Possibile trojan

[Axios2006]

Salve a tutti.
dopo aver eseguito un setup.exe
mi sono comparsi i seguenti file e chiavi di registro
xxx.xxx e uuu.uuu in temp
C:\Program Files\flash\flash.exe

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-3240240128-1729024375-1018876908-1000\Software\noobs]
"FirstExecution"=hex(2):31,00,33,00,2f,00,30,00,37,00,2f,00,32,00,30,00,31,00,\
30,00,20,00,2d,00,2d,00,20,00,31,00,37,00,3a,00,34,00,33,00,00,00
"NewIdentification"=hex(2):6e,00,6f,00,6f,00,62,00,73,00,00,00

Da google pare un trojan, NIS 2010 nn rileva nulla, che fare????

Grazie in anticipo per le risposte...

[Chill-Out]

Tutto dipende dalla natura del setup.exe ed in funzione dello stesso:

segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[Axios2006]

Grazie per la tempestiva risposta. Ho scaricato mbam ma spunta questo messaggio MBAM_ERROR_UPDATING
(12150, 0, WinHttpQueryHeaders) ho cercato su google ma nessuna soluzione funziona. Può essere che il trojan ha bloccato mbam???

[Chill-Out]

Quote:

Originariamente inviato da Axios2006

Grazie per la tempestiva risposta. Ho scaricato mbam ma spunta questo messaggio MBAM_ERROR_UPDATING
(12150, 0, WinHttpQueryHeaders) ho cercato su google ma nessuna soluzione funziona. Può essere che il trojan ha bloccato mbam???

Aggiorna manualmente il DB http://mbam.malwarebytes.org/database/mbam-rules.exe

[Axios2006]

Aggiornato.
Sto ancora eseguendo le scansioni.
Mi sa che però ho combinato un piccolo pasticcio: preso dal panico ho cancellato manualmente questi files prima di scaricare mbam

c:\Program Files\flash\flash.exe

C:\Users\Alessandro\AppData\Local\Temp\uuu.uuu

C:\Users\Alessandro\AppData\Local\Temp\xxx.xxx

C:\Users\Alessandro\AppData\Roaming\logs.dat

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-3240240128-1729024375-1018876908-1000\Software\noobs]
"FirstExecution"=hex(2):31,00,33,00,2f,00,30,00,37,00,2f,00,32,00,30,00,31,00,\
30,00,20,00,2d,00,2d,00,20,00,31,00,37,00,3a,00,34,00,33,00,00,00
"NewIdentification"=hex(2):6e,00,6f,00,6f,00,62,00,73,00,00,00

Da google sembrano proprio virus e manco tanto recenti....

Come cavolo ha fatto Norton a mancarli???

Appena finisco le scansioni posto i log.

[Axios2006]

Ho esaminato tutto il pc con mbam (5 ore!!!!)
Non ha trovato niente. Quindi devo dedurre che i file da me cancellati erano tutti quelli infetti.

Come posso sapere se oltre ad avere creato quei file da me eliminati ne ha modificati altri?
Può essere sfuggito qualcosa a mbam?
Tipo un rootkit??
E' consiliabile rifare la scansione in modalità provvisoria??

Grazie in anticipo per le risposte.

Ora prendo il setup.exe incriminato e lo invio a virustotal, threatexpert e symantec.

[Axios2006]

http://www.virustotal.com/it/analisi...7fb-1279059612
http://www.threatexpert.com/report.a...1dca83c72c5c56
Infezione trovata....
Come determinare se ha creato danni??

[Chill-Out]

Quote:

Originariamente inviato da Axios2006

Ho esaminato tutto il pc con mbam (5 ore!!!!)
Non ha trovato niente. Quindi devo dedurre che i file da me cancellati erano tutti quelli infetti.

Come posso sapere se oltre ad avere creato quei file da me eliminati ne ha modificati altri?
Può essere sfuggito qualcosa a mbam?
Tipo un rootkit??
E' consiliabile rifare la scansione in modalità provvisoria??

Grazie in anticipo per le risposte.

Ora prendo il setup.exe incriminato e lo invio a virustotal, threatexpert e symantec.

Dal log di MBAM si evince che il DB delle firme virali non è aggiornato

Quote:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4125

Quote:

Originariamente inviato da Axios2006

Infezione trovata....
Come determinare se ha creato danni??

http://www.hwupgrade.it/forum/showpo...42&postcount=2


PS: controllando l'analisi del file su ThreatExpert nutro grossi dubbi sulla provenienza di quel setup (come detto in precedenza) suggerisco pertanto una bella lettura del Regolamento del Forum.

Inoltre

Quote:

Originariamente inviato da Axios2006

Da google pare un trojan, NIS 2010 nn rileva nulla, che fare????

Grazie in anticipo per le risposte...

Non è vero il NIS al controllo ti ha restituito un bel

Quote:

Symantec reputation: Suspicious.Insight http://www.symantec.com/security_res...021223-0550-99

[Axios2006]

Spiego la situazione:
mio fratello di 13 anni ha ricevuto un'email da un suo amico e l'ha aperta senza dirmi niente. Mi sono accorto del casino solo dopo.
Non uso programmi piratati altrimenti non avrei manco postato.
So bene che non siete tenuti a credermi ma non ho prove da fornirvi.

Riguardo mbam ero convinto che le definizioni si fossero aggiornate eseguendo il file scaricato dal link che mi era stato consigliato. Ora proverò a riaggiornarlo.

Comunque il log di Norton non segnava nulla. Non so che pensare.

PS: se pensate che io menta e pirati il sw chiudete pure. Più che la mia parola d'onore non altre prove da fornire.

[Chill-Out]

Quote:

Originariamente inviato da Axios2006

Spiego la situazione:
mio fratello di 13 anni ha ricevuto un'email da un suo amico e l'ha aperta senza dirmi niente. Mi sono accorto del casino solo dopo.
Non uso programmi piratati altrimenti non avrei manco postato.
So bene che non siete tenuti a credermi ma non ho prove da fornirvi.

Riguardo mbam ero convinto che le definizioni si fossero aggiornate eseguendo il file scaricato dal link che mi era stato consigliato. Ora proverò a riaggiornarlo.

Comunque il log di Norton non segnava nulla. Non so che pensare.

PS: se pensate che io menta e pirati il sw chiudete pure. Più che la mia parola d'onore non altre prove da fornire.

Dal momento che ho il ragionevole dubbio che le cose siano andate diversamente da come le descrivi, chiudo la discussione.