Aiuto,di cosa si tratta?

[waikiki]

NON RISOLVO NEMMENO FORMATTANDO!

Ciao a tutti, conosco bene qual è la procedura ma vorrei sapere lumi su questa "cosa" che non riesco a debellare
Utilizzo Prevx + Comodo + Avira per l'uso del pc
Mi chiedo perchè Avira non mi segnala un tubo!
Allora vi allego in sequenza cosa accade durante una sessione di lavoro, tenete presente che il file numero.exe anche se lo si cancella con i programmi di security di cui posto i log in sequenza si autorigenera ogni volta sotto forma di altro numero a doppia cifra e ricolpisce nel giro di qualche ora o anche qualche decina di minuti con la solita procedura descritta con le caps all'inizio:

Mi chiedo perchè Avira non mi segnala un tubo!

Virustotal mi da' questo, ricordo che i numeri del file.exe si autorigenerano a caso .


http://www.virustotal.com/it/analisi...575-1280865589

http://www.virustotal.com/it/analisi...575-1280865890

http://www.virustotal.com/it/analisi...575-1280866098

Questo invece è il tipo file che anch'esso si autogeneraderivante probabilmente dlalo stesso malware che si insinua in networkservice/impostazionilocali/temporaryinternetfiles/content.ie5/cartella

http://www.virustotal.com/it/analisi...575-1280868082




Uploaded with ImageShack.us



Vedete si inizia sempre con un BUFFER OVERFLOW di un svchost.exe

Poi accade che Prevx blocca un file nella cartella system32\27.exe o 42.exe o altri numeri


Uploaded with ImageShack.us


Poi interviene anche defense che blocca la shellcode injuction sempre dallo stesso file


Uploaded with ImageShack.us


Poi poco dopo uno od alcuni a seconda del caso generic Host32 Process terminano non so se per una coincidenza.




Uploaded with ImageShack.us

Non so cosa fare


I log: in aggiornamento

mbam-log-2010-08-03 (21-05-34).txt

a2scan_100803-211951.txt

Fsecure.txt

http://wikisend.com/download/585072/hijackthis.log


gmer.log


Eset non trova nulla

[Chill-Out]

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

[Chill-Out]

Adesso è tutto ok, segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[waikiki]

Per far tutte le scansioni ci vuole mezza giornata mamma mia .
Alcune come detto le ho già fatte e non mi hanno rilevato nulla!

[Chill-Out]

Quote:

Originariamente inviato da waikiki

Per far tutte le scansioni ci vuole mezza giornata mamma mia .
Alcune come detto le ho già fatte e non mi hanno rilevato nulla!

Questa è la Guida alla disinfezione utlizzata in questa sezione del Forum, dal momento che sei palesemente infetto sarebbe opportuno seguirla.

PS: le scansioni lunghe sono solo le prime 4

[waikiki]

edit

[waikiki]

Dimenticavo al file sospetto dei numeretti tipo 27.exe,81.exe, 42.exe,11.exe spesso prevx mi segnalava e mi segnala ancora come vedere poi successivamente anche un file .exe in NetworkService come questo, sempre in questa directory a turno trovo periodicamente una nuova cartella che ogni volta si viene a creare anche se cancello manualmente quella che mi segnala in precedenza



Uploaded with ImageShack.us

[Chill-Out]

Non hai seguito alla lettere i passaggi indicati nella Guida alla disinfezione, ovvero:

- dal log di MBAM si evince che hai fatto

Quote:

Tipo di scansione: Scansione veloce
Elementi esaminati: 116671
Tempo trascorso: 5 minuti, 38 secondi

devi fare Scansione completa

- stesso discorso per F-Secure

Quote:

Nome computer: MISSIL-121E44CB
Tipo di scansione Scansione rapida
Destinazione: Sistema

devi fare Scansione completa

- dal log di CureIt non si capisce che tipo di scansione hai effettuato ed ogni caso caso serve il log completo

La Guida per come è strutturata consente all'utente di risolvere quasi in completa autonomia un numero consistente di infezioni, però è necessario seguire passo passo quanto indicato, successivamente con la pubblicazione dei log chi presta assistenza può fornirti le indicazioni utili su come risolvere altri ed eventuali problemi.

[waikiki]

con cureIT la scansione completa con la versione free non si può fare mi sembra, ho salvato poi il log che mi ha salvato...

[Chill-Out]

Quote:

Originariamente inviato da waikiki

con cureIT la scansione completa con la versione free non si può fare mi sembra, ho salvato poi il log che mi ha salvato...

Assolutamente no, puoi fare scansione Rapida - Completa o Personalizzata

Estratto dalla Guida:

Quote:

eseguire l'aggiornamento e poi selezionare "complete scan", il log verrà salvato in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
per snellire il log usare ParserLog

[waikiki]

ti ripeto parte automaticamente la scansione rapida

[Chill-Out]

Quote:

Originariamente inviato da waikiki

ti ripeto parte automaticamente la scansione rapida

Per cui terminata o stoppata la Rapida lanci la Completa

[waikiki]

Quote:

Originariamente inviato da waikiki

Dimenticavo al file sospetto dei numeretti tipo 27.exe,81.exe, 42.exe,11.exe spesso prevx mi segnalava e mi segnala ancora come vedere poi successivamente anche un file .exe in NetworkService come questo, sempre in questa directory a turno trovo periodicamente una nuova cartella che ogni volta si viene a creare anche se cancello manualmente quella che mi segnala in precedenza



Uploaded with ImageShack.us

chill ho fatto la scansione completa con DrWeb (2 ore e mezza) però non ho potuto salvare il log perchè si è riavviato e cmq mi ha cancellato segnalato da Prevx nel quote.
Ora il sistema risulta pulito

[waikiki]

niente non riesco a risolvere, mi esce prima o poi l'avviso di comodo del bufferl overflow e poi lo stesso comodo che blocca sempre un file del tipo numeretto per esempio 10 minuti fa 84.exe sempre nella stessa directory windows\system32\

Che devo fare ogni volta lo scan di 2 ore con Dr Web che cancella ogni volta il file che poi puntualmente si ripresenta dopo con qualche altro numero?
Questo è intanto ciò che dice prevx di 84.exe
http://www.prevx.com/filenames/44257...X1/84.EXE.html

PS MBAM non mi trova nulla pure con la scansione completa

[Chill-Out]

Quote:

Originariamente inviato da waikiki

niente non riesco a risolvere, mi esce prima o poi l'avviso di comodo del bufferl overflow e poi lo stesso comodo che blocca sempre un file del tipo numeretto per esempio 10 minuti fa 84.exe sempre nella stessa directory windows\system32\

Che devo fare ogni volta lo scan di 2 ore con Dr Web che cancella ogni volta il file che poi puntualmente si ripresenta dopo con qualche altro numero?
Questo è intanto ciò che dice prevx di 84.exe
http://www.prevx.com/filenames/44257...X1/84.EXE.html

PS MBAM non mi trova nulla pure con la scansione completa

Senza vedere un log, come posso risponderti?

[waikiki]

dopo aver disattivato il risptistno di configurazione di sistema ho fatto uno scanner online con Eset. E mi ha cancellato due malware.
Credendo che il problema fosse risolto, il file però come al solito si è replicato. dopo 48 ore(e non ho visitato alcun sito web strano)
Si è ripresentato oggi il problema,, è ricomparso di nuovo l'avviso del Buffer overflow del svchost.exe e poi subito dopo l'allerta di comodo che blocca il file 85.exe sempre nella stessa directory windows/system32 :-\

Gmer non segnala nulla

gmer1.log

Eset mi segnala che si tratta di a variant og win32/Injector.CEH trojan

Eset4.txt

[Chill-Out]

Quote:

Originariamente inviato da waikiki

dopo aver disattivato il risptistno di configurazione di sistema ho fatto uno scanner online con Eset. E mi ha cancellato due malware.
Credendo che il problema fosse risolto, il file però come al solito si è replicato. dopo 48 ore(e non ho visitato alcun sito web strano)
Si è ripresentato oggi il problema,, è ricomparso di nuovo l'avviso del Buffer overflow del svchost.exe e poi subito dopo l'allerta di comodo che blocca il file 85.exe sempre nella stessa directory windows/system32 :-\

Gmer non segnala nulla

gmer1.log

Eset mi segnala che si tratta di a variant og win32/Injector.CEH trojan

Eset4.txt

Ribadisco il concetto per l'ultima volta, la procedura da seguire è la seguente:

http://www.hwupgrade.it/forum/showpo...17&postcount=3

e non vedo il motivo per cui non dedicarci il tempo necessario dal momento che i tuoi tentativi nulla hanno risolto.

[waikiki]

Guarda che io ho fatto tutti i log e ci ho messo una intera giornata, nonostante abbia ripetuto che diverse utility non trovano nulla.

[Chill-Out]

Quote:

Originariamente inviato da waikiki

Guarda che io ho fatto tutti i log e ci ho messo una intera giornata, nonostante abbia ripetuto che diverse utility non trovano nulla.

Allegali, io sono disponibile a darti una mano.

http://www.hwupgrade.it/forum/showpo...53&postcount=8

[waikiki]

Scusa Chill ma mi sento un pò preso per i fodnelli visto cheper fare tutti quegli scan ci ho messo mezza giornata.

ho messo MBAM e fsecure e drweb
e ora metto anche lo stamp dell'avviso di Comodo!



Uploaded with ImageShack.us