File sospetto: "Accesso"

[ciappy]

Mia sorella mi ha regalato questa dolce novità: un collegamento sul desktop dal nome Accesso (icona tipo un pianeta blu) ad un file nascosto nella cartella
"C:\Documents and Settings\Davide\Impostazioni locali\Temp\skpkfmod.exe" Sea
Così compare. Inoltre si cre un alro file nella cartella C:\Documents and Settings\Davide sempre applicazione, stessa icona, non nascosto, dal nome zqlmkphs
Se ne generano così diversi sempre con questi nomi tutti strani all'apparizione di una finestra: "Vuoi connetterti ancora? sì no"
Inoltre ha cambiato la pagina iniziale per passarla a add-hhh.info.
Ho installato antivir, adaware, spybot, norton security scan.....ma nessun risultato!!!Ho anche fatto scansioni online con bitdefender e symantec.....cosa fare????????????????????

[deneb87]

ciao

per prima cosa leggi (e non solo leggere) la mia firma dove troverai il link a due discussioni in rilievo: le regole di sezione e la guida alla disinfezione.

segui attentamente quelle due guide, salva i log, quindi allegali alla discussione.

modalità di pubblicazione per i log di dimensione inferiore a 20kb ed in formato txt: utilizza la funzione allegati del forum,
per log di dimensioni maggiori, hostali su www.fileup.itadib.com

inoltre, prima di cominciare, guarda se questo è il tuo problema:
http://www.hwupgrade.it/forum/showthread.php?t=1651594

se fosse quello, continua la discussione in quel thread, e questo verrà chiuso in quanto doppione

ciao

[Riverside]

Quote:

Originariamente inviato da deneb87

inoltre, prima di cominciare, guarda se questo è il tuo problema:
http://www.hwupgrade.it/forum/showthread.php?t=1651594
se fosse quello, continua la discussione in quel thread

Se non è quello .... quasi; quindi è giusto che continui la discussione li.

[ciappy]

Ragazzi ho provato con quel metodo, ma FindAWF ha creato questo txt:


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Non compare nulla......a sto punto qual'è il problema???

[murack83pa]

segui la guida alla disinfezione che ti era stata all'inizio linkata da deneb

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download

ciao

[Riverside]

edit **

[HyperTHRD]

COSA FA QUESTO DIALER:
Quando ci si collega ad un sito internet, da questo parte una connessione a un sito tipo ...add-ppp.info che richiede di installare un programma java 'certificato' dalla 'Base Actvitied Limited' che ne è anche l'autore.
Se accetti, installa questo programma che poi, ogni volta che rientri nel sito incriminato, ricrea il DIALER.

Procedura per eliminarlo:
Pannello di controllo/Java/Generale, in basso a destra Visualizza e rimuovete tutti i file (basterebbero solo i Java.jar).
Fatto ciò, cliccate sul menu Protezione, Certificati ed eliminate il certicato della Base Actvitied Limited.
Non è ancora finita! Eliminate tutti Cookies del vostro browser e nella voce pop-up rimuovete fra i siti consentiti i siti che vi hanno installato il dialer.
Ultimo passaggio, eliminare il dialer sotto forma di file .exe che risiede nella cartella del vostro sistema operativo

in bocca al lupo, ciao

[holsen1982]

Ciao a tutti..ho deciso di postare qui il mio problema,non essendo sicuro che si tratti del famoso "dialer internet connection"..innanzitutto un pò di premesse..ho cercato(come tutte le altre volte)di seguire la guida minuziosamente..l'unica cosa( e ne sarei grato chi mi spegasse il relativo funzionamento)che non son riuscito a capire è stato il parser log..perciò,ahimè, vi allegherò i log di dr.web e kaspersky cosi come sono..in attesa di vostre risposte,procedo con la fase finale della guida..un ringraziamento a chi mi si dedicherà..con pazienza!

[holsen1982]

come mai il num massimo di file che si può caricare con"gestisci allegati" è di 1 solo?

[xcdegasp]

cpntrolla d'aver fatto la pulizia con atf-cleaner (a browser chiuso) e poi prosegui con la guida

[holsen1982]

son sicurissimo di ave fatto a browser chiuso l'atf cleaner..la mia domanda era come mai non riesco a caricare più di un allegato per discussione..posso caricarli con fileqube.com?

[Gle89]

Quote:

Originariamente inviato da holsen1982

la mia domanda era come mai non riesco a caricare più di un allegato per discussione

Non è che puoi caricarne solo uno ma puoi caricare solo fino a 24.4 KB per ogni estensione (24.4 KB in totale per i txt, 24.4 KB per i jpg e cosi via)

Quote:

Originariamente inviato da holsen1982

posso caricarli con fileqube.com?

Beh veramente è la cosa più gradita , dato che è scritto anche nelle regole di sezione che tu dovresti già aver dovuto leggere... Ecco qua il link:http://www.hwupgrade.it/forum/showthread.php?t=1751598

[holsen1982]

ok..li metto in ordine come la guida:
malwarebytes:http://www.fileqube.com/shared/UXaGh86935
a-squared free:http://www.fileqube.com/shared/hqMsAo86936
kaspersky:http://www.hwupgrade.helloweb.eu/Par...5786761803.txt
dr.web:http://www.hwupgrade.helloweb.eu/Par...3267933821.txt
eset:http://www.fileqube.com/shared/eFkglpixj86937
hijackthis:http://www.fileqube.com/shared/nGzwHGZP86938
gmer(log + immagini):http://www.fileqube.com/shared/AaypgYd86939
http://www.fileqube.com/shared/QRTQk86940
http://www.fileqube.com/shared/UKSYu86941
prevx(log + immagini):http://www.fileqube.com/shared/YJAfqAa86942
http://www.fileqube.com/shared/anvqyr86943

spero di aver fatto una cosa ordinata...

[xcdegasp]

kaspersky riporta "not disinfected postponed" e "not disinfected skipped by user" sicuro d'avergli dato l'azione corretta da svolgere sui file indiviati?

altrettanto sicuro d'aver svolto la pulizia correttamente con atf-cleaner? questi file sono dei temporanei che avrebbe rimosso atf-cleaner se impostato appunto come indicato nella guida...

il problema è che se non fai le cose bene poi non riuscamo a risolvere..

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://controlpage.info/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: LG Sync Manager.lnk = ?
O4 - Global Startup: LG SyncManager.lnk = ?
O20 - AppInit_DLLs:

HiJackThis non cacella nulla fisicamente, stoppa solo activeX, servizi ed esecuzioni automatice quindi tutti i programmi continueranno a funzionare regolarmente, già che c'ero ti ho fatto stoppare delle esecuzioni automatiche inutili che occupavano cpu e memoria.
Poi vai a questo link http://secunia.com/software_inspector/ e attivando la casellina scansiona online il tuo pc, afine scansione ti indicherà tutto il software obsoleto e criticvo che è installato nel tuo pc.
Tra questi ci sarà sicuramente AcrobatReader che puoi sostituire con il meno pericoloso (per la sicurezza del pc perchè molto meno oggetto di attenzione) e più prestante e sempregratuito FoxitReader e la java.
Per quanto riguarda la java ricordati dopo aver installato la nuova versione di disinstallare tutte le precedenti perchè non vanno in sovrascrittura


Gmer ha individuato un rootkit:

Quote:

Service C:\Programmi\NVIDIA (*** hidden *** ) [AUTO] nTuneService <-- ROOTKIT !!!

PrevxCSI:

Codice:

C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe	InMem: 0	Det [u]	PX5: F954B4570045ADDFE98414B30C7387015809EE0D

C:\Programmi\vnlt6205.exe	InMem: 0	Det [u]	PX5: 630526A800CD52F2FC6720648830AA00865F644F

C:\ARWizard3\ARWizard3.exe	InMem: 0	Det [BP]	PX5: 5C48F4F479CDD2313F1E1E5DBE59030019464893	Malware Group: Malicious Software

Summary:
C:\ARWizard3\ARWizard3.exe - [b] >> Malicious Software (PX5: 5C48F4F479CDD2313F1E1E5DBE59030019464893)

questi tre file:
C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe
C:\Programmi\vnlt6205.exe
C:\ARWizard3\ARWizard3.exe
potresti farli analizzare su http://virscan.org/ e http://www.virustotal.com/ ?
basta che a fine di ogni scansione copi l'url mostrato nel browser qui sul forum

[holsen1982]

Quote:

Originariamente inviato da xcdegasp

kaspersky riporta "not disinfected postponed" e "not disinfected skipped by user" sicuro d'avergli dato l'azione corretta da svolgere sui file indiviati?

altrettanto sicuro d'aver svolto la pulizia correttamente con atf-cleaner? questi file sono dei temporanei che avrebbe rimosso atf-cleaner se impostato appunto come indicato nella guida...

il problema è che se non fai le cose bene poi non riuscamo a risolvere..

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://controlpage.info/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: LG Sync Manager.lnk = ?
O4 - Global Startup: LG SyncManager.lnk = ?
O20 - AppInit_DLLs:

HiJackThis non cacella nulla fisicamente, stoppa solo activeX, servizi ed esecuzioni automatice quindi tutti i programmi continueranno a funzionare regolarmente, già che c'ero ti ho fatto stoppare delle esecuzioni automatiche inutili che occupavano cpu e memoria.
Poi vai a questo link http://secunia.com/software_inspector/ e attivando la casellina scansiona online il tuo pc, afine scansione ti indicherà tutto il software obsoleto e criticvo che è installato nel tuo pc.
Tra questi ci sarà sicuramente AcrobatReader che puoi sostituire con il meno pericoloso (per la sicurezza del pc perchè molto meno oggetto di attenzione) e più prestante e sempregratuito FoxitReader e la java.
Per quanto riguarda la java ricordati dopo aver installato la nuova versione di disinstallare tutte le precedenti perchè non vanno in sovrascrittura


Gmer ha individuato un rootkit:



PrevxCSI:

Codice:

C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe	InMem: 0	Det [u]	PX5: F954B4570045ADDFE98414B30C7387015809EE0D

C:\Programmi\vnlt6205.exe	InMem: 0	Det [u]	PX5: 630526A800CD52F2FC6720648830AA00865F644F

C:\ARWizard3\ARWizard3.exe	InMem: 0	Det [BP]	PX5: 5C48F4F479CDD2313F1E1E5DBE59030019464893	Malware Group: Malicious Software

Summary:
C:\ARWizard3\ARWizard3.exe - [b] >> Malicious Software (PX5: 5C48F4F479CDD2313F1E1E5DBE59030019464893)

questi tre file:
C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe
C:\Programmi\vnlt6205.exe
C:\ARWizard3\ARWizard3.exe
potresti farli analizzare su http://virscan.org/ e http://www.virustotal.com/ ?
basta che a fine di ogni scansione copi l'url mostrato nel browser qui sul forum

se vuoi rifaccio tutta la procedura,ma a me sembra di ave fatto tutto passo x passo(c'ho messo 1 giornata intiera a far tutto)..dimmi te..se vuoi,riparto da capo..

[xcdegasp]

rifai solo atf-cleaner e kaspersky-tool dando il comando "elimina"
oltre a seguire i consigli che ti avevo dato nel precedente messaggio tra cui anche:
questi tre file:
C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe
C:\Programmi\vnlt6205.exe
C:\ARWizard3\ARWizard3.exe
potresti farli analizzare su http://virscan.org/ e http://www.virustotal.com/ ?
basta che a fine di ogni scansione copi l'url mostrato nel browser qui sul forum

[holsen1982]

Quote:

Originariamente inviato da xcdegasp

rifai solo atf-cleaner e kaspersky-tool dando il comando "elimina"
oltre a seguire i consigli che ti avevo dato nel precedente messaggio tra cui anche:
questi tre file:
C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe
C:\Programmi\vnlt6205.exe
C:\ARWizard3\ARWizard3.exe
potresti farli analizzare su http://virscan.org/ e http://www.virustotal.com/ ?
basta che a fine di ogni scansione copi l'url mostrato nel browser qui sul forum

perfetto..non mi azzardo dire che ho fatto tutto giusto,ma c'ho messo il massimo impegno ad eseguire in maniera minuziosa e cronologica tutti i tuoi consigli ..ti elenco le azioni passo x passo:

atf cleaner:ho seguito quello che c'era scritto nella guida alla disinfezione per infetti,tant'è che,se non erro,il programma chiede se sei sicuro di eliminare anche le password salvate ed io ho acconsentito...

kaspersky:l'altra volta avevo seguito ed eseguito come descritto in questa guida:http://www.hwupgrade.it/forum/showthread.php?t=1631690...
questa volta ho fatto il flag su tutto e non ho trovato niente.
Comunque,se è necessario,ho salvato il log.

hijackthis:l'ho rieseguito con la funzione "do a system scan only" e di conseguenza ho fixato le voci da te suggeritemi...tra queste,unica voce non presente all'appello questa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
le altre le ho fixate...

adobe:disinstallato e riavviato il sistema.installazione foxitreader.

java:installazione ultima versione e disinstallazione versioni precedenti.

gmer:mi hai segnalato quel rootkit..devo fare qualcosa?e queste voci in questa immagine a cosa corrispondono allora?
http://www.fileqube.com/shared/QRTQk86940

prevx csi:sui 3 file,con virscan.org si bloccano tutti(eccetto 1 per la grandezza sopra i 10 mb)durante la fase di upload..
questi i risultati con virus total.com:
C:\Programmi\CFP_Setup_3.0.22.349_XP_Vista_x32.exe:http://www.virustotal.com/it/analisi...6d9d5f34d49fda
C:\Programmi\vnlt6205.exe:http://www.virustotal.com/it/analisi...e8e771fd3e68e2
C:\ARWizard3\ARWizard3.exe:http://www.virustotal.com/it/analisi...07b6a6e8b4a1e3

[xcdegasp]

allora, questo C:\ARWizard3\ARWizard3.exe mettilo nella quarantena del tuo antivirus, poi agendo sempre dall'antivirus spediscilo per l'analisi

per gmer se puoi allegarmi il log nuovamente vediamo cosa è successo e come procedere

sei stato incontrovertibile eminuzioso, ottima descrizione

[holsen1982]

ciao..son riuscito a metterlo nella quarantena(ho avira)con la funzione "add suspicious file to quarantine"..poi ho fatto tasto destro e "send object"..a quel punto ho seguito la famosa guida di juninho,riguardante la impostazione email:

"Opzione utile nel caso in cui vorrremo inviare qualche file da esaminare ai ricercatori di avira.
Impotizziamo che abbiate un account con virgilio,nel box SMTP server (1)dovrete inserire il server in uscita della vostra casella mail,dunque out.virgilio.it;il vostro indirizzo su "sender address",mentre il box sottostante dovrà essere compilato con i vostri nomi utenti e password.
N.B:questa funzione è utilizzabile soltanto per gli account la cui autorizzazione non si appoggi sul protocollo TLS(gmail per esempio NON può essere utilizzato)."

ma sinceramente ho avuto esito negativo,nel senso che mi è arrivata una mail di prova sulla mia casella e basta..allora son passato alla guida di sopravvivenza e ho seguito questo:

"D:Voglio inviare un file ad Avira in quanto credo che sia infetto ma l'antivirus non lo rileva come tale,come devo fare?
R:Potete inviare via mail il file in questione compilando questo form,facendo attenzione a selezionare la voce "Suspicious File (Suspected Malware)" affianco alla voce "File type" e infine selezionando il file inviando con "sfoglia" dunque "send" (accertarsi che il file non superi 8 Megabyte,eventualmente inviatelo compresso).
Riceverete istantaneamente una mail di conferma del carico corretto del sample in laboratorio e nel giro di 24 ore circa(tempi un pò più lunghi nel weekend)un'ulteriore mail dove vi viene indicato un link che aperto rivela la natura del file.
Se nonostante tutto gli analisti lo rilevano come pulito ("clean")ma voi siete sicuri che si tratti di un infezione potete re-inviarlo,compresso in formato ZIP, RAR, PKZip or Arj e attribuendo all'archivio la password "infected",all'indirizzo [email protected]."

Avendo messo il file già in quarantena,non mi da la possbilità di caricarlo..che faccio?

Gmer:il log ti allego quello vecchio,altrimenti,se dici,rifaccio la scansione e ti posto quello nuovo.eccolo:
http://www.fileqube.com/shared/AaypgYd86939

nel frattempo vorrei ringraziarti della tua disponibilità..

[xcdegasp]

rirpistinalo, me lo comprimi con una password e me lo spedisci in email che ti do in pvt
poi lo rimetti in quarantena.
al resto ci penso io