Vendetta.exe

[JackRabbit]

Salve a tutti, stavo chattando con un certo “the end89” e mi ha detto che lui aveva un giochino in flash del famoso film V per Vendetta, e siccome io sono un grande fan, ho immediatamente accettato. Una volta inviato il file in rar tramite msn, lo ho estratto e mi è comparso un file in EXE di nome “Vendetta”. Ho eseguito il file e successivamente il Pc è rimasto impallato per due minuti circa…come se fosse un file autoestraente che una volta cliccato si auto inserisce in qualche cartella di windows al posto dei file originali (questa è solo una mia ipotesi). Poi ho chiuso il Pc e una volta riacceso, mi appare una schermata nera con alcune immagini del film, dicendomi con la finestra tipica degli errori che il pc ormai è sotto suo controllo, a meno che non sappia la password…ho contattato immediatamente “the end89”, chiaramente da un altro Pc, non potendo utilizzare quello bloccato, e mi ha detto la password: Punizione.
Una volta inserita sparisce tutto quanto, dicendomi che per questa volta sono salvo…ora mi chiedo, tutto ciò è stato uno scherzo, oppure una semplice messa in scena per mascherare qualcosa di veramente grave di sotto? Se si che tipo di virus ho lanciato? Mi ha rubato dati dal computer? O magari qualche account con le password di qualche sito/forum?
Cosa ancor più importante è che se fosse stato anche un semplice scherzo, c’è in modo di eliminare completamente i file che secondo me si dovrebbero essere sostituiti agli originali del sistema di Windows? (In pratica ripristinare il pc completamente come prima dall’avvio di questo file )
Successivamente mi ha detto che avviando quest’altro file lo scherzo sarebbe finito completamente, e io ho avviato anche AutoHotkey Script.

Ecco i files che mi ha inviato: *Edit

Un grazie mille in anticipo a chi mi aiuterà!!!

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
non possiamo sapere che tipo d'infezione sia la prima e nemmeno se la seconda ti ha ripulito oppure fingendo la pulizia ti ha ficcato dentro dell'altro...

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[JackRabbit]

Grazie mille wjmat, ma credimi io non sono ne capace, e ne tanto meno ho tempo, a causa dei miei impegni e dei miei problemi famigliari, per effettuare tutte queste scansioni con tutti questi antivirus , perchè poi infine postare i log sarebbe una cosa elementare adirittura per me...
Sarei disposto a pagarvi ma credetemi è quasi impossibile che trova del tempo per fare tutto ciò, ora io vi chiedo se gentilmente è possibile verificare i files che vi ho linkato...
Mi fareste un favore immenso...
Saluti.

[wjmat]

questi gli esiti

Vendetta.rar
http://www.virustotal.com/it/analisi...84890e091db17c
Nuovo_AutoHotkey_Script.rar
http://www.virustotal.com/it/analisi...993bafd286943d

dovremmo infettarci col primo e pulirci con l'altro file e controllare poi se siamo puliti...
devi trovare qualcuno che se lo faccia su un sistema operativo virtuale e abbia tempo da perdere al posto tuo...

[xcdegasp]

vendetta.exe -> http://www.threatexpert.com/report.a...1bfead989c2d85
non vedo motivo di sforzarsi a cercare crack/keygen/fix quando esistono prodotti equivalenti free e opensource che non fanno rimpiangere quelli più famosi commerciali...

Nuovo AutoHotkey Script.exe -> http://www.threatexpert.com/report.a...be592b0cae26fe
e quindi -> http://www.threatexpert.com/threats/...gent-epao.html

[JackRabbit]

Non sai quanto ti ringrazio xcdegasp per aver individuato il danno...
Perciò spiegami gentilmente come devo procedere per ripristinare completamente il sistema di windows come prima dell’avvio di questi file.
Comunque proprio come sospettavo alcuni file si sono sotituiti agli originali del sistema di windows, inoltre tutto ciò era per mascherare un trojan da quello che ho capito...
Ditemi cosa devo fare perchè sono un nabbo per far tornare tutto come prima e io lo faccio!!!
Grazie infinite, saluti.

[wjmat]

devi seguire il post n°2 per un controllo accurato e sicuro al 100%

[JackRabbit]

Ma come ti ho già detto non ho tempo a sufficienza, poi tra l'altro non vale nemmeno la pena poichè il moderatore ha già rilevato tutto quanto il problema!

[wjmat]

xg ha fatto analizzare i files ma non ti ha detto che sei pulito...
se non vuoi fare le scansioni e farci vedere i log.... contento tu contenti noi

[xcdegasp]

almeno un prevxcsi si potrebbe far girare

[wjmat]

anche perchè il tempo è denaro....
Prevx

[JackRabbit]

Perfetto faccio la scansione con PrevxCSI, entro domani pomeriggio dovrei postare il log.
Grazie di cuore a tutti e due, a domani!

[wjmat]

ci vanno circa 5 minuti per prevx...

[JackRabbit]

Quote:

ci vanno circa 5 minuti per prevx...

Sisi ho visto ^^
Log PrevxCSI: http://www.mediafire.com/?sharekey=7...db6fb9a8902bda

[wjmat]

non riesco a prelevarlo... leggi le modalità che ho in firma e mettilo su www.fileqube.com

[JackRabbit]

Allora ho cercato di seguire il vostro regolamento come meglio ho potuto, mi rimanevano solo i primi due antivirus, ma a causa di insufficienza di tempo, non ho potuto continuare...
3)Ho fatto anche la scansione con F-secure online e non mi ha individuato nulla.
Inoltre ho fatto la scansione con gli antivirus più rapidi:

5)ESET SysInspector: http://www.fileqube.com/shared/TUgEuBB105513
6)HiJackThis: http://www.fileqube.com/shared/uZFVi105518
7)Gmer: http://www.fileqube.com/shared/qRrPf105519
8)PrevxCSI: http://www.fileqube.com/shared/BfxCXa105520

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - Winlogon Notify: gebxyxx - gebxyxx.dll (file missing)
O16  - tutte le voci senza riferimenti a microsoft

[JackRabbit]

Allora ho appena fatto tutto ciò che hai chiesto, dopodicchè ho riavviato il pc ed eseguito nuovamente la scansione.
Secondo Log hijackthis: http://www.fileqube.com/shared/urIUR106398

Comunque oltre che alla risoluzione per il virus, potreste anche rispondermi alle domande che vi ho chiesto nel primo post? Mi fareste un grande favore
Anche per sapere i rischi che ho corso, e se ha rubato qualche dato, infiltrandosi nel mio pc...(è una mia ipotesi sviluppata alla vista del nome del trojan "Trojan-Spy.Win32.Agent.bbg" per quanto riguarda il file vendetta.exe, invece per il file Auoto HotKey Script il nome del trojan era: "Trojan.Agent.EPAO").
Grazie per l'ennesima volta di tutto!

Ah dimenticavo, fatemi sapere in che condizioni avete trovato il mio pc da quei quattro log che ho postato...
Saluti.

[JackRabbit]

Up...
Ho uppato in caso il mio topic con i nuovi topic fosse arrivato in pagina 2, e perciò dimenticato.
Non so se è lecito uppare dopo nemmeno uno giorno di distanza dall'ultimo post, nel caso fosse così, perdonatemi!

[wjmat]

il log può andare bene ma il solo hijackthis serve a poco...

purtroppo fai troppe domande e poche scansioni... e noi senza log non possiamo darti risposte