Attenti al file A~NSISU.exe

bepigreen · 05-11-2005, 13:11

Ho beccato sto @]]§°*é^^? e adesso il computer non funziona più correttamente: è lentissimo explorer non copia più , non cerca più , il ripristino di sistema non parte più e l'antivirus (Norton aggiornato) nemmeno.

Il bello è che il file in questione l'ho dovuto trovare a mano andando a ritroso, perchè solo due antivirus lo riconoscono ArcaVir e NOD32, tutti gli altri non lo vedono.
Chi ne parla come symantec, ne parla come un piccolo spyware di poca importanza, ma vi assicuro che a me ha fatto male.

Ha creato la dir sistem32\vchost e c'ha piazzato dentro un vchost fasullo e un .ocx altrettanto che richiama dal run del registro.
Naturalmente l'ho cancellato (sia lui che il richiamo) ma non basta perchè sicuramente ha sovrascritto qualche file della system32 e della system32\dllcache dato che sono state modificate nel preciso istante dell'infezione.

Questo è quello che per ora ho scoperto da solo.

Nessun altro ha avuto sta rogna ?

Help !!!

MrOZ · 05-11-2005, 13:28

ciao, puoi mandarmi il file A~NSISU.exe al mio indirizzo [email protected] ???

ciao e grazie.

andorra24 · 05-11-2005, 13:42

Posta un log di hijackthis nel thread in rilievo.

juninho85 · 05-11-2005, 15:58

Quote:

Originariamente inviato da andorra24

Posta un log di hijackthis nel thread in rilievo.

quoto,non dovrebbe essere difficile da cazziare

bepigreen · 05-11-2005, 22:09

X MrOZ
Non ho il file bast*****, però ho il file che lo genera nella cartella temp perchè l'originale è stato spazzato via da un primo tentativo di pulizia e poi non ho più rilanciato il file infetto per averne un'altra copia.
Manderò comunque quello ripieno che disassemblato ha delle routine a dir poco evidenti (persino a me) che generano l'A-NSISU.EXE nella dir temp e poi lo lanciano.
Scusa il ritardo perchè farò un po' di fatica (visto che il mio PC è in stallo) ma te lo mando di sicuro.

ciskje · 06-11-2005, 11:43

ascolta io quel file li me lo sono trovato nella cartella dei file temporanei dopo aver installato dvddecrypter o il gioco need for speed underground 2 ora non ricordo quale dei due ,percaso hai installato uno di questi 2 programmi?comunque io non ho avuto problemi ,comunque il nome era uguale perchè me l'ero scritto (prima di toglierlo)x curiosità.ciao

juninho85 · 06-11-2005, 12:05

Quote:

Originariamente inviato da ciskje

ascolta io quel file li me lo sono trovato nella cartella dei file temporanei dopo aver installato dvddecrypter o il gioco need for speed underground 2 ora non ricordo quale dei due ,percaso hai installato uno di questi 2 programmi?comunque io non ho avuto problemi ,comunque il nome era uguale perchè me l'ero scritto (prima di toglierlo)x curiosità.ciao

infatti il file è di need for speed 2

juninho85 · 06-11-2005, 12:11

il log è pulito,come immaginavo quel file dovrebbe essere un falso positivo

bepigreen · 06-11-2005, 12:25

Il falso positivo.... mi ha segato la macchina.
Ti auguro i non trovare "falsi positivi" come è capitato a me, altrimenti capiresti di cosa parlo.
Comunque grazie

juninho85 · 06-11-2005, 12:42

fai cosi:esegui need for speed 2(se lo hai installato)e ewido(dopo averlo aggiornato)assieme,il pc andrà un pò lento però almeno ti assicuri che mi sto sbagliando io

bepigreen · 07-11-2005, 11:53

Come faccio a provare a lanciare questo o quello se il PC è segato ?
Non funziona più niente, Antivirus compresi, Taglia incolla ecc ecc il classico effetto worm.blaster

Comunque (con un altro PC) ho trovato un AV che l'ha riconosciuto.
Sul file in questione ArcaVir mi ha risposto così:
Infestato da :Adware.Sahat.F

ciao

juninho85 · 07-11-2005, 12:06

Quote:

Originariamente inviato da bepigreen

Come faccio a provare a lanciare questo o quello se il PC è segato ?
Non funziona più niente, Antivirus compresi, Taglia incolla ecc ecc il classico effetto worm.blaster

Comunque (con un altro PC) ho trovato un AV che l'ha riconosciuto.
Sul file in questione ArcaVir mi ha risposto così:
Infestato da :Adware.Sahat.F

ciao

aspetta...un conto è parlare di worm blaster,ben diverso da un qualsiasi ad-ware,stanne certo

prova a vedere se qui può esserci qualcosa che t'interessa

juninho85 · 07-11-2005, 12:12

altra cosa

rova in qualche modo a eseguire hijackthis,magari rinominando l'eseguibile....dovremmo riuscire a rimuoverlo senza troppi problemi

juninho85 · 07-11-2005, 12:13

i file infetti dovrebbero essere "C:\WINDOWS\system32\lsp.dll" più qualche altro nella cartella temp e temporany internet files

05-11-2005, 13:11	#1
bepigreen Junior Member Iscritto dal: Nov 2005 Messaggi: 9	Attenti al file A~NSISU.exe Ho beccato sto @]]§°*é^^? e adesso il computer non funziona più correttamente: è lentissimo explorer non copia più , non cerca più , il ripristino di sistema non parte più e l'antivirus (Norton aggiornato) nemmeno. Il bello è che il file in questione l'ho dovuto trovare a mano andando a ritroso, perchè solo due antivirus lo riconoscono ArcaVir e NOD32, tutti gli altri non lo vedono. Chi ne parla come symantec, ne parla come un piccolo spyware di poca importanza, ma vi assicuro che a me ha fatto male. Ha creato la dir sistem32\vchost e c'ha piazzato dentro un vchost fasullo e un .ocx altrettanto che richiama dal run del registro. Naturalmente l'ho cancellato (sia lui che il richiamo) ma non basta perchè sicuramente ha sovrascritto qualche file della system32 e della system32\dllcache dato che sono state modificate nel preciso istante dell'infezione. Questo è quello che per ora ho scoperto da solo. Nessun altro ha avuto sta rogna ? Help !!!

05-11-2005, 22:09	#5
bepigreen Junior Member Iscritto dal: Nov 2005 Messaggi: 9	log X MrOZ Non ho il file bast****, però ho il file che lo genera nella cartella temp perchè l'originale è stato spazzato via da un primo tentativo di pulizia e poi non ho più rilanciato il file infetto per averne un'altra copia. Manderò comunque quello ripieno che disassemblato ha delle routine a dir poco evidenti (persino a me) che generano l'A-NSISU.EXE nella dir temp e poi lo lanciano. Scusa il ritardo perchè farò un po' di fatica (visto che il mio PC è in stallo) ma te lo mando di sicuro. Ultima modifica di bepigreen : 06-11-2005 alle 12:27.*

06-11-2005, 11:43	#6
ciskje Member Iscritto dal: Jan 2005 Messaggi: 299	ascolta io quel file li me lo sono trovato nella cartella dei file temporanei dopo aver installato dvddecrypter o il gioco need for speed underground 2 ora non ricordo quale dei due ,percaso hai installato uno di questi 2 programmi?comunque io non ho avuto problemi ,comunque il nome era uguale perchè me l'ero scritto (prima di toglierlo)x curiosità.ciao __________________ SONY VAYO INTELL PENTUM 4 ,2,8GHZ WINDOWS XP HOME sp2 SCHEDA SAPPHIRE HD 3850 DDR3 512 , 1.5 G DI RAM ,ASUSTEK P4SD-VL,schermo samsung syncmaster 19'',+skystar 2,kaspersky internet security+audigy2 zs.

06-11-2005, 12:25	#9
bepigreen Junior Member Iscritto dal: Nov 2005 Messaggi: 9	sì ma... Il falso positivo.... mi ha segato la macchina. Ti auguro i non trovare "falsi positivi" come è capitato a me, altrimenti capiresti di cosa parlo. Comunque grazie

07-11-2005, 12:12	#13
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	altra cosarova in qualche modo a eseguire hijackthis,magari rinominando l'eseguibile....dovremmo riuscire a rimuoverlo senza troppi problemi

05-11-2005, 13:28	#2
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	ciao, puoi mandarmi il file A~NSISU.exe al mio indirizzo [email protected] ??? ciao e grazie.

05-11-2005, 13:42	#3
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Posta un log di hijackthis nel thread in rilievo.

06-11-2005, 12:11	#8
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	il log è pulito,come immaginavo quel file dovrebbe essere un falso positivo

06-11-2005, 12:42	#10
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	fai cosi:esegui need for speed 2(se lo hai installato)e ewido(dopo averlo aggiornato)assieme,il pc andrà un pò lento però almeno ti assicuri che mi sto sbagliando io

07-11-2005, 11:53	#11
bepigreen Junior Member Iscritto dal: Nov 2005 Messaggi: 9	Come faccio a provare a lanciare questo o quello se il PC è segato ? Non funziona più niente, Antivirus compresi, Taglia incolla ecc ecc il classico effetto worm.blaster Comunque (con un altro PC) ho trovato un AV che l'ha riconosciuto. Sul file in questione ArcaVir mi ha risposto così: Infestato da :Adware.Sahat.F ciao

07-11-2005, 12:13	#14
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	i file infetti dovrebbero essere "C:\WINDOWS\system32\lsp.dll" più qualche altro nella cartella temp e temporany internet files

Strumenti
Mostra una versione stampabile Invia questa pagina per email