Trojan e antivirus

[psychok9]

Salve a tutti,
oggi, fidandomi troppo di Antivir, ho avviato un eseguibile infetto.
Mi sono reso conto del problema virus perché una volta caricato ha disabilitato l'UAC e Windows mi ha segnalato che per effettuare del tutto la modifica all'UAC dovevo riavviare. Anche una volta che era chiuso, ho riscontrato l'eseguibile in memoria. Prendendo i permessi di amministratore, sono riuscito a terminare il processo da task manager. Avira continuava a dirmi che ero pulito.
A quel punto ho inviato il file a virus total, che con alcuni antivirus (solo 5), mi ha rilevato Win32-Decryptor etc. Uno di questi era AVG.
Scaricato AVG Free e aggiornato faccio una scansione e mi trova lo stesso virus sul file "CLIStart.exe" del pannello ATi CCC (1.02mb).
Rimosso.
Adesso vorrei sapere se c'è qualcosa che posso fare per ulteriore prova del nove.
Ho controllato tutti i servizi e i processi caricati, anche attraverso msconfig e non sembra ci sia più nulla di strano.
Sono andato a cercare il file CLIstart.exe originale dal setup dei driver, e sembra essere molto più piccolo... E' possibile che un virus del genere infetti un programma generico autopartente per rendersi meno visibile?

Grazie in anticipo, a chiunque mi risponderà
p.s. ovviamente sono in paranoia perché consideravo antivir uno dei migliori antivirus... praticamente al momento ho 2 antivirus installati e visto che inserisco dati sensibili nel mio computer...
HiJackFree.txt

[psychok9]

Aggiornamento: ho scaricato un terzo programma, dal sito da voi indicato sul forum, A-Squared Free... e mi ha riscontrato un terzo trojan-downloader Win32.Agent.dryb!A2 in C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\DX-Stress.exe.
Falsi allarme?

[Chill-Out]

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[psychok9]

l'Avevo già letta, ricapitolando:
1) Ripristino di sistema disabilito da quando ho installato Windows.
2) ATF Cleaner, fatto no errori (uso regolarmente CCLeaner).
3) DNS OpenDNS, già impostati
4) Sito hosting preso proprio da "Regole di Sezione", estensione corretta!
A-Squadred Free, a quanto pare, mi ha dato parecchi solo falsi allarmi, persino vecchissimi file .xm multimediali musicali e innocui.
Nessuno file di sistema infetto.
Comunque non avevo capito che dovevo installare tutti quei programmi... vedrò cosa fare al massimo chiudete questo topic.

[xcdegasp]

spero tu ti renda conto da solo che senza i logs noi non possiamo sapere nulla visto che la sfera di cristallo (l'ho ordinata 3 anni fa' e il link traking non ha mai funzionato ) non è mai arrivata a destinazione pertanto arriverai da solo alla conclusione che:
ti sei fatto una domanda e ti sei dato una risposta chiedendoci però il nostro parere

se leggi bene la guida noterai che c'è scritto segui i ppassi in ordine cronologico quindi esclude la remota e fantasiosa possibilità del "sciegli un programma tra questi e fai un log"

[psychok9]

Quote:

Originariamente inviato da xcdegasp

spero tu ti renda conto da solo che senza i logs noi non possiamo sapere nulla visto che la sfera di cristallo (l'ho ordinata 3 anni fa' e il link traking non ha mai funzionato ) non è mai arrivata a destinazione pertanto arriverai da solo alla conclusione che:
ti sei fatto una domanda e ti sei dato una risposta chiedendoci però il nostro parere

se leggi bene la guida noterai che c'è scritto segui i ppassi in ordine cronologico quindi esclude la remota e fantasiosa possibilità del "sciegli un programma tra questi e fai un log"

Intanto chiedo scusa per non aver letto al meglio la prima volta la guida
Però in effetti quello che chiedevo era proprio un parere, anche sul metodo di infezione... Fin'ora non avevo mai incontrato un virus che infettasse l'eseguibile di un driver auto-caricante all'avvio, come se lo conoscesse. E quindi chiedevo conferma sulla mia interpretazione, se esistono virus di questo genere, e magari un consiglio sulla protezione daily visto che, con un antivirus così affermato come avira, non ho avuto nessuna protezione e ho dovuto scoprirlo da me che ero infetto.

p.s. bella la battuta sulla sfera di cristallo , ne mandi una anche a me?

[xcdegasp]

se tra i programmi che possiedi (avira e a-squared solamente non bastano a mio avviso) risultasse solo a-squared a identificare file infetti allora puoi far analizzare i file sospettti su www.virustotal.com e http://virscan.org .

questi due siti sono ottimi per farsi un idea se è un falso allarme o se c'è qualcosa di serio in ballo.

tra le altre cose mi sembra di vedere che sei su windows a 64bit quindi un eventuale virus è altamente bastardo e rognosissimo da estirpare perchè solo quelli più bastardi si riescono ad annidare nei 64bit

se poi sarà confermato un falso allarme si tirerà un profondo respiro di sollievo ma è un occasione perfetta per rivedere il muro difensivo visto che saresti "caduto dal pero" con la segnalazione di a-squared ovvero si denota l'assenza di un programma che controlli, monitori e sorvegli le interazioni tra programmi e servizi ovvero un firewall avanzato che trovi anche in licenza freeware

[psychok9]

Conoscevo virus total, infatti è da lì che ho avuto conferma che 5/20 antivirus mi rilevavano il virus sull'exe "di origine/infettante". Scaricando AVG (uno di quelli che confermava il Win32Decryptor), l'ha rilevato sia sull'exe infettante, che su CLIStart.exe (lanciatore pannello ATi Catalyst) che aveva una dimensione anomala di 1,02mb (dimensione attuale 96Kb). Però l'avrei preso come un falso allarme se non l'avessi visto fisicamente all'opera, disabilitandomi UAC etc...
Aggiunto Virscan nei preferiti, thx
Quindi mi consigli un firewall attivo, che ne pensi di Comodo Internet Security? Sembra free e all inclusive.

[xcdegasp]

è ottimo ma solo se disabiliti il suo antivirus quindi lo usi in accoppiata con altro antivirus..

poi però a mio avviso ti manca ancora qulcos'altro perchè a-squared è solo ondemand e in realtime a<vresti solo avira come scansioni. aggiungi prevx in versione free così quello che non identiica avira lo dovrevve vedere prevx.

potresti ppubblicare un log di avira per capire come lo hai settato? credo che tu non abbia abilitato la scansione all'avvio dei rootkit

[psychok9]

Grazie!
Quindi mi consiglieresti Avira + PrevX (tempo reale) + Scanner A-Squared + Comodo come firewall?
Prev-X non sembra funzionare in tempo reale, mi richiede una licenza da 30$.
La scansione rootkit era attiva ma non rilevava nulla.

[Kekkul]

psychok9, ho acquistato un DELL studio 1749, io adesso sono negli Stati Uniti e sto seguendo la discussione, che mi aiuta a capire che antivirus installare per crearmi una protezione quanto piu' possibile efficace contro questi attacchi virali....Comunque bando alle ciancie per ora ho installato AVG free e Ccleaner, che cosa devo installare ancora?

[Chill-Out]

Quote:

Originariamente inviato da Kekkul

psychok9, ho acquistato un DELL studio 1749, io adesso sono negli Stati Uniti e sto seguendo la discussione, che mi aiuta a capire che antivirus installare per crearmi una protezione quanto piu' possibile efficace contro questi attacchi virali....Comunque bando alle ciancie per ora ho installato AVG free e Ccleaner, che cosa devo installare ancora?

3D dedicato

http://www.hwupgrade.it/forum/showthread.php?t=2011681