NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Worm.Gaggle.Script		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

druso
Advanced Member


Città: Roma


497 Messaggi

Inserito il - 24/06/2008 : 14:21:23  Mostra Profilo
Ho beccato nuovamente questo virus da script. Posto il log di HJT, stavolta lascio le voci infette così da farvi identificare il virus. Ciao

druso
Advanced Member


Città: Roma


497 Messaggi
Inserito il - 24/06/2008 : 17:46:12  Mostra Profilo
Vabbè penso di averlo eliminato una volta per tutte Comunque posto la mia soluzione, per chi magari ha lo stesso problema. Ricordiamoci che il virus immette nel sistema i seguenti files: "_HIPHO~1"
(semplice file), "TOOLS" (.rar), "Israfel.vbs" (script in System32), "Kernel32", "mouse_configurator" e "wiinmgd", questi ultimi tre di estensione .WIN La prima cosa da fare è aprire il TaskManager e chiudere i processi "wscript.exe" e "regsrv.exe" (potrebbe esserci anche "sendi.exe"). Da HiJackThis le voci da fixare sono generalmente:

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win
F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\system32\Kernel32.win
O4 - HKLM\..\Run: [Israfel] C:\WINDOWS\system32\Israfel.vbs
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Dopo aver fixato le ultime due, è possibile aprire il Registro che il worm aveva precedentemente bloccato. Ma prima, spostiamoci in C:\WINDOWS e cancelliamo i seguenti file: "Israfel.vbs", "Kernel 32". (ce ne sono due: dovete cancellare quello di estensione WIN e non .dll), "mouse_configurator" e "winmgd". Quindi, andiamo in Start -> Esegui -> regedit e cancelliamo queste le seguenti chiavi (se presenti):

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
[No-Spam]="regedit.exe \"%1\""

[-HKEY_CLASSES_ROOT\keyfile]

[HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kernel32"=-
"Israfel"=-

Infine, bella pulizia con antivirus e Ccleaner. Aggiungo che questo worm non è ben conosciuto e su internet non si trovano molte informazioni, pertanto non garantisco l'eliminazione al 100% con questi pochi passaggi.

Ps. non fate mai come me: munitevi di firewall e antivirus
Modificato da - druso in data 25/06/2008 09:54:42
Torna all'inizio della Pagina

death
Moderatore

Impegno nella community e capacità notevoli in campo hardware e software


Città: Pinerolo e dintorni


7791 Messaggi
Inserito il - 25/06/2008 : 07:18:53  Mostra Profilo
Buon giorno a tutti, druso...devi eliminare tutti i files relativi alle voci che hai fixato, poi hai dimenticato la cosa piu' importante

C:\Documents and Settings\Casa\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe

questo files non è legittimo deve stare in c:\windows\system32 quindi vai su virus total e analizzalo, stesso procedimento per questo

C:\WINDOWS\system32\ieframe.dll

Posta i 2 report di virus total, vediamo gli esiti poi finiamo le pulizie.
Torna all'inizio della Pagina

druso
Advanced Member


Città: Roma


497 Messaggi
Inserito il - 25/06/2008 : 09:57:33  Mostra Profilo
Ci sto prendendo gusto con le sviste Ovviamente, il Ctfmon era un trojan, mentre "ieframe.dll" è risultato pulito
Torna all'inizio della Pagina

death
Moderatore

Impegno nella community e capacità notevoli in campo hardware e software


Città: Pinerolo e dintorni


7791 Messaggi
Inserito il - 25/06/2008 : 10:00:15  Mostra Profilo
Buon giorno a tutti, che ctfmon fosse un trojan era fuori di dubbio, devi sempre osservare dove è collocato.
Torna all'inizio della Pagina

druso
Advanced Member


Città: Roma


497 Messaggi
Inserito il - 02/07/2008 : 09:41:18  Mostra Profilo
Incredibile! Non mi lascia più in pace questo coso, ormai lo elimino in continuazione! Il problema stavolta è che devo scannerizzare alcune foto, solo che quando si apre HP Scanning appare la finestra degli script : "WScript non definito", con l'URL della stampante e la domanda: "Do you want to continue running scripts on this page?". Cliccare yes o no è indifferente: il computer inizia a caricare i soliti wscript.exe e regsrv.exe...insomma, il virus si ripiazza lì dov'era. Ho provato anche da non connesso a internet, non cambia nulla: il virus va e viene
Modificato da - druso in data 04/07/2008 08:51:32
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,19 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000