|
11/01/2012 15:15:03
Oggi mi si è installato un programmino nell`esecuzione automatica del PC:
0.3061406695774218.exe
Ancora devo capire come abbia fatto, a voi è mai successo?
Ora l`ho rimosso dall`esecuzione automatica....è sufficiente?
Ritornerà?
M`è preso un colpo stamattina...
|
|
11/01/2012 17:55:06
Ciao,
sembra il classico exe che reindirizza le connessioni verso un server internazionale...
Nel tuo caso la grecia 0.30 si trasforma in 030.
Se non lo hai già cancellato,
vai su questo sito www.virustotal.com
fai l`upload del file
attendi la verifica con i 30 motori antivirus, url e trojan
conta i risultati sospetti
se almeno 4 indicano un sospetto allora dovresti aggiornare il tuo antivirus e fare una scansione totale
Se lo hai cancellato,
aggiorna il tuo antivirus e fare una scansione totale
poi cerca ed esegui TweakNow RegCleaner 6.4.5
verifica se c`è qualche entry nel registry che richiama il file sospetto
se non c`è cancella
Se hai un solo PC,
scarica Hiren`s BootCD 15.1
scarica le istruzioni con il menù di navigazione per trovare i tool antivirus da sheel
masterizza l`immagine su un cd
avvia il pc con boot da cd Hiren`s
esegui almeno queste scansioni:
ClamWin Free Antivirus 0.97.3
RootkitRevealer 1.7.1
... e quelli che ti necessitano per dormire tranquillo 
Per qualche giorno, dopo l`avvio di Windows verifica se ricompare
cercalo nel PC come 0.30*.exe
Se hai problemi posta sul 3D 
|
|
11/01/2012 18:36:49
Renderizza le connessioni a che pro?
A che vado in contro?
Cmq ora seguiro le tue indicazioni...cmq l`antivirus è Avira ed è aggiornato.
Faccio intanto lo scan totale
Grazie
|
|
11/01/2012 19:19:53
Renindirizza le connessioni in modo da loggare quello che digiti sulla tastiera...
Non ti accorgi perchè vedi il sito che ti serve ma mentre digiti, il server logga e grabba tutto
User, Password, Chat, e-mail acceduta su web etc.
Sono degli exe derivati dal periodo dei modem, solo che ora al posto di farti pagare delle telefonate verso i caraibi di grabbano le info, specialente user, password e carte di credito.
La tecnica utilizzata si chiama "Man in the midle", qui trovi una descrizione un po tecnica...
www.slideshare.net/infosecinstitute/man-in-the-middle-hacking-illustrated-4908785
L`exe sostituisce la serie di comandi e configurazioni che l`hacker ha utilizzato per le slide
|
|
11/01/2012 19:47:31
che win hai? io ho xp, almeno nel mio caso (ad un esame NON invasivo... quindi no formattone, no console di ripristino e scazzi vari) farei cosi`:
- scarica ccleaner e hijackthis (programmi gratuiti)
- installa ccleaner (mentre hijackthis e`solo un eseguibile)
- esci da ogni programma, browser ecc.
- disabilita Ripristino configurazione sistema sulle tue unita`
- cancella l`eseguibile sospetto e l`esecuzione di esso dall`automatica
- vai in esegui, fai "msconfig" ed elimina il segno di spunta dall`avvio (nel caso ci fosse)
- sempre da esegui, fai "regedit" e fai una ricerca per il nome di questo file sospetto: cancella ogni traccia.
- lancia ccleaner (cancellera` cache e temporani)
- lancia hijackthis, fagli fare una scansione (SCAN)
- salva ed apriti il log che ti genera e dallo in pasto al sito http://www.hijackthis.de/it (fai copia incolla di tutto il log) e fai ANALIZZA.
- rimuovi le voci che il sito ti genera come maligne: cioe`flagga le corrispondenti voci trovate maligne su hijackthis e fai "FIX CHECKED"
- riavvia
- fagli una scansione con l`antivirus/antimalware/spyware/rootkit (insomma quello che hai)...
- vedi nuovamente hijackthis se stavolta ti dice tutto ok...
- riattiva Ripristino configurazione sistema sulle tue unita`
et voila!
|
|
11/01/2012 19:55:17
@ConteDDracula : se posso aggiungere, io terrei disabilitato in maniera permanente `Ripristino configurazione sistema` perchè alcuni virus tendono a installarsi pure li. Per cui meglio avere un Iso di una installazione pulita, cosi in caso di necessità di formattone vai di Ghost e in 10 minuti sei di nuovo a posto.
|
|
11/01/2012 20:12:29
Ho fatto anche uno scan con Spybot e risulta negativo.Passo alle altre operazioni...
Intanto grazie a tutti...aggiorno passo passo!
|
|
11/01/2012 20:14:52
Azz pericolosi questi dannati!!
|
|
11/01/2012 20:26:20
... un mio cliente mi ha chiamato una domenica mattina dicendomi " ho preso un dito nel c..o !" ...
Quel "dito" gli è durato un mese ...
5600 PC infetti tra italia, romania, marocco e brasile con 95 server sospetti !!!
Il bello è che ha un sacco di agenti con i notebook e c`è voluto un po per riuscire a ripulire tutto !
Pensate poi che per un mese ha verificato i dati dei backup in una posizione diversa prima di ogni restore...
Una nota marca di antivirus ha pagato parecchio perchè aveva rilasciato una versione del DB aggiornata togliendo le firme di alcuni vecchi virus che puntualemente continuano a girare in rete, è stato un disastro !
|
|
11/01/2012 20:31:07
"Una nota marca di antivirus ha pagato parecchio perchè aveva rilasciato una versione del DB aggiornata togliendo le firme di alcuni vecchi virus che puntualemente continuano a girare in rete, è stato un disastro !"
se non altro qualcuno ha pagato, e non solo il clt!
|
|
11/01/2012 21:13:13
Il pensiero del cliente è stato piuttosto chiaro ...
"Io mi sono preso un dito nel c..o, se devo farmelo piacere, ungete bene ... altrimenti pubblicità "!
Hanno pagato subito e non gli hanno fatto pagare il rinnovo della manutenzione software per 2 anni.
Fra un anno cambierà antivirus !
news.cnet.com/8301-1009_3-20003074-83.html 
|
|
11/01/2012 21:27:58
Giusto un info: ma il task manager vede che è in esecuzione?
|
|
11/01/2012 23:20:49
Dipende...
I redirect vecchi si li vedi si chiamano come il file exe, quelli nuovi li trovi come copie dei servizi di rete windows e quindi sono difficili da identificare.
C`è una bella variante di un virus che fa 2 operazioni furbine durante il boot ...
Individua l`antivirus(Trend, Symantech, McAffe), manda in errore il servizio che controlla la memoria e i processi dell`antivirus stesso, modifica una DLL e riattiva l`antivirus
Risultato, l`antivirus è in funzione ma non rileva il virus che si è mascherato 
In seguito sostituisce svchost.exe di Windows XP e ascolta le connessioni via rete, quando individua user e password fa un upload da browser http delle info rilevate sul sito di destinazione 
Cosa vedi sul PC ... Niente, tanti bei svchost.exe in esecuzione ...
L`unico modo per intervenire è bloccare le condivisioni di rete in quanto il fetente si replica attraverso le share, infatti cerca subito di arrivare sui file sever e sui domain controller e poi eseguire una scansione dei PC utilizzando un cd di boot con il db dell`antivirus aggiornato sul CD stesso che è solo read-only
Se crei una distro bootabile da USB ti frega al secondo boot in quanto è read/write
In rete ci sono tantissime guide per creare dei batch virus belli che pronti 
Cerca : C + + , Batch Virus code to disable All Hard disk
|
|
11/01/2012 23:26:45
Premetto che utilizzo con S.O. Windows 7.
Fino ad ora ho effettuato le seguenti operazioni:
Rimozione della voce dall`esecuzione automatica
Aggiornamento e scan totale del sistema
Scan con SpyBot
Ccleaner per il registro di sistema.
Ora dovrei fare :
Se hai un solo PC,
scarica Hiren`s BootCD 15.1
scarica le istruzioni con il menù di navigazione per trovare i tool antivirus da sheel
masterizza l`immagine su un cd
avvia il pc con boot da cd Hiren`s
esegui almeno queste scansioni:
ClamWin Free Antivirus 0.97.3
RootkitRevealer 1.7.1
Sto andando bene?
|
|
11/01/2012 23:42:22
OK, stai provando la scansione totale senza potenziali virus caricati dal tuo disco.
Considera anche la procedura di ConteDracula, purtoppo una strada unica e collaudata non c`è, solo strumenti + o - buoni e aggiornati per cercare e correggere.
www.virustotal.com usa i 30 motori AV migliori per verificare i file, io lo uso dopo ogni download per controllare cosa mi è arrivato !
|
|
12/01/2012 09:08:16
Evviva, "dovrei" aver risolto...
Ho fatto un mix di tutti i vostri consigli:
Ho dato una bella ripulita al registro di sistema, ho fatto uno scan totale del PC (c`ha messo 4 ore!!), Spybot, ho utilizzato hijackthis con relativa analisi sul sito stesso + msconfig + regedit (come diceva ConteDDr.) tutto sembra risultare negativo!
Ora mi manca solo Hiren`s BootCD 15.1, dovrebbe essere a quanto ho capito l`ultimo passo per la vittoria finale 
Virustotal l`ho inserito tra i preferiti 
Caxxo quante cose non so...
|
|
12/01/2012 13:11:16
@pastrocchio : infatti, mi sembrava troppo semplice. Brutti b@@@@di. Grazie dell preziose info.
Grazie anche allo spazio concessomi da gureto majinga per le delucidazioni.
|
|
12/01/2012 15:04:27
Figurati
L`ho aperto per risolvere il mio problema ma anche per essere d`aiuto a chi (spero di no) si troverà nella mia stessa situazione.
|
|
12/01/2012 16:01:57
Per tutti, qualche regola per sopravvivere ai vermetti ...
Antivirus anche gratis ma sempre aggiornato
Verifica sempre quello sche scarichi prima di eseguirlo
Verifica sul web se il contenuto di una tua e-mail sospetta è già stato segnalato
Nessuno ti regala nulla, se arriva un link via pop-up o in una e-mail controlla con VirusTotal
Non leggere o rispondere ad e-mail sospette da Outlook senza un antivirus integrato, leggetele via web se potete e se l`utente è reale ti scriverà nuovamente con parole diverse
Per gli utenti di Windows 7:
Win 7 è sicuro, non disabilitate UAC e il firewall
Se proprio volete usare dei programmi di dubbia provenienza  scaricate la Virtual Machine Windows XP gratuita per gli utenti regolari di Windows 7 ...
Se quella si corrompe la riattivate dalla sua immagine mantenendo pulito il vostro Windows 7
La trovate qui:
windows.microsoft.com/en-us/windows7/products/features/windows-xp-mode
|