[win XP] VIRUS TROJAN "OBFUSCATED"

[susy_1985]

Quote:

Originariamente inviato da lancetta

Serve il log di panda in hijackthis fixa queste voci:



un appunto sulle voci


sembrano ralative ad un soft della oracle (applicazioni web based)e con esso le voci O1 - Hosts...se le conosci o inserite da te ignorale...altrimenti fixa anche queste

serve anche un log di findawf
QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.

Ok Lancetta seguiro' il tutto, mi consigli di tenere chiuse le finestre internet mentre girano queste applicazioni? Ma che intendi per Fixa?? Cosa dovrei fare??
Un'altra cosa che ho notato da un po' di tempo a questa parte in concomitanza con i problemi che vi ho esposto :
Al momento in cui spengo o riavvio il Pc mi esce un msg di alert che dice
"Attenzione chiusura dell'applicazione IEXPLORE.EXE" anche se effettivamente non ho aperta nex applicazione! Sarà mica il Virus questo IEXPLORE????

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Chill, oltre ad essere infetta da obfuscated, per quanto riguarda Susy, segnalalo le risultanze di MSNFix:


Quel putty.exe è da verificare.

putty è un opensource che è in sostanza client-ssh

[lancetta]

Quote:

Originariamente inviato da susy_1985

Ok Lancetta seguiro' il tutto, mi consigli di tenere chiuse le finestre internet mentre girano queste applicazioni? Ma che intendi per Fixa?? Cosa dovrei fare??
Un'altra cosa che ho notato da un po' di tempo a questa parte in concomitanza con i problemi che vi ho esposto :
Al momento in cui spengo o riavvio il Pc mi esce un msg di alert che dice
"Attenzione chiusura dell'applicazione IEXPLORE.EXE" anche se effettivamente non ho aperta nex applicazione! Sarà mica il Virus questo IEXPLORE????

se non serve connessione pe i tool (magari per aggiornarsi) è meglio chiusa per fixare:apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato

non mi hai risposto su quelle voci.....
per iexplorer dacci tempo fai le scansioni che vediamo...

[xcdegasp]

Quote:

Originariamente inviato da lancetta

Mah???!!!!regole un pò discutibili però per carità ognuno in casa propria....

ti ricordo, rispettare tempi e modi per parlane..

[susy_1985]

Quote:

Originariamente inviato da lancetta

Serve il log di panda in hijackthis fixa queste voci:



un appunto sulle voci


sembrano ralative ad un soft della oracle (applicazioni web based)e con esso le voci O1 - Hosts...se le conosci o inserite da te ignorale...altrimenti fixa anche queste

serve anche un log di findawf
QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.

Quelle voci di cui riporti l'appunto sono effettivamente della Oracle, per il resto ho fatto il fix come mi hai detto e ho lanciato il pgm findawf (digitando il punto 1) di cui ti allego il log.

[susy_1985]

Quote:

Originariamente inviato da lancetta

se non serve connessione pe i tool (magari per aggiornarsi) è meglio chiusa per fixare:apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato

non mi hai risposto su quelle voci.....
per iexplorer dacci tempo fai le scansioni che vediamo...

Attenzione non iexplorer ma iexplore senza la R!!!!!

[lancetta]

Quote:

Originariamente inviato da susy_1985

Attenzione non iexplorer ma iexplore senza la R!!!!!

l'unico virus col nome che non corrisponde

si comunque iexplore senza la R scusami errore di digitazione

la scansione con panda?

fai girare anche questi:

scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

http://siri.geekstogo.com/SmitfraudFix.exe
Salvalo sul desktop, apri la cartella SmitfraudFix, avvia SmithFraudFix. scegli l'opzione 1 (scrivere 1 e premere ENTER),
salva il log che ti dà dove dovrebbe indicarti quello che ha trovato, riavvia in provvisoria (F8 al boot)riapri la cartella SmitfraudFix, avvia SmithFraudFix.cmd, scegliere l'opzione 2 (scrivere 2 e premere ENTER), digiti Y(yes) alla domanda "Vuoi pulire il registro?", in caso venisse chiesto di rimpiazzare eventuali files .dll digiti Y(yes), salva il nuovo log riavvia il pc, è probabile che se avevi uno sfondo lo devi reimpostare.

Scarica http://www.majorgeeks.com/RogueRemover_d5360.html e dezippalo in una cartella, doppi click su RogueRemover.exe->scan e segui le istruzioni a video

SDFIX
Scarica http://downloads.andymanchesta.com/R...ools/SDFix.exe salvalo sul desktop,clicca su esso e andrà ad estrarsi in C:\SDFix , avvia in modalità provvisoria (F8 al boot) Apri la cartella SDFix situata in C:\ e clicca su "RunThis.bat" per lanciare lo script
- seleziona Y per avviare la pulizia
- Quando te lo chiederà premi un tasto per riavviare lo script eliminerà i file eventualmente trovati .Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished",digita un tasto per terminareil bat e ricaricare le icone del desktop
- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt.

scarica ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected" non serve log è solo per pulizia

I tool sopra sono tutti stand alone (senza installazione ) quando evremo finito non devi fare altro che cancellarli........fammi sapere

[susy_1985]

Quote:

Originariamente inviato da lancetta

l'unico virus col nome che non corrisponde

si comunque iexplore senza la R scusami errore di digitazione

la scansione con panda?

fai girare anche questi:

scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

http://siri.geekstogo.com/SmitfraudFix.exe
Salvalo sul desktop, apri la cartella SmitfraudFix, avvia SmithFraudFix. scegli l'opzione 1 (scrivere 1 e premere ENTER),
salva il log che ti dà dove dovrebbe indicarti quello che ha trovato, riavvia in provvisoria (F8 al boot)riapri la cartella SmitfraudFix, avvia SmithFraudFix.cmd, scegliere l'opzione 2 (scrivere 2 e premere ENTER), digiti Y(yes) alla domanda "Vuoi pulire il registro?", in caso venisse chiesto di rimpiazzare eventuali files .dll digiti Y(yes), salva il nuovo log riavvia il pc, è probabile che se avevi uno sfondo lo devi reimpostare.

Scarica http://www.majorgeeks.com/RogueRemover_d5360.html e dezippalo in una cartella, doppi click su RogueRemover.exe->scan e segui le istruzioni a video

SDFIX
Scarica http://downloads.andymanchesta.com/R...ools/SDFix.exe salvalo sul desktop,clicca su esso e andrà ad estrarsi in C:\SDFix , avvia in modalità provvisoria (F8 al boot) Apri la cartella SDFix situata in C:\ e clicca su "RunThis.bat" per lanciare lo script
- seleziona Y per avviare la pulizia
- Quando te lo chiederà premi un tasto per riavviare lo script eliminerà i file eventualmente trovati .Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished",digita un tasto per terminareil bat e ricaricare le icone del desktop
- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt.

scarica ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected" non serve log è solo per pulizia

I tool sopra sono tutti stand alone (senza installazione ) quando evremo finito non devi fare altro che cancellarli........fammi sapere

Ok per il momento mi sto' scaricando i Tools che mi hai indicato appena mi libero dal lavoro lancio il tutto seguendo le tue istruzioni! Quando mi dice di riavviare in modalità provvisoria intendi
"modalità provvisoria con windows xp" giusto??
L'unico Tool che non sn riuscita a scaricare (non trovo lo zip) è il http://www.majorgeeks.com/RogueRemover_d5360.html

Grazie della pazienza....
Susy

[lancetta]

modalità provvisoria: si
Link diretto per rogue http://www.majorgeeks.com/downloadge...31e62c003599c0

non dar retta alla pagina

[susy_1985]

Quote:

Originariamente inviato da lancetta

modalità provvisoria: si
Link diretto per rogue http://www.majorgeeks.com/downloadge...31e62c003599c0

non dar retta alla pagina

Il link diretto che mi hai riportato mi ha scaricato il file rr-free-setup.exe
non il file .zip di cui mi parlavi, è giusto lo stesso?

[lancetta]

Quote:

Originariamente inviato da susy_1985

Il link diretto che mi hai riportato mi ha scaricato il file rr-free-setup.exe
non il file .zip di cui mi parlavi, è giusto lo stesso?

si è la stessa cosa solo che è quello con l'installer al momento non mi dà lo zip al limite o lo tieni (poichè si aggiorna anzi ora che ci penso lo devi far aggiornare e poi premi su scan)

oppure vedo se riesco a trovare quella zip....

Edit: su tutti i server sembra che sia stata eliminata la versione zip ma è disponibile solo con installer....

[susy_1985]

Buongiorno a tutti, eccomi quà per il 3° gg di passione , speriamo sia
quello buono x risolvere tt i problemi....
Allora Lancetta, ho appena finito di lanciare tt i tool che mi hai detto!
Il Tool Vundofix nn mi ha creato log in quanto è andato bene e non ha trovato
nulla di anomalo. Ti allego i restanti log degli altri Tool.

Il log Sdfix te lo riporto qui su FileUp :
http://www.fileup.itadib.com/downloa...BQpocvZJNgRgoG

Ti avviso inoltre che in questo preciso istante che ti sto' scrivendo, continuano ad aprirsi pagine internet, quindi suppongo che aimè non
è stato risolto un bel piffero

E' duro questo virus è? Devo perdere le speranze?

Per quanto riguarda Panda (che mi chiedevi) al suo posto posso lanciare un'altra applicazione? Se si dimmi tu!
Attendo tue news...grazie.
Susy

[Chill-Out]

Installa SUPER ANTISPYWARE: http://downloads2.superantispyware.c...ntiSpyware.exe
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

al termine nuovo log di HJT e Prevx CSI

[lancetta]

Quote:

Originariamente inviato da susy_1985

Buongiorno a tutti, eccomi quà per il 3° gg di passione , speriamo sia
quello buono x risolvere tt i problemi....
Allora Lancetta, ho appena finito di lanciare tt i tool che mi hai detto!
Il Tool Vundofix nn mi ha creato log in quanto è andato bene e non ha trovato
nulla di anomalo. Ti allego i restanti log degli altri Tool.

Il log Sdfix te lo riporto qui su FileUp :
http://www.fileup.itadib.com/downloa...BQpocvZJNgRgoG

Ti avviso inoltre che in questo preciso istante che ti sto' scrivendo, continuano ad aprirsi pagine internet, quindi suppongo che aimè non
è stato risolto un bel piffero

E' duro questo virus è? Devo perdere le speranze?

Per quanto riguarda Panda (che mi chiedevi) al suo posto posso lanciare un'altra applicazione? Se si dimmi tu!
Attendo tue news...grazie.
Susy

Allora Susy qualcosa i tool lo hanno fatto sembra che sia una variante del CiD il problema è che la procedura di pulizia potrebbe andare ad intaccare quelle voci inserite da Oracle nel tuo file hosts (na specie di elenco telefonico del tuo pc diciamo ) quindi tieni in considerazione il dover reinstallare il soft..pure perchè non ti puoi certo tenere il malaware

Allora oltre la procedura suggerita dal buon Chill scarica questo COMBOFIX
Combofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.
scarica prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà ed un altro log di hijackthis
naturalmente dopo la scansione dell'antispyware ed in ordine di scansione come te li ho messi e non tutti insieme mi raccomando,nel frattempo della scansione con combo disattiva il tuo antivirus....

[Chill-Out]

Quote:

al termine nuovo log di HJT e Prevx CSI

a proposito Buongiorno

[lancetta]

Quote:

Originariamente inviato da Chill-Out

a proposito Buongiorno

Buongiorno socio

[Riverside]

Ciao socio: già al lavoro??
Nà, ieri sera ho poi risolto; certo che Microsoft, con Vista, al posto di semplicare le cose le ha complicate .......... ma dico io, era cosi semplice, veloce, affidabile, Windows 2000 Pro ......

[Francizio]

Quote:

Originariamente inviato da Riverside

Ciao socio: già al lavoro??
Nà, ieri sera ho poi risolto; certo che Microsoft, con Vista, al posto di semplicare le cose le ha complicate .......... ma dico io, era cosi semplice, veloce, affidabile, Windows 2000 Pro ......

[susy_1985]

Quote:

Originariamente inviato da lancetta

Allora Susy qualcosa i tool lo hanno fatto sembra che sia una variante del CiD il problema è che la procedura di pulizia potrebbe andare ad intaccare quelle voci inserite da Oracle nel tuo file hosts (na specie di elenco telefonico del tuo pc diciamo ) quindi tieni in considerazione il dover reinstallare il soft..pure perchè non ti puoi certo tenere il malaware

Allora oltre la procedura suggerita dal buon Chill scarica questo COMBOFIX
Combofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.
scarica prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà ed un altro log di hijackthis
naturalmente dopo la scansione dell'antispyware ed in ordine di scansione come te li ho messi e non tutti insieme mi raccomando,nel frattempo della scansione con combo disattiva il tuo antivirus....

Ciao Lancetta riporto il log di una nuova risultanza di hijackthis, mi dici per cortesia cosa devo fixare?? Ma una volta fixati vengono rimossi?
Grazie.

[Chill-Out]

Susy hai saltato 2 passaggi