| Precedente :: Successivo |
| Autore |
Messaggio |
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
 Inviato: 22 Ott 2010 19:07 Oggetto: Antivirus 2010 |
 |
|
Ciao R16,
Ho un problema sul pc di un mio amico, che si è beccato questo fastidioso rogue... Purtroppo quello che ho imparato da te non mi è bastato per riuscire a debellarlo...
E' veramente fastidioso perchè riesce sempre a killare i processi di qualsiasi software antivirus/malware/spyware. Lavora in modo particolare, togliendo i permessi per l'esecuzione dei file (ripristinarli a mano è possibile farlo col comando cacls <full path to the program> /G Everyone:F , ma è inutile perchè bisognerebbe che venisse applicato in tempo reale istante per istante). Ti riporto questa discussione:
http://forum.zeusnews.com/viewtopic.php?t=51284
-------------------------------------------------------------------------------
Combofix non si avvia, nemmeno con il parametro KillAll.
Malwarebytes', superantispyware e HJT crashano dopo pochi istanti dall'inizio della scansione (sia in avvio normale che in modalità provvisoria)
Il vero problema di questo rogue è trovare la path degli eseguibili che utilizza....Killare il processo svchost.exe non porta a nulla perchè si ricrea pochi istanti dopo.
Ora provo a vedere se riesce a portare a termine la scansione con systemscan. EDIT: Provo a fare una scansione con una live usb di Dr. web ed Avira. Ti faccio sapere.
Sono in attesa di qualche tuo consiglio.
Grazie
Simone |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 22 Ott 2010 22:48 Oggetto: |
|
|
Ciao SamFisher (Simo) 
Ti ringrazio per la stima nei miei confronti, ma evita di fare nomi specifici per risolvere un problema.
Ti assicuro, che qui, c'è gente anche più brava di me.
Comunque vediamo di risolvere questo problema. 
Sarebbe fondamentale se la scansione con Systemscan andasse a buon fine. (posta il log)
Hai provato a vedere nel Task Manager se c'è qualche processo relativo al rogue ?
Segui il percorso di questa chiave, apri la cartellina "Run" e vedi se trovi voci random. (oppure "Gamma Windows Display")
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Controlla anche questa:
HKEY_CURRENT_USER \ Software \ AV2010
Se la trovi la elimini (AV2010)
Fai questa scansione:
Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware
link
Poi, senza spegnere o riavviare il pc, prova a far partire Mbam.
Non mi hai detto che S.O usa il tuo amico. |
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 23 Ott 2010 14:30 Oggetto: |
|
|
Innanzitutto grazie per la risposta!
Ricevuto. Dato che già ti conosevo ho scritto il titolo mirato, sono sicuro, data la serietà del forum, che vi sono molti altri ottimi elementi.
La serie di operazioni che mi hai elencato le avevo precedentemente fatte. Resta solo il problema più fastidioso, quel maledetto svchost.exe fasullo che corrompe i vari tool di rimozione.
La scansione con dr. web, dopo circa 7 ore (si noti la potenza degli intel atom a scansionare gli archivi :O ) ha dato esito negativo e non è riuscita a debellarlo.
Ora sto procedendo con Systemscan, ci sentiamo stasera per il log.
Essendo un netbook, il SO è Windows XP Home SP3 (ovviamente x86)
Ciao
EDIT: Ecco il report: 23_10_2010_14_43_report.zip |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 23 Ott 2010 15:23 Oggetto: |
|
|
Ciao.
Il responsabile dovrebbe essere questo:
C:\documents and settings\Melissa Saccon\Menu Avvio\Programmi\Esecuzione automatica\updyrb32.exe
Segui il percorso ed eliminalo.
Ma ci sono anche altre infezioni.
Elimina anche questa cartella:
C:\Documents and Settings\Melissa Saccon\Dati applicazioni\PriceGong
Tagliamo la testa al toro, e riprova una scansione con combofix.
Prima però elimina quel file (updyrb32.exe) dall'esecuzione automatica. |
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 23 Ott 2010 20:39 Oggetto: |
|
|
| Negativo, non risolve la situazione...Provo Avira rescue sistem e ti faccio sapere. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Ott 2010 11:01 Oggetto: |
|
|
scusate l'intromissione, 
sto giusto "litigando" anch'io con un pc su cui si è installata la bestiolina...
Giusto per la cronaca, oltre ad aver inserito all'avvio il file updyrb32.exe, ha infettato i seguenti files (sfruttando degli ADS su NTFS):
- C:\Windows\System32\userinit.exe
- C:\Windows\System32\svchost.exe
- C:\Windows\System32\igfxtray.exe
Al momento, sto usando diversi approcci (dev'essere una nuova variante, rispetto alla vecchia):
- Ho fatto fare una prima scansione con drWeb Live CD (mi ha riconosciuto solo il primo file infetto... dopo 11 ore di scansione su un disco da 80GB occupato a metà).
- In modalità provvisoria:
Ho usato gmer,
Remove Fake Antivirus,
rkill + MBAM aggiornato manualmente (che hanno riconosciuto le altre 2 infezioni)
- ora, mi accingo a fare una scansione con SuperAntiSpyware Portable in modalità normale.
Visto che, installando SAS normalmente e cercando di avviarlo, ho ottenuto un BSOD.
Il tutto, tenendo il pc infetto scollegato dalla rete... perché ho la vaga impressione che possa scaricare eventuali contromisure (aggiornamenti) se collegato alla rete. 
edit: aggiornato i passaggi effettuati. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 24 Ott 2010 11:38 Oggetto: |
|
|
Ciao bdoriano.
Grazie per le informazioni. 
Vorrei solo segnalare che i file:
C:\Windows\System32\userinit.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\igfxtray.exe
sono legittimi.
Se l'utente sbaglia, il pc potrebbe non avviarsi più correttamente.
Sconsiglio la rimozione manuale di detti file. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Ott 2010 12:02 Oggetto: |
|
|
Ciao R16,
giusta osservazione. 
I files menzionati NON vanno assolutamente rimossi manualmente!!!
Pena, il mancato avvio del pc e la necessaria reinstallazione del sistema operativo.
Dimenticavo: oltre ai suddetti files, viene creato il file C:\Windows\System32\qqqqqqqq.vmx che viene nascosto con tecniche rootkit. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Ott 2010 13:52 Oggetto: |
|
|
Aggiornamento...
- SuperAntiSpyware Portable (in modalità normale) ha rilevato solo i cookies...
- Il tentativo di effettuare una scansione con Combofix (in modalità normale) ha prodotto un nuovo BSOD.
- Ho lanciato Combofix in modalità provvisoria e, apparentemente, sembrava essere sulla buona strada ma, purtroppo, in fase terminale della procedura ha prodotto un altro BSOD.
- Ora sto tentando una scansione con drWeb CureIT per verificare la presenza di chiavi di registro infette.
(ma ci vorrà parecchio tempo...) 
|
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 24 Ott 2010 18:34 Oggetto: |
|
|
Ciao r16, ciao bdoriano.
Dopo tanti inutili tentativi, ho salvato i documenti e ho formattato.
Un po' mi dispiace, di solito non mi arrendo facilmente, ma in questi giorni non avevo tempo per starci dietro.
Buona fortuna e grazie per le risposte!
Simone |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 25 Ott 2010 22:13 Oggetto: |
|
|
Spiacente che tu abbia dovuto formattare... 
Comunque il problema è risolto.
Le schermate BSOD erano dovute a problemi di driver.
La "bestiolina", quando si installa, disabilita tutti i software di sicurezza (antivirus e antispyware) e ne impedisce l'avvio anche in modalità provvisoria.
Direi che la procedura (rapida) da usare è la seguente:
- Procurarsi i seguenti programmi, utilizzando un pc pulito:
- Disconnetti il pc infetto da internet
- Avvia il pc infetto in modalità provvisoria:
premere ripetutamente il tasto F8 all'avvio fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu "Modalità provvisoria", quindi premere "Invio".
- Copia sul desktop i files scaricati precedentemente
- avvia rkill
se non dovesse funzionare al primo colpo, ritenta nuovamente (magari scaricando uno dei files rinominati).
- dovrebbe comparire una finestra DOS:
| Citazione: | Rkill by Lawrence Abrams (Grinler)
BleepingComputer.com
Terminating known malware process.
Please be patient. |
al termine, la finestra verrà chiusa e comparirà una finestra con un log contenente un elenco dei processi terminati dal rkill.
Sempre mantenendo il pc scollegato da internet, installa MBAM e, per il momento, non avviarlo
Installa l'aggiornamento di MBAM scaricato precedentemente
Esegui una scansione completa con MBAM del pc infetto ed elimina tutte le voci infette riscontrate.
quando chiede di riavviare il pc, riavvialo nuovamente in "modalità provvisoria".
Avvia la scansione completa con SuperAntiSpyware Portable ed elimina tutte le voci infette riscontrate.
riavvia il pc in "modalità provvisoria con rete"
avvia nuovamente MBAM, fagli scaricare gli aggiornamenti ed esegui una nuova scansione.
Se vengono rilevate altre voci infette, eliminale.
Esegui una scansione con Eset Online Scan:
- Clicca qui per aprire la pagina di ESET OnlineScan
- Clicca il bottone
- Solo per chi usa un browser differente da Internet Explorer, è necessario scaricare un file sul proprio desktop:
- Clicca su
 e salva il file sul desktop
- Doppio click sull'icona
 salvata sul desktop
- Metti il segno di spunta a
- Clicca il bottone
- Accetta tutti gli avvisi di sicurezza del tuo browser
- Metti il segno di spunta anche a
- Clicca il bottone Start
- Il programma scaricherà tutte le parti necessarie alla scansione (il motore di scansione e i database virali aggiornati)
Sii paziente, a seconda della velocità della tua linea potrebbero volerci parecchi minuti.
- Quando la scansione sarà completata, clicca su
- Clicca su
 e salva il file sul desktop.
Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
- Clicca il bottone
- Clicca il bottone
Se non vengono rilevate minacce, non verrà fornito alcun log
Avvia il pc in modalità normale e fai queste scansioni:
- Scarica questo programma (OTL) e salvalo sul desktop
- Doppio click sull'icona di OTL per avviarlo
- Metti il segno di spunta su Scan All Users
- Clicca il bottone Quick Scan
- Aspetta pazientemente fino al termine dei lavori
- Verranno creati 2 logs:
- OTListIt.txt (ridotto a icona)
- Extra.txt (ridotto a icona)
- Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati
Usare Rootkit UnHooker
- Scarica Rootkit UnHooker e salvalo sul desktop
- Doppio click sull'icona di RKUnhookerLE per avviarlo
- Clicca Report
- Clicca Scan
- Metti il segno di spunta su Drivers e Stealth
- Togli il segno di spunta alle altre voci
- Clicca OK
- Aspetta pazientemente fino al termine dei lavori
- Clicca File
- Clicca Report
- Salva il log sul desktop
Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
Nota: potresti ricevere questo messaggio "Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?". Ignoralo tranquillamente.
Per il momento, questa è la procedura grezza da utilizzare.
Più avanti farò altre prove e vedrò di affinarla. |
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 26 Ott 2010 14:30 Oggetto: |
|
|
Io gaurda le avevo provate tutte.
Si vede che l'infezione era ormai in uno stato avanzato, e anche killando il processo con rkill, hjt o via task manager, si ricreava un istante dopo.
Magari mi autoinfetto una VM per fare delle prove e vi saprò dire di più.
Ciao |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Ott 2010 18:14 Oggetto: |
|
|
@bdoriano:
Intanto grazie, per le indicazioni.
@SamFisher
Invece di autoinfettarti, se vuoi , e se puoi, mandami l'infezione in una cartella zippata via PM.
Mi raccomando, non postarla sul forum, ma spediscimela in privato.
Grazie. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Ott 2010 21:25 Oggetto: |
|
|
| Per la cronaca, è stata rilasciata la nuova versione di Remove Fake Antivirus... che, nelle intenzioni del programmatore, dovrebbe rimuovere anche questa bestiola. |
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 27 Ott 2010 14:41 Oggetto: |
|
|
| R16 ha scritto: | @bdoriano:
Intanto grazie, per le indicazioni.
@SamFisher
Invece di autoinfettarti, se vuoi , e se puoi, mandami l'infezione in una cartella zippata via PM.
Mi raccomando, non postarla sul forum, ma spediscimela in privato.
Grazie. |
La mia intenzione è quella di infettare una macchina virtuale, non un PC reale.
Il problema è procurarmi l'infezione...da utente che non ha mai formattato i suoi PC a causa di malware, non saprei proprio da dove cominciare! XD |
|
| Top |
|
|
SamFisher
Mortale devoto
Registrato: 22/10/10 17:01
Messaggi: 7
|
| Inviato: 27 Ott 2010 18:04 Oggetto: |
 |
|
Per ora vi uppo le chiavi che avevo eliminato manualmente dal regedit, azione che però non ha portato a nessun risultato:
chiavi.zip
EDIT: Questa potrebbe essere una soluzione riguardo a killare definitivamente il processo, perchè il software in questione ( a-squared HiJackFree ) dà la possibilità di eliminare il file relativo al processo. Sarebbe da testare la cosa, se trovassi il modo per infettarmi
REL: link |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
