virus variante win32/adware.agent

[fox18]

al punto 2 mi dice: impossibile visualizzare la pagina

[fox18]

non riesco a cancellarlo ancora! aiutatemi

[Chill-Out]

Quote:

Originariamente inviato da fox18

non riesco a cancellarlo ancora! aiutatemi

punto 2 http://www.symantec.com/content/it/i...s/FixVundo.exe
punto 3 http://secured2k.home.comcast.net/to...undoBeGone.exe da modalità provvisoria F8
poi ci sono altre cose da sistemare tipo aggiornamento SO, aggiornamento IE, firewall......

[lancetta]

in realtà stavolta elistara ha solo cancellato le voci aggiunte nel file host che erano messe lì apposta per non incappare nei siti in questione (puntavano in locale 127.0.0.1),il tool in questione riporta il file host allo stato originario senza distinzione....
Al contrario invece ha localizzato la dll malefica ma non è riuscito ad averci accesso....A questo punto prova in questi 2 modi....riscansione con elistara ma da provvisoria.. eppoi rifai gli scan con i vari vundofix ecc..

oppure scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL
C:\WINDOWS\system32\xxyxutt.dll

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente. e posta il log che ti rilascia in C:

[Chill-Out]

Quote:

in realtà stavolta elistara ha solo cancellato le voci aggiunte nel file host

sei sicuro?

[juninho85]

senti quanto ne vuoi per questo zip?!

[lancetta]

Quote:

Originariamente inviato da Chill-Out

sei sicuro?

Quote:

Originariamente inviato da fox18

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\XXYXUTT] -> C:\WINDOWS\SYSTEM32\xxyxutt.dll
[WinLogon\Notify\XXYXUTT]
Acceso Denegado al fichero
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL
Por favor, envienos una muestra del fichero
que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado

Questa è la parte del mancato accesso.......

Quote:

Originariamente inviato da fox18

Linea Eliminada del HOSTS --> 127.0.0.1 localmachine # ***Inserted By STOPzilla***

ecc....
e qui da quello che vedo punta al 127.0.0.1 in locale.....

[Chill-Out]

Mi riferivo solo a questa parte

Quote:

Originariamente inviato da fox18
Linea Eliminada del HOSTS --> 127.0.0.1 localmachine # ***Inserted By STOPzilla***

erano dove non dovevano essere?

[fox18]

questo è il risultato dopo aver usato AVENGER:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mgxwlfoa

*******************

Script file located at: \??\C:\mnsphvqi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\XXYXUTT.DLL deleted successfully.


File C:\WINDOWS\system32\xxyxutt.dll not found!
Deletion of file C:\WINDOWS\system32\xxyxutt.dll failed!

Could not process line:
C:\WINDOWS\system32\xxyxutt.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[fox18]

comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?

[Riverside]

Quote:

Originariamente inviato da fox18

comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

ESET ADS REVEALER: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS (solo se la partizione è NTFS, se fosse FAT32, non serve)

Al termine, posta un nuovo log di Hthis

[lancetta]

Quote:

Originariamente inviato da Chill-Out

Mi riferivo solo a questa parte



erano dove non dovevano essere?

Al contrario..diciamo che erano dove dovevano essere....mi spiego:
Se nel file host aggiungi il nome a dominio di hwupgrade ad esempio,e lo fai puntare all'indirizzo ip locale del pc (127.0.01) succederà che il forum diventerà irrangiugibile,questo perchè la ricerca quando digiti un indirizzo nel browser avviene prima nel file host che funziona come una specie di rubrica e se non lo trova lì in seguito in rete.Però trovando il nome di dominio che cerchi e puntando all'indirizzo locale,il browser crederà di aver raggiunto il sito,ma in realta si è solo collegato al pc stesso....questa la spiegazione in soldoni....e semplificata al massimo.
Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....

Quote:

Originariamente inviato da fox18

comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?

Con avenger abbiamo sradicato la dll responsabile del riformarsi del malware...oltre gli ottimi consigli del socio...Riverside,ti consiglierei comunque di rifare le scansioni che ti diceva Chill-Out prima,ovvero i tool vundofix e compagnia bella..per essere sicuri che non ci sia traccia rimasta ed anche un altro giro con Elistara.......alla fine di tutto un nuovo log di hijackthis.

Saluti

[fox18]

grazie per l'aiuto. Ho un altro problema però: ogni tanto quando sono collegato a internet mi appaiono pagine pubblicitarie, come posso toglierle?

[lancetta]

Quote:

Originariamente inviato da fox18

grazie per l'aiuto. Ho un altro problema però: ogni tanto quando sono collegato a internet mi appaiono pagine pubblicitarie, come posso toglierle?

hai rifatto le scansioni....??? perchè dovresti ripostare i log

[BEY0ND]

piccolo ot:
quando river dice di svuotare prefecth intende anche il file "layout.ini"?
grazie
fine ot

[xcdegasp]

Quote:

Originariamente inviato da BEY0ND

piccolo ot:
quando river dice di svuotare prefecth intende anche il file "layout.ini"?
grazie
fine ot

tutto tutto,nessuno escluso!
nella prefetch non c'è nulla di utile e usato.

[Riverside]

Quote:

Originariamente inviato da BEY0ND

quando river dice di svuotare prefecth intende anche il file "layout.ini"?

Teoricamente sarebbe consigliabile non rimuoverlo; in realtà, una volta rimosso, si ricrea da solo.
In ogni caso, per ripristinare il layout.ini:
● Start
● Esegui
● nella finestra di comando copia e incolla: Rundll32.exe advapi32.dll,ProcessIdleTasks
● Ok
Inoltre, il Prefetch si può modificare o disattivare accedendo al Registro di sistema, seguendo questo percorso:
● Hkey Local Machine
● System
● Current Control Set
● Control
● Session Manager
● Memory Management
Prefetch Parameters
lo stato è rilevabile alla voce Enable Prefetcher ed i valori possibili da applicare sono:
0 funzione inattiva
1 Prefetch solo per applicazioni
2 Prefetch solo per il boot
3 Prefetch per le applicazioni e per il boot

[BEY0ND]

grazie per l'info picciotti

[Chill-Out]

Quote:

Originariamente inviato da lancetta

Al contrario..diciamo che erano dove dovevano essere....mi spiego:
Se nel file host aggiungi il nome a dominio di hwupgrade ad esempio,e lo fai puntare all'indirizzo ip locale del pc (127.0.01) succederà che il forum diventerà irrangiugibile,questo perchè la ricerca quando digiti un indirizzo nel browser avviene prima nel file host che funziona come una specie di rubrica e se non lo trova lì in seguito in rete.Però trovando il nome di dominio che cerchi e puntando all'indirizzo locale,il browser crederà di aver raggiunto il sito,ma in realta si è solo collegato al pc stesso....questa la spiegazione in soldoni....e semplificata al massimo.
Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....

Con avenger abbiamo sradicato la dll responsabile del riformarsi del malware...oltre gli ottimi consigli del socio...Riverside,ti consiglierei comunque di rifare le scansioni che ti diceva Chill-Out prima,ovvero i tool vundofix e compagnia bella..per essere sicuri che non ci sia traccia rimasta ed anche un altro giro con Elistara.......alla fine di tutto un nuovo log di hijackthis.

Saluti

scusa se ti ho fatto perdere tempo nella spiegazione, pensavo dicessi l'esatto contrario , comunque visto che siamo in argomento io non sono un sostenitore della modifica al file Hosts, perchè piu si gonfia più si impalla la navigazione IMHO, preferisco usare altri metodi (firewall....)

[Riverside]

Quote:

Originariamente inviato da lancetta

Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....

Ciao socio, se no sbaglio di questo avevamo parlato quando avevi scovato e testato il tool.
Se non ricordo male, proprio uno dei primi log che abbiamo avuto modo di analizzare, nella discussione relativa al virus MSN Messenger, si era presentato in quel modo ed avevamo raggiunto il convincimento che il tool, operando in profondità, avrebbe potuto, anche, ripulire il file hosts nella maniera in cui abbiamo, poi, visto più volte.
Secondo me, che il tool non faccia alcuna distinzione, alla fine è un bene; tra l'altro, credo siano davvero pochi gli utenti che, editano, manulamente, il file hosts per bloccare un sito web.
Al limite, quando consigliamo l'utilizzo del tool, potremmo, in via del tutto preventiva, rendere questa informazione (anche se potrebbe generare confusione).

Quote:

Originariamente inviato da Chill-Out

scusa se ti ho fatto perdere tempo nella spiegazione ......... preferisco usare altri metodi ... firewall ....

Infatti, credo che in realtà la questione si presenti, soprattutto, per gli utenti che utilizzano il firewall integrato di Windows.