GUIDA FINDAWF 1.4

[@Sirio@]

Quote:

Originariamente inviato da murack83pa

ciao sirio

fai una scansione con findawf, solo scansione, quindi solo funzione 1 e posta qui il log e vediamo

Ok, me lo procuro e te lo posto.
Thanks.

[@Sirio@]

Dunque, ho eseguito il tool ma ho avuto questo problemino



tempo fa aveva installato il Norton Antivirus... cmq cliccando su ignora mi ha generato il log:

Quote:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\MESSEN~1\BAK

13/10/2004 17.24 1.694.208 msmsgs.exe
1 File 1.694.208 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\NVIDIA~1\NVMIXER\BAK

20/12/2004 17.12 131.072 NVMixerTray.exe
1 File 131.072 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\DOCUME~1\NADIA\DATIAP~1\RATORE~1\BAK

0 File 0 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007 19.51 39.792 Reader_sl.exe
1 File 39.792 byte
2 Directory 64.722.644.992 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1667584 19 Aug 2004 "C:\WINDOWS\$NtUninstallKB887472$\msmsgs.exe"
1694208 13 Oct 2004 "C:\Programmi\Messenger\bak\msmsgs.exe"
1694208 13 Oct 2004 "C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
131072 20 Dec 2004 "C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"


end of report

Che ne pensi?

[murack83pa]

penso che c'è ancora traccia di zonebac, quindi devi eseguire la funzione 2 e inserire nel file di testo che ti si apre come indicato in guida questo script:

Quote:

"C:\Programmi\Messenger\bak\msmsgs.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"
"C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
"C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"

esegui come indicato in questo post 4:
http://www.hwupgrade.it/forum/showpo...58&postcount=4

quindi posta qui il secondo log che verrà creato

dopo penseremo alla completa rimozione di norton

[@Sirio@]

Ok, farò come dici e poi ti posterò l'altro log.
Thanks.

[@Sirio@]

In attesa di poter seguire i tuoi consigli ho provato ad eseguire Findawf 1.4 sul mio PC, curioso di vedere il log che mi genera per fare dei confronti (ti volevo chiedere infatti: dal log che ti ho postato, da dove deduci che ci siano tracce di Zonebac?), purtroppo non sono nemmeno riuscito a fare lo scan perchè il NOD32 mi rileva Process.exe come virus Win32/PrcView.



PS Danno fastidio gli screen così grandi al post precedente? Se vuoi li riduco.
Ciao murak e grazie ancora.

[Nuz]

Vedendo il log si nota solo la presenza di cartelle bak, che sono create da questi tipi di malware. Però se si vedono le date degli eseguibili mi pare che si possa escludere che il trojan ci sia ancora, doveva esserci almeno un eseguibile con data 2008.

[murack83pa]

Quote:

Originariamente inviato da @Sirio@

..

ciao sirio

il zonebac e l'obfuscated hanno la capacità di sostituire gli eseguibili dei programmi che partono in avvio con file infetti, mettendo gli eseguibili legittimi in cartelle bak

il fatto che dal tuo log compaiono cartelle bak con dentro gli eseguibili, vuol dire che hai avuto uno di questi trojan, probabilmente l'obfuscated, xchè lo zonebac ha anche altri effetti, sopratutto la disattivazione dell'antivirus, modifica le impostazioni del browser....

dal tuo log si evince xò questo:

Quote:

"C:\WINDOWS\system32\ctfmon.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"

il primo è il file infetto, il secondo è quello legittimo....dal tuo log emerge quindi che hai ancora quest'ultima traccia di obfuscated... o x meglio dire tuo cugino

facendo le operazioni che ti ho detto prima, dovresti aver eliminato l'obfuscated

poichè questi trojan si trasmettono tramite navigazione web, forse è meglio controllare che tuo cugino utilizzi una versione aggiornata di internet explorer o firefox(in questo caso è necessario l'utilizzo di estensioni come noscript) e inoltre verifica che ha java aggiornato all'ultima versione

in ogni caso, x un controlo generale, potresti seguire la guida alla disinfezione

edit: ha ragione Nuz, nn avevo visto le date

[@Sirio@]

Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?

[xcdegasp]

Quote:

Originariamente inviato da @Sirio@

Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?

sì lo devi ripristinare l'exe altrimenti rimani con quello infetto...

[Nuz]

Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.

[@Sirio@]

Ciao xcdegasp ..non sono sicuro che siano infetti.

@ Nuz
Si, volevo fare questa prova anch'io (visto che antivir a-squareed e SUPERantispyware non segnalano più niente), oggi pomeriggio passo a casa sua e faccio questa verifica.

[@Sirio@]

Quote:

Originariamente inviato da Nuz

Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.

Allora, come supponevo virustotal.com me lo da pulito:



Quindi penso che non ci sia bisogno di sostituire ctfmon.exe? Farò un controllo anche sugli altri.

[Nuz]

Allora puoi eliminare le cartelle bak e il loro contenuto.

[@Sirio@]

Grazie Nuz te e tutti i ri..gazzi

[xcdegasp]

ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?

[Nuz]

Quote:

Originariamente inviato da xcdegasp

ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?

Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.

[Riverside]

Quote:

Originariamente inviato da xcdegasp

ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?

Quote:

Originariamente inviato da Nuz

Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.

Mi sembra che la Guida, in questo senso sia chiara (come fa notare Nuz).
Due cose:
1) questa è una Guida all'uso del programma, non una discussione ufficiale da utilizzare per risolvere il problema della eventuale infezione: per questo, c’è un thread apposito, sul forum;
2) per quale ragione la Guida in questione, non è, ancora, stata linkata nella apposita sottosezione: Guida all'uso dei programmi??

[@Sirio@]

Come siamo fiscali...la penso diversamente, mi sembra che con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf, inoltre sono emerse alcune incopatibilità con altri software di sicurezza. Perciò credo che sia più che attinente ciò che ho scritto e dove l'ho scritto.

Saluti.

[Riverside]

Ciao Sirio; aprofitto del tuo reply per chiarire un paio di aspetti:

Quote:

sono emerse alcune incompatibilità con altri software di sicurezza

non è esatto dire che il tool è incompatibile con altri software; è noto che tool come questo e, come diversi altri, possono essere riconosciuti pericolosi dagli antivirus; la conseguenza è che, una volta riconosciuti tali, l'antivirus ne impedisce il download.
Tu ora dirai: perchè sulla Guida non è stato scritto?
La risposta è: quando ho scritto la Guida, ho dato per scontato che la cosa fosse risaputa; considerato che non è così, provvederemo ad integrare la Guida.

Quote:

con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf

D'accordo sul fatto della prova su strada; e sono contento che tu abbia risolto il problema che avevi esposto ma, lo avresti risolto comunque, indipendentemente da questa Guida.

Quote:

Come siamo fiscali...la penso diversamente

Personalmente (e sottolineo, personalmente), penso questo:
quanto viene pubblicata una Guida all'uso di un software, questa dovrebbe:
● essere spostata nella apposita Sezione;
● depurata di tutti gli interventi che si sono susseguiti.
● il relativo thread andrebbe, dal Moderatore di sezione, chiuso per evitare che gli utenti vi possano postare;
● nel caso in cui si dovessero apportare delle modifiche alla Guida, chi la ha realizzata/postata, potrebbe, in PM, chiedere al Moderatore di sezione di riaprire la discussione per il tempo necessario alla esecuzione delle modifiche;
● se non esistesse sul Forum, una discussione attinente alla tematica trattata dalla Guida, questa andrebbe aperta da chi ha realizzato la Guida ed il relativo link dovrebbe essere indicato nella Guida stessa, in maniera che la discussone sia raggiungibile anche dalla Guida (cosa che, in questa Guida, è stata fatta).

P.S.: Il post #1 della Guida è stata aggiornato

[@Sirio@]

Ciao Riverside, premetto che ho stima di te come di altri per il lavoro che svolgete continuamente.
Io non ho nulla da dire rispetto la guida anzi direi che è fatta e scritta molto bene, se ho fatto notare (come altri) a murack83pa che mancava una spiegazione sul tool era per migliorare la guida non per denigrarla (che è quello che avrei gradito anche io per la mia guida, ma nessuno ha fatto).
Per il fatto delle incopatibilità mi sono espresso male. Ho scaricato tranquillamente Findawf, il Nod mi ha rilevato il virus quando ho tentato di fare la scansione, mi ha messo in quarantena Process.exe creato da Findawf e quindi non sono riuscito ad eseguire lo scan.
Poi, per chi avesse avuto il Norton installato in precedenza la libreria in questione della Symantec (vedi screen sopra) non permette di proseguire il tool, cioè Findawf viene terminato.

Il tuo pensiero sulle guide chiuse potrebbe essere una buona idea, però da quello che ho constatato personalmente tenendola aperta si offre un maggior aiuto a tutti gli utenti e comunque penso che il discuterne approfondisca la conoscenza del programma.. anche perchè la maggior parte di questi sono in continua evoluzione.

Ultima cosa, io ho aspettato circa una settimana prima che xcdegasp mi spostasse la guida nell'apposita sezione, ma non credo che questo sia un problema.

Dimenticavo... a te non li ho ancora fatti, complimenti per la guida.