Olimpo Informatico

Draken · Inviato: 18 Mar 2008 12:42 Oggetto: RISKWARE INVADER (loader) - KIS7

Buona giornata a tutti,

da circa una decina di giorni KIS7 mi riporta la presenza d'un Riskware.

Infatti, in: Protezione>Stato della Protezione del Computer>Rilevato: Riskware Invader (loader).

Processo in esecuzione: C:\Programmi\Internet Explorer\iexplore.exe.
"Tutte le minacce sono state isolate".

Credo di ricordare che al primo avviso di rilevamento (finestra rossa accesa lato dx. schermo) io abbia tentato come suggerito un: rollbak ai dati precedenti.

Mi è stato specificato da KIS7, che detto Rollbak è stato eseguito PERO' con errori.

Credo di ricordare anche d'aver bloccato certe .dll (mai presentate prima da KIS7) tipo: transex.dll e forse altre...non ricordo più.

Morale: malgrado l'assistenza richiesta nel Forum specifico, NON riesco ad uscirne dalla situazione.

E' stato inviato anche un file LOG (veramente ben strutturato) al Forum, che non ha rilevato nulla di anomalo....(?!)

Si crede che detto Riskware abbia tentato di modificare lo Startup e la barra di IE.

Nulla di più....purtroppo.

Come dicevo nel mio primissimo Post in: Sicurezza, l'aiuto del Forum KIS7(Moderatore) cè stato, MA senza risolvere il problema.

Riusciamo a risolverlo invece noi assieme?

Un rigraziamento ed un saluto.
Draken

bdoriano · Inviato: 18 Mar 2008 12:49 Oggetto:

Ciao Draken, Ciao

Per poter analizzare il tuo problema, procediamo per gradi:

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Scarica Norman Malware Cleaner e NOD32 Scanner.
Avvia il pc in modalità provvisoria.
Avvia NOD32 e fagli fare la scansione completa.
Avvia Norman Malware Cleaner e fagli fare la scansione completa.
Viene generato un log sul desktop chiamandolo NFix_2008-03-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
Segui le istruzioni di questo topic per postare il log di combofix.
Segui le istruzioni di questo topic per postare il log di hijackthis.

PS: se vuoi, puoi presentarti qui

Draken · Inviato: 18 Mar 2008 15:20 Oggetto:

Ciao e grazie al momento bdoriano,
solo un paio di precisazioni:

1. Norman e NOD32 li scarico e li INSTALLO subito o li INSTALLO SOLO in F8? (credo la seconda)

2. Settaggi particolari per tutt'e due o NESSUN settaggio?

Ci sentiamo appena fatto (sto ....anche....lavorando)

Draken

bdoriano · Inviato: 18 Mar 2008 16:22 Oggetto:

Draken · Inviato: 19 Mar 2008 01:00 Oggetto: Ecco fatto

Ciao bdoriano,
alla fine (a quest'ora...) ce l'ho fatta, c'è voluta una vita.....

Nessun rilevamento con NOD e pare nessun rilevamento con Norman....

Ci capisco sempre meno...

Ti allego il log di Norman come hai richiesto

NFix_2008-03-18_22-08-28.log

PS. sono tornato in modalità normale, MA non ho DEflaggato il Ripristino Configurazione Sistema (è ancora flaggata).

Sappimi dire cosa fare, quando puoi

Ciao
Draken

Draken · Inviato: 19 Mar 2008 02:06 Oggetto: Log Hijack

Scusami bdoriano,

non riesco a postarti il LOg in oggetto. Evil or Very Mad

Mi rinfreschi la procedura...grazie e a risentirci

Draken

Draken · Inviato: 19 Mar 2008 09:38 Oggetto: Log Hijack

Al mattino si ragiona .....meglio.
ecco il LOG Hijack:
hijackthis363.log

a risentirci e scusami

PS. sono sempre flaggato su Ripristino Configurazione Sistema

bdoriano · Inviato: 19 Mar 2008 15:03 Oggetto:

Hijackthis in modalità provvisoria non segnala processi strani.
Non sei riuscito a utilizzare ComboFix? Think

Lasciamo disabilitata la modalità provvisoria fino alla fine dei "lavori".

Draken · Inviato: 19 Mar 2008 17:24 Oggetto: Combo

Ciao bdoriano,

vorrei evitare Combo per evitare (di nuovo...) di disabilitare KIS7.

Ammesso di riuscirvi, andando a deflaggare ogni sua singola attività: antivirus, Firewall, Difesa Proattiva.....che non è cosa da poco....

ho veramente il timore che a quel punto ENTRI DI TUTTO ed in un solo secondo; ovvero tutto quello che KIS7 bloccava sino ad oggi.

Non mi sorprende che Hijack non trovi nulla, probabilmente KIS7 BLOCCA, fa il suo lavoro...giusto il ragionamento?

Sappimi dire, grazie

Draken

bdoriano · Inviato: 19 Mar 2008 18:57 Oggetto:

Non devi disabilitare tutto KIS7, ma solo la sezione Antivirus, tieni attivo il firewall durante il download e poi ti disconnetti da internet (stacchi il cavo di rete se sei collegato a un router).
Visto che ci siamo ti chiedo di fare anche questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.
Così abbiamo 2 logs su cui investigare.

Draken · Inviato: 21 Mar 2008 01:13 Oggetto: Ecco il lo Combo

Ciao e scusami per il ritardo....giornata infernale.

Ti posto il log in oggetto, domattina ti posto anche l'altro che devo ancora eseguire (sono un po ...cotto oggi)

ComboFix34.txt

Ma che razza...di programma è Combo...me la sono fatta addosso...mentre girava.

Penso comunque che facesse "a cazzotti" con la Difesa Proattiva di KIS7, ogni secondo mi si "accendeva" un avviso per "Consentire" o meno, oppure per la "presa totale del sistema". d'oh!

La prox. volta mi cerco un defibrilatore o spengo la Difesa, NON voglio vedere cosa succede....
speriamo almeno sia andata bene ANCHE con Difesa attivata....che non abbia bloccato qualche attività di Combo a livello di Registro....

Ti saluto e sappimi dire, quando puoi.
Paolo

Draken · Inviato: 21 Mar 2008 10:49 Oggetto: LOG Suspect

Ciao bdoriano, come convenuto ti posto il log in oggetto

21_03_2008_9_05_report.zip

Debbo dirti come per il prec. log, che KIS7 non se l'è presa NIENTE bene.

Attualmente mi consiglia di circoscrivere delle minacce alla sicurezza(SUSPECT), inoltre ho dovuto (come il solito) "Consentire" o "Saltare" c erti processi per far avanzare Suspect nelle sue attività.

Ciò è dovuto alla Difesa Proattiva che sorveglia:
1.Analisi Attività Applicazione
2.Controllo Integrità Applicazione
3.Registry Guard

Ti sto elencando il tutto sia per: rimuovere tutto quanto è stato caricato nei diversi passaggi,(me lo dirai tu, quando...)

MA soprattutto per il DUBBIO che la Difesa Proatt. (attivata) abbia vanificato certe procedure di scansione anche per Combo e NOD....
il dubbio....c'è...ovvero:

ovvio che KIS7 blocchi tutto, c'è la Difesa attiva...e che difesa.. come vedi....
blocca QUALSIASI COSA che tenti di modificare il Registro,
effettuando una comparazione col VECCHIO Registro (hai i file in binario affiancati) per notare le modifiche,....è la scoperta.. dell'acqua calda! Idea

A questa situazione (di modifica) TU DEVI (purtroppo a volte) prendere decisioni, come postavo in Sicurezza.....si spera quelle buone, SE sei in grado....molto spesso io NON lo sono.

QUESTO è il senso della mia domanda nella sezione Sicurezza....alla quale purtoppo NESSUNO ha risposto...o ha saputo e/o ha voluto rispondere......
(faccio al proposito un sacco di considerazioni.....come immaginerai)

Figurati che blocco persino gli aggiornamenti Microsoft...a volte....
sai... con certi messaggi..."il file excel.exe è stato modificato... cosa vuoi fare???" tanto per dirtene uno...., figurati con qualche manciata di .dll mai viste prima.....

Aspetto (con impazienza) una tua risposta in merito,grazie Bdoriano.... e porta pazienza....sai quanta ne porto io.....
sappimi dire. Ciao
Draken

bdoriano · Inviato: 21 Mar 2008 17:23 Oggetto:

In effetti, combofix e systemscan utilizzano metodi poco ortodossi per scovare le varie minacce virali (è per questo che si consiglia di disattivare il proprio antivirus durante le varie scansioni).
Praticamente, si tratta di combattere il fuoco con il fuoco. Twisted Evil

Per quanto riguarda i tuoi dubbi su cosa consentire e cosa no... è difficile da spiegare, devi conoscere i processi principali del S.O. e valutare i messaggi di allarme di volta in volta. E' anche per quello che difficilmente troverai una risposta secca alla tua domanda nella sezione Sicurezza.
L'argomento non si può risolvere in semplici "questo si, quello no".
Ti posso, al limite, indirizzare a un paio di siti (suggeriti dall'amica madvero) dove puoi trovare informazioni su parecchi processi di Windows:
Process Network e/o Greatis Application Database.
Adesso sto andando OT. Razz

Vedrò se mi sarà possibile trovare altre info e postartele in Sicurezza per aiutarti a risolvere qualche dubbio. Wink

Intanto, sii paziente, che mi leggo i tuoi logs.

bdoriano · Inviato: 22 Mar 2008 22:14 Oggetto:

Qualcosa c'è... ma sembrerebbero dei rimasugli

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Files to delete:
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\nod64.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\MSConfig\startupreg\MSMSGNER
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\MSConfig\startupreg\Nod32 Service

e clicca Proceed with removal

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.