NON RISOLVO NEMMENO FORMATTANDO!

Ciao a tutti, conosco bene qual è la procedura ma vorrei sapere lumi su questa "cosa" che non riesco a debellare :cry:
Utilizzo Prevx + Comodo + Avira per l'uso del pc
Mi chiedo perchè Avira non mi segnala un tubo!
Allora vi allego in sequenza cosa accade durante una sessione di lavoro, tenete presente che il file numero.exe anche se lo si cancella con i programmi di security di cui posto i log in sequenza si autorigenera ogni volta sotto forma di altro numero a doppia cifra e ricolpisce nel giro di qualche ora o anche qualche decina di minuti con la solita procedura descritta con le caps all'inizio:

Mi chiedo perchè Avira non mi segnala un tubo!

Virustotal mi da' questo, ricordo che i numeri del file.exe si autorigenerano a caso .


http://www.virustotal.com/it/analisis/346d4b468ba0be528e23fb57baf86b990e767e9f0ede25999a76357643c63575-1280865589

http://www.virustotal.com/it/analisis/346d4b468ba0be528e23fb57baf86b990e767e9f0ede25999a76357643c63575-1280865890

http://www.virustotal.com/it/analisis/346d4b468ba0be528e23fb57baf86b990e767e9f0ede25999a76357643c63575-1280866098

Questo invece è il tipo file che anch'esso si autogeneraderivante probabilmente dlalo stesso malware che si insinua in networkservice/impostazionilocali/temporaryinternetfiles/content.ie5/cartella

http://www.virustotal.com/it/analisis/346d4b468ba0be528e23fb57baf86b990e767e9f0ede25999a76357643c63575-1280868082


http://img514.imageshack.us/img514/1966/bufferoverflow.th.jpg (http://img514.imageshack.us/i/bufferoverflow.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)



Vedete si inizia sempre con un BUFFER OVERFLOW di un svchost.exe

Poi accade che Prevx blocca un file nella cartella system32\27.exe o 42.exe o altri numeri
http://img375.imageshack.us/img375/1467/prevxmalware.th.jpg (http://img375.imageshack.us/i/prevxmalware.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)


Poi interviene anche defense che blocca la shellcode injuction sempre dallo stesso file
http://img820.imageshack.us/img820/7547/eventidefense.th.jpg (http://img820.imageshack.us/i/eventidefense.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)


Poi poco dopo uno od alcuni a seconda del caso generic Host32 Process terminano non so se per una coincidenza.


http://img704.imageshack.us/img704/4875/genercihostprocess.th.jpg (http://img704.imageshack.us/i/genercihostprocess.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Non so cosa fare :eek:


I log: in aggiornamento

mbam-log-2010-08-03 (21-05-34).txt (http://wikisend.com/download/554388/mbam-log-2010-08-03 (21-05-34).txt)

a2scan_100803-211951.txt (http://wikisend.com/download/470514/a2scan_100803-211951.txt)

Fsecure.txt (http://wikisend.com/download/636958/Fsecure.txt)

http://wikisend.com/download/585072/hijackthis.log


gmer.log (http://wikisend.com/download/502178/gmer.log)


Eset non trova nulla

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

Adesso è tutto ok, segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Per far tutte le scansioni ci vuole mezza giornata mamma mia:eek: .
Alcune come detto le ho già fatte e non mi hanno rilevato nulla!:muro:

Per far tutte le scansioni ci vuole mezza giornata mamma mia:eek: .
Alcune come detto le ho già fatte e non mi hanno rilevato nulla!:muro:

Questa è la Guida alla disinfezione utlizzata in questa sezione del Forum, dal momento che sei palesemente infetto sarebbe opportuno seguirla.

PS: le scansioni lunghe sono solo le prime 4

edit

Dimenticavo al file sospetto dei numeretti tipo 27.exe,81.exe, 42.exe,11.exe spesso prevx mi segnalava e mi segnala ancora come vedere poi successivamente anche un file .exe in NetworkService come questo, sempre in questa directory a turno trovo periodicamente una nuova cartella che ogni volta si viene a creare anche se cancello manualmente quella che mi segnala in precedenza :muro:

http://img205.imageshack.us/img205/889/malwareprevxnetworkserv.th.jpg (http://img205.imageshack.us/i/malwareprevxnetworkserv.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Non hai seguito alla lettere i passaggi indicati nella Guida alla disinfezione, ovvero:

- dal log di MBAM si evince che hai fatto

Tipo di scansione: Scansione veloce
Elementi esaminati: 116671
Tempo trascorso: 5 minuti, 38 secondi

devi fare Scansione completa

- stesso discorso per F-Secure

Nome computer: MISSIL-121E44CB
Tipo di scansione Scansione rapida
Destinazione: Sistema

devi fare Scansione completa

- dal log di CureIt non si capisce che tipo di scansione hai effettuato ed ogni caso caso serve il log completo

La Guida per come è strutturata consente all'utente di risolvere quasi in completa autonomia un numero consistente di infezioni, però è necessario seguire passo passo quanto indicato, successivamente con la pubblicazione dei log chi presta assistenza può fornirti le indicazioni utili su come risolvere altri ed eventuali problemi.

con cureIT la scansione completa con la versione free non si può fare mi sembra, ho salvato poi il log che mi ha salvato...

con cureIT la scansione completa con la versione free non si può fare mi sembra, ho salvato poi il log che mi ha salvato...

Assolutamente no, puoi fare scansione Rapida - Completa o Personalizzata

Estratto dalla Guida:

eseguire l'aggiornamento e poi selezionare "complete scan", il log verrà salvato in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
per snellire il log usare ParserLog

ti ripeto parte automaticamente la scansione rapida

ti ripeto parte automaticamente la scansione rapida

Per cui terminata o stoppata la Rapida lanci la Completa :)

Dimenticavo al file sospetto dei numeretti tipo 27.exe,81.exe, 42.exe,11.exe spesso prevx mi segnalava e mi segnala ancora come vedere poi successivamente anche un file .exe in NetworkService come questo, sempre in questa directory a turno trovo periodicamente una nuova cartella che ogni volta si viene a creare anche se cancello manualmente quella che mi segnala in precedenza :muro:

http://img205.imageshack.us/img205/889/malwareprevxnetworkserv.th.jpg (http://img205.imageshack.us/i/malwareprevxnetworkserv.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

chill ho fatto la scansione completa con DrWeb (2 ore e mezza) però non ho potuto salvare il log perchè si è riavviato :muro: e cmq mi ha cancellato segnalato da Prevx nel quote.
Ora il sistema risulta pulito

niente non riesco a risolvere, mi esce prima o poi l'avviso di comodo del bufferl overflow e poi lo stesso comodo che blocca sempre un file del tipo numeretto per esempio 10 minuti fa 84.exe sempre nella stessa directory windows\system32\ :(

Che devo fare ogni volta lo scan di 2 ore con Dr Web che cancella ogni volta il file che poi puntualmente si ripresenta dopo con qualche altro numero?
Questo è intanto ciò che dice prevx di 84.exe
http://www.prevx.com/filenames/44257745048644203-X1/84.EXE.html

PS MBAM non mi trova nulla pure con la scansione completa

niente non riesco a risolvere, mi esce prima o poi l'avviso di comodo del bufferl overflow e poi lo stesso comodo che blocca sempre un file del tipo numeretto per esempio 10 minuti fa 84.exe sempre nella stessa directory windows\system32\ :(

Che devo fare ogni volta lo scan di 2 ore con Dr Web che cancella ogni volta il file che poi puntualmente si ripresenta dopo con qualche altro numero?
Questo è intanto ciò che dice prevx di 84.exe
http://www.prevx.com/filenames/44257745048644203-X1/84.EXE.html

PS MBAM non mi trova nulla pure con la scansione completa

Senza vedere un log, come posso risponderti?

dopo aver disattivato il risptistno di configurazione di sistema ho fatto uno scanner online con Eset. E mi ha cancellato due malware.
Credendo che il problema fosse risolto, il file però come al solito si è replicato. dopo 48 ore(e non ho visitato alcun sito web strano)
Si è ripresentato oggi il problema,, è ricomparso di nuovo l'avviso del Buffer overflow del svchost.exe e poi subito dopo l'allerta di comodo che blocca il file 85.exe sempre nella stessa directory windows/system32 :-\

Gmer non segnala nulla

gmer1.log (http://wikisend.com/download/623732/gmer1.log)

Eset mi segnala che si tratta di a variant og win32/Injector.CEH trojan

Eset4.txt (http://wikisend.com/download/463954/Eset4.txt)

dopo aver disattivato il risptistno di configurazione di sistema ho fatto uno scanner online con Eset. E mi ha cancellato due malware.
Credendo che il problema fosse risolto, il file però come al solito si è replicato. dopo 48 ore(e non ho visitato alcun sito web strano)
Si è ripresentato oggi il problema,, è ricomparso di nuovo l'avviso del Buffer overflow del svchost.exe e poi subito dopo l'allerta di comodo che blocca il file 85.exe sempre nella stessa directory windows/system32 :-\

Gmer non segnala nulla

gmer1.log (http://wikisend.com/download/623732/gmer1.log)

Eset mi segnala che si tratta di a variant og win32/Injector.CEH trojan

Eset4.txt (http://wikisend.com/download/463954/Eset4.txt)

Ribadisco il concetto per l'ultima volta, la procedura da seguire è la seguente:

http://www.hwupgrade.it/forum/showpost.php?p=32600117&postcount=3

e non vedo il motivo per cui non dedicarci il tempo necessario dal momento che i tuoi tentativi nulla hanno risolto.

Guarda che io ho fatto tutti i log e ci ho messo una intera giornata, nonostante abbia ripetuto che diverse utility non trovano nulla.

Guarda che io ho fatto tutti i log e ci ho messo una intera giornata, nonostante abbia ripetuto che diverse utility non trovano nulla.

Allegali, io sono disponibile a darti una mano.

http://www.hwupgrade.it/forum/showpost.php?p=32604453&postcount=8

Scusa Chill ma mi sento un pò preso per i fodnelli visto cheper fare tutti quegli scan ci ho messo mezza giornata.

ho messo MBAM e fsecure e drweb
e ora metto anche lo stamp dell'avviso di Comodo!

http://img340.imageshack.us/img340/3876/avvisocomododefense.th.jpg (http://img340.imageshack.us/i/avvisocomododefense.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

eset individua gli oggetti nella cartella dei file temporanei di InternetExplorer quindi il problema deriva dalla pagina web che stai visitando quando Comodo-Firewall svolge il suo dovere bloccando l'oggetto maligno.

Delle scansioni che hai fatto dovresti rifare, atf-cleaner, a-squared, dr.web cureit (filtrandolo!!), hijackthis ed infine prevx.
questo per confermare che il pc sia rimasto pulito

niente si è ripresentato staamttina dopo 24 ore di tregua(dopo averlo cancellato per l'ennesima volta si trattas emrpe del buffer overflow di svchost.exe seguito poi dall'avviso di Comodo su un file numero.exe
http://img821.imageshack.us/img821/7547/eventidefense.th.jpg (http://img821.imageshack.us/i/eventidefense.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Io Internet Explorer non lo uso praticamente mai!

Scusa Chill ma mi sento un pò preso per i fodnelli visto cheper fare tutti quegli scan ci ho messo mezza giornata.

ho messo MBAM e fsecure e drweb
e ora metto anche lo stamp dell'avviso di Comodo!

http://img340.imageshack.us/img340/3876/avvisocomododefense.th.jpg (http://img340.imageshack.us/i/avvisocomododefense.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Una mezza giornata per fare cosa? Nulla di quello che ti è stato gentilmente richiesto, quindi prima di fare determinate considerazione sarebbe opportuno soffermarsi a riflettere, considerando che chi presta assistenza la fa gratuitamente, mettendo a disposizione degli altri il proprio tempo libero.

Considerando che la discussione è stata aperta il data 13 Luglio trovo assai improbabile che tu non sia risucito a fare ciò che decine di utenti nel frattempo hanno fatto.

Ma appunto son passati 10 giorni e ho fatto tutto(e non ho risolto nulla) ho postato tutti i log, non vedi!

X xcdegasp: facendola ricerca filtrata cioè personalizzata anche DrCure non trova nulla

Ma appunto son passati 10 giorni e ho fatto tutto)e non ho risolto nulla) ho postato tutti i log, non vedi!



Ma non direi proprio

http://www.hwupgrade.it/forum/showpost.php?p=32604453&postcount=8 :read:

comunque vedo che desideri solo perdere tempo e non solo qui, di conseguenza good luck.

chill ma mi prendi in giro? Ho messo tutti i log completi!:muro: :eek:

chill ma mi prendi in giro? Ho messo tutti i log completi!:muro: :eek:

Allora visto che sono completi, aggiornati e rispettano le indicazioni date in Guida, riallegameli cortesemente nel prossimo Post, tanto si tratta solo di copiare ed incollare dei link.

edit

- Il log di A2 porta a --->>> MCSJ.zip

- Sysinspector non in formato compresso ma in formato -xml come richiesto in Guida



Io Internet Explorer non lo uso praticamente mai!

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\BZIO2GSY\lol[1].exe a variant of Win32/Injector.CEH trojan cleaned by deleting - quarantined
C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\G77SY39E\lol[1].exe a variant of Win32/Injector.CEH trojan cleaned by deleting - quarantined

infatti :O

Ecco perchè prima di parlare bisognerebbe riflettere, allega i log richiesti successivamente:

1 fai pulizia con ATF Cleaner
2 fai girare Combofix come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

chill in quella cartella di network service si presenta sempre qualcosa che dopo che si cancella si autoreplica sempre in Content.IE5
Io Internet Explorer non lo uso davvero Mai!

in quella cartella ci finiscono anche gli index dat in locale, quindi può essere...
Segui bene le indicazioni di Chill (ciao Moderatore! :) ) e vedrai che risolvi.

Saluti
:cool:

in quella cartella ci finiscono anche gli index dat in locale, quindi può essere...


Saluti
:cool:

cioè?
Cmq A2squared mi segnala con lo stesso nome di Trojan sia il file numero.exe in windows/system32 che in networkservice, ed enrambi come più volte detto su autoreplicano anche se si cancellano con gli scan, a2squared mi ha segnalato anche
mbr.exe

a2scan_100723-192245.txt (http://wikisend.com/download/450624/a2scan_100723-192245.txt)

Ho messo tutto a posto nei log
Un'altra cosa che mi chiedo è perchè Avira non mi segnala un tubo!

Thread riaperto, con l'invito ad evitare perdite di tempo.

ringrazio il mod.
Allora kaspersky removal tool mi segnala il trojan come buzus. Ora da quello che ho capito si trtta di file che si cancellano si con la maggior parte dei tool ma che si autoreplicano (dopo 1 o qualche ora od immediatamente non l'ho ancora capito come).
Resta il fatto che non so cosa fare,tra l'altro hijack non segnala mai nulla di anomalo, Antivir a dispetto di comodo e prevx che mi allertano istantaneamente ,neanche a parlarne fa non mi trova nulla neanche se faccio lo scan.
Cmq penso di formattare. Io comunque atf cleaner l'ho sempre usato, tranne per polire i bookmark e password del profilo di firefox che tra l'altro ho importato su questo pc da un altro pc tramite floppy.

Mi spiegate per favore com'è la storia della directory Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5 in cui il trojan penetra con un file sempre del tipo lettera[1].exe nonostante internet explorer non lo usi mai e nemmeno ie Tab?

Penso di formattare visto che è del tutto ignoto come e da dove si autogenerano questi files. Però questo topic penso che sia molto utile perchè come malware è particolarissimo e tostissimo e può capitare a qualcuno.

Penso di formattare visto che è del tutto ignoto come e da dove si autogenerano questi files. Però questo topic penso che sia molto utile perchè come malware è particolarissimo e tostissimo e può capitare a qualcuno.

allora segui la procedura alla lettera con l'ordine esatto usando ccleaner e atf cancellando (tutto) ...come ti ha chiesto gentilmente il mod e riallega tutti i log...cosi vediamo se c'e' il modo di eliminare del tutto l'infezione

questo e' l'unico modo per essere utili anche agli altri;)

RAGAZZI HO FORMATTATO MA ME LO FA SEMPRE!:cry: :cry: :cry: :muro:
TRASCORSE 3 ORE DAL FORMAT ecco l'avviso di comodo del buffer overflow di svchost.exe , clicco su "salta", e mi esce l'avviso di Prevx sul solito "high risk cloaked malware" 57.exe:cry: :cry:

Non so più cosa fare a questo punto penso sia colpa di Fastweb o dei falsi allarmi
Da quando formattato ho visiti 4 siti di assolutamente sicuri,quindi?
E poi cosa significa quel "buffer overflow" sul svchost.exe?

Non posso pensare che abbia un disco di installazione di XP infetto, come posso a questo punto controllare?

Sto impazzendo....
Vorrei postare anche nel topic di comodo e prevx ma so che il mod sgriderebbe

ho rifatto tutti i log
l'unico che manca, non segnala nulla

ho rifatto tutti i log
l'unico che manca, non segnala nulla

bisogna che li pubblichi come dice la guida

Ma sicuro che usi un cd di XP originale e non infetto? Ed in secondo luogo è già aggiornato al Service Pack 3? Perchè XP è perennemente sotto attacco...

ho rifatto tutti i log
l'unico che manca, non segnala nulla

se li metti in prima pagina nessuno li vede;)

manca drweb eset e prevx

aggiornamento spero definitivo: ho aggiornato Xp e non mi dà più alcun avviso, spero di avere risolto

uso il topic per fare una domanda....copme controllare se il cd autoinstallante di cd è infetto?
grazie mille

uso il topic per fare una domanda....copme controllare se il cd autoinstallante di cd è infetto?
grazie mille

Ciao, se il CD di installazione è originale non vedo il motivo per cui debba essere infetto.

Ciao, se il CD di installazione è originale non vedo il motivo per cui debba essere infetto.

cd fatto con nlite

cd fatto con nlite

Devi essere necessariamente partito dal CD di installazione di Win.