pnstx.exe, sono lo scopritore??

[dnarod]

ho questo file che rallenta e si replica a ogni avvio, cosi di botto, forse ogame è davvero la causa di tutti i mali del mondo, nel senso che da stamattina viaggiavo solo su ogame.it e su hwupgrade, e di hwupgrade mi fido......cmq ho scritto il nome di questo file su google e non trova nulla.......boh, chi ne sa qualcosa? neanche gli scan online ci possono fare niente; il bit defender me lo elimina ma poi si replica al riavvio......per star tranquillo ho creato un file chiamandolo pnstx.exe e lo ho sostituito dopo averlo cancellato, spero che non si riscriva sopra.....pero vorrei togliere il problema alla radice, come bruciare anche quel maledetto di syswin32.exe..........che odio sti maledetti che li scrivono...

[eraser]

mandami il file a fileanalysis@email.it

[Jaguar64bit]

Ma su quel sito "ogame" ci navigavi con Internet Explorer ?

[dnarod]

azz scusa per il doppio 3d, ma mi sta incasinando parecchio il pc e vado "a scatti", e successo un bordellino col browser, sry....
ti manderei volentieri il file ma l ho cancellato e al suo posto ho messo un txt vuoto rinominato pnstx.exe, sperando che cosi non si replicasse all avvio....ora sono morto e vado a letto, domani pero provo a farlo tornare (perche adaware hicjak e bitdefender online non l hanno tolto) e te lo mando, grazie!

[dino_sauro00]

Quote:

Originariamente inviato da dnarod

azz scusa per il doppio 3d, ma mi sta incasinando parecchio il pc e vado "a scatti", e successo un bordellino col browser, sry....
ti manderei volentieri il file ma l ho cancellato e al suo posto ho messo un txt vuoto rinominato pnstx.exe, sperando che cosi non si replicasse all avvio....ora sono morto e vado a letto, domani pero provo a farlo tornare (perche adaware hicjak e bitdefender online non l hanno tolto) e te lo mando, grazie!

Ti dispiacerebbe mandare una copia pure a me al seguente indirizzo:

dino_sauro00ATyahoo.com (sostitiusci la AT con @)

Grazie

[andorra24]

Quote:

Originariamente inviato da dnarod

ho questo file che rallenta e si replica a ogni avvio, cosi di botto, forse ogame è davvero la causa di tutti i mali del mondo, nel senso che da stamattina viaggiavo solo su ogame.it e su hwupgrade, e di hwupgrade mi fido......cmq ho scritto il nome di questo file su google e non trova nulla.......boh, chi ne sa qualcosa? neanche gli scan online ci possono fare niente; il bit defender me lo elimina ma poi si replica al riavvio......per star tranquillo ho creato un file chiamandolo pnstx.exe e lo ho sostituito dopo averlo cancellato, spero che non si riscriva sopra.....pero vorrei togliere il problema alla radice, come bruciare anche quel maledetto di syswin32.exe..........che odio sti maledetti che li scrivono...

Ripeti la scansione in modalita' provvisoria dopo aver disattivato il ripristino di sistema. Aggiungi anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

[dnarod]

so che dovrei scannare con molti antivirus, ma ho trovato che il bitdefender è il meno "invasivo".....io non ho mai avuto un antivirus perche sono virus piu piantagrane dei malware; succhiano il 90% delle risorse, sono impossibili da rimuovere e sporcano dappertutto, non tolgono i virus.....visto è considerato che poi vengono venduti a prezzi esorbitanti dalle stesse case che poi ti mandano i virus spammando le email o immettendo loro stesse i virus sulla rete, facendomi 2 conti non mi conviene tenere alcun antivirus.....gia concedo la scansione online che mi costa tempo di inattivita del pc (mettendo su un immagine in 10 minuti avrei il pc come se nulla fosse successo, mentre la sola scansione che non mi toglie tutto ci mette mezz ora)

la cosa sbalorditiva è che essendo sotto router non capisco come abbia fatto a prendermi sta robaccia; non mi era mai successo, anche perche non vado mai da nessuna parte di sospetto, paradossalmente l unico sito in cui vado di sospetto è proprio ogame.it (con firefox ovviamente); ne devo dedurre che si siano evoluti sti virus, ma non c e problema, io adesso sego ie del tutto con xplite poi vediamo cosa vuole fare il perdente eheheheh inoltre una bella formattatina ed evito di perdere la vita a cercare di capire come si tolga syswin32.exe che e li da una settimana....

cmq per sport vi mando sto file, spero che vi possa essere utile....ma come ve lo mando?? lo ficco in uno zip?

[dino_sauro00]

Grazie di avermelo mandato.

Il mio antivirus l'ha riconosciuto (NOD32) quindi non ho dovuto fare praticamente niente.
E una variante di uno trojan quindi mi sa che qualcuno se l'ha beccato prima di te

Ti saluto per adesso
Ciao

[eraser]

a me non è arrivato niente....purtroppo così non posso aiutarti a rimuovere niente.....

[dino_sauro00]

Quote:

Originariamente inviato da eraser

mandami il file a fileanalysis@email.it

Ciao eraser. Il file te l'ho gia' mandato io. Come vedrai c'e' un bel po' di casino da risistemare.

'sto bastardo quando si inizializza controlla se una sua copia e' gia in esecuzione. Poi carica le API necessarie e crea un installer (qui non ho capito se lo fa col mutex -- quindi creerebbe una copia di se' stesso-- quindi se me lo potresti spiegare te ne sarei grato) che sarebbe la prima cosa da cancellare.

Questo si trova in C:\Documents and Settings\nomeprofilo\Local Settings\Temp col nome installer.exe

Dopo questo crea una connessione con IE hookandosi alla wininet.dll e poi comincia il casino col registro.

Infatti la prima cosa che fa e' crearsi una chiave in HKLM\Software\Microsoft\Windows\CurrentVersion\Run col nome REGSYS che chiaramente sarebbe la prima cosa da cancellare.

Dopo cerca di bypassare il proxy questo credo per riuscire ad infilarsi nei siti della zona locale (visto che per default tutti i siti che bypassano il proxy finiscono in zona locale).

Quello che non ho capito e' il perche cerca di farlo 2 volte settando sempre gli stessi valori (bug forse? anche qui una delucidazione aiuterebbe )

Un' altra parte che non mi e' affato chiara sono i valori nella chiave Cryptography. Ho visto quello che setta ma non riesco a capire perche lo fa.(hai capito era un altra domanda )

Come ultimo (ci sono un altro paio di cose ma non sono tanto importanti come questi dopo) setta di nuovo i valori nella zona internet permettendo per esempio l'esecuzione delle ActiveX, delle ActiveX marcate come non sicure, l'active scripting e MOLTO altro ancora. Quindi credo che bisogna assoluttamente rivedere le zone nei settagi di IE.

Tutto questo non l'ho scritto chiaramente perche' tu non lo riusciresti a trrovare ma mi piacerebbe sentire cosa mi e' sfuggito e chiaramente se trovi il tempo di farlo, qualche rispostina alle mie domande da ignorante.

Prima che mi scordi (si' un'altra domanda ) ti e' chiaro il perche della sezione segnata come criptata con nspacker che invece non sembra esserlo? Ho pensato alla versione 2.15 del sudetto packer che a quanto ho sentito aveva un bug del genere. Intendevano proprio questa cosa?

Ti ringrazio davvero molto se trovi il tempo a rispondermi.
Era da un po' di tempo che non mi occupavo con lo "sport" e trovare una persona con le tue conoscenze dal quale imparare sarebbe il massimo

Ti saluto per adesso
Ciao

[dnarod]

non sono esperto di virus, so solo che è stato piu intelligente della mia rozza arte, che consiste nel aprire un notepad e salvarlo nella posizione dove si metteva il file con nome ovviamente pnstx.exe......solo che al riavvio si sostituisce e si riavvia......a dire il vero non saprei da che parte partire per toglierlo a mano, quindi mi sa che mi dovro piegare o a perdere mezz ora e formattare o a mettere un antivir......uffa.....

e per quanto riguarda syswin32.exe??? è un exe che non ho nel pc ma è in esecuzione, incredibile vero??

[dino_sauro00]

Quote:

Originariamente inviato da dnarod

non sono esperto di virus, so solo che è stato piu intelligente della mia rozza arte, che consiste nel aprire un notepad e salvarlo nella posizione dove si metteva il file con nome ovviamente pnstx.exe......solo che al riavvio si sostituisce e si riavvia......a dire il vero non saprei da che parte partire per toglierlo a mano, quindi mi sa che mi dovro piegare o a perdere mezz ora e formattare o a mettere un antivir......uffa.....

Pensavo che avresti gia' formattato per questo che il mio post di sopra non si riferiva direttamente a te. Comunque ti diro' adesso 2-3 cosette da pulire e controllare ma poi aspetta Eraser per avere la conferma totale su cio' che si deve fare.

Prima di tutto assicurati che il processo del virus non sia in esecuzione, aprendo il task manager.

Poi vai in C:\Documents and Settings\nomeDelTuoProfilo\Local Settings\Temp e cancella il file installer.exe

Dopo fai Start-->Run e dai il commando regedit. Nel registro vai in questa chiave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
dove troverai una voce con il nome REGSYS. Cancella e il trojan non si riprodurra' piu' al avvio

Poi apri IE e vai in Tools-->Internet Options-->Security e pigia il bottone Custom Level. Adessi mettilo su livello Medium se non e' gia in questo e assicurati di pigiare il bottone Reset. Adesso pigia OK.

Fai un riavvio e vedi se il processo riesce ancora ad eseguirsi automaticamente.

Quote:

Originariamente inviato da dnarod

e per quanto riguarda syswin32.exe??? è un exe che non ho nel pc ma è in esecuzione, incredibile vero??

Controllando nel database della Symantec ho visto che syswin32.exe e' il trojan Backdoor.Sdbot che permette il controllo remoto del PC usando un server IRC. Adesso mi viene proprio anche un sospetto ma controllo prima di dirti.
Comunque ti faccio notare che un antivirus normalmente installato (quelli delle scansioni on-line sono da considerare come supplementari e in nessun caso possono sostituire una soluzione installata) non avrebbe permesso che ti capitassero questi problemi. Il router non e' la soluzione in quanto blocca i pacchetti in entrata, non i programmi. Quindi come capisci un firewall software e delle soluzione anti-spyware sono quasi d'obbliggo.

Per il syswin32 faro' una controllatina e ti diro' ma in ogni caso non considerare queste cose che ti ho detto come finali finche' non si faccia sentire Eraser. OK?

Ti saluto per adesso.
Ciao

[eraser]

per dino_sauro0000: ho visto ora l'e-mail Il tempo di riceverlo e analizzarlo, appena ho tempo ti rispondo a tutto il possibile

[eraser]

ti posso solo anticipare per ora che tutti i cambiamenti alle policies di IE sono normali visto che è uno spyware e come tale fa visualizzare sul pc banner non voluti

[dnarod]

il fatto è che io non ho internet explorer, semplicemente lo ho segato via con nlite nel mio cd di xp taroccato da me stesso.....l accoppiata xp nlite version (70 mega di ram e 12 processi in idle all avvio) piu mio router, piu spybot se proprio devo per forza visualizzare roba compromettente (a volte capita), mi ha sempre tenuto completamente lindo.....il fatto è che per problemi vari ho dovuto rimettere win dal cd originale che ha quel cesso di IE e mi sono dimenticato di toglierlo con xplite.....ora pero l ho fatto ergo non posso piu prendere niente per merito delle sue falle apocalittiche.....

ho cancellato la chiave dal reg, per syswin so cos' e e so che ce l ho da un po, ma non ho mai voglia di toglierlo perche dovrei installare un antivir.....se trovo il modo di levarlo a mano ok, altrimenti penso che rimarra li

[dino_sauro00]

Quote:

Originariamente inviato da eraser

per dino_sauro0000: ho visto ora l'e-mail Il tempo di riceverlo e analizzarlo, appena ho tempo ti rispondo a tutto il possibile

Non vedo l'ora

Quote:

Originariamente inviato da eraser

ti posso solo anticipare per ora che tutti i cambiamenti alle policies di IE sono normali visto che è uno spyware e come tale fa visualizzare sul pc banner non voluti

Per policies intendi le zone? Se e' cosi' lo so che e' normale. Tra l'altro il sito al quale si collega cerca di scaricare delle belle ActiveX.

Eraser se continuo a scrivere ti faro' qualche altro miliardo di domande quindi mi sa che e' meglio lasciarti lavorare in pace.
Aspetto anziosamente le tue scoperte e ti ringrazio di cuore per la disponibilita'!

Ti saluto
Ciao

[eraser]

Dunque il file, compresso con nspack, contiene al suo interno un altro eseguibile alla fine del codice.

Il file, come già detto, è un adware con integrato un trojan downloader.

I files che vengono creati nella cartella Temp, tu hai citato solo installer.exe ma ci sono poi anche bb.exe, mt-uninstaller.exe, iinstall.exe, sidefind.exe, 180solutionsxxx.exe (non mi ricordo i nomi precisi), sono degli adware ben conosciuti e scaricati da vari siti internet (non sono la copia stessa del codice dell'adware in questione).

Il valore Seed modificato della key RNG sotto Cryptography molto probabilmente non è legato al malware ma è Windows che lo modifica in particolari momenti.

Alcuni adware che vengono installati con il trojan rimangono in ascolto su alcune porte tcp.

Per quanto riguarda il file non ho capito cosa intendi per il packer: il file è effettivamente compresso con nspack

Spero di aver risposto alle tue curiosità Cmq se hai altre domande, se ci sono imprecisioni da parte mia o ho tralasciato qualcosa sono ben contento di risponderti

Ciao

Marco

[dino_sauro00]

GRANDE Eraser!!

Grazie mille delle risposte!!!

Allora riguardo ai files che non avevo visto: purtroppo dipendeva dal fatto che non avevo messo ancora VMWare e visto che dovevo reinstallare comunque, ho deciso di autoinfettarmi
Il mio antispyware pero' bloccava l'esecuzione automatica di installer.exe impedendo anche la creazione di tutti gli altri file.

Grazie del chiaramento sui valori seed di Cryptography. Sinceramente pero' devo dire che non ho capito a cosa serve proprio questa parte del registro (Cryptography). Mi informero' adeguatamente.

Riguardo al packer. Qui e' colpa mia che mi sono basato su una supposizione. nspack e' un packer ma non un protector (cioe' non cambia per esempio la IAT, non c'e' bisogno di risistemare API e cose del genere) come invece avevo supposto io. Infatti per questo motivo mi e' sembrato strano avere una sezione packata ma niente trucchetti dei soliti protector.

Il bug a cui mi riferivo riguardava invece la versione 2.5 del sudetto packer che a causa di un bug non packava proprio niente. Pensavo infatti erroneamente che questo fosse il caso anche qui.

Eraser ti ringrazio tantissimo della tua precisione nonche' del tempo che hai perso a spiegarmi queste cose. Ti sono un vero debbitore. Adesso vado a studiare un po' la sezione Cryptography e magari dare un occhiattina a qualche altra infezione.

Grazie di tutto
Ti saluto
Ciao

[eraser]

sono veramente molto contento che ti interessi così tanto a questo argomento

Se vuoi, per qualunque cosa sul mio profilo c'è icq

Ciao

Eraser

[tutmosi3]

Quote:

Originariamente inviato da dnarod

so che dovrei scannare con molti antivirus, ma ho trovato che il bitdefender è il meno "invasivo".....io non ho mai avuto un antivirus perche sono virus piu piantagrane dei malware; succhiano il 90% delle risorse, sono impossibili da rimuovere e sporcano dappertutto, non tolgono i virus.....visto è considerato che poi vengono venduti a prezzi esorbitanti dalle stesse case che poi ti mandano i virus spammando le email o immettendo loro stesse i virus sulla rete, facendomi 2 conti non mi conviene tenere alcun antivirus.....gia concedo la scansione online che mi costa tempo di inattivita del pc (mettendo su un immagine in 10 minuti avrei il pc come se nulla fosse successo, mentre la sola scansione che non mi toglie tutto ci mette mezz ora)

la cosa sbalorditiva è che essendo sotto router non capisco come abbia fatto a prendermi sta robaccia; non mi era mai successo, anche perche non vado mai da nessuna parte di sospetto, paradossalmente l unico sito in cui vado di sospetto è proprio ogame.it (con firefox ovviamente); ne devo dedurre che si siano evoluti sti virus, ma non c e problema, io adesso sego ie del tutto con xplite poi vediamo cosa vuole fare il perdente eheheheh inoltre una bella formattatina ed evito di perdere la vita a cercare di capire come si tolga syswin32.exe che e li da una settimana....

cmq per sport vi mando sto file, spero che vi possa essere utile....ma come ve lo mando?? lo ficco in uno zip?

Scusate l'OT ma mi permetto una digressione pacifica su questa affermazione.

Intanto non ho capito se hai BitDefender o sei senza anti virus.
Qualora tu non avessi antivirus ... Beh c'è poco da lagnarsi se hai un virus.
Inoltre trovo che vi siano antivirus più che dignitosi anche freeware.

Ciao e scusa l'OT