il pc

solo kaspersky e bitdefender attualmente rilevano il virus; non prendere mai un mac, soldi buttati via; se proprio vuoi un altro os prendi un linux

Perchè hai concesso l'uscita al file? il problema sta li se eseguito richiede la connessione per scaricare il malware, comunque va a modificare alcune chiave, eliminate le chiavi tutto torna come prima, purtroppo tutto scompare:D io avevo solo process explorer in esecuzione ma da li ho potuto ripristinare tutto:D

Ciao

Perchè hai concesso l'uscita al file? il problema sta li se eseguito richiede la connessione per scaricare il malware, comunque va a modificare alcune chiave, eliminate le chiavi tutto torna come prima, purtroppo tutto scompare:D io avevo solo process explorer in esecuzione ma da li ho potuto ripristinare tutto:D

Ciao

io ho tentato di trovare roba semplice, process explorer se non mi ricordo male ( potrei sbagliarmi) non è il massimo dell'user friendly

Aspetta che ci faccio un video:D :stordita:

Ciao

Aspetta che ci faccio un video:D :stordita:

Ciao

se era una battuta non l'ho capita

anche avira lo sgama (l'ho testato subito dopo aver letto il thread).

poi ho messo il file infetto su virustotal http://www.virustotal.com/vt/en/resultadof?5b80e8d52bfd19061d4bfafd5443d5c6
il panda lo segnala come sospetto

se era una battuta non l'ho capita

Non era una battuta:D

Non era una battuta:D

ok; pardon per il fraintendimento

anche avira lo sgama (l'ho testato subito dopo aver letto il thread).

poi ho messo il file infetto su virustotal http://www.virustotal.com/vt/en/resultadof?5b80e8d52bfd19061d4bfafd5443d5c6
il panda lo segnala come sospetto

ti posso confermare che 2 ore fa non era così; qusto è un altra dimostrazione del grande limite degli antivirus signature based

Ragazzi ve la posso confessare na cosa :stordita:
Pensavo che il virus fosse già ben noto ed ho cliccato sull'url!:eek:
meno male che kaspersky già lo riconosceva se no mi sarei infettato pure io.! :asd:
Cmq questo è prova della velocità di aggiornamento delle signature!;)
Ciaoooooooooo

Ragazzi ve la posso confessare na cosa :stordita:
Pensavo che il virus fosse già ben noto ed ho cliccato sull'url!:eek:
meno male che kaspersky già lo riconosceva se no mi sarei infettato pure io.! :asd:
Cmq questo è prova della velocità di aggiornamento delle signature!;)
Ciaoooooooooo

anche io lo pensavo; ci son andato con avira e ci sono rimasto fottuto

anche io lo pensavo; ci son andato con avira e ci sono rimasto fottuto

Strano!:what:
Pensavo che l'euristica di avira lo beccasse :muro:
O ma ti immagini un AV che ingloba il motore del kaspersky e l'euristica di avira ?:eek:

ok; pardon per il fraintendimento
Nessun problema ci mancherebbe, ecco il video, non è di qualità eccelsa ma si capisce bene, l'ho rimosso in quel modo, ciao
http://rapidshare.com/files/35618169/rr.rar.html

Strano!:what:
Pensavo che l'euristica di avira lo beccasse :muro:
O ma ti immagini un AV che ingloba il motore del kaspersky e l'euristica di avira ?:eek:

ma anche le firme e l'euristica di entrambi

ma anche le firme e l'euristica di entrambi

Si; io intendevo anche questo;) :D

però devo dire che si va migliorando
http://www.virustotal.com/vt/en/resultadof?7fca028d6edfcbfecad34e293f434786

però devo dire che si va migliorando
http://www.virustotal.com/vt/en/resultadof?7fca028d6edfcbfecad34e293f434786

http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=164018&sitepanda=empresas

Ciao:)

http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=164018&sitepanda=empresas

Ciao:)

tutto sta che tanti av ancora non lo rilevano

tutto sta che tanti av ancora non lo rilevano
E io che ci posso fare? se non si manda il malware o meglio dire, se lo si manda solo a chi si vuole dubito che lo possano inserire velocemente, comunque, io ho postato il link ad un analisi, da quello che ho visto è l'unica per il momento:)

non ho i link necessari per spedirli alle case produttrici; te li hai?

aggiungete all'analisi di Panda che termina l'esecuzione di utility di sistema tra i quali regedit, taskmgr attraverso un check del nome

usa google:D
la lista di alcune aziende è nel txt allegato

Ciao

aggiungete all'analisi di Panda che termina l'esecuzione di utility di sistema tra i quali regedit, taskmgr attraverso un check del nome
Il regedit non è bloccato:)

la variante che ho io sì, comunque ricontrollerò. Grazie per la segnalazione.

non ho i link necessari per spedirli alle case produttrici; te li hai?

v3sos[ A-T ]ahnlab.com;
virus[ A-T ]arcabit.com;
virus[ A-T ]avast.com;
virus[ A-T ]grisoft.cz;
virus[ A-T ]avira.com;
virus_submission[ A-T ]bitdefender.com;
bocleansubmissions[ A-T ]comodo.com;
virus[ A-T ]ca.com;
vms[ A-T ]drweb.com;
submit[ A-T ]emsisoft.com;
esafe.virus[ A-T ]eAladdin.com;
samples[ A-T ]eset.com;
submit[ A-T ]ewido.net;
submitvirus[ A-T ]fortinet.com;
viruslab[ A-T ]f-prot.com;
samples[ A-T ]f-secure.com;
virus[ A-T ]hacksoft.com.pe;
hauri98[ A-T ]hauri.co.kr;
analyse[ A-T ]ikarus.at;
newvirus[ A-T ]kaspersky.com;
research[ A-T ]lavasoft.com;
vsample[ A-T ]avertlabs.com;
avsubmit[ A-T ]submit.microsoft.com;
windefend[ A-T ]submit.microsoft.com;
submit[ A-T ]misec.net;
trojans[ A-T ]moosoft.com;
analysis[ A-T ]norman.no;
virussamples[ A-T ]pandasoftware.com;
virus[ A-T ]prevxresearch.com;
viruslab[ A-T ]quickheal.com;
submit[ A-T ]simplysup.com;
samples[ A-T ]sophos.com;
detections[ A-T ]spybot.info;
malware-cruncher[ A-T ]sunbelt-software.com;
samples[ A-T ]superantispyware.com;
avsubmit[ A-T ]symantec.com;
virus_doctor[ A-T ]trendmicro.com;
newvirus[ A-T ]unasoft.com.ua;
newvirus[ A-T ]anti-virus.by;
virus[ A-T ]virusbuster.hu;
inquiry[ A-T ]viruschaser.com.hk

stiamo parlando di quello postato qui:) diexe.t35.com/fotos.zip forse l'hanno cambiato non so, ciao

usa google:D
la lista di alcune aziende è nel txt allegato

Ciao

tnx

Dunque,

fotos roberto.exe è un downloader che si occupa di scaricare un altro trojan (che è poi responsabile della msgbox, del blocco di alcuni processi etc..etc...) e di modificare le impostazioni dell'utente in modo tale da non avere più accesso al pannello di controllo, desktop etc...etc...

http://img502.imageshack.us/img502/7280/explorerbp9.jpg

Basta rimuovere quelle voci e restartare explorer.exe, tutto torna come prima.

Attualmente fotos roberto.exe è inattivo perché è stato rimosso il secondo trojan dal sito web (veramente è stato rimosso anche fotos roberto.exe).

svchost.exe include uno script che si occupa di terminare i processi, non è lui responsabile diretto del kill dei processi.

Per il resto comunque era già stato detto tutto quello che c'era da dire :) Non mi sono preoccupato di intervenire subito, ho preferito aggiungere le basi necessarie per farlo riconoscere a Prevx non appena è stato scritto sul forum ;)

spediti