VIRUS FUNNY SU HD ESTERNO WIN XP

[esteban81]

Salve a tutti,
ho un bel problema con il mio hd esterno, poichè un mio amico mi ha chiesto di aiutarlo a formattare il pc perchè aveva preso il virus funny da messenger.
Io da buon idiota per salvare i suoi dati 40 gb, ho ritenuto di usare il mio hd esterno, sul quale ci sono dei dati importantissimi di cui non ho copia.
Quando ho attaccato l'hd il virus si è subito trasferito facendo apparire l'icona "funny ... avi. exe" io non l'ho cliccata, ma provando a cancellarla quella si ri produceva ogni volta.
Ho provato a cancellarla e staccare l'hd prima che apparisse il file, e pensavo fosse tutto a posto.
Invece quando sono andato a riattaccarlo dopo aver formattato il pc del mio amico ecco che il suo computer dava tutti i segni del virus, vale a dire la chiusura del task master in auto e problemi ad installare e rimovuore i programmi.
Adesso vi chiedo che posso fare per salvare i miei dati aiutatemi vi prego

[Bugs Bunny]

leggi questi 2 thread

http://www.hwupgrade.it/forum/showthread.php?t=1599737

http://www.hwupgrade.it/forum/showthread.php?t=1547867

[Riverside]

Quote:

Originariamente inviato da Bugs Bunny

leggi questi 2 thread
http://www.hwupgrade.it/forum/showthread.php?t=1599737
http://www.hwupgrade.it/forum/showthread.php?t=1547867

Ciao Bunny, nella discussione relativa al Virus MSN Messenger, Esteban aveva già postato; sono stato io ad indirizzarlo qui, per questa ragione:

Quote:

Originariamente inviato da esteban81

Invece quando sono andato a riattaccarlo dopo aver formattato il pc del mio amico ecco che il suo computer dava tutti i segni del virus, vale a dire la chiusura del task master in auto e problemi ad installare e rimovuore i programmi.

un comportamento, questo, che non ha nulla a che fare con le varianti del virus da MSN che è, certo, spaccaballe, ma non fino al punto da bloccare il Task Manager e rendere impossibile l'installazione di programmi.

[esteban81]

grazie river per il chiarimento e a te bugs per i suggerimenti.
In ogni caso ho collegato il virus al messenger in questo caso di yahoo perchè il veicolo tramite il quale si è diffuso è proprio questo.
Inoltre il virus ha la proprietà di autotrasmettersi a tutti i contatti del messenger nel corso delle conversazioni sotto forma di file da accettare.... ecco perchè inizialmente pensavo di trattasse di un virus del genere di quelli descritti sul thread di river.
Volevo solo fare una precisazione trattandosi di un disco esterno il virus non è ancora entrato nel mio computer, perciò se vi è un metodo solo per salvare i dati senza dover contaggiare il mio computer mi basterebbe quello e poi formatto tutto

[Bugs Bunny]

in tal caso serve un log di hijackthis e le voci in rosso evidenziate da gmer. Inoltre fai una scan online con kaspersky e allega il rapporto.
Ultima cosa,entra nell'hard disk infetto,abilita la visualizzazione di files e cartelle nascosti e di sistema e vedi se c'è un file chiamato autorun.inf

[Riverside]

Quote:

Originariamente inviato da esteban81

...... Inoltre il virus ha la proprietà di autotrasmettersi a tutti i contatti del messenger nel corso delle conversazioni sotto forma di file da accettare.... ecco perchè inizialmente pensavo di trattasse di un virus del genere di quelli descritti sul thread di river.

Lo è sicuramente, in particolare per la metologia di propagazione.
Direi che l'idea di formattare, sia l'ultima da prendere in considerazione.
Se riusciamo a capire come agisce questo virus posso aggiornare la Guida.
Intanto, come ti è stato suggerito, allega un log di Hthis.

Quote:

Originariamente inviato da Bugs Bunny

Inoltre fai una scan online con kaspersky e allega il rapporto.

Bunny, visto che rileva ed allo stesso tempo rimuove, direi che la scansione online sarebbe preferibile fargliela eseguire da Bitdefender (allegando, sempre, il Report) .

[Bugs Bunny]

ho scelto kaspersky perchè tutti i virus che ricevevo tramite msn li aveva nelle firme,glieli facciamo rimuovere con avenger

[esteban81]

allora ragazzi mi pare di capire che mi date l'ok per attaccare l'hd sul computer!!!
ve ne assumerete la responbilità per il resto dela vita sappiatelo !!!!!
Dai che scherzo, comunque io come antivir ho proprio kaspersky 7, allora ricapitolo:
1) mi faccio infettare
2) faccio lo scan con hijackthis e con bitdefender
3) vi posto i risultati
ok?

[Riverside]

Quote:

Originariamente inviato da esteban81

1) mi faccio infettare
2) faccio lo scan con hijackthis e con bitdefender
3) vi posto i risultati
ok?

Fai cosi Esteban: fai lo scan online sia con Kaspersky che con BitDefender (cosi facciamo una strage) e allega entrambi i Report.

[Bugs Bunny]

Quote:

Originariamente inviato da esteban81

allora ragazzi mi pare di capire che mi date l'ok per attaccare l'hd sul computer!!!
ve ne assumerete la responbilità per il resto dela vita sappiatelo !!!!!
Dai che scherzo, comunque io come antivir ho proprio kaspersky 7, allora ricapitolo:
1) mi faccio infettare
2) faccio lo scan con hijackthis e con bitdefender
3) vi posto i risultati
ok?

sì poi non sarebbe male avere un log di hijackthis e controlla se c'è autorun.inf nell'hd infetto

[esteban81]

ok io vado e posto

[esteban81]

allora mi ha trovato due file autorun ma sono di due programmi ceh devo fare?
poi kaspersky ha subito rilevato il virus e ho cancellato i file relativi perchè non mi dava altre opzioni valide

[Nuz]

Quote:

Originariamente inviato da esteban81

..Dai che scherzo, comunque io come antivir ho proprio kaspersky 7, allora ricapitolo:...

Sei in una botte di ferro e stai lì a preoccuparti.

[Bugs Bunny]

Quote:

Originariamente inviato da esteban81

allora mi ha trovato due file autorun ma sono di due programmi ceh devo fare?
poi kaspersky ha subito rilevato il virus e ho cancellato i file relativi perchè non mi dava altre opzioni valide

che virus rilevava? in quali files?
i file autorun.inf che ti chiedevo di cercare devono essere nella root del disco fisso(es C:\autorun.inf)

attendiamo i report di bitdefender e il log di hijackthis

[esteban81]

i virus sono:

deleted: virus Virus.Win32.AutoRun.abt File: I:\Funny UST Scandal.avi.exe
deleted: virus Virus.Win32.AutoRun.abt File: I:\xmss.exe

il report di hijack è:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.22.27, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Portrait Displays\forteManager\DTHtml.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Portrait Displays\Shared\HookManager.exe
C:\Programmi\Last.fm\LastFMHelper.exe
C:\Programmi\File comuni\Portrait Displays\Plugins\AM\dtsslsrv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\Alcohol Soft\Alcohol 120\_Alcohol.exe
C:\DOCUME~1\esteban\IMPOST~1\Temp\Rar$EX20.4032\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [DT LGE] C:\Programmi\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BD45C34-BF2E-49FB-9266-B8D7ED02C842}: NameServer = 151.99.125.1,152.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BD45C34-BF2E-49FB-9266-B8D7ED02C842}: NameServer = 151.99.125.1,152.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BD45C34-BF2E-49FB-9266-B8D7ED02C842}: NameServer = 151.99.125.1,152.99.125.3
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programmi\File comuni\Portrait Displays\Plugins\AM\dtsslsrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6801 bytes

[Bugs Bunny]

il log va messo fra i tag code:

[Bugs Bunny]

il log è pulito. abilita la visualizzazione dei files nascosti e di sistema e cerca il file I:\autorun.inf

aprilo col blocco note e posta il contenuto

[esteban81]

sorry!!

ma scusate coem si fa a far partire lo scan on line di bitdefender????
mi apre un apagina in cui le uniche opzioni son scaricare l'ultima versione di IE e i trial della versione off line???

[Nuz]

Ti ripeto che con Kaspersky sei in una botte di ferro. Lo scan con Bitdefender non serve.

[Riverside]

Quote:

Originariamente inviato da esteban81

sorry!!
ma scusate coem si fa a far partire lo scan on line di bitdefender????
mi apre un apagina in cui le uniche opzioni son scaricare l'ultima versione di IE e i trial della versione off line???

Lancialo da IE, non da firefox o altro.