[win XP] Infettato dal file MSLOG.EXE (Trojan.Win32.Delf.ako)

[Am I Evil?]

Ho seguito la procedura per la disinfezione infetti.

Vi lascio in allegato i log di tutte le scansioni eseguite.
Il file MSLOG.EXE é stato eliminato da A-Squared Free v3.x, però quando ho fatto HiJackThis, lo segna ancora....eppure il processo non é attivo ed il file é stato messo in quarantena.

I file che non riesco ad allegare gli hostati a questi indirizzi spero riusciate ad aprirli semmai li allego ad un nuovo messaggio.

Gmer
Prevx CS

[Chill-Out]

Quote:

Originariamente inviato da Am I Evil?

Ho seguito la procedura per la disinfezione infetti.

Vi lascio in allegato i log di tutte le scansioni eseguite.
Il file MSLOG.EXE é stato eliminato da A-Squared Free v3.x, però quando ho fatto HiJackThis, lo segna ancora....eppure il processo non é attivo ed il file é stato messo in quarantena.

I file che non riesco ad allegare gli hostati a questi indirizzi spero riusciate ad aprirli semmai li allego ad un nuovo messaggio.

Gmer
Prevx CS

Per favore hostali qui: http://www.fileup.itadib.com/index.php

[Am I Evil?]

Ok ho rieditato i link.

[murack83pa]

buon giorno,

effetivamente sto file ancora li è.......

direi di procedere in questo modo, se gli altri sono d'accordo:

1- il ripristino configurazione sistema è disattivato? era disattivato prima di fare le scansioni con i programmi?deve rimanere disattivato fino a quando nn si ha la certezza di aver mandato a quel paese il trojan

2- la scansione online l'hai eseguita?
BITDEFENDER ONLINE SCANNER
esegui una scansione online da: http://www.bitdefender.com/scan8/ie.html
una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

Al termine Riavvia

3- installa TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD
scompattalo in una cartella dedicata (è un tool standalone)
lancia il tool e clicca su Scan
al termine della scasione ti verrà richiesto di salvare il log
se venissero rilevati Rootkit provvedi alla loro eliminazione
il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
allega il log salvato


4- rilancia hijackthis e posta qui il log, nn so se puo essere utile il log dello start-up....

ciao

[Chill-Out]

Aspetta un'attimo!

Quote:

Il file MSLOG.EXE é stato eliminato da A-Squared Free v3.x, però quando ho fatto HiJackThis, lo segna ancora....eppure il processo non é attivo ed il file é stato messo in quarantena.

le minaccie rilevata da a-squared le hai messe in quarantena o eliminate? perchè dal log non si capisce che azione hai intrapreso

[Am I Evil?]

Quote:

Originariamente inviato da Chill-Out

Aspetta un'attimo!



le minaccie rilevata da a-squared le hai messe in quarantena o eliminate? perchè dal log non si capisce che azione hai intrapreso

L'ho messo in quarantena.
Però non ho ancora riavviato il computer può essere per quello?

[Chill-Out]

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Ripristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

Abilita la visualizzazione dei file nascosti.....
1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su "Visualizza cartelle e file nascosti"
Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)"
3. Clic su Applica
C:\Documents and Settings\Medion\Impostazioni locali\Temp\Stp1D_TMP.EXE
questo lo controlli su www.virustotal.com e indichi nel prossimo post il link per visualizzare i risultati

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked:
O4 - HKLM\..\Run: [Dynamic System Bios] MSLOG.exe
O4 - HKLM\..\RunServices: [Dynamic System Bios] MSLOG.exe
O4 - HKCU\..\Run: [Dynamic System Bios] MSLOG.exe

al termine nuovo log di HJT, ciao.

[Am I Evil?]

La disattivazione di ripristino di configurazione l'avevo già fatta.

Vi allego il nuovo log di hijackthis.

[Chill-Out]

adesso il log è pulito, attendo il resto, ovvero la pulizia con Ccleaner l'hai fatta? hai uppato il file indicato su virustotal.com? la sequenza indicata non è casuale

[murack83pa]

Quote:

Originariamente inviato da Chill-Out

le minaccie rilevata da a-squared le hai messe in quarantena o eliminate? perchè dal log non si capisce che azione hai intrapreso

bene, sembra risolto, il log di hijackthis mi aveva ingannato, convintisssimo che asquared nn fosse riuscito a debellare sto mlog.exe

mi ero fatto l'idea che c fosse qualke rootkit dietro...meglio cosi

quindi ora manca il responso su quel file.....attendiamo fiduciosi, e grazie a chill, come sempre preciso, puntuale, e competente (chill, x ulteriori complimenti: passare alla cassa, grazie )

ciao ciao

ps: x ora combino piu danni che altro, mi sa che mi ritiro fino a quando nn mi do sta cacchio di materia....

[Am I Evil?]

No in quel file virustotal non ci ha trovato nulla....fatta anke la pulizia con CCleaner.
Ringrazio tutti per al disponibilità.

[Chill-Out]

Quote:

Originariamente inviato da Am I Evil?

No in quel file virustotal non ci ha trovato nulla....fatta anke la pulizia con CCleaner.
Ringrazio tutti per al disponibilità.

Ok, ma devi fare questo procedimento a ritroso:
Abilita la visualizzazione dei file nascosti.....
1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su "Visualizza cartelle e file nascosti"
Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)"
3. Clic su Applica

[Am I Evil?]

Uhm mi sono perso.....ho fatto come hai detto nel tuo post delle 12.03.

[Chill-Out]

si nel primo post hai abilitato, adesso rifai lo stesso procedimento ma metti il segno di spunta su:
Non visualizzare cartelle e files nascosti
Nascondi i file protetti di sistema

[Am I Evil?]

Ah ok.
Cioé faccio il Ccleaner togliendo la visibilità ai file nascosti e di sistema e poi faccio una scansione con HijackThis e posto il risultato?

[Chill-Out]

No lascia stare Ccleaner e HijackThis, fai così tra l'altro l'hai già fatto oggi
1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su Non visualizzare cartelle e files nascosti
Mettere la spunta su Nascondi i file protetti di sistema (consigliato)
3. Clic su Applica

[Am I Evil?]

Quote:

Originariamente inviato da Chill-Out

No lascia stare Ccleaner e HijackThis, fai così tra l'altro l'hai già fatto oggi
1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su Non visualizzare cartelle e files nascosti
Mettere la spunta su Nascondi i file protetti di sistema (consigliato)
3. Clic su Applica

Ok.

[Chill-Out]

Quote:

Originariamente inviato da Am I Evil?

Ok.

[Am I Evil?]

Salve.....ho cercato un po' se c'era già un thread con questo domanda.
Continuo su questa discussione perché nn mi pare il caso di aprirne un altra.
Proprio ora ho fatto una scansione con a-squared Free ed emule attivo...e mi ha segnato il file di programma di emule come worm.....é per caso un falso positivo?
Vi posto anche il log della scansione.

[murack83pa]

Quote:

Originariamente inviato da Am I Evil?

Salve.....ho cercato un po' se c'era già un thread con questo domanda.
Continuo su questa discussione perché nn mi pare il caso di aprirne un altra.
Proprio ora ho fatto una scansione con a-squared Free ed emule attivo...e mi ha segnato il file di programma di emule come worm.....é per caso un falso positivo?
Vi posto anche il log della scansione.

se ti rispondesse river, ti direbbe assolutamente di no: emule è un virus

attraverso questo grazioso programma, arrivano nel tuo pc tutte una serie di skifezze che nn ti sto a dire ( il log del mio comodo quando x 2 minuti, è attivo emule, è pieno zeppo di tentativi di intrusione....)
quindi, mi chiedo cosa stavi scaricando da emule? qualke bel programmino malsano? un gioco?

rifai la scansione con emule spento, e ti consiglio di scaricarti un altro programma antispyware, x confrontare i risultati, come ad esempio superantispyware

ps: esiste un 3d specifico di asquared, nella sezione guida all'uso dei programmi