WARNING spyware threat ecc.. ecc..

mister pink · 28-09-2006, 21:57

Allora, oggi verso le 16,30, un mio collega (che stava navigando su di un sito del tutto insospettabile e tranquillo) si ritrova improvvisamente il PC impestato da una roba che fa uscrire sul desktop un messaggio come quello del titolo (il che di per se non sarebbe una novità) e blocca il task manager impedendo di terminare i processi sospetti.

Sul PC c'era il Norton AV, che, neanche a dirlo, non si è accorto di nulla.

La cosa strana è che, dopo aver rimosso il NAV e prima di procedere a manina, ho scaricato le trials di KAV e di Ewido e, dopo averle aggiornate, ho fatto una bella scansione del PC infetto: ebbene, nulla. Il virus era sempre al suo posto. A questo punto, dopo aver individuato i files sospetti, ne ho effettuato la rimozione manuale in modalità provvisoria. Quindi, verificato che il virus non partiva più, ho impacchettato i files sospetti e li ho spediti a Eraser.

Elenco dei files sospetti:

a.exe
jgeljxdk.exe
sumsw32.exe
yod.htm (contenente il messaggio del desktop)
runsvr32.exe
susp.exe
tcpservice2.exe

Più altra roba (dll, bin e dat) più o meno sospetti e/o collegati.

Il fatto che ne KAV ne Ewido rilevassero niente mi ha fatto pensare che si trattasse di roba nuova di zecca. Da qui la decisione di aprire questo thread e di segnalare la cosa.

juninho85 · 29-09-2006, 11:07

leggi qui

mister pink · 29-09-2006, 12:50

Nel thread che mi hai indicato si parla di gromozon e linkoptimizer, dei malware che utilizzano tecniche di rootkit.

La settimana scorsa ho rimosso da un'altro computer aziendale qualcosa di simile al gromozon utilizzando un tool specifico scaricato da internet.

Quello con cui ho avuto a che fare ieri invece era diverso: quello che mi è parso strano è che il KAV (aggiornato con le ultime definizioni) non rilevasse nulla (mi segnalava solo il comportamento sospetto di uno dei processi che poi ho rimosso manualmente).

Inoltre, prima di aprire questo thread ho effettuato una serie di ricerche sul forum utilizzando diverse parole chiave relative ai nomi dei files che avevo rimosso dal PC infetto, senza ottenere alcun risultato.

Boh. Non saprei. Io ho ritenuto utile segnalare sta roba perché mi sembrava qualcosa di nuovo (giacché il KAV non la rileva). Poi, magari, posso anche essermi sbagliato.

Attendo comunque qualche notizia da Eraser, a cui ho inviato i files sospetti utilizzando l'apposito form messo in rilievo.

WiSP! · 29-09-2006, 13:52

Quote:

Originariamente inviato da mister pink

Allora, oggi verso le 16,30, un mio collega (che stava navigando su di un sito del tutto insospettabile e tranquillo) si ritrova improvvisamente il PC impestato da una roba che fa uscrire sul desktop un messaggio come quello del titolo (il che di per se non sarebbe una novità) e blocca il task manager impedendo di terminare i processi sospetti.

Sul PC c'era il Norton AV, che, neanche a dirlo, non si è accorto di nulla.

La cosa strana è che, dopo aver rimosso il NAV e prima di procedere a manina, ho scaricato le trials di KAV e di Ewido e, dopo averle aggiornate, ho fatto una bella scansione del PC infetto: ebbene, nulla. Il virus era sempre al suo posto. A questo punto, dopo aver individuato i files sospetti, ne ho effettuato la rimozione manuale in modalità provvisoria. Quindi, verificato che il virus non partiva più, ho impacchettato i files sospetti e li ho spediti a Eraser.

Elenco dei files sospetti:

a.exe
jgeljxdk.exe
sumsw32.exe
yod.htm (contenente il messaggio del desktop)
runsvr32.exe
susp.exe
tcpservice2.exe

Più altra roba (dll, bin e dat) più o meno sospetti e/o collegati.

Il fatto che ne KAV ne Ewido rilevassero niente mi ha fatto pensare che si trattasse di roba nuova di zecca. Da qui la decisione di aprire questo thread e di segnalare la cosa.

ehm si anche io da 10 minuti ho questo stesso problema e il mio Inoculate IT non me lo segnala...come facico a toglierlo dato che non sono molto "pratico"?

juninho85 · 29-09-2006, 14:07

prova a postare un log di HJT nel thread ufficiale

mister pink · 29-09-2006, 14:20

Confermo.

Se è la stessa cosa che si è beccata il mio collega, non c'è ancora alcun antivirus che sia in grado di eliminarla. Bisogna procedere manualmente e non è facile. Io ho ripulito il PC infetto (almeno credo) rimuovendo files manualmente in modalità provvisoria e cancellando delle voci nel registro di configurazione con regedit, ma sono operazioni pericolose e difficili da fare per uno che non ha un po' di esperienza.

Fai come ti è stato detto: scarica il programma Hijackthis, fagli fare una scansione e posta il log con i risultati nell'apposito thread. Lì c'è gente esperta che ti darà una mano e ti dirà cosa fare passo per passo.

supermag84 · 12-10-2006, 18:14

E' un mese ormai che mi porto dietro lo stesso problema di cui hai parlato,riusciresti a spiegarmi passo per passo come eliminare quella fastidiosissima schermata blu??

juninho85 · 12-10-2006, 20:48

Quote:

Originariamente inviato da supermag84

E' un mese ormai che mi porto dietro lo stesso problema di cui hai parlato,riusciresti a spiegarmi passo per passo come eliminare quella fastidiosissima schermata blu??

come già detto postato un log di hijackthis qui

28-09-2006, 21:57	#1
mister pink Senior Member Iscritto dal: Jan 2006 Città: più Africa che Italia Messaggi: 2060	WARNING spyware threat ecc.. ecc.. Allora, oggi verso le 16,30, un mio collega (che stava navigando su di un sito del tutto insospettabile e tranquillo) si ritrova improvvisamente il PC impestato da una roba che fa uscrire sul desktop un messaggio come quello del titolo (il che di per se non sarebbe una novità) e blocca il task manager impedendo di terminare i processi sospetti. Sul PC c'era il Norton AV, che, neanche a dirlo, non si è accorto di nulla. La cosa strana è che, dopo aver rimosso il NAV e prima di procedere a manina, ho scaricato le trials di KAV e di Ewido e, dopo averle aggiornate, ho fatto una bella scansione del PC infetto: ebbene, nulla. Il virus era sempre al suo posto. A questo punto, dopo aver individuato i files sospetti, ne ho effettuato la rimozione manuale in modalità provvisoria. Quindi, verificato che il virus non partiva più, ho impacchettato i files sospetti e li ho spediti a Eraser. Elenco dei files sospetti: a.exe jgeljxdk.exe sumsw32.exe yod.htm (contenente il messaggio del desktop) runsvr32.exe susp.exe tcpservice2.exe Più altra roba (dll, bin e dat) più o meno sospetti e/o collegati. Il fatto che ne KAV ne Ewido rilevassero niente mi ha fatto pensare che si trattasse di roba nuova di zecca. Da qui la decisione di aprire questo thread e di segnalare la cosa. __________________ ...Anima mia, ricordi la cosa che vedemmo quella magnifica dolce mattina d'estate alla svolta di un sentiero, una carogna infame adagiata su un giaciglio di sassi con le gambe all'aria come una donna impudica bruciando e sudando i suoi veleni...(Baudelaire)

29-09-2006, 12:50	#3
mister pink Senior Member Iscritto dal: Jan 2006 Città: più Africa che Italia Messaggi: 2060	Nel thread che mi hai indicato si parla di gromozon e linkoptimizer, dei malware che utilizzano tecniche di rootkit. La settimana scorsa ho rimosso da un'altro computer aziendale qualcosa di simile al gromozon utilizzando un tool specifico scaricato da internet. Quello con cui ho avuto a che fare ieri invece era diverso: quello che mi è parso strano è che il KAV (aggiornato con le ultime definizioni) non rilevasse nulla (mi segnalava solo il comportamento sospetto di uno dei processi che poi ho rimosso manualmente). Inoltre, prima di aprire questo thread ho effettuato una serie di ricerche sul forum utilizzando diverse parole chiave relative ai nomi dei files che avevo rimosso dal PC infetto, senza ottenere alcun risultato. Boh. Non saprei. Io ho ritenuto utile segnalare sta roba perché mi sembrava qualcosa di nuovo (giacché il KAV non la rileva). Poi, magari, posso anche essermi sbagliato. Attendo comunque qualche notizia da Eraser, a cui ho inviato i files sospetti utilizzando l'apposito form messo in rilievo. __________________ ...Anima mia, ricordi la cosa che vedemmo quella magnifica dolce mattina d'estate alla svolta di un sentiero, una carogna infame adagiata su un giaciglio di sassi con le gambe all'aria come una donna impudica bruciando e sudando i suoi veleni...(Baudelaire)

29-09-2006, 14:20	#6
mister pink Senior Member Iscritto dal: Jan 2006 Città: più Africa che Italia Messaggi: 2060	Confermo. Se è la stessa cosa che si è beccata il mio collega, non c'è ancora alcun antivirus che sia in grado di eliminarla. Bisogna procedere manualmente e non è facile. Io ho ripulito il PC infetto (almeno credo) rimuovendo files manualmente in modalità provvisoria e cancellando delle voci nel registro di configurazione con regedit, ma sono operazioni pericolose e difficili da fare per uno che non ha un po' di esperienza. Fai come ti è stato detto: scarica il programma Hijackthis, fagli fare una scansione e posta il log con i risultati nell'apposito thread. Lì c'è gente esperta che ti darà una mano e ti dirà cosa fare passo per passo. __________________ ...Anima mia, ricordi la cosa che vedemmo quella magnifica dolce mattina d'estate alla svolta di un sentiero, una carogna infame adagiata su un giaciglio di sassi con le gambe all'aria come una donna impudica bruciando e sudando i suoi veleni...(Baudelaire)

12-10-2006, 18:14	#7
supermag84 Junior Member Iscritto dal: Oct 2006 Messaggi: 2	Finalmente E' un mese ormai che mi porto dietro lo stesso problema di cui hai parlato,riusciresti a spiegarmi passo per passo come eliminare quella fastidiosissima schermata blu??

29-09-2006, 11:07	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	leggi qui

29-09-2006, 14:07	#5
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29028	prova a postare un log di HJT nel thread ufficiale

Strumenti
Mostra una versione stampabile Invia questa pagina per email