[win XP] VIRUS TROJAN "OBFUSCATED"

[susy_1985]

Eccomi qui, innanzitutto grazie per le vostre risposte, vi spiego i problemi che mi dà il mio pc, precisando che le anomalie le riscontro solo quando navigo su
internet o quando mess con msn :

1) Navigando su internet si aprono in continuazione altri link sui quali nn sn andata....tipo pubblicità , ebay, casino' etc....

2) Problema su msn (ne stavo parlando con voi moderatori sull'altra discussione relativa ai virus di msn). Ieri messaggiando ho preso il virus naked...xo' seguendo le vostre istruzioni sembra che quest virus in realtà nn c'è in quanto ho seguito passo per passo cio' che viene descritto nel thread
"Guida alla rimozione virus da MSN MESSENGER" fino al punto 2....

Ora cosa devo fare , grazie!
Susy

[Chill-Out]

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Alebee]

per caso i programmi di diagnosi ti dicono che hai un file sospetto in una determinata posizione e quando ci vai, non trovi il nome del file?

[Riverside]

Quote:

Originariamente inviato da Chill-Out

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Chill, oltre ad essere infetta da obfuscated, per quanto riguarda Susy, segnalalo le risultanze di MSNFix:

Quote:

MSNFix 1.631
C:\Documents and Settings\pc\Desktop\pulisci\MSNFix
Fix effettuato il 16/01/2008 - 9.31.16,89 By fvanni
modalità normale
* Cercare i files presenti
Nessun files trovato
* Ricerca le cartelle presenti
Nessuna cartella trovata
* Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\Programmi\putty.exe] F6918AB9914B9E90D957C2BC58A80371

Quel putty.exe è da verificare.

[Chill-Out]

Quote:

Originariamente inviato da Riverside

Chill, oltre ad essere infetta da obfuscated, per quanto riguarda Susy, segnalalo le risultanze di MSNFix:


Quel putty.exe è da verificare.

si l'avevo visto, thx.
putty.exe è un'implementazione di Telnet

[susy_1985]

Ho appena finito di eseguire il tutto, vi linko i log richiesti,
cmq sia a me non sembra che ci siano problemi!
Per quanto riguardo il file PUTTY.exe ...tranquilli è un editor che gira sul sistema operativo unix, l'ho sempre usato soprattutto per scrivere codice PL/SQL!!!

Ditemi voi se trovate qualcosa che non và!
Grazie,Susy.

http://www.fileup.itadib.com/downloa...3HOTyugAAqHPTp

http://www.fileup.itadib.com/downloa...xChQzuRI3FI5mi

http://www.fileup.itadib.com/downloa...7fQOqTRyiNMHA4

http://www.fileup.itadib.com/downloa...pgK0LsCPs0Znjl

[Chill-Out]

Macano le seguenti procedure:

Eset ADS -> non serve il log
Scansione ONLINE -> serve il log
Scansione con Gmer -> serve il log

[lancetta]

Ciao oltre la procedura del buon Chill fai girare anche questo


scarica http://www.forospyware.com/attachmen...delpsguard.zip Dezippare e fallo partire. Si aprirà una schermata con la scelta del sistema operativo premi il numero corrispondente e dai invio 2 volte si dovrebbe aprire una finestra simile al pulitura disco di XP,...ma che in realtà sta facendo il suo lavoro (è solo la rappresentazione grafica) ......alla fine rilascerà un log txt che allegherai qui.
(se scompare la barra in basso, quando finisce di fare tutte le operazioni: ctrl-alt-canc-->nuova operazione-->scrivi: eplorer.exe e dai invio

[susy_1985]

Buongiorno a tutti, allora rispondo sia a chill ke a Lancetta!

X Chill : ieri ho seguito tutta la procedura, quindi ho fatto girare anche ADS, cmq lo sto' rifacendo anche ora! Per scansione ON-LINE intendi a-Squared?? Subito dopo faro' girare anche Gmer e alleghero' sia il log della scansione che quello di Gmer!

Ho eseguito le seguenti operazioni :
1) ADS --> Ho eliminato quasi tutto cio' che mi segnalava tranne 5 oggetti per i quali mi
dà il seguente msg "Error deleting the file stream, impossibile trovare il percorso specificato"

2) a-squared eseguito, allego il log!

3) Gmer eseguito, carico il log su FileUp e riporto il link :
http://www.fileup.itadib.com/downloa...UCXtbUKScwaOoT




X Lancetta : Ho provato ad andare sul link da te suggerito ma non trovo il pgm che mi dici!

Susy

[Chill-Out]

Mi riferisco a questo passaggio in Guida:
" eseguire almeno una scansione online scegliendo in SERVIZI DI SCANSIONE, ANTIVIRUS - ANTISPYWARE, ONLINE GRATUITA (necessitano di connessione internet) oppure in alternativa potete usare DrWeb CureIT e Vir.IT eXplorer Lite (necessita di connessione per l'aggiornamento) ed aspettare il termine del controllo della memoria per aggiornarlo.
gli oggetti individuati devono essere messi in quarantena, non c'è nessuna fretta di eliminarli!!"

[susy_1985]

Quote:

Originariamente inviato da Chill-Out

Mi riferisco a questo passaggio in Guida:
" eseguire almeno una scansione online scegliendo in SERVIZI DI SCANSIONE, ANTIVIRUS - ANTISPYWARE, ONLINE GRATUITA (necessitano di connessione internet) oppure in alternativa potete usare DrWeb CureIT e Vir.IT eXplorer Lite (necessita di connessione per l'aggiornamento) ed aspettare il termine del controllo della memoria per aggiornarlo.
gli oggetti individuati devono essere messi in quarantena, non c'è nessuna fretta di eliminarli!!"

Ok sto' eseguendo Panda Activescan!

[lancetta]

o cacchio! hanno cambiato il link... spetta che cerco quello giusto

[lancetta]

Mah???!!!!regole un pò discutibili però per carità ognuno in casa propria....
Comunque il tool che ho segnalato sembra che non sia più disponibile liberamente ma che vogliano l'iscrizione al forum...faccio qualche ricerca...
(peccato sono gli stessi di MSN cleaner)

[susy_1985]

Quote:

Originariamente inviato da lancetta

Mah???!!!!regole un pò discutibili però per carità ognuno in casa propria....
Comunque il tool che ho segnalato sembra che non sia più disponibile liberamente ma che vogliano l'iscrizione al forum...faccio qualche ricerca...
(peccato sono gli stessi di MSN cleaner)

Grazie dell'aiuto, cmq come consigliatomi da Chill ho eseguito una scansione
On-Line (ho utilizzato il VIRIT-LT) e mi ha trovato un virus prontamente
rimosso! Vi allego il log.
Che dite poteva essere quello a dare problemi?
Grassie Susy!

[susy_1985]

Uffi sn demoralizzata mentre navigo si continuano ad aprire pagine internet....
Anche passando il Gmer sembra nn ci siano problemi nel senso che non mi
ha evidenziato righe in Rosso!!!!!!
Ke cavolo devo fare!

[lancetta]

Quote:

Originariamente inviato da susy_1985

Uffi sn demoralizzata mentre navigo si continuano ad aprire pagine internet....
Anche passando il Gmer sembra nn ci siano problemi nel senso che non mi
ha evidenziato righe in Rosso!!!!!!
Ke cavolo devo fare!

spetta che dò un occhiata ai log

[Chill-Out]

ma non stavi eseguendo Panda Active Scan?

[susy_1985]

Quote:

Originariamente inviato da Chill-Out

ma non stavi eseguendo Panda Active Scan?

Si xo' ho trovato piu' semplice il Virit-Lt

[Riverside]

Quote:

Originariamente inviato da susy_1985

Si xo' ho trovato piu' semplice il Virit-Lt

So che non è colpa tua (VirIt è suggerito nella Guida che ti è stata linkata) ma è una semplicazione che pagherai a caro prezzo, quando si tratterà di disinstallarlo; e non tanto per la disinstallazione in sé ma per la rimozione di tutta l'immondizia che lascia in giro, in particolare a livello di Registro di sistema.

[lancetta]

Serve il log di panda in hijackthis fixa queste voci:

Quote:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Base road long save] C:\Documents and Settings\All Users\Dati applicazioni\File dvd base road\kind dent.exe
O4 - HKLM\..\Run: [Base road long save] C:\Documents and Settings\All Users\Dati applicazioni\File dvd base road\kind dent.exe
O4 - HKCU\..\Run: [vmdkbpgwdm] c:\documents and settings\pc\impostazioni locali\dati applicazioni\vmdkbpgwdm.exe vmdkbpgwdm

un appunto sulle voci

Quote:

O16 - DPF: {5e2a3510-4371-11d6-b64c-00c04faedb18} (Oracle JInitiator 1.1.8.18) - http://172.21.1.163:7778/jinitiator/jinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D96F7650-9B4A-48F3-9405-5BE82EB36418}: NameServer = 172.21.1.152,172.21.1.166

sembrano ralative ad un soft della oracle (applicazioni web based)e con esso le voci O1 - Hosts...se le conosci o inserite da te ignorale...altrimenti fixa anche queste

serve anche un log di findawf
QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.