trojan cinmus [Archivio] - Hardware Upgrade Forum

View Full Version : trojan cinmus

melody

22-10-2010, 18:15

Salve, si tratta del laptop di mio padre, l'ho aperto e mi informava di un errore di sistema (schermo blu) precedente, e fatta una scansione con malwarebytes ho trovato circa 32 file infetti trojan.Cinmus
ho cercato sul sito ma non ho trovato questo tipo di virus. attualmente non ho il suo laptop quindi non posso seguire tutta la guida alla rimozione del virus di questo forum, quindi perdonatemi se non seguo, per ora, la prassi.
vorrei sapere mentre aspetto di riavere il laptop, qualcosa su questo virus, quanto è dannoso ad esempio. io ho riavviato in modalità provvisoria e scansionato completamente con mbam e antispyware e mse ed era tutto pulito, poi lui l'ha accesso e con una scansione rapida di mbam ha trovato altri 4 file:

prima volta:mbam-log-2010-10-22 (11-33-33).txt (http://wikisend.com/download/438600/mbam-log-2010-10-22 (11-33-33).txt)
seconda volta (dopo la pulizia in mod provv):Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{77fef28e-eb96-44ff-b511-3185dea48697} (Trojan.Cinmus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b580cf65-e151-49c3-b73f-70b13fca8e86} (Trojan.Cinmus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77fef28e-eb96-44ff-b511-3185dea48697} (Trojan.Cinmus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b580cf65-e151-49c3-b73f-70b13fca8e86} (Trojan.Cinmus) -> Quarantined and deleted successfully.

se prima però potete darmi qualche indicazione sulla natura ma soprattutto sulla fonte di queste infezioni... l'unica cosa che mio padre ha fatto senza il mio aiuto (ma quello di un'altra persona) è stata di installare programmi per vedere lo sport in stream, come pplive/mate sopcoast e streamtorrent.
aggiungo che ha win7 64bit

grazie

Chill-Out

22-10-2010, 18:36

Salve, si tratta del laptop di mio padre, l'ho aperto e mi informava di un errore di sistema (schermo blu) precedente, e fatta una scansione con malwarebytes ho trovato circa 32 file infetti trojan.Cinmus
ho cercato sul sito ma non ho trovato questo tipo di virus. attualmente non ho il suo laptop quindi non posso seguire tutta la guida alla rimozione del virus di questo forum, quindi perdonatemi se non seguo, per ora, la prassi.
vorrei sapere mentre aspetto di riavere il laptop, qualcosa su questo virus, quanto è dannoso ad esempio. io ho riavviato in modalità provvisoria e scansionato completamente con mbam e antispyware e mse ed era tutto pulito, poi lui l'ha accesso e con una scansione rapida di mbam ha trovato altri 4 file:

prometto che appena riesco ad avere i file .log edito il post. se prima però potete darmi qualche indicazione sulla natura ma soprattutto sulla fonte di queste infezioni... l'unica cosa che mio padre ha fatto senza il mio aiuto (ma quello di un'altra persona) è stata di installare programmi per vedere lo sport in stream, come pplive/mate sopcoast e streamtorrent.
aggiungo che ha win7 64bit

grazie

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=BrowserModifier%3AWin32%2FBaiduSobar

sulla fonte di queste infezioni...
l'unica cosa che mio padre ha fatto senza il mio aiuto (ma quello di un'altra persona) è stata di installare programmi per vedere lo sport in stream, come pplive/mate sopcoast e streamtorrent.
aggiungo che ha win7 64bit

La risposta alla tua domanda è evidenziata in grassetto ;)

melody

22-10-2010, 20:30

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=BrowserModifier%3AWin32%2FBaiduSobar

La risposta alla tua domanda è evidenziata in grassetto ;)

Grazie. Come immaginavo :muro: Ora prima di seguire la "Guida alla disinfezione per Infetti" (è giusta per questa caso vero?) devo disinstallare quei programmi o li posso lasciare?

melody

23-10-2010, 22:14

Chill-Out

25-10-2010, 16:12

2. mbam-log-2010-10-23 (12-54-57).txt (http://wikisend.com/download/554280/mbam-log-2010-10-23 (12-54-57).txt)
3. a2scan_101023-131857.txt (http://wikisend.com/download/695110/a2scan_101023-131857.txt)
4. f-secure.txt (http://wikisend.com/download/512248/f-secure.txt)
5. purtroppo parselog non mi funziona anche se ho seguito le istruzioni cureit.txt (http://wikisend.com/download/747890/cureit.txt)
6. SysInspector-101023-2122.xml (http://wikisend.com/download/445796/SysInspector-G62-101023-2122.xml)
7. hijackthis.log (http://wikisend.com/download/470046/hijackthis.log)
8. ho fatto 2 volte la scansione con gmer e mi dà la finestra tot vuota (idem il log)
9. prevx.log (http://wikisend.com/download/954688/prevx.log)

grazie

- Riprisitna dalla quarantena di Emsi Anti Malware le seguenti voci:

C:\HP\Bin\EndProcess.exe rilevati: Riskware.Win32.KillApp!A2
C:\ProgramData\WildTangent\4bae280a-b121-48bd-9d2c-ec5f3103c761-extr.exe/$INSTDIR\\SuperCollapseIII.exe rilevati: Trojan.Crypt!IK
C:\Users\All Users\WildTangent\4bae280a-b121-48bd-9d2c-ec5f3103c761-extr.exe/$INSTDIR\\SuperCollapseIII.exe rilevati: Trojan.Crypt!IK

- Con il Browser chiuso esegui HJT, clicca su do a system scan onnly, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O2 - BHO: (no name) - {00000000-0593-4356-9CF7-1D8C2B3343C0} - (no file)
O4 - HKCU\..\Run: [PPAP] "C:\Program Files (x86)\Common Files\PPLiveNetwork\PPAP.exe" -embedding
O4 - HKCU\..\Run: [PPLiveVA] C:\Program Files (x86)\PPLive\PPVA\PPLiveVA.exe /LoadModule PPVA.DLL /M REAL /S 0 /T 0
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')

melody

25-10-2010, 18:33

fatto, grazie

Chill-Out

25-10-2010, 19:07

fatto, grazie

Prego