View Full Version : file ARPL.EXE
qlc sa qlc di questo virus?
me lo ritrovo sotto system32, nessun antivirus (antivir nod, VirIT) riesce a rimuoverlo..
l'ho fatto esaminare su http://www.virustotal.com/flash/index_en.html
e a qnt pare è una versione o nuova o poco diffusa!
neppure hijackthis riesce a farci qlc!
all'avvio pura vendolo cancellato, si rigenera!
il programma a qnt pare è un Trojan e apre in full screen la pagina h**p://dilet.org/it .
se qlc sa darmi una mano... :)
Grazie!
qlc sa qlc di questo virus?
me lo ritrovo sotto system32, nessun antivirus (antivir nod, VirIT) riesce a rimuoverlo..
l'ho fatto esaminare su http://www.virustotal.com/flash/index_en.html
e a qnt pare è una versione o nuova o poco diffusa!
neppure hijackthis riesce a farci qlc!
all'avvio pura vendolo cancellato, si rigenera!
il programma a qnt pare è un Trojan e apre in full screen la pagina .......
se qlc sa darmi una mano... :)
Grazie!
togli il collegamento alla pagina che ti apre..non vorrei che qualcuno, anche solo per sbaglio, ci capitasse..:D
lancetta
27-06-2007, 21:06
togli il collegamento alla pagina che ti apre..non vorrei che qualcuno, anche solo per sbaglio, ci capitasse..:D
edita il link anche tu nel quote non si sa mai
Ciao.
edita il link anche tu nel quote non si sa mai
Ciao.
fatto...ciao;)
qlc oltre a copiare ed editare link ne sa qlc?? :D
Bugs Bunny
27-06-2007, 21:56
qlc sa qlc di questo virus?
me lo ritrovo sotto system32, nessun antivirus (antivir nod, VirIT) riesce a rimuoverlo..
l'ho fatto esaminare su http://www.virustotal.com/flash/index_en.html
e a qnt pare è una versione o nuova o poco diffusa!
neppure hijackthis riesce a farci qlc!
all'avvio pura vendolo cancellato, si rigenera!
il programma a qnt pare è un Trojan e apre in full screen la pagina h**p://dilet.org/it .
se qlc sa darmi una mano... :)
Grazie!
scan con gmer e vedi se da voci in rosso,posta un altro log di hijackthis
Chill-Out
28-06-2007, 09:16
Intanto dilet.org è ospitato qui il che è tutto un dire:
Information related to '85.255.112.0 - 85.255.127.255'
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster :doh:
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
Prova a fare una scansione online con F-Secure dovrebbe riconoscerlo :sperem: , poi posta un log di Hijackthis
Ciao.
LOG
Logfile of HijackThis v1.99.1
Scan saved at 11.45.22, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\AntiVir PersonalEdition Classic\sched.exe
E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\WServiced.exe
E:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe
E:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
E:\WINDOWS\system32\devldr32.exe
E:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\System32\svchost.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\arpl.exe
E:\Programmi\HDD Health\HDDHealth.exe
E:\Programmi\NetMeter\NetMeter.exe
E:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
E:\Programmi\MemInfo\meminfo.exe
F:\Aggiornamenti\Html2pop3\programma\html2pop3.exe
E:\Programmi\Outlook Express\msimn.exe
E:\Programmi\AutoCAD 2006\acad.exe
E:\PROGRA~1\Mozilla Firefox\firefox.exe
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
E:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
F:\Aggiornamenti\Hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] "E:\Programmi\D-Link\AirPlus XtremeG\AirPlusCFG.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] "E:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [gwiz] E:\WINDOWS\system32\arpl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] "E:\Programmi\HDD Health\HDDHealth.exe" -wl
O4 - HKCU\..\Run: [E:\Programmi\NetMeter\NetMeter.exe] E:\Programmi\NetMeter\NetMeter.exe
O4 - Startup: MemInfo.lnk = E:\Programmi\MemInfo\meminfo.exe
O4 - Startup: html2pop3.lnk = F:\Aggiornamenti\Html2pop3\programma\html2pop3.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - E:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WConnd Service (WConndService) - D-Link - E:\WINDOWS\system32\WServiced.exe
i processi incrimimati dovrebero esser solo quelli in grassetto...anche fixandoli al successivo riavvio si ricrea il file, anche cancellandolo direttamente da system32 avendolo prima killalto con ProceXP.
FIXA:
E:\WINDOWS\system32\WServiced.exe
E:\WINDOWS\system32\arpl.exe
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
O4 - HKLM\..\Run: [gwiz] E:\WINDOWS\system32\arpl.exe
O23 - Service: WConnd Service (WConndService) - D-Link - E:\WINDOWS\system32\WServiced.exe
La prima e l'ultima stringa non le conosco, se non sai di cosa si tratta fixa anche quelle.
WServiced.exe è un file legato al servizio della scheda wireless della D-link
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
indica la cartella temporanea di Autocad k era aperto!
le voci legate ad ARPL ho già provato a fixarle, anche avendo prima killato il processoe cancellato l'eseguibile, ma al riavvio si ricreano!
niente voci segnalate da gmer neppure con l'ultima version .3 k ho scaricato ora!
ho tampinato mandando il sito dilet nel fiule hot su 127.0.0.1...
ora provo con F-secure...:cry:
WServiced.exe è un file legato al servizio della scheda wireless della D-link
E:\DOCUME~1\~DELPI~1\IMPOST~1\Temp\AdskCleanup.0001
indica la cartella temporanea di Autocad k era aperto!
le voci legate ad ARPL ho già provato a fixarle, anche avendo prima killato il processoe cancellato l'eseguibile, ma al riavvio si ricreano!
strano..boh allora non saprei..
difatti anche su google e inrete si trova poco
pare esser nuovo addirittura virustotal mostra come solo pochissimi anvirus lo riconoscano ma nn riescono ancora a rimuoverlo adeguatamente :muro:
Se interessa la scansione su virustotal al 28 giugno ore 13.30
Antivirus Version Update Result
AhnLab-V3 2007.6.27.0 06.28.2007 no virus found
AntiVir 7.4.0.34 06.28.2007 TR/Agent.8192.146
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.28.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.28.2007 DeepScan:Generic.Malware.dld!!g.7BF5C1F8
CAT-QuickHeal 9.00 06.27.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.28.2007 Trojan.Downloader-10135
DrWeb 4.33 06.28.2007 DLOADER.Trojan
eSafe 7.0.15.0 06.27.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3749 06.28.2007 no virus found
Ewido 4.0 06.28.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.28.2007 no virus found
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 no virus found
Ikarus T3.1.1.8 06.28.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 06.28.2007 no virus found
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.28.2007 no virus found
NOD32v2 2361 06.28.2007 no virus found
Norman 5.80.02 06.28.2007 no virus found
Panda 9.0.0.4 06.28.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.27.2007 no virus found
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.27.2007 no virus found
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.28.2007 Trojan.Agent.8192.146
Aditional Information
File size: 8192 bytes
MD5: 29124125c6fa4a9493dd05942195bfda
SHA1: d9e1cdef20e9130b5bb1503a3523d89921c50ce2
packers: UPX
ti consiglio di fare uan scansione anivirus con kaspersky, a online...e poi di postarne il relativo log...
comunque dai un'occhiata qui...scorrila tutta:
http://groups.google.com/group/it.comp.sicurezza.virus/browse_thread/thread/60aeb4a45b312b4f/6b26d057cba26cd8
apparentemente risolta:
ho intercettato la DLL E:\WINDOWS\system32\append.dll CANCELLATA
Killato il processo di ARPL.EXE con ProceXP, ripulito tutto con HijackThis
ricercate e cancellate tutte le voci di registro rimandanti a quel file.
apparentemente sembra funzionare!
Kasper su VirusTotal nn lo rilevava, scansione quindi inutile direi!
Speriamo! :D
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.