[INFO] Nuova infezione ancora senza nome...

[xcdegasp]

Quote:

Originariamente inviato da Bugs Bunny

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll
C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

è un caso interessante e che potrebbe meritare un bello studio

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

è un caso interessante e che potrebbe meritare un bello studio

variante del Vundo

[Riverside]

Quote:

Originariamente inviato da Chill-Out

variante del Vundo

Socio, resta nei paraggi, ci sarà bisogno di te.
Intanto direi che è il caso di farle pulire tutto quello che incontra.
Poi pensiamo al Vundo: che ne pensi?

[Chill-Out]

ok

[OliVale]

Quote:

Originariamente inviato da Riverside

Disattiva il Ripristino configurazione di sistema

Fatto. Non mi sono fidata della memoria e ho verificato seguendo la procedura descritta: una finestra mi ha avvisato che i ripristino di sistema era disabilitato, e non l'ho riattivato.

Quote:

Originariamente inviato da Riverside

Provvedi a svuotare del suo contenuto la cartella Prefetch

Fatto

Quote:

Originariamente inviato da Riverside

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Fatto. Qui ho provato Quick Scan sel e desel, entrambi nessuna rilevazione. Poi ho tolto la spunta anche a "Ignore safe system info stream" e ho verificato che tutti i files trovati sono conosciuti: jpg, pdf e un sacco di thumbs.db nelle cartelle personali del mio amico, che presumo non siano da cancellare... giusto?

Quote:

Originariamente inviato da Riverside

CCLEANER

eseguito secondo istruzioni, segnala tutto cancellato e riparato, non ho visto i nomi dei files rilevati in precedenza come trojan.

Quote:

Originariamente inviato da Riverside

PANDA ANTIROOTKIT

Aggiornato ed eseguito in In-depth scan. Nessun Rootkit trovato.

Quote:

Originariamente inviato da Riverside

E qui ci fermiamo: eseguiti questi passaggi, riavvia il sistema, ed alleghi un nuovo log di Hthis (lo carichi su ZShare, mi viene più comodo).

Fatto: hijackthis4.txt - 0.00MB

Visivamente l'unico sintomo che sembra scomparso è l'apertura a caso delle finestre di IE, il resto c'è ancora tutto...però sto navigando con Firefox...

Ho letto che pensate sia Vundo...dopo la prima scansione con PrevxCSI che segnalava la presenza di un file legato a Vundo, ho usato il Removal Tool per Vundo della Symantec, la scansione segnalava il Vundo come rimosso, ma alle successive scansioni con PrevxCSI i files legati a Vundo sono diventati due....e li ho rivisti nell'ultimo log di HTHIS...

Attendo responso.

[OliVale]

Quote:

Originariamente inviato da xcdegasp

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

sicura di aver disabilitato il ripristino di sistema?

spero che con questa dimostrazione tu possa fidarti maggiormente rispetto a prima

Ora riprovo anche questa scansione con nuove impostazioni.
Già mi fido di voi altrimenti perchè disturbarvi?

[Riverside]

Quote:

Originariamente inviato da OliVale

Ho letto che pensate sia Vundo...dopo la prima scansione con PrevxCSI che segnalava la presenza di un file legato a Vundo, ho usato il Removal Tool per Vundo della Symantec, la scansione segnalava il Vundo come rimosso, ma alle successive scansioni con PrevxCSI i files legati a Vundo sono diventati due....e li ho rivisti nell'ultimo log di HTHIS...
Attendo responso.

Infatti l'infezione viene evidenziata dal log di Hthis (voci O2)

O2 - BHO: (no name) - {3D29ABF1-6850-4782-8E69-2FB12555EAA9} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat

O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll

Per ora non fixare nulla ed esegui questi:

ELISTARTA TOOL: clicca qui per il download
per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA
● per comodità, posizionalo su Desktop
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt
● clicca su Risorse del Computer, poi su Disco Locale C:
●allega il log alla discussione
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● lascia disabilitato in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega il log che verrà rilasciato

P.S.: già che ci sei, prima delle due scansioni, installa JAVASUN: clicca qui per il download

Al termine, allega un nuovo log di Hthis e vediamo se è cambiato qualcosa.

[Chill-Out]

Dopo aver eseguito le procedure di cui sopra, scarica ed esegui i seguenti tool:

VundoFix
Download: http://www.atribune.org/public-beta/VundoFix.exe

FixVundo
Download: http://securityresponse.symantec.com...r/FixVundo.exe

VirtumundoBeGone
Download: http://secured2k.home.comcast.net/to...undoBeGone.exe
N.B: da eseguire in modalità provvisosria F8

allegare i log

COMBOFIX:
Download: http://www.techsupportforum.com/sectools/combofix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Allega nuovo log di HJT e log completo di Gmer http://www.gmer.net/gmer.zip + i log dei tool come richiesto,thx.

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Dopo aver eseguito le procedure di cui sopra, scarica ed esegui i seguenti tool .......

Dopodiché, segui, esattamente, tutto quello che ti verrà suggerito da Chill.


P.S.: grazie Socio.

[OliVale]

Quote:

Originariamente inviato da xcdegasp

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

Ho rifatto questa scansione, ci ha messo un po' ma non ha trovato le stesse cose della prima volta, molte meno. Questo è il log: a2scan_071113-235638.txt - 0.01MB

Per i suggerimenti successivi, se non sono troppo lunghi li provo ora...altrimenti dovrei lasciar andare a dormire il mio amico qui accanto che è curioso e preoccupato, ma anche stanco...

Che mi dite?

[Riverside]

Off Topic (ma neppure molto):

Quote:

Originariamente inviato da Bugs Bunny

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

Quote:

Originariamente inviato da Riverside

Giusta osservazione Bunny.
.dat è una estensione utilizzata, spesso, dagli allegati di posta elettronica in Outlook, se non ricordo male.
PERò concentrerei l'attenzione su questo appinit dll: la voce corretta dovrebbe essere AppInit_DLLs
Azzardo: worm_bagz.f o comunque una variante.

Quote:

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe rilevati: Email-Worm.Win32.Warezov.hy
C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe rilevati: Email-Worm.Win32.Warezov.hy

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe Cancellato Email-Worm.Win32.Warezov.hy
C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe Cancellato Email-Worm.Win32.Warezov.hy

Non accontentandosi, l'amico, si propaga, anche, alla rubrica di posta.

[OliVale]

ELISTARTA TOOL pare abbia eliminato qualcosa, finalmente!
Ecco il log:infosat.txt - 0.00MB
dopo alcune scansioni e un riavvio almeno le finestrelle gialle sembrano sparite insieme alle icone simil-WinSecurity.
Ah...installata anche JavaSun.
Ora però non riesco proprio a proseguire... mi metto in pausa prima di SysClean e domani eseguo tutto il resto delle procedure, con post dei log dove richiesto...
E' vero che sono da un amico, ma non posso approfittare oltre, nemmeno per pulire il suo PC... e non posso approfittare troppo nemmeno di voi.
Ci aggiorniamo a domani.
Grazie ancora infinitamente di tutto!
Buona notte.

[xcdegasp]

Quote:

Originariamente inviato da OliVale

Ho rifatto questa scansione, ci ha messo un po' ma non ha trovato le stesse cose della prima volta, molte meno. Questo è il log: a2scan_071113-235638.txt - 0.01MB

Per i suggerimenti successivi, se non sono troppo lunghi li provo ora...altrimenti dovrei lasciar andare a dormire il mio amico qui accanto che è curioso e preoccupato, ma anche stanco...

Che mi dite?

ecco cosa ha eliminato:

Codice:

C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe	Cancellato Email-Worm.Win32.Warezov.hy

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe	Cancellato Email-Worm.Win32.Warezov.hy

sono email vecchie che ti sei salvato?

[xcdegasp]

Quote:

Originariamente inviato da OliVale

Quote:

Fatto. Qui ho provato Quick Scan sel e desel, entrambi nessuna rilevazione. Poi ho tolto la spunta anche a "Ignore safe system info stream" e ho verificato che tutti i files trovati sono conosciuti: jpg, pdf e un sacco di thumbs.db nelle cartelle personali del mio amico, che presumo non siano da cancellare... giusto?

ESET ADS revelear non cancella nessun file ma piùttosto spezza i legami tra due file che consentono al secondo di nascondersi completamente agli occhi dell'utente e di windows.
il file system NTFS consente appunto di legare "n" file sfruttando la particolarità degli ADS.
per fare un esempio molto "estremo" (per via che ti accorgeresti che qualcosa non va') può essere quello di legare ad un file pippo.txt un filmato divx da 700Mb, quest'ultimo occuperebbe lo spazio come avviene normalmente ma non potresti vederlo.
quando sposti il txt sposti anche il video, ma sopratutto quando esegui il txt esegui anche il video

se fossero 2 exe legati tra loro il problema assume una certa rilevanza.

ma gli ADS none rano nati con questi intenti e scopi bensì con quello di offrire maggiore compatibilità tra windows e sistemi unix-like (Unix/linux/Mac) e memorizzare ulteriori informazioni su quel dato file... basti pensare alle foto digitali che possono memorizzare, luogo, data, macchina usata, obiettivo, tempi d'espozione e otturato


riassumendo devi correggere tutti i problemi che trova per ritenerti sufficentemente al sicuro sopratutto se sai d'avere il pc infetto

[Riverside]

Quote:

Originariamente inviato da OliVale

ELISTARTA TOOL pare abbia eliminato qualcosa, finalmente!

Direi di si, ma non ci siamo ancora:

Quote:

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AJNCIXPJ] -> C:\WINDOWS\SYSTEM32\ajncixpj.dll

Entrada Eliminada [HKLM\...\Run] "384eb3ea"="rundll32.exe "C:\WINDOWS\system32\owmdgwbn.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\AJNCIXPJ.DLL --> SecToolBar.F Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\OWMDGWBN.DLL.Muestra EliStartPage v15.02
a "[email protected]". Gracias.

C:\WINDOWS\SYSTEM32\OWMDGWBN.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\__C006C719.DAT --> Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Prosegui con la procedura indicata da Chill.

[lucariello86]

stesso problema anche a me...
ma io sono alla vecchia maniera...
tra un pò vado di formattazione

[Gle89]

Quote:

Originariamente inviato da lucariello86

stesso problema anche a me...
ma io sono alla vecchia maniera...
tra un pò vado di formattazione

1) hai letto le regole di sezione?
2) hai fatto le scansioni preliminari?
3) hai seguito le istruzioni dato all'altro utente?
4) perchè se sei alla vecchia maniera e vuoi formattare ti sei iscritto e fatto un post senza dire altro?

[lucariello86]

Quote:

Originariamente inviato da Gle89

1) perchè se sei alla vecchia maniera e vuoi formattare ti sei iscritto e fatto un post senza dire altro?

Ecco fatto...nuovo nuovo!
allora:
1) mi sono registrato a questo forum xkè lo ritendo interessante;
2) ho formattato xkè è da tanto ke nn lo facevo;
3) grazie dei consigli utili

[Gle89]

Contento te

[c.m.g]

piccolo off topic:

@ membri di "pulizia malware pc":

vorrei farvi i miei complimenti, sia per come state utilizzando la sezione tramite protocolli di comportamento ben studiati (proprio come negli ospedali e centri di ricerca ) sia nella vostra abilità ad affrontare le infezioni nuove. tutto questo ha il sapore di qualcosa di mooolto professionale. bravi ragazzi, siete grandi!