Ciao a tutti, ho fatto ricerca sul forum di -ACAD/Bursted- e non ho trovato nessun post, quindi apro questo.

Antivir mi rileva questo virus(qui usiam spesso autocad) ad ogni apertura di file autocad, che sia un falso positivo? ho fatto lo scan con virus total allego il log, intanto seguo passo passo la procedura di disinfezione, in caso sia un virus.

Grazie per l'attenzione

Fai controllare quel file su www.virustotal.com e su http://virscan.org/
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Fai controllare quel file su www.virustotal.com e su http://virscan.org/
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione


Virus total : http://www.virustotal.com/it/analisis/f10c7e1555c3de6c06d933727328df77

Vir scan :http://virscan.org/report/25a80ff48942e72d80585d845f119b58.html

grazie di nuovo

da qui
http://discussion.autodesk.com/thread.jspa?threadID=583782

"ALS.Bursted.A is a virus that is written in the AutoCAD AutoLisp scripting
language. The virus will be received as a text file named acad.lsp in the
same directory as an AutoCAD drawing file (.dwg). When the drawing file is
opened, the acad.lsp file is automatically loaded by AutoCAD which causes
the virus to be executed.

The virus first locates and reads the file base.dcl in the AutoCAD search
path. It uses this file to locate the acad.lsp file in the AutoCAD Support
directory. The virus then reads the acad.lsp file to check for the presence
of the string "acadapp". If the string is not found, the virus copies itself
over as acadapp.lsp. Due to a bug in the virus, the check always fails.

Next, the virus checks if the name of the drawing file is Drawing.dwg (this
is the default name for a new drawing file). If this check fails, the virus
copies itself to the folder as acad.lsp."

proverò a cercare altre info

Non è un Falso Positivo il virus ha copiato se stesso nel supporto AutoCad

Non è un Falso Positivo il virus ha copiato se stesso nel supporto AutoCad
da qui
http://discussion.autodesk.com/thread.jspa?threadID=583782

"ALS.Bursted.A is a virus that is written in the AutoCAD AutoLisp scripting
language. The virus will be received as a text file named acad.lsp in the
same directory as an AutoCAD drawing file (.dwg). When the drawing file is
opened, the acad.lsp file is automatically loaded by AutoCAD which causes
the virus to be executed.

The virus first locates and reads the file base.dcl in the AutoCAD search
path. It uses this file to locate the acad.lsp file in the AutoCAD Support
directory. The virus then reads the acad.lsp file to check for the presence
of the string "acadapp". If the string is not found, the virus copies itself
over as acadapp.lsp. Due to a bug in the virus, the check always fails.

Next, the virus checks if the name of the drawing file is Drawing.dwg (this
is the default name for a new drawing file). If this check fails, the virus
copies itself to the folder as acad.lsp."

proverò a cercare altre info


grazie mille, ho appena finito malwarebytes, rileva altri due ma non Acad Bursted, continuo con la procedura disinfezione al termine posto tutti i log nelle modalita' richieste.

ottimo :)

Mbam http://www.mediafire.com/?bixzh0xtb1s

F-secure http://www.mediafire.com/?kiyhzhsisis

A2scan http://www.mediafire.com/?zaazwlqwnwm

HiJackThis http://www.mediafire.com/?zjitvnd0wxw

Gmer http://www.mediafire.com/?r00gz1xnt0k

SysInspector http://www.mediafire.com/?yhx08hbzb1v

Prevx http://www.mediafire.com/?vucgiyoc0wq

P.S. Cureit Dr. web dopo 4 ore di scansione non ha rilevato nulla e il log è di 2k mediafire non me lo fa' caricare...

bravissimo e velocissimo :)

malwarebytes:
HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> Quarantined and deleted successfully

C:\WINDOWS\system32\TQWgFFUs.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.


a-squared:
solo cookies..

f-secure:

Result: 8 malware found

AdWare.Win32.Dm (spyware)

System

TrackingCookie.Doubleclick (spyware)

System

TrackingCookie.Imrworldwide (spyware)

System

TrackingCookie.Revsci (spyware)

System

TrackingCookie.Yieldmanager (spyware)

System

Trojan-Dropper:W32/Agent.FDA (virus)

System

Virus.ALS.Bursted (virus)

C:\DOCUMENTS AND SETTINGS\......\DATI APPLICAZIONI\AUTODESK\AUTOCAD 2007\R17.0\ITA\SUPPORT\ACAD.LSP (Submitted)

C:\DOCUMENTS AND SETTINGS\.....\DATI APPLICAZIONI\AUTODESK\ACD-A 2008\ITA\SUPPORT\ACAD.LSP (Submitted)

gmer mi sembra un po' spoglio...

per prevx:

C:\WINDOWS\system32\bit4upki-store.dll InMem: 1 Det [U] PX5: F6E8864E00B7CF1270C7017BF163C3009D3CCCAA

REGRUNKEY - \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run - bit4id csp store register (M) [RUNDLL32.EXE "C:\WINDOWS\system32\bit4upki-store.dll",RegisterMy]

che non conosco e si potrebbe far analizzare su www.virustotal.com e www.virscan.org
:)


per hijackthis:
rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
Fixa:

O4 - HKLM\..\Run: [crtfmon] C:\Documents and Settings\Ec lissi\explorer.exe
O4 - HKLM\..\Run: [bit4id csp store register (M)] RUNDLL32.EXE "C:\WINDOWS\system32\bit4upki-store.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"


fammi analizzare anche C:\Documents and Settings\Ec lissi\explorer.exe su virustotal.com e virscan.org :)

nel frattempo facci anche una scansione competa con Avira Antivir allegando poi il report :)

nel frattempo facci anche una scansione competa con Avira Antivir allegando poi il report :)


domani mattina appena torno in ufficio lancio antivir e faccio un check up ai due files che mi hai consigliato(sono a casa ora), grazie per la repentina analisi.

ecco i link della scansione del file con Virus Total e VirScan:
http://www.virustotal.com/it/analisis/6233fe68688aa7d6d701b0f95a86ce07
http://www.virscan.org/report/1fa8554816c428828dace832ad492dfd.html

C:\Documents and Settings\Ec lissi\explorer.exe non lo trova sul pc

ed il log Antivir

riescia scansionare anche C:\Documents and Settings\Ec lissi\explorer.exe su quei due siti?

ricontrolla le impostazioni di antivir per quanto riguarda le applicazioni rischiose perchè credo non ci siano tutte le categorie attivate :)
il log è pulito

riescia scansionare anche C:\Documents and Settings\Ec lissi\explorer.exe su quei due siti?

ricontrolla le impostazioni di antivir per quanto riguarda le applicazioni rischiose perchè credo non ci siano tutte le categorie attivate :)
il log è pulito


no non lo vede neanche virus total / vir scan

Antivir era configurato come da guida di Hu tranne per le azioni da intraprendere, avevo lasciato la scelta manuale da eseguire(delete, quarantine etc.)

ora alzo heuristic al max e messo spunta su tutti gli archivi non solo quelli di default, dopo uppo il log.

imposta così:
non spuntato copy to quarantine before action
1° opzione repair
2° opzione delete

imposta così:
non spuntato copy to quarantine before action
1° opzione repair
2° opzione delete

si sulle altre macchine lo ho impostato così, su questa volevo decidere io che azione intraprendere caso per caso, allego il log di Antivir con euristica al max e tutti gli archivi scansionati, più tardi allego il log di gmer( ieri avevo sbagliato a eseguirlo ecco perchè a Gasp appariva scarno:doh: )

edit: ecco il log di Gmer http://www.mediafire.com/?qmc50ytlclh

si sulle altre macchine lo ho impostato così, su questa volevo decidere io che azione intraprendere caso per caso, allego il log di Antivir con euristica al max e tutti gli archivi scansionati, più tardi allego il log di gmer( ieri avevo sbagliato a eseguirlo ecco perchè a Gasp appariva scarno:doh: )

edit: ecco il log di Gmer http://www.mediafire.com/?qmc50ytlclh

perfetto, entrambi i log sono puliti :)
io darei il pc per pulito.. noti anomalie?

perfetto, entrambi i log sono puliti :)
io darei il pc per pulito.. noti anomalie?

sembrerebbe tutto ok, lanciando Dwg(estensione di AutoCad) non mi rileva più il Bursted, ma quindi se dovessi rimuoverlo dagli altri pc in lan con questo seguo la stessa trafila ? a me pare che il solo antivir abbia risolto il problema Acad/bursted-Burst che dir si voglia, su un altro pc ho lasciato mbam al lavoro per stanotte(mole di dati enorme) aveva già rilevato 15 infezioni-.- antivir una marea... ma c'e' un misto di trojan/worm/dialer e quant'altro...non so come faccia mio padre a infettarli cosi' dato che non usa emule, crack keygen etc.:mbe:

segui la trafila che ti abbiamo fatto fare e vedrai che sicuramente i risultati positivi arrivano, poi per i casi più ostici puoi sempre fare riferiemento a noi :)

segui la trafila che ti abbiamo fatto fare e vedrai che sicuramente i risultati positivi arrivano, poi per i casi più ostici puoi sempre fare riferiemento a noi :)

grazie mille per l'aiuto, provvedo a disinfettare tutta la rete qui, se dovessi avere problemi posto qui nelle solite modalità, grazie ancora siete stati gentilissimi:mano:

dalle analisi di xg sembrerebbe che il grosso sia stato tolto da mbam e f-secure
se non tutti i pc possono accedere ad internet, invece di f-secure usa l'alternativa Kaspersky removal tool [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

Riuppo questo messaggio che ho trovato cercando informazioni sul virus in questione.

Sto risistemando un ufficio e ho trovato questo virus su tutte le postazioni che usano cad e sull'hard disk esterno di rete condiviso.

Non conoscendo cad e non sapendo bene la correlazione tra i file lsp e i disegni non ho ancora proceduto a eliminare il virus perché avevo paura che eliminando o quarantinando quei file i disegni si potessero "corrompere/rompere/altro".

Come dovrei procedere? Sui pc ho disponibile AVG Free oppure AntiVir PE sempre free.

ciao

sappi che in ufficio non puoi utilizzare quegli antivirus poichè free solo per uso privato

chi ha rilevato il virus?

Ummm, hai pienamente ragione! Sono talmente abituato con i programmi free sul pc di casa che non ci avevo pensato.

Farò presente la cosa in amministrazione, il virus l'ho rilevato io oggi pomeriggio su un computer con windows 2000 professional e su un altro con windows xp home edition. Domani torno a lavoro e vorrei provare a rimuovere l'infezione, ma essendo i disegni materiale importante volevo avere qualche informazione su questi file .lsp infetti e sulla loro correlazione con i disegni. Dalle informazioni ricavate da questo thread sembra che i file possano essere quarantinati/eliminati senza provocare danni collaterali, potete darmi qualche conferma?