win32.virut.ce

[ringhia]

Ho natato che durante l'avvio di firefox Avast allarma questa connessione di rete
JL.CHURA.PL/RC/


Ho provato ad aprire explorer ma in questo caso Avast non allarma niente, può darsi che il problema sia all'interno di Firefox?

[ringhia]

Ti aggiorno sui virus che ha trovato avast l'ultimo adesso, gli altri li ho cancellati questo l'ho spostato nel cestino:


12/04/2009 22.16.10 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\Documents and Settings\leonardo\Dati applicazioni\Microsoft\clipsrv.exe" file.
12/04/2009 22.17.07 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\Documents and Settings\leonardo\Dati applicazioni\rsvp.exe" file.
12/04/2009 23.04.52 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\WINDOWS\system\dllhst3g.exe" file.
12/04/2009 23.08.15 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\WINDOWS\system32\drivers\dllhst3g.exe" file.
14/04/2009 20.08.59 SYSTEM 1528 Sign of "HTML:Iframe-inf" has been found in "C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\91l5fk9e.default\places.sqlite-journal" file.

[Chill-Out]

Quote:

Originariamente inviato da ringhia

Ti aggiorno sui virus che ha trovato avast l'ultimo adesso, gli altri li ho cancellati questo l'ho spostato nel cestino:


12/04/2009 22.16.10 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\Documents and Settings\leonardo\Dati applicazioni\Microsoft\clipsrv.exe" file.
12/04/2009 22.17.07 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\Documents and Settings\leonardo\Dati applicazioni\rsvp.exe" file.
12/04/2009 23.04.52 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\WINDOWS\system\dllhst3g.exe" file.
12/04/2009 23.08.15 leonardo 3160 Sign of "Win32:Horst-ADT [Trj]" has been found in "C:\WINDOWS\system32\drivers\dllhst3g.exe" file.
14/04/2009 20.08.59 SYSTEM 1528 Sign of "HTML:Iframe-inf" has been found in "C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\91l5fk9e.default\places.sqlite-journal" file.

Ok vedi se adesso riesci a far girare DrWeb CureIt

[ringhia]

ok ho scoperto quale file impediva la scansione completa di Dr. Web era Rawdump.exe.

La prima scansione è stata interrotta a metà ma ha trovato 11 file infetti
da WIN32.VIRUT.56 ovviamente solo EXE e solo file di sistema.
Inoltre ha elimitato tutti i file relativi a COMBOFIX.

La seconda scansione ha rilevato solo questi due:

IPHACTION.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.DownLoad.34652;Cancellato.;
testabd.dll;C:\program Files\ThunMail;Trojan.PWS.Wsgame.11012;Cancellato.;


la terza e quarta nessuno.

Ovviamente appena ripartita la rete e lanciato Firefox riparte il blocco del JL.CHURA.PL/RC/

[ringhia]

dimenticavo per scrupolo ho eseguito anche Asquare e malwarebyt


A2SCAN : a2scan_090415-075310.txt

MBM - niente

[Chill-Out]

Quote:

Originariamente inviato da ringhia

ok ho scoperto quale file impediva la scansione completa di Dr. Web era Rawdump.exe.

La prima scansione è stata interrotta a metà ma ha trovato 11 file infetti
da WIN32.VIRUT.56 ovviamente solo EXE e solo file di sistema.
Inoltre ha elimitato tutti i file relativi a COMBOFIX.

La seconda scansione ha rilevato solo questi due:

IPHACTION.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.DownLoad.34652;Cancellato.;
testabd.dll;C:\program Files\ThunMail;Trojan.PWS.Wsgame.11012;Cancellato.;


la terza e quarta nessuno.

Ovviamente appena ripartita la rete e lanciato Firefox riparte il blocco del JL.CHURA.PL/RC/

Quote:

Originariamente inviato da ringhia

dimenticavo per scrupolo ho eseguito anche Asquare e malwarebyt


A2SCAN : a2scan_090415-075310.txt

MBM - niente

Allega il log di CureIT per quanto concerne JL.CHURA.PL ti ho fatto resettare il file Host quindi da dove salta fuori al momento non saprei, prova a disinstallre FF, fare pulizia con ATF Cleaner e reinstallare.

[ringhia]

SysInspector-LEO-090415-2055.xml

prevxcsi-15-04-09.log

DrWeb-leo-15-04-09.txt
ho riprovato ad eseguire la scansione completa ma continua a bloccarsi sempre su qualche file exe tipo Hjack e a2s mbam etc
Ho eseguito la scansione personalizzata e funziona

in rete ho trovato questo script per cancellare e resettare le chiavi di registro relative alla zona Trusted Zone, che ne pensi?

DelDomains.inf

[Adriano46]

sottopongo all'attenzione degli utenti del forum il mio caso relativo al temibile virus Virut

accenno per il momento ad alcune questioni preliminari

a) il virus è stato preso per comportamento incauto e negligente;

b) ho impiegato 4 giorni solo per capire che virus fosse, dai sintomi sembrava fosse il Bagle con il quale ha delle caratteristiche sintomatiche in comune;

c) la diagnosi è stata effettuata con il Kaspersky Rescue Disk (per qualche altro misterioso motivo il AntiVir Rescue System non partiva);

d) il virus Virut infetta numerosissimi file exe; l'azione è molta subdola; per esempio, copiando il programma EliBagle sull'hard disk, il suo eseguibile veniva immediatamente modificato dal virus rendendone impossibile l'uso; una sua corretta esecuzione veniva poi effettuata lanciando l'eseguibile dal cd;

e) al disco infetto sono stati collegati per motivi di diagnosi e ripristino due altri dischi e una pen-drive:
Il risultato è che uno dei dischi appare sano, un altro manifesta solo un eseguibile infetto, mentre la pendrive (con apparentemente zero files) era gravemente infetta;

f) sembra che il virus Virut sia in grado di sopravvivere a più formattazioni, celandosi in settori nascosti dell'hard disk, per cui consiglierei di effettuare prima una disinfestazione da cd boot seguita da una formattazione a basso livello.

Mi chiedo:

1) l'azione riparatoria del Kaspersky Rescue Disk produce una riparazione o una perdita degli eseguibili infetti?
2) il virus Virut colpisce altri file, per esempio dati quali mp3, avi, jpeg e doc?
3) è possibile che si diffonda in una rete locale?
4) come si diffonde sulle altre periferiche di storaggio collegate? (fermo restando che si riproduce fulmineamente su unità tipo pen-drive e similari.

Voglio aggiungere che, salvati alcuni piccoli dati presenti su questo hard-disk, costituendo esso pc un muletto, sarebbe interessante proporre qualche test per studiare meglio il caso.

Un ultima domanda a chi mi sa rispondere: come verifico che versione del Virut possa essere?

[SN4KKERO]

Potrebbe trattarsi di questo:
http://threatinfo.trendmicro.com/vin...ame=PE_VIRUT.L

[wjmat]

potresti caricare il log di kasp se l'hai salvato?

[Adriano46]

non ho fatto fare alcuna azione al Kaspersky sul disco colpito in via primaria

rifarò la scansione e salverò il log per postarlo

ma la situazione è nefasta, sono compromessi quasi tutti i file exe

[Adriano46]

@ Sna4kkero

devo studiare bene la cronologia delle varianti del virut, che al momento ricordo solo per le due lettere finali, "ce"

quindi la "cf" dovrebbe essere successiva, mentre della versione "l" non so nulla

[ringhia]

Tanto per continuare l'esperienza sul win32.virut.ce al momento sulla partizione attiva del mio pc sembra non ci siano altre indicazioni malevoli.
La cosa che continua a preoccuparmi è che DRweb non riesce a completare la scansione si bolcca sempre su qualche file exe e se lo cancello o lo sposto nel cestino ce il successivo.
Sembre siano file exe installati successivamente all'infezione.

[Adriano46]

come richiesto da Wjmat, posto il report del Kaspersky Rescue Disk

la scansione di 25 giga ha richiesto 8 ore...

sono stati trovati migliaia di file exe infettati dal virut32.ce: su questi files non ho compiuto per ora alcuna azione

sono stati altresì riscontrati due troiani backdoor, il "Backdoor.win32.IEbooot.brr"_ questi files, probabilmente opera del virus primario, sono stati eliminati

se fosse necessario ho i report delle scansioni fatte precedentemente nell'ipotesi che si trattasse del Bagle, secondo la procedura consigliata

report

salvo eventuali esperimenti, piuttosto inutili vista la situazione, cosa mi suggerite? Io pensavo di rifare la scansione col Kaspersky, operare in un modo o nell'altro sui file infetti, e quindi procedere ad una formattazione a basso livello; mi consigliereste forse qualche altro programma che assicuri la completa e reale formattazione del disco?

[wjmat]

Quote:

Originariamente inviato da Adriano46

come richiesto da Wjmat, posto il report del Kaspersky Rescue Disk

la scansione di 25 giga ha richiesto 8 ore...

sono stati trovati migliaia di file exe infettati dal virut32.ce: su questi files non ho compiuto per ora alcuna azione

sono stati altresì riscontrati due troiani backdoor, il "Backdoor.win32.IEbooot.brr"_ questi files, probabilmente opera del virus primario, sono stati eliminati

se fosse necessario ho i report delle scansioni fatte precedentemente nell'ipotesi che si trattasse del Bagle, secondo la procedura consigliata

report

salvo eventuali esperimenti, piuttosto inutili vista la situazione, cosa mi suggerite? Io pensavo di rifare la scansione col Kaspersky, operare in un modo o nell'altro sui file infetti, e quindi procedere ad una formattazione a basso livello; mi consigliereste forse qualche altro programma che assicuri la completa e reale formattazione del disco?

io avrei fatto subito la riparazione con kasp per risparmiare il tempo della seconda passata, 1° opzione ripara 2° elimina
ovviamente dopo aver backuppato tutti i documenti importanti, magari montandolo altrove o tramite un live cd per evitare di portarsi dietro ospiti indesiderati
il riavvio del sistema non è garantito visti gli innumerevoli eseguibili compromessi, di cui non è sicura la corretta riparazione

la formattazione a basso livello mi sembra un pò esagerata, ma non escudo che sia la soluzione, il più delle volte ci si reinfetta per colpa di chiavette o comunque file che si ritengono sicuri

[Chill-Out]

Suggerisco il Format riparatore, assolutamente consigliato modificare qualsivoglia password eventualmente salvata sul PC

[Adriano46]

@ wjmat: volevo fare qualche test ulteriore; dopo aver salvato alcuni dati, ho fatto girare da cd il Dr.Web ® CureIt! ®, facendogli fare una pulizia completa; ad un successivo controllo col Kaspersky Rescu Disk, continuano ad esserci migliaia di *.exe infetti.

Per quanto riguarda poi la possibile resistenza del virus ad una normale formattazione, ho letto un pò di cose preoccupanti su forum in lingua inglese, e non voglio fare questo ulteriore esperimento di reinstallare tutto per trovarmi poi di nuovo il virus.

@ Chill-Out: ti ringrazio per avermi ricordato di cambiare le pw: ogni tanto ci si dimentica della regola fondamentale di non salvare pw sul pc.

Ultima nota, il Dr.Web ® CureIt! ® riconosce il virus come Virut.56

[wjmat]

se non hai tempo e voglia di "sperimentare" fai bene a radere al suolo

[Kundalini]

ragazzi se non lo avete giá fatto vi consiglio di far andare anche Virit aggiornato a me, che avevo il win32:vitro, sul secondo harddisk(dove avast e gli altri antivirus non trovavano niente)ha trovato ben 35 file exe infetti dal Win32.Scribble.I e Win32.Scribble.F che a quanto ho letto in rete sembra che sia amico delle varie varianti virut, vitro, virtumond credo anche, e comunque li ha ripuliti(badate bene ripuliti e non cancellati come fanno avast e company)e per adesso sembra che il pc vada bene, speriamo che tenga.

[almaxy]