Autoinvio "image321.zip" Windows Live Messenger

[Ikar]

Ciao.
In un batter d'occhio il pc ha è divenuto incontrollabile per 30 secondi e Windows Live Messenger ha autoinviato una directory compressa "image321.zip" con all'interno il file "image321_from_imageupload.exe" ai contatti in linea.

Che tipo di file è?

L'ho scansionato sia con F-Secure Client Security 2007 che con altri strumenti di scansione online ma non viene rilevato come virus, malware o spyware.

Nel Task Manager si è anche attivato il processo wbcmgr.exe che sicuramente non è un semplice file.

Grazie

[murack83pa]

credo che ti sei infettato col famoso virus di msn qui c'è la guida alla rimozione
chiedo conferma agli esperti

[Nuz]

Giusto che tu segua la guida. Però purtroppo nel momento in cui scrivo la versione 1.596 di MSNfix non permette di rimuovere wbcmgr.exe, se è infetto come sospettiamo.
Sarebbe utile che tu facessi l'upload del file su www.virustotal.com e nel caso risultasse infetto riporta qui i risultati e fai l'upload anche qui:
http://upload.changelog.fr/

[Ikar]

Ho eseguito l'upload del file "image321.zip" in virustotal.com

Codice:

Antivirus  	Versione  	Ultimo aggiornamento  	Risultato
AhnLab-V3	2007.12.1.0	2007.11.30	-
AntiVir	7.6.0.34	2007.11.30	-
Authentium	4.93.8	2007.12.01	-
Avast	4.7.1074.0	2007.12.02	Win32:Sramler-J
AVG	7.5.0.503	2007.12.02	-
BitDefender	7.2	2007.12.02	BehavesLike:Win32.ProcessHijack
CAT-QuickHeal	9.00	2007.12.01	-
ClamAV	0.91.2	2007.12.02	-
DrWeb	4.44.0.09170	2007.12.02	-
eSafe	7.0.15.0	2007.11.29	-
eTrust-Vet	31.3.5340	2007.11.30	-
Ewido	4.0	2007.12.02	-
FileAdvisor	1	2007.12.02	-
Fortinet	3.14.0.0	2007.12.02	-
F-Prot	4.4.2.54	2007.11.30	-
F-Secure	6.70.13030.0	2007.12.02	-
Ikarus	T3.1.1.12	2007.12.02	Trojan-Dropper.Win32.Sramler.a
Kaspersky	7.0.0.125	2007.12.02	-
McAfee	5175	2007.11.30	-
Microsoft	1.3007	2007.12.02	-
NOD32v2	2697	2007.12.02	-
Norman	5.80.02	2007.11.30	-
Panda	9.0.0.4	2007.12.02	Suspicious file
Prevx1	V2	2007.12.02	-
Rising	20.20.62.00	2007.12.02	-
Sophos	4.23.0	2007.12.02	-
Sunbelt	2.2.907.0	2007.12.01	-
Symantec	10	2007.12.02	-
TheHacker	6.2.9.147	2007.12.01	-
VBA32	3.12.2.5	2007.12.02	-
VirusBuster	4.3.26:9	2007.12.01	-
Webwasher-Gateway	6.6.2	2007.12.01	-
Informazioni addizionali
File size: 47772 bytes
MD5: e7f94db5e6222bcca163247bd08c90a9
SHA1: 8b3713756a477ca23ae608a44805feb44f054f33

[Nuz]

Sarebbe meglio se editassi il precedente post mettendo i risulati tra i tag code.
Comunque sembra che ti sei beccato un nuovo virus di messenger. Per quel file specifico (wbcmgr.exe) non esiste nessun link in rete che faccia pensare che sia legittimo. E' possibile rimuoverlo con Avenger se ci dici il percorso.

[Ikar]

WBCMGR.EXE-01047946.pf si trova nella directory C:\WINDOWS\Prefetch

Come mai proprio in questa cartella?

[Nuz]

Quello non dovrebbe essere il file infetto, infatti è *.pf. Per quel che ne so io nel prefetch ci sono le informazioni per eseguire più rapidamente i programmi.
A questo punto fai un log di HiJackThis e allegalo con la funzione gestisci allegati. inoltre ti consiglio anche una scansione con A-Sqaured free e prevx csi. Anche di questi allega il log.
Così dovremmo riuscire ad individuarne il percorso esatto.

P.S. Se non lo hai fatto fai l'upload anche qui:
http://upload.changelog.fr/

[murack83pa]

Quote:

Originariamente inviato da Ikar

WBCMGR.EXE-01047946.pf si trova nella directory C:\WINDOWS\Prefetch

Come mai proprio in questa cartella?

credo che puoi,forse devi,eliminare questo file nella cartella prefetch

[Ikar]

Quote:

Originariamente inviato da Nuz

Quello non dovrebbe essere il file infetto, infatti è *.pf. Per quel che ne so io nel prefetch ci sono le informazioni per eseguire più rapidamente i programmi.
A questo punto fai un log di HiJackThis e allegalo con la funzione gestisci allegati. inoltre ti consiglio anche una scansione con A-Sqaured free e prevx csi. Anche di questi allega il log.
Così dovremmo riuscire ad individuarne il percorso esatto.

P.S. Se non lo hai fatto fai l'upload anche qui:
http://upload.changelog.fr/

Ho allegato il log di HijackThis mentre per quanto riguarda la scansione con Prevx CSI non ho rilevato bad file.

[Nuz]

Comunque credo che sia più utile se tu proseguissi nel thread ufficiale:

GUIDA alla rimozione virus da MSN Messenger [Thread semi-ufficiale].

Queste voci vanno fixate:

O4 - HKLM\..\Run: [Service Host] C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe
O4 - HKLM\..\Run: [Wbcmgr] wbcmgr.exe

[murack83pa]

Quote:

Originariamente inviato da Nuz

Comunque credo che si più utile se tu proseguissi nel thread ufficiale:

GUIDA alla rimozione virus da MSN Messenger [Thread semi-ufficiale].

Queste voci vanno fixate:

O4 - HKLM\..\Run: [Service Host] C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe
O4 - HKLM\..\Run: [Wbcmgr] wbcmgr.exe

quoto

[Nuz]

Dopo che hai fixato quelle voci posta un nuovo log di HiJackThis. Postalo pure nell'altra discussione, anche senza riscrivere tutto ho già provveduto a fare un riassunto del tuo caso.

[Ikar]

Quote:

Originariamente inviato da Nuz

Dopo che hai fixato quelle voci posta un nuovo log di HiJackThis. Postalo pure nell'altra discussione, anche senza riscrivere tutto ho già provveduto a fare un riassunto del tuo caso.

Ora sembra andare tutto bene.

Allego il logfile anche in questa discussione giusto per continuità

[murack83pa]

questa voce la devi fixare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

nn so se è necessario disattivare il ripristino....

[Ikar]

Quote:

Originariamente inviato da murack83pa

questa voce la devi fixare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

nn so se è necessario disattivare il ripristino....

fatto... Grazie

[Nuz]

Quella voce fa parte della scheda audio realtek. Fixarla comunque credo che non comporti nulla.

[Chill-Out]

Il system restore andrebbe disabilitato, la voce inerente a ALCMTR.EXE puoi anche non fixarla e disabilitare il processo dall'avvio automatico.

[murack83pa]

la prox volta sarò meno frettoloso...

[Nuz]

Ricontrollando quello che ti ho fatto fare in precedenza mi sono accorto che devi fare anche questo:

Scarica Avenger. Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.

Poi devi anche controllare nel task manager se hai wbcmgr.exe, perchè deve ancora essere eliminato.

[Ikar]

Quote:

Originariamente inviato da Nuz

Ricontrollando quello che ti ho fatto fare in precedenza mi sono accorto che devi fare anche questo:

Scarica Avenger. Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:



Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.

File C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe not found!

Quote:

Originariamente inviato da Nuz

Poi devi anche controllare nel task manager se hai wbcmgr.exe, perchè deve ancora essere eliminato.

Nel task manager non è più presente wbcmgr.exe