[win XP] infostealer.wowcraft - aiuto per favore

[Etex]

-Dubbio: dato che il trojan non si manifesta da quando ho installato ed eseguito superantispyware, vorrei sapere se questo programma è una protezione attiva, quindi intercetta il trojan prima di Norton e io semplicemente non me ne accorgo

--ho riavviato il pc come indicatomi e windows non ha caricato bene i files all'avvio (accanto all'orologio in basso a dx manca l'icona di superantispyware, l'icona del controllo audio e altre che di solito ci sono)

Quote:

Originariamente inviato da lancetta

...dopodichè scansione con combofix...

http://download.bleepingcomputer.com/sUBs/ComboFix.exe ed i log

in allegato

Quote:

Originariamente inviato da Riverside

@ Etex: quando hai eseguito Combo (come suggerito da Lancetta) oltre al suo log, dopo aver riavviato, allega un nuovo log di Hthis

in allegato

[Chill-Out]

Quote:

Originariamente inviato da Etex

Ok, non l'ho fatto di mia iniziativa per non creare confusione; questi i file e i percorsi dove Norton li intercetta; appaiono sempre "in coppia"

Codice:

C:\Documents and Settings\Carlo\Impostazioni locali\Temp\Song911.Exe

Codice:

C:\Documents and Settings\Carlo\Impostazioni locali\Temporary Internet Files\Content.IE5\SIUG2GXC\NewLoader[1].exe

adesso è tutto più chiaro

[Etex]

Quote:

Originariamente inviato da Chill-Out

adesso è tutto più chiaro

quando norton intercetta il trojan mi dice che è stato intercettato "infostealer.wowcraft"

Andando a vedere nei reports di norton, mi indica che il trojan lo ha trovato nei files che avevo indicato nel post sopra

[Chill-Out]

Quote:

Originariamente inviato da Etex

quando norton intercetta il trojan mi dice che è stato intercettato "infostealer.wowcraft"

Andando a vedere nei reports di norton, mi indica che il trojan lo ha trovato nei files che avevo indicato nel post sopra

non era in senso ironico è veramente tutto più chiaro

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/83...b540/download/

Poi sistemiamo questo O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file)

[Etex]

Quote:

Originariamente inviato da Chill-Out

non era in senso ironico è veramente tutto più chiaro

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/83...b540/download/

Poi sistemiamo questo O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file)

-CCleaner lo uso regolarmente e in questi giorni l'ho usato spesso

nei giorni scorsi gli ho anche fatto "sistemare" il registro nella voce "problemi" sottostante a "pulizia"

-ho fatto una pulizia proprio ora come mi chiedevi; dubbio: ma di default le voci spuntate quali sono? Io ho: per "Internet explorer" ho spuntato solo "solo file temporanei internet" e "cancella file Index.dat"
per le altre voci, è spunato tutto, comprese le voci di "avanzate"

[Chill-Out]

Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore

[Etex]

Quote:

Originariamente inviato da Chill-Out

Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore

sì, quella l'avevo già tolta ed è tolta, ma avendolo già installato da tempo, sono le spunte che ti dicevo sopra che non ricordo quali sono di default e quali posso aver cambiato io

[Chill-Out]

Quote:

Originariamente inviato da Etex

sì, quella l'avevo già tolta ed è tolta, ma avendolo già installato da tempo, sono le spunte che ti dicevo sopra che non ricordo quali sono di default e quali posso aver cambiato io

Di default:
Windows
Internet Explorer
Esplora risorse
Sistema

Applicazioni
Tutti

[lancetta]

scusa hai usato una chiavetta pen drive ultimamente??????

[Etex]

Quote:

Originariamente inviato da lancetta

scusa hai usato una chiavetta pen drive ultimamente??????

esatto, pensavo anch'io a quello

infatti più sopra avevo scritto questo

Quote:

Originariamente inviato da Etex

(cut)

Aggiungo solo una info sperando possa essere utile: ieri sera parlavo con mia moglie riguardo al trojan in oggetto e mi ha detto che in effetti potrebbe avermelo trasmesso lei (nel caso, si può parlare di malattia venerea? )

infatti lei lo aveva da qualche giorno sul portatile e non mi aveva detto nulla al riguardo. Ricostruendo meglio, in effetti mi è comparso da quando ho inserito una sua chiavetta usb con dei dati che mi stava passando.

(cut)

ma tra i post chilometrici che ho messo è andato in secondo piano

non so davvero come facciate a rispondere a tutti, grazie ancora per il supporto


Adesso infatti, quando la pulizia del trojan sarà terminata, mi sto domandando come fare a sistemare la chiavetta. Ho letto un po' in giro sul forum e volevo chiedere qui ma non so se è corretto: meglio aprire un nuovo thread?

@CHill-Out: fatta la pulizia con CCleaner; ho la spunta anche a "cancellazione sicura (sovrascrittura semplice -1 passaggio)", andava bene?

[Chill-Out]

si andava bene, appena abbiamo un'attimo sistemiamo anche questa:
O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file)

[lancetta]

Quote:

Originariamente inviato da Etex

esatto, pensavo anch'io a quello

infatti più sopra avevo scritto questo



ma tra i post chilometrici che ho messo è andato in secondo piano

non so davvero come facciate a rispondere a tutti, grazie ancora per il supporto


Adesso infatti, quando la pulizia del trojan sarà terminata, mi sto domandando come fare a sistemare la chiavetta. Ho letto un po' in giro sul forum e volevo chiedere qui ma non so se è corretto: meglio aprire un nuovo thread?

@CHill-Out: fatta la pulizia con CCleaner; ho la spunta anche a "cancellazione sicura (sovrascrittura semplice -1 passaggio)", andava bene?

infatti ho trovato le tracce della malattia venerea
(non avevo letto tutto ma guardato solo i log )

[lancetta]

un attimo solo che ho un virus nella sandbox che rompe le palle
il tempo di seccarlo

[Etex]

Quote:

Originariamente inviato da Chill-Out

si andava bene, appena abbiamo un'attimo sistemiamo anche questa:
O23 - Service: Perfd35 - Portrait Displays, Inc. - (no file)

perfetto

Quote:

Originariamente inviato da lancetta

un attimo solo che ho un virus nella sandbox che rompe le palle
il tempo di seccarlo

[lancetta]

capita anche a noi ogni tanto comunque seccato virus adesso riempimento panza a dopo

[Chill-Out]

Risorse del computer col tasto destro del mouse - Gestione - Servizi e Applicazioni - Servizi e scorri la lista fino a trovare Perfd35 lo selezioni tasto dx del mouse e lo arresti, dopo averlo arrestato doppio click e in Tipo avvio selezioni disabilitato - applica e ok

Dopo aver fatto la procedura di cui sopra procedi col fix con HJT, ciao.

[Etex]

Quote:

Originariamente inviato da Chill-Out

Risorse del computer col tasto destro del mouse - Gestione - Servizi e Applicazioni - Servizi e scorri la lista fino a trovare Perfd35 lo selezioni tasto dx del mouse e lo arresti, dopo averlo arrestato doppio click e in Tipo avvio selezioni disabilitato - applica e ok

Dopo aver fatto la procedura di cui sopra procedi col fix con HJT, ciao.

ho seguito la procedura: quando l'ho selezionato col dx per arrestarlo, era già così (l'unica opzione valida era "avvia"). L'ho quindi solo disabilitato.

ho poi avviato HJT e nel log Perfd35 non c'era più quindi non ho fixato nulla.

Allego cmq il log così mi puoi confermare

Grazie

[Chill-Out]

sei OK

[Etex]

Quote:

Originariamente inviato da Chill-Out

sei OK

ok grazie

aspetto Lancetta (immagino sia più probabile stasera ) per gli approfondimenti di cui sopra allora

[lancetta]

Quote:

Originariamente inviato da Etex

ok grazie

aspetto Lancetta (immagino sia più probabile stasera ) per gli approfondimenti di cui sopra allora

Ciao etex Apri il registro ed esportane una copia (File => esporta => salva dove vuoi,magari il desktop). Chiudi il registro.

non sò se già lo hai scaricato...comunque

Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
K:\UFO.exe

Registry keys to delete:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d2d41a8-a0ea-11dc-a180-0011d887a351}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c652825-2ff8-11da-b32c-0011d8879799}]

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

poi apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
cerca sto cacchio di "UFO.exe" insieme ad "autorun.inf e cancella tutto senza pietà

ancora scarica http://www.plusexpert.cl/download/AntiKnight.rar copialo sulla chiavetta che sara sicueamente infetta scompatta tutti i file presenti nell'archivo e clicca sul file AntiKnight.exe
Basterà cliccare sul bottone (ce n'è uno solo) NB prima di inserire la chiavetta o disabiliti l'auto run oppure la inserisci tenendo premuto il tasto shift (così non parte l'automatico)

rifai lo stesso procedimento sul pc....fammi sapè