Salve a tutti. Ho un problema..
praticamente in esecuzione automatica ho uno strano file chiamato jyhppvu che probabilmente è un trojan dato che virit me lo segnala come tale ma non riesce ad eliminarlo..ora sto facendo una scansione con avast ma dubito che riesca a risolvere il problema..
ho fatto anche una scansione con virustotal e questo è il risultato:

Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.15.2007 no virus found
AntiVir 7.4.0.32 06.15.2007 no virus found
Authentium 4.93.8 06.15.2007 no virus found
Avast 4.7.997.0 06.15.2007 no virus found
AVG 7.5.0.467 06.15.2007 no virus found
BitDefender 7.2 06.15.2007 no virus found
CAT-QuickHeal 9.00 06.15.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.15.2007 no virus found
DrWeb 4.33 06.15.2007 no virus found
eSafe 7.0.15.0 06.14.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3720 06.15.2007 no virus found
Ewido 4.0 06.15.2007 no virus found
FileAdvisor 1 06.15.2007 no virus found
Fortinet 2.85.0.0 06.15.2007 no virus found
F-Prot 4.3.2.48 06.14.2007 no virus found
F-Secure 6.70.13030.0 06.15.2007 no virus found
Ikarus T3.1.1.8 06.15.2007 no virus found
Kaspersky 4.0.2.24 06.15.2007 no virus found
McAfee 5053 06.14.2007 no virus found
Microsoft 1.2503 06.14.2007 no virus found
NOD32v2 2332 06.15.2007 no virus found
Norman 5.80.02 06.15.2007 no virus found
Panda 9.0.0.4 06.15.2007 Suspicious file
Prevx1 V2 06.15.2007 no virus found
Sophos 4.18.0 06.12.2007 Mal/Packer
Sunbelt 2.2.907.0 06.14.2007 VIPRE.Suspicious
Symantec 10 06.15.2007 no virus found
TheHacker 6.1.6.133 06.15.2007 no virus found
VBA32 3.12.0.2 06.14.2007 no virus found
VirusBuster 4.3.23:9 06.14.2007
Webwasher-Gateway 6.0.1 06.15.2007 Packer.FSG


Sapete come aiutarmi?
Grazie

passa all'istante il file

ehm..come faccio? :D

caricalo su mytempdir.com e in privato passami il link; non vorrei qualche utonto che passa di qui per caso si faccia male

dato che non riesco a mandarti un mess privato ti ho aggiunto su msn..se mi accetti ti mando il link..

Gentilmente si può avere una copia del file? nel caso questa è la mia email lucass[at]suspectfile.com (sostituire [at] con la @)

Grazie

Ciao

te l'ho appena inviato per email..

Grazie, sei stato gentilissimo:) , è di sicuro un nuovo malware, ciao:)

ma come lo risolvo?? :cry:

bella domanda:D, hai provato già a postare un log di Hijackthis? ciao

Salve a tutti. Ho un problema..
praticamente in esecuzione automatica ho uno strano file chiamato jyhppvu che probabilmente è un trojan dato che virit me lo segnala come tale ma non riesce ad eliminarlo..ora sto facendo una scansione con avast ma dubito che riesca a risolvere il problema..
ho fatto anche una scansione con virustotal e questo è il risultato:

Sapete come aiutarmi?
Grazie

ATTENZIONE POSSIBILE VARIANTE DI GROMOZON VIRUS

Dal log di virustotal mi sa che ti sei beccato una nuova variante di virus di quei simpaticoni di Gromozon. Mi era stato segnalato per email da un ricercatore di una nota societa' americana antispyware.
Lo stesso identico risultato di Virustotal

Per questo virit l'ha beccato ed altri no. Loro sono molto attenti alle questioni italiane.

Usa gmer perche' potresti avere un rootkit installato.

Sei incappato nel peggio del peggio che c'è in rete

si diciamo che è simile a quello della chiave explorer.exe in image file execution options, simile nelle caratteristiche, trick antiemulazione e sub/add/xor per cryptare il file, ma da qui a dire che sia il linkoptmizer ce ne passa molto, ciao

si diciamo che è simile a quello della chiave explorer.exe in image file execution options, simile nelle caratteristiche, trick antiemulazione e sub/add/xor per cryptare il file, ma da qui a dire che sia il linkoptmizer ce ne passa molto, ciao


Certo volevo dire solo che la mano di chi c'è dietro è quella.
Non è una valutazione di tipo tecnico visto che non ho il file sottomano ma semplicemente volevo sottolineare da chi probabilmente era stato messo online.
Non è interessante sapere chi sono i viruswriter ma chi ci guadagna usando quella immondizia. Spesso non coincidono perche' magari sono creati su commissione.


Quando uso la parola gromozon non intento malware ma la gang di persone che è molto piu' pericolosa di quel codice infame

Certo volevo dire solo che la mano di chi c'è dietro è quella.
Non è una valutazione di tipo tecnico visto che non ho il file sottomano ma semplicemente volevo sottolineare da chi probabilmente era stato messo online.
Non è interessante sapere chi sono i viruswriter ma chi ci guadagna usando quella immondizia. Spesso non coincidono perche' magari sono creati su commissione.


Quando uso la parola gromozon non intento malware ma la gang di persone che è molto piu' pericolosa di quel codice infame

grazie per le info che rilasci tutte le volte, credimi sono moolto aprrezzate da questo forum. ;)

scusate non ho ben capito cosa devo fare..se mi spiegate bene magari risolviamo il problema..:help:

kaspersky dice che il file è pulito;
mi sono infettato con il trojan, prosecurity non ha rilevato neinte di sospetto hijackthis e gmer sono puliti; io non so che dirvi

kaspersky dice che il file è pulito;
mi sono infettato con il trojan, prosecurity non ha rilevato neinte di sospetto hijackthis e gmer sono puliti; io non so che dirvi
Bho, a me sembrava infetto e lo sembra ancora, la struttura del file è sospetta, ciao

kaspersky dice che il file è pulito;
mi sono infettato con il trojan, prosecurity non ha rilevato neinte di sospetto hijackthis e gmer sono puliti; io non so che dirvi

mandatelo a kasperskylab. Loro sapranno cosa fare :-)

allora aspetterò che vi venga qualcosa in mente..mi raccomando fatemi sapere poi :)

allora aspetterò che vi venga qualcosa in mente..mi raccomando fatemi sapere poi :)

Ciao, hai provato a postare un log di Hijackthis? ciao

mandatelo a kasperskylab. Loro sapranno cosa fare :-)

Propio kasperskylabs ha risposto in quel modo, anche a me la stessa risposta, gli ho chiesto di analizzare ancora il file o passarlo ad un analista + esperto;) giusto per conferma o smentita della prima analisi, ciao

Ciao, hai provato a postare un log di Hijackthis? ciao

ora vi posto il log..

Logfile of HijackThis v1.99.1
Scan saved at 14.56.29, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Trust\Trust 235A USB ADSL MODEM\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Documents and Settings\JNico\Menu Avvio\Programmi\Esecuzione automatica\jyhppvu.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Niccolò\PROGRAMMI\ANTIVIRUS-SPYWARE\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust 235A USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - Startup: jyhppvu.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{51D67A88-5014-47E7-96FC-1DC191DE2F8D}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ciao, avvia Hijackthis, clicca sul pulsante "Do a system scan only" metti la spunta nella casella che appartiene a questo valore:
O4 - Startup: jyhppvu.exe

Clicca sul pulsante "fix checked" per eliminarlo, facciamo un ulteriore controllo.

Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Grazie

Ciao

mandatelo a kasperskylab. Loro sapranno cosa fare :-)

l'ho già inviato
ecco il responso
Hello.
No malicious software was found in the attached file.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.com


> Attachment: jyhppvu.zip

> i think it's a virus

ecco il link del report di suspectfile:

http://w13.easy-share.com/1214742.html

@wizard
lo stesso che ha risposto a me:D

Nicflames, hai creato tu l'account JNico ?

ehm si..l'ho creato quando ho installato windows..

La data di creazione risulta di 1 giorno quindi ieri, alcuni files di sistema risultano creati oggi, hai reinstallato windows su se stesso? comunque non mi pare che ci siano problemi, hai attivo il modulo hips in spyware terminator?

Ciao

io l ultima volta che ho formattato il pc è stato qualche mese fa..quindi non so come spiegare che alcuni files di sistema siano stati creati oggi :confused:

per l'altra cosa di spyware terminator..penso di no..non so neanche dove si trova quell opzione..

Ok, riscontri problemi?

ora come ora no :) grazie a tutti per l'aiuto..nel caso riscontrassi ancora problemi vi farò sapere..grazie

forse ho capito il motivo della modifica dei file di sistema..ieri ho fatto una scansione con virit e ora andando nella cartella del programma virit c'è una sottocartella denominata appunto JNico e dentro c'è un file chiamato reg..probabilmente è virit la causa di ciò..può essere?
poi ho trovato l'opzione hips in sw terminator e l ho attivata..ma a che cosa serve?
Grazie ancora!
Nicflames

Non credo sia virit, hai ancora quel file .reg? l'hips sono software che controllano il comportamente di un software, sta a te decidere se autorizzare l'azione, se l'avevi attivo, probabilmente venivi avvisato quando quel file cercava di eseguirsi, ciao

Non credo sia virit, hai ancora quel file .reg? l'hips sono software che controllano il comportamente di un software, sta a te decidere se autorizzare l'azione, se l'avevi attivo, probabilmente venivi avvisato quando quel file cercava di eseguirsi, ciao

mi passate questo file :-)?

Possibile che sia innocuo?

alla kaspersky non sono gli ultimi arrivati pero' un errore ci puo' stare.
specialmente se è qualcosa di completamente nuovo e se le mani sono di quelli che dico io la cosa non è impossibile

ma mi sembra impossibile che nessu hips noti nessuna modifica nel sistema

Nemmeno i primi però:D , basta che controlli l'md5 tuo con questo, non ho + il file, comunque mi ero segnato l'md5 A9081DF93056FA3D8E96040BCE868D63

Ciao

ma mi sembra impossibile che nessu hips noti nessuna modifica nel sistema
Hai eseguito il file su un pc reale o virtuale? quel file si è piazzato in esecuzione automatica, significa che sul suo sistema si è eseguito, la stessa posizione l'aveva il w32.exe del linkoptmizer, ciao

ma mi sembra impossibile che nessu hips noti nessuna modifica nel sistema

l'avete mandato a marco?

questo file per quello che leggo quiha tutte le caratteristiche per essere un malware ..

pero' non fa niente di strano.
boh la cosa mi sembra insolita mandatelo anche alle altre societa' AV
anche se chissa' quanto ci mettono ad analizzarlo

Per il nostro amico consoglio vivamente di aggiornare acrobat 7 alla versione 8 perchè è soggetto a vulnerabilita'.
chissa che non sia passato proprio li presunto malware

questo è il log di virustotal che mi avevano inviato dicendo che era un nuovo prodotto della ditta gromozon e c. :-)

http://img530.imageshack.us/img530/1181/zzattac179jl9.th.png (http://img530.imageshack.us/my.php?image=zzattac179jl9.png)

attualmente sto usando il sophos antivirus e me lo da come infetto

l'avete mandato a marco?

questo file per quello che leggo quiha tutte le caratteristiche per essere un malware ..

pero' non fa niente di strano.
boh la cosa mi sembra insolita mandatelo anche alle altre societa' AV
anche se chissa' quanto ci mettono ad analizzarlo

1-NO
2-SI
3-Già fatto, non sono nato mica ieri:D

Ciao

attualmente sto usando il sophos antivirus e me lo da come infetto
Si perchè è compresso con FSG:)

l'md5 corrisponde; comuqneu ho eseguito su macchina reale con avg antimalware e process explorer e pro security trial ;

Prova a chiudere tutto e controllarlo in altro modo, ciao

ho riprovato; confermo che è un malware
lancia il processo G:\WINDOWS\system32\tskkzpwr.exe
e con cmd esegue l'istruzione
G:\Documents and Settings\wizard1993\Impostazioni locali\Temp\0027f57e.bat %percorsofile infector%
il bat contiene queste istruzioni

:q
del %1
if exist %1 goto q
del %0

gmer è pulito
hijackthis aggiunge
O4 - HKLM\..\Run: [tskkzpwr] "g:\windows\system32\tskkzpwr.exe"
O4 - HKLM\..\Run: [zuutca.exe] G:\DOCUME~1\WIZARD~1\IMPOST~1\Temp\zuutca.exe
O4 - HKCU\..\Run: [btsf] "g:\windows\temp\btsf.tmp"

ho riprovato; confermo che è un malware
lancia il processo G:\WINDOWS\system32\tskkzpwr.exe
e con cmd esegue l'istruzione
G:\Documents and Settings\wizard1993\Impostazioni locali\Temp\0027f57e.bat %percorsofile infector%
il bat contiene queste istruzioni

:q
del %1
if exist %1 goto q
del %0

gmer è pulito
hijackthis aggiunge
O4 - HKLM\..\Run: [tskkzpwr] "g:\windows\system32\tskkzpwr.exe"
O4 - HKLM\..\Run: [zuutca.exe] G:\DOCUME~1\WIZARD~1\IMPOST~1\Temp\zuutca.exe
O4 - HKCU\..\Run: [btsf] "g:\windows\temp\btsf.tmp"

L'analista della kaspersky ha fatto una pessima figura.
Anch'io credo che lo sia ma non perche' ho sottomano il file ma per dove è stato scaricato. Ovvero da una di quelle solite pagine con il tricolore come sfondo e tutti sapete di chi sono. Le odio

La classe non è acqua:cool: :cool:

PS:L'analista non ha colpe, probabilmente ha visto che non si replicava per vari motivi ed allora ha detto che era pulito, succede sempre, ciao

PS:wizard cattura i files e casomai se vuoi inviameli, grazie

La classe non è acqua:cool: :cool:

PS:L'analista non ha colpe, probabilmente ha visto che non si replicava per vari motivi ed allora ha detto che era pulito, succede sempre, ciao


Adessp lo massacro sul mio blog.
Non è tollerabile che facciano si facciano scappare un malware degli amici di cws/gromozon

Queste cose succedono tutti i giorni, se il sample capita in mani esperte difficilmente ti risponderà in quel modo, come per tutte le cose ci sono margini di errore, ciao

sto tentando di copiare i file con darkspy

usa icesword, clicca su file, ti si apre una specie di esplora risorse, trovato il file, lo selezioni, dx del mouse e scegli l'opzione copy to o qualcosa del genere, ciao

aggiornmaneto; il bastardo è un rootkit con funzioni dialer; mi sa di gromozon

Sono pronti i files?:D tnx

dove te li spedisco?
(ho fatto una cavoata il file tmp l'ho cancellato; comuqnue ti allego l'infector)

aggiornmaneto; il bastardo è un rootkit con funzioni dialer; mi sa di gromozon



Che vi avevo detto?
Questo è il nuovo gromozon

Che vi avevo detto?
Questo è il nuovo gromozon

o dial call

zippa con pass se puoi, lucass[at]suspectfile.com sostituisci [at] con la @, grazie.

Che vi avevo detto?
Questo è il nuovo gromozon
Fissato con sto gromozon:D

email spedita; comuqneu il dialer è il boccarossa; per il momento mi tengo infetto, appena avremo capito che cos'è mi purifico

Fissato con sto gromozon:D

Beh se vuoi li chiamiamo con altri nomi per identificarli

ma tu sai benissimo che mani e le teste che ci sono dietro sono sempre le stesse
e parlano russo e ucraino.

esthost/estdomains/estboxes/estservers/inhoster/atrivo-intercage/UAONLINE/ecc.


va bene così?

:-D

email spedita; comuqneu il dialer è il boccarossa; per il momento mi tengo infetto, appena avremo capito che cos'è mi purifico

Grazie, ma manca l'allegato:D

Beh se vuoi li chiamiamo con altri nomi per identificarli

ma tu sai benissimo che mani e le teste che ci sono dietro sono sempre le stesse
e parlano russo e ucraino.

esthost/estdomains/estboxes/estservers/inhoster/atrivo-intercage/UAONLINE/ecc.


va bene così?

:-D
io so anche che in molti casi le mani sono italiane:D poi sono malware che circolano da prima di gromozon, ciao

io so anche che in molti casi le mani sono italiane:D poi sono malware che circolano da prima di gromozon, ciao


Certo ma la pericolosita' di questi qui non ha precedenti.
Anche per i mezzi a disposizione.
Vuoi che in italia non ci siano truffatori? :-))E' pienissimo di dialer e schifezze varie. Mi ricordo benissimo il bastardissimo master69e moltissimi altri :-)
ma è niente rispetto a quello che ti combinano questi tizi dell'est.

Una volta eravamo noi i furbi e mi pare che questi stanno rubando a casa dei ladri

io so anche che in molti casi le mani sono italiane:D poi sono malware che circolano da prima di gromozon, ciao

ti è arrivato?

I furbi si uniscono, è come la normale criminalità, le varie "famiglie" si uniscono per diventare + potenti, idem con le organizzazioni che creano i malware, ciao

ti è arrivato?
No, non mi è arrivato, se l'hai spedito prima o poi arriva:)

il problema è uno; il file l'antivirus me l'ha falciato nel momento stesso in cui ho riavviato in quanto il sophos riattiva in automatico il real; se non ti è arrivato, ho perso il file; però ti posso dare il link all'infector

ma non aveva la pass l'archivio?, se vuoi inviarmi i files o il link è la stessa cosa, se non vuoi non fa niente, ciao

il problema è uno; il file l'antivirus me l'ha falciato nel momento stesso in cui ho riavviato in quanto il sophos riattiva in automatico il real; se non ti è arrivato, ho perso il file; però ti posso dare il link all'infector

ma non aveva la pass l'archivio?, se vuoi inviarmi i files o il link è la stessa cosa, se non vuoi non fa niente, ciao

Bravi ragazzi !
Complimenti;)

ma non aveva la pass l'archivio?, se vuoi inviarmi i files o il link è la stessa cosa, se non vuoi non fa niente, ciao

ti è arrivato quindi?

ti è arrivato quindi?
No, ma nemmeno li voglio +, grazie lo stesso, ciao

Dialer.KIO per Panda

Ciao

allora la sventagliata di segnalazioni che ho fatto è servita a qualcosa

kaspersky lo rileva come
Trojan.Win32.Agent.aft;
su 3 ricercatori diversi alla fine uno l'ha capito che era nocivo

Che vergogna:D

Che vergogna:D

sisi
:D :asd:

Che vergogna:D

scusa errore; uno ha detto che è pulito l'altro ha detto prima che era pulito poi che era nocivo:

Hello,

jyhppvu.exe_, jyhppvu.exe_.unp

No malicious code were found in these files.

Please quote all when answering.

--
Best regards, Erakhtin Kirill
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

Hello,

jyhppvu.exe_ - Trojan.Win32.Agent.aft

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Erakhtin Kirill
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

fortinet ha risposto e ha aggiornato le sue basi virali

Dear sir,

Thank you for submitting the samples to us. Our analysis shows that it is a virus. We have developed a pattern to catch it and will include detection in the next regular update.

The samples you submitted results are as follows:
zt0VNFAR62.rar - clean
jyhppvu.zip - W32/Eydldr.A!tr.dldr

Best Regards,
AV Lab - Jay

aah bene quindi mi sono beccato un bel nuovo virus??
cmq lucas84 è riuscito a cancellarmelo con hijack this..non riscontro più problemi..quindi non sembra tanto pericoloso..

aah bene quindi mi sono beccato un bel nuovo virus??
cmq lucas84 è riuscito a cancellarmelo con hijack this..non riscontro più problemi..quindi non sembra tanto pericoloso..

anche io l'ho falciato con hijackthis; magari fai una scan con gmer per sicurezza

anche io l'ho falciato con hijackthis; magari fai una scan con gmer per sicurezza

gmer non mi ha trovato niente..bene..a posto :) grazie..

Altre rilevazioni:
AntiVir TR/Agent.aft.14
DrWeb Trojan.DownLoader.24195
VirusBuster Trojan.Agent.UPN

Ciao:)

symantec ha aggiornato le sue basi virali identificando il trojan sotto il nome di linkoptimizer; dobbiamo una pizza a mausap per averci azzeccato

symantec ha aggiornato le sue basi virali identificando il trojan sotto il nome di linkoptimizer; dobbiamo una pizza a mausap per averci azzeccato

Uomo di poca fede :D ..

Quello che aveva il sample era Tnt io ho solo fatto 2 + 2.
Se sono fissato con Gromozon ci sara' un motivo? :D

La pizza sarebbe un'ottima idea .... un bel raduno saarebbe carino

per il raduno sono perfettamente d'accordo; il problema è che siamo sparsi per mezza italia

per il raduno sono perfettamente d'accordo; il problema è che siamo sparsi per mezza italia

ma con la tecnologia del terzomillennio potremmo essere anche sparsi in mezzo mondo ma possiamo sempre fare un raduno..
videoconferenza con pizza, tutti alla stessa ora :asd:

ma con la tecnologia del terzomillennio potremmo essere anche sparsi in mezzo mondo ma possiamo sempre fare un raduno..
videoconferenza con pizza, tutti alla stessa ora :asd:

discreta idea

Guarda che io ho detto la stessa cosa:D , quello che aggiunge la chiave explorer.exe in imagefileexecution viene indentificato come linkoptimizer.b, poi bastava fare una ricerca su google, i nomi dei mutex creati sono uguali a quello del B.

http://img458.imageshack.us/img458/3439/mutexdj4.png (http://imageshack.us)

http://img458.imageshack.us/img458/9310/mutex2hb1.png (http://imageshack.us)

http://www.google.it/search?q=_x_mgr_&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official

Ciao