[win XP] infostealer.wowcraft - aiuto per favore

[Etex]

Quote:

Originariamente inviato da Chill-Out

Salva il file sul Desktop in allegato



trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

seguito la procedura e allego log

il riavvio è stato manuale (informazione inutile, ma tanto che ci sono la metto )

grazie

aspetto l'esito

[Etex]

un aggiornamento:

-ho provato a far partire il tool di kaspersky ma di nuovo non si installa

-ho provato a cliccare sull'icona a forma di occhio del programma in barra d'avvio "System Control Manager", di cui qualche post sopra, ed è venuta fuori una barra di controllo del brightness dell'LCD. Ho fatto una ricerca con google ed effettivamente un programma con questo nome (scm system control manager) esiste. Non me ne ero mai accorto prima però

Che ne pensate? E' genuino o tarocco?

[Riverside]

Quote:

Originariamente inviato da Etex

d'avvio "System Control Manager", di cui qualche post sopra, ed è venuta fuori una barra di controllo del brightness dell'LCD. Ho fatto una ricerca con google ed effettivamente un programma con questo nome (scm system control manager) esiste. Non me ne ero mai accorto prima però che ne pensate? E' genuino o tarocco?

Me ne ero accorto oggi ed avevo anche provato, velocemente una ricerca e ho trovato poco o nulla.
Il fatto è, che sono nelle curve oggi: tra un buco e l'altro durante la giornata, ho formattato il notebook per segare Vista ed installare XP Pro ed ora sto scaricando tutti i driver perché in fase di installazione, non me li ha trovati
Appena ho un attimo di tempo, cerco con maggiore cura.

[Chill-Out]

Quote:

Originariamente inviato da Etex

seguito la procedura e allego log

il riavvio è stato manuale (informazione inutile, ma tanto che ci sono la metto )

grazie

aspetto l'esito

esito negativo

[lancetta]

a questo punto direi di procedere a manina:

start esegui digita regedit

e naviga in HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

e cancella le cartelle {1793d720-a1ae-11dc-a1bd-0011097b3138}
e quest'altra {aa303860-f046-11d9-af31-0011097b3138}

con destro sulla cartella da eliminare seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina.

[Etex]

Quote:

Originariamente inviato da Riverside

Me ne ero accorto oggi ed avevo anche provato, velocemente una ricerca e ho trovato poco o nulla.
Il fatto è, che sono nelle curve oggi: tra un buco e l'altro durante la giornata, ho formattato il notebook per segare Vista ed installare XP Pro ed ora sto scaricando tutti i driver perché in fase di installazione, non me li ha trovati
Appena ho un attimo di tempo, cerco con maggiore cura.

Non sono uno di quelli che pensano "mal comune mezzo gaudio" anzi, mi spiace che anche i Pro debbano soffire per installare un cavolo di sistema operativo

A quanto pare Vista poi è stato proprio un successone

Grazie comunque

Quote:

Originariamente inviato da Chill-Out

esito negativo

Grazie per il tentativo

tra l'altro tanto che c'ero gli ho fatto fare un altro giro con superantispyware e ha trovato di nuovo quel figlio di Priamo di un "Glotka" in 11 posizioni (e non sto parlando del kamasutra )

visto che ce l'ho, allego il log

a domattina; buona notte

EDIT: @Lancetta: post in contemporanea; provo subito

[Etex]

Quote:

Originariamente inviato da lancetta

a questo punto direi di procedere a manina:

start esegui digita regedit

e naviga in HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

e cancella le cartelle {1793d720-a1ae-11dc-a1bd-0011097b3138}
e quest'altra {aa303860-f046-11d9-af31-0011097b3138}

con destro sulla cartella da eliminare seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina.

quelle cartelle non ci sono

c'è in effetti una chiave in HKey_LOCAL_MACHINE\SYSTEM\MountedDevices : \??\Volume{1793d720-a1ae-11dc-a1bd-0011097b3138} e una \??\Volume{aa303860-f046-11d9-af31-0011097b3138} ma quelle cartelle che dicevi non ci sono. Sarà stato Superantispyware quando ho messo in quarantena il Trojan??

ora purtroppo devo scappare

ma domattina eseguirò i suggerimenti che mi vorrete lasciare

Buonanotte

[lancetta]

Quote:

Originariamente inviato da Etex

quelle cartelle non ci sono

c'è in effetti una chiave in HKey_LOCAL_MACHINE\SYSTEM\MountedDevices : \??\Volume{1793d720-a1ae-11dc-a1bd-0011097b3138} e una \??\Volume{aa303860-f046-11d9-af31-0011097b3138} ma quelle cartelle che dicevi non ci sono. Sarà stato Superantispyware quando ho messo in quarantena il Trojan??

ora purtroppo devo scappare

ma domattina eseguirò i suggerimenti che mi vorrete lasciare

Buonanotte

doppio clic sulla cartella e leggi i valori a dx (doppio clic anche sui valori se necessario) vedi se corrisponde ad UFO.exe
non toccare/cancellare nulla per adesso

Edit: Superantispy ha cancellato altro....

[Chill-Out]

e no ci devono pur essere

[Etex]

Eccomi.

Quote:

Originariamente inviato da lancetta

doppio clic sulla cartella e leggi i valori a dx (doppio clic anche sui valori se necessario) vedi se corrisponde ad UFO.exe
non toccare/cancellare nulla per adesso

Edit: Superantispy ha cancellato altro....

ho fatto doppio clic sul valore; si è aperta la finestra "modifica valore binario"; nella parte più a destra riporta una colonna di valori che inizia con
\.?.?.\.
S.T.O.R.
A.G.E.#.
R.e.m.o.
v.a.b.l.
e.M.e.d.
i.a.#.7.

etcetc; non ho letto la parola UFO.exe

la stessa cosa per l'altra chiave.

Quote:

Originariamente inviato da Chill-Out

e no ci devono pur essere

Sono andato a vedere nella cartella di registro indicata da Lancetta

Codice:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

ma lì quelle sottocartelle non ci sono

ho provato a vedere se magari fossero altrove facendo una ricerca automatica con la funzione "Trova" nel registro e ha trovato i valori (non cartelle quindi) che ho indicato nel post precedente nella cartella HKey_LOCAL_MACHINE\SYSTEM\MountedDevices

[lancetta]

Quote:

Originariamente inviato da Etex

Eccomi.



ho fatto doppio clic sul valore; si è aperta la finestra "modifica valore binario"; nella parte più a destra riporta una colonna di valori che inizia con
\.?.?.\.
S.T.O.R.
A.G.E.#.
R.e.m.o.
v.a.b.l.
e.M.e.d.
i.a.#.7.

etcetc; non ho letto la parola UFO.exe

la stessa cosa per l'altra chiave.



Sono andato a vedere nella cartella di registro indicata da Lancetta

Codice:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

ma lì quelle sottocartelle non ci sono

ho provato a vedere se magari fossero altrove facendo una ricerca automatica con la funzione "Trova" nel registro e ha trovato i valori (non cartelle quindi) che ho indicato nel post precedente nella cartella HKey_LOCAL_MACHINE\SYSTEM\MountedDevices

mah? è strano.....senti mi fai una scansione con prevxCSI prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà

[Etex]

Quote:

Originariamente inviato da lancetta

mah? è strano.....senti mi fai una scansione con prevxCSI prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà

mi sono fatto coraggio e mi sono messo online col muletto

PrevX ne ha trovato uno, mi pare nuovo

Ti allego il log

EDIT: ero sicuro di averlo allegato, non avevo notato la dimensione del file

ecco il link a zshare: log PrevX

[Chill-Out]

Fai analizzare questa su www.virustotal.com
C:\WINDOWS\system32\IppPortMonitor.dll

Poi fai girare questo tool
http://download.sergiwa.com/security/PRT.exe

[Etex]

Quote:

Originariamente inviato da Chill-Out

Fai analizzare questa su www.virustotal.com
C:\WINDOWS\system32\IppPortMonitor.dll

Poi fai girare questo tool
http://download.sergiwa.com/security/PRT.exe

-L'esito di Virus Total è stato di 1/32: solo PrevX l'ha visto come virus

ti servono le info aggiuntive che ha messo sotto gli esiti delle scansioni?

-Ho eseguito il tool in safe mod come indicato dal programma stesso;
in pratica ho cliccato su "remove" e ha impiegato una frazione di secondo. Poi ha detto che il sistema era pulito e di riavviare subito; ho riavviato.

Ti servono logs? (HijackThis, etc)

[Chill-Out]

Quote:

Ti servono logs? (HijackThis, etc)

Si

[Etex]

ecco il log di HijackThis

fammi sapere se ne servono altri (e quali )

[lancetta]

Il log sembra pulito....nod si riesce ad installare?

[Etex]

Bentornato ho letto delle tue disavventure di oggi col forum

Quote:

Originariamente inviato da lancetta

Il log sembra pulito....nod si riesce ad installare?

Ho provato ora e... novità: l'installazione parte (prima le installazioni non partivano nemmeno)

ma mi da errore: (501) errore nell'installazione di uno specifico componente NOD32MOD_WINNT_ITALIAN_INET

[lancetta]

Quote:

Originariamente inviato da Etex

Bentornato ho letto delle tue disavventure di oggi col forum



Ho provato ora e... novità: l'installazione parte (prima le installazioni non partivano nemmeno)

ma mi da errore: (501) errore nell'installazione di uno specifico componente NOD32MOD_WINNT_ITALIAN_INET

e si in effetti non si apriva il forum e qualche altro sito ore sembra tutto a posto....allora spetta un attimo....

[lancetta]

sembra che sia un problema del modulo imon che non si è installato/disinstallato completamente