Problema virus su pc in rete

[Stewie82]

Scaricato, ma mi da la notifica:

"l'aggiornamento non è applicabile al sistema in uso"

[Chill-Out]

Dipende dal sistema in uso mi semra di ricordare che i PC fossero diversi con SO vari, e da cosa hai scaricato vedi Tabella Affected Software

[Stewie82]

Dici bene: il pc su cui ho seguito la guida è un Vista64, ed ho scaricato la patch per questo s.o.

Solo i log di process explorer li ho fatti su un pc con XP

Se volete posso fare un log di process explorer su Vista, ma stamattina il virus non si è ancora presentato

[Stewie82]

Quote:

Originariamente inviato da xcdegasp

rifai la scansione con a-squared ma scegliendo "scan deep" inquanto hai fatto quella veloce

nel log hijackthis non vedo nulla di insolito...

Con a-squared ho fatto la scansione completa, cosa intendi con "scan deep" ?

Cosa strana: sui due pc dove non ho ancora fatto scansioni stamattina è comparso il virus, e controllando nel task manager ho visto la sfilza di rundll32.exe.
Ho aperto process explorer, selezionato le colonne che mi son state dette, e per sbaglio ho slezionato pure la colonna "command line": se controllate il log, dove ci sono i rundll32.exe, in fondo c'è il "command line" ed è proprio il file che mi ha segnalato antivir..
Di seguito il log
log-proces-ex.TXT

Spero di non creare confusione, ma i pc vengono usati da 3 persone ed è un casino xchè servono per lavoro: il seguente log è riferito ad un windowsXP, ma NON lo stesso dell'altro log di process explorer

[Pac]

Ho lo stesso problema anche io. E ha iniziato a saltarmi fuori esattamente nel momento in cui mi hanno installato il router fastweb...ora non so se c'entri qualcosa magari è solo un caso ma magari è un'informazione utile alla causa.
Ora sto provando a fare una scansione on line con bitdefender

[Stewie82]

Progressi pochi, sembra che dopo aver seguito la guida il fenomeno sia meno frequente, ma non è sparito.

Per di piu' sembra che si sia diffuso anche su altri pc della rete

[Stewie82]

Ecco qua:
Malwarebytes Anti-Malware: 02_mbam-log-2009-03-10 (15-31-44).txt
A-Squared Free v3.x: 03_a2scan_090310-154321.txt
F-Secure OnLine: 04_ols_report.htm
Dr.Web CureIT: 05_cureit filtrato.txt
ESET SysInspector: 06_SysInspector-S22-090310-1723.xml
Hijackthis: 07_hijackthis.txt
Gmer: 08_gmer.log
PrevxCSI: 09_prevxCSI.log


Ho riseguito la guida sul pc con windowsXP, questi sono i log.

Sul pc con vista ho provato a mettere Kaspersky AV, e problemi non me ne ha dati..

[Stewie82]

Trovato una cosa strana, che riguarda tutti i pc infetti: in "operazioni pianificate" ho trovato un sacco di comandi riferenti appunto a rundll32.exe e ai virus che mi segnava, vi riporto il log fatto dal pc con vista:
At13.xml

Le ho eliminate tutte ad eccezione di una, se vi servono info chiedete che poi elimino pure quella

[Stewie82]

Mentre il virus sembra diffondersi, ho trovato un'ulterie cosa strana: ho eliminato le operazioni pianificate da tutti i pc, e il problema su 2 sembra si sia risolto, nel senso che Antivir e altri prg non hanno rilevato nulla.

Il problema mi è rimasto su 2 pc. Cercando di sistemare altre cose, sono finito in Impostazioni protezione locale, e su alcuni criteri era abilitato un utente molto strano, una cosa del tipo *S-1-xxxxxx dove al posto delle x c'era una fila di numeri che non finiva più, e la cosa mi ha colpito più che altro per via dell'*

Ho controllato sui pc non infetti e tale utente non appariva: ho provveduto ad eliminare l'utente dai criteri relativi, e domani vedremo se il problema si ripresenta

[Stewie82]

Nada..lo strano utente non c'è piu, ma continua a riformarsi quell'operazione pianificate che ogni tot fa partire l'eseguibile che crea il trojan..Antivir lo trova, lo elimina ma il problema rimane..

[bozzato]

prova a disabilitare il ripristino

[Stewie82]

Già fatto, faceva parte della guida. Inoltre uno dei due pc infetti è con windows2000 che se non erro non ha nemmeno il ripristino

[Stewie82]

Atro comportamento anomalo.

Il pc in caso è quello con Vista64. All'inizio era presente Antivir PE, e ho seguito la guida per la disinfezione senza esiti. In tutto questo prevxCSI era installato ed è sempre rimasto installato e ogni tanto compariva la sua finestra dicendo di aver trovato qualcosa. Ho provato per curiosità e rimuover Antivir e mettere KasperskyAV: lui di virus non ne ha trovati, ho rifatto girari i diversi prg di analisi ma nessuno trovava nulla. Ora ho rimesso antivir PE (scaricato ieri dal sito): lui per ora non mi ha trovato nulla, ma prevCSI mi ha già segnalato due volte un possibile file infetto: system32\bssdk.dll "High Risk Fraudolent Program"

In ogni caso il problema è ancora presente, in forma molto ridotta ma lo fa ancora sugli stessi pc di prima

[xcdegasp]

i link ai log non puntano ai log corretti pertanto non mi è possibile darti una mano

[Stewie82]

Oddio..hai ragione, alcuni portano a file a caso..ma quale può ossere la causa?

Altro sito dove poterli linkare?

Dici di rifarli?

Ieri ho provato malwarebytes e a squared e non hanno trovato nulla..

[xcdegasp]

wikisend di solito è preciso, puoi provare a inviarli anche su http://freefilehosting.net che è sempre gratuito

[Stewie82]

Quote:

Originariamente inviato da xcdegasp

wikisend di solito è preciso, puoi provare a inviarli anche su http://freefilehosting.net che è sempre gratuito

Ok

Come già detto, ieri malwarebytes asquared non hanno trovato nulla, ma non ho fatto i log: devo rifarli e postare i nuovi log?

Ora sto facendo Eset Online..poi continuo a seguire l'ordine e posto i log..

[xcdegasp]

prosegui, fai anche f-secure online

[Stewie82]

Ho utilizzato eset perchè fsecure non funziona con Vista64

Eset non ha trovato nulla, ma mentre faceva la scansione on-line Antivir mi ha trovato questo: Events_Antivir.txt

[xcdegasp]

mmhh è nei temporanei quindi un giro di atf-cleaner e scansione completa con avira