COMODO Internet Security

[andrea.ippo]

Ho beccato il bastardo:

/media/Disco locale/Documents and Settings/NetworkService/Impostazioni locali/Temporary Internet Files/Content.IE5/ODE34H6V

c'è una bella bitmap che GUARDA CASO non è un'immagine...Strano eh?

report
http://www.virustotal.com/it/analisi...1b7a19ca078a88

(file: ukbblazw[1].bmp)

EDIT: Cacchio l'ho cancellato
Dovevo inviarvi un sample vero?
Porca paletta mi scordo sempre, con i virus ho il SHIFT+CANC facile

EDIT2: vedo ora che è lo stesso file che ho uppato a cloutz e erreale tramite PM (o meglio, ho inviato il link)

[cloutz]

Grazie per il sample andrea..
Ho avviato la VM, il tempo di completare il setup di CIS e vedo di fare qualche test.

p.s.: ho visto che il file uppato è un file con estensione .qua, l'hai preso dalla quarantena di AntiVir?
non so se riesco a recuperarlo dall'estensione .qua

ad ogni modo vediamo

[andrea.ippo]

Quote:

Originariamente inviato da nV 25

mi faresti la cortesia di dirmi come è settato il tuo CIS? (dalla tray bar, tasto dx sull'icona di Comodo poi linguetta "D+ security level" & "Configuration")

Sarebbe interessante conoscere anche i settaggi di RunDll32.exe....

Grazie


EDIT:
se ne hai la possibilità, vorrei sapere anche il livello dell'Image Execution Control e se hai lasciato spuntata la voce "Trust applications digitally signed by Trusted Software Vendors"...

FW: Custom
D+: clean (non mi uccidete )

rundll32.exe:
custom policy
-access rights:
ask sul primo, su protected registry keys e su protected files/folders, Allow su tutto il resto
-protection settings: tutto su "No"

Image Execution Control è su Normal

Trust the Applications digitally signed ecc è spuntato

[andrea.ippo]

Quote:

Originariamente inviato da cloutz

Grazie per il sample andrea..
Ho avviato la VM, il tempo di completare il setup di CIS e vedo di fare qualche test.

p.s.: ho visto che il file uppato è un file con estensione .qua, l'hai preso dalla quarantena di AntiVir?
non so se riesco a recuperarlo dall'estensione .qua

ad ogni modo vediamo

scusa vado nel pallone

[andrea.ippo]

Mi sovviene una cosa:

può essere un problema il fatto che non faccio gli update di windows (sono fermo al SP3 di xp)?

Il fatto è che ogni volta che li installo ce n'è una, mi creano sempre problemi...

In fin dei conti non posso chiedere a un HIPS di pararmi anche dalle falle del SO giusto?
Però allora che faccio?

passo a Ubuntu, è la volta buona

[nV 25]

Quote:

Originariamente inviato da andrea.ippo

..passo a Ubuntu, è la volta buona

Se passi ad Ubuntu, che a questo punto mi sembra la cosa + saggia da fare specie se non giochi con il Pc, mi risparmierei diverse osservazioni sulla tua configurazione...

Buon Linux!

[cloutz]

andrea mi spiace ma non so come trattare i file di quarantena (ammesso che si possa, cosa di cui dubito )
ad ogni modo se riesci a recuperare il file bene, sennò non tirarti matto

mi dispiace per le tue sventure, cmq Linux è sempre meglio di niente, lì i virus sono molto rari per lo meno

Buon pomeriggio a tutti

[andrea.ippo]

Quote:

Originariamente inviato da nV 25

Se passi ad Ubuntu, che a questo punto mi sembra la cosa + saggia da fare specie se non giochi con il Pc, mi risparmierei diverse osservazioni sulla tua configurazione...

Buon Linux!

A parte quello in grassetto, il resto com'è?

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

andrea mi spiace ma non so come trattare i file di quarantena (ammesso che si possa, cosa di cui dubito )
ad ogni modo se riesci a recuperare il file bene, sennò non tirarti matto

mi dispiace per le tue sventure, cmq Linux è sempre meglio di niente, lì i virus sono molto rari per lo meno

Buon pomeriggio a tutti

Mai avuto un problema dall'uso dei 3 pc sotto Linux.....ormai è diverso tempo.
Ed 1 lo tengo apposta non aggiornato.......
Se pensate:

"Grazie li usi tu"

Niente di più errato !!

Uno è completamente "in balia" di mia figlia adolescente........

[andrea.ippo]

Il mio problema con Linux è che comunque mi mancano alcuni programmi di win a cui quasi non posso rinunciare e per cui i sostituti non mi soddisfano.
Comunque chiudo qui la parentesi Linux

/OT

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

A parte quello in grassetto, il resto com'è?

nV ti darà sicuramente consigli più approfonditi e ponderati..

il mio parere è:
-Image execution su Aggressive e lo imposti su "All Application"
-D+ in Paranoid mode, o almeno non in Clean
-Via la spunta ai Trusted Software vendors

Questi i settaggi principali, poi rundll32 anche io lo tengo come te (ed anche explorer.exe)..

Adesso però vado a memoria, in questo pc non ho CIS installato e non mi ricordo tutti i settaggi del D+

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

Mai avuto un problema dall'uso dei 3 pc sotto Linux.....ormai è diverso tempo.
Ed 1 lo tengo apposta non aggiornato.......
Se pensate:

"Grazie li usi tu"

Niente di più errato !!

Uno è completamente "in balia" di mia figlia adolescente........

rispondo per chiarezza e chiudo l'OT:

Era per dire che comunque bisogna stare attenti pure sotto Linux, perchè qualche virus, sebbene rarissimo, esiste...
poi solita storia delle connessioni, attenzione al firewall e attenzione alla privacy...

insomma non che siccome si è dietro Linux si può fare di tutto e di più
indubbiamente meglio di Win
/OT

[@Sirio@]

Quote:

Originariamente inviato da cloutz

andrea mi spiace ma non so come trattare i file di quarantena (ammesso che si possa, cosa di cui dubito )
ad ogni modo se riesci a recuperare il file bene, sennò non tirarti matto

mi dispiace per le tue sventure, cmq Linux è sempre meglio di niente, lì i virus sono molto rari per lo meno

Buon pomeriggio a tutti

Me lo puoi mandare per favore... vorrei provare anch'io.

Grazie

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Me lo puoi mandare per favore... vorrei provare anch'io.

Grazie

ti avevo risposto all'indirizzo con cui mi avevi scritto

adesso ti giro il pm e facciam prima, la mia posta è appurato che dà problemi

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

Mi sovviene una cosa:

può essere un problema il fatto che non faccio gli update di windows (sono fermo al SP3 di xp)?

Il fatto è che ogni volta che li installo ce n'è una, mi creano sempre problemi...

In fin dei conti non posso chiedere a un HIPS di pararmi anche dalle falle del SO giusto?
Però allora che faccio?

passo a Ubuntu, è la volta buona

Ciao Andrea,
ricordi per caso se hai avuto qualche avviso in merito?

Cmq non sei il solo: https://forums.comodo.com/italiano_i...2235#msg262235

[@Sirio@]

Quote:

Originariamente inviato da cloutz

ti avevo risposto all'indirizzo con cui mi avevi scritto

adesso ti giro il pm e facciam prima, la mia posta è appurato che dà problemi

Non ho ricontrollato la posta

Grazie ancora cloutz, l'ho appena scaricato, spero di riuscire a tirarlo fuori...

[cloutz]

temo non si possa fare nulla con i file .qua, serve per forza avcsl.exe che li ripristini nella posizione di partenza, infatti i file vengono modificati e vengono inserite informazioni riguardo il percorso originale ed il nome computer..

leggi questa discussione:
http://209.85.129.132/search?q=cache...&ct=clnk&gl=it

in particolare il post di forum1 (verso metà pagina3) in cui elenca 8 punti..

avevo provato, banalmente, a rinominarlo con estensione .exe e non me ne facevo nulla
peccato perchè CIS è vulnerabile a questo confliker..

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

Una chiavetta un paio di giorni fa...
Però lo strano è che questo messaggio era comparso, se ricordi, almeno una settimana fa (vado a memoria), quindi l'infezione era già presente...E allora non avevo attaccato ancora niente, salvo la mia pendrive che ho ripulito accuratamente con ubuntu, verso i primi di gennaio, quando presi l'infezione per la prima volta (nell'altro post dissi di essere stato una delle prime vittime della prima ondata di conficker).

Penso che questa sia una seconda ondata, perché la variante della prima creava uno script in RECYCLER mi pare (anche e soprattutto sulle pendrive), mentre ora i RECYCLER ce li ho puliti su tutte le partizioni (salvo un file INFO2, che ho visto essere relativo ai file spostati nel cestino) e anche sulle unità rimovibili (la mia pendrive + una SD sempre collegata).

Al contrario, l'infezione ora si trova appunto in C:\WINDOWS\system32\x

Ce l'ho, ricordi se era un exe?

[Roby_P]

Quote:

Originariamente inviato da cloutz

nV ti darà sicuramente consigli più approfonditi e ponderati..

il mio parere è:
-Image execution su Aggressive e lo imposti su "All Application"
-D+ in Paranoid mode, o almeno non in Clean
-Via la spunta ai Trusted Software vendors

Questi i settaggi principali, poi rundll32 anche io lo tengo come te (ed anche explorer.exe)..

Adesso però vado a memoria, in questo pc non ho CIS installato e non mi ricordo tutti i settaggi del D+

Ciao cloutz
magari mi sbaglio, ma io avevo capito che se sei in Paranoid Mode non tiene conto cmq della lista dei Trusted Software vendors, quindi io ho lasciato la spunta.

Ciao ciao

@ Andrea
Non è che il virus ce l'hai nell'immagine che continui a ripristinare?!?

[@Sirio@]

Quote:

Originariamente inviato da cloutz

temo non si possa fare nulla con i file .qua, serve per forza avcsl.exe che li ripristini nella posizione di partenza, infatti i file vengono modificati e vengono inserite informazioni riguardo il percorso originale ed il nome computer..

leggi questa discussione:
http://209.85.129.132/search?q=cache...&ct=clnk&gl=it

in particolare il post di forum1 (verso metà pagina3) in cui elenca 8 punti..

avevo provato, banalmente, a rinominarlo con estensione .exe e non me ne facevo nulla
peccato perchè CIS è vulnerabile a questo confliker..

Si... io l'ho decriptato però non so che estensione dargli.... provo con exe