| Autore |
 Discussione  |
|
|
enry1
Senior Member
Nota:
176 Messaggi |
 Inserito il - 31/03/2009 : 08:57:08
|
salve, scansione con Superantispyware e
NON trova nulla, mentre Antimalwarebyte
mi trova questo TROJAN:
Malwarebytes' Anti-Malware 1.35
Versione del database: 1919
Windows 5.1.2600 Service Pack 2
31/03/2009 7.35.47
mbam-log-2009-03-31 (07-35-39).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 160532
Tempo trascorso: 1 hour(s), 20 minute(s), 1 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
C:\WINDOWS\system32\mswinsck.ocx (Trojan.BHO) -> No action taken.
che faccio pare sia un Active X (forse installando update
di Java RE versione 13 ?)
falso positivo o lo elimino ?
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 31/03/2009 : 09:05:36
|
| Buon giorno, quel file controlla i winsock di windows, detto questo, visto che mi fido di malwarebytes ma non lo prendo per oro colato, per ora non rimuovere nulla, analizza il files su virus total e posta il report fino alla riga md5 compresa, vediamo gli anti virus cosa ne pensano. |
 |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/03/2009 : 09:06:55
|
htt*://[www].processlibrary[.com]/it/directory/files/mswinsck/ |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 09:23:19
|
quindi che faccio ? virus total dove?
e cosa scansione solo quella DLL ?
ma come mai su quella dll parla di Active-X
corretto?
quindi dite che si e' sbagliato Antimalwarebytes ?
grazieeee |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 09:31:03
|
htt*://[www].virustotal[.com]/it/analisis/28a62d96ad40d4ffd4ac3504809515fc
sembra pulito lo da infetto solo e-safe !
quindi NON lo tolgo ? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 09:33:43
|
Buon giorno di nuovo, quel file non è una dll, non è un controllo active x, per analizzarlo:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer C:\WINDOWS\system32\mswinsck.ocx clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
In ogni caso la scelta di controllarlo è tua, non possiamo sapere se si tratta di un falso positivo o meno, in quanto alle chiavi di registro vanno aperte a mano con regedit e vanno controllati i files richiamati. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 09:51:07
|
giusto cosi ?
Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.0.0.101 2009.03.31 -
AhnLab-V3 5.0.0.2 2009.03.31 -
AntiVir 7.9.0.129 2009.03.30 -
Antiy-AVL 2.0.3.1 2009.03.30 -
Authentium 5.1.2.4 2009.03.30 -
Avast 4.8.1335.0 2009.03.30 -
AVG 8.5.0.285 2009.03.30 -
BitDefender 7.2 2009.03.31 -
CAT-QuickHeal 10.00 2009.03.30 -
ClamAV 0.94.1 2009.03.31 -
Comodo 1090 2009.03.30 -
DrWeb 4.44.0.09170 2009.03.31 -
eSafe 7.0.17.0 2009.03.27 Win32.SusComPack.c
eTrust-Vet 31.6.6425 2009.03.30 -
F-Prot 4.4.4.56 2009.03.30 -
F-Secure 8.0.14470.0 2009.03.31 -
Fortinet 3.117.0.0 2009.03.31 -
GData 19 2009.03.31 -
Ikarus T3.1.1.49.0 2009.03.31 -
K7AntiVirus 7.10.685 2009.03.30 -
Kaspersky 7.0.0.125 2009.03.31 -
McAfee 5569 2009.03.30 -
McAfee+Artemis 5569 2009.03.30 -
McAfee-GW-Edition 6.7.6 2009.03.30 -
Microsoft 1.4502 2009.03.31 -
NOD32 3976 2009.03.30 -
Norman 6.00.06 2009.03.30 -
nProtect 2009.1.8.0 2009.03.31 -
Panda 10.0.0.10 2009.03.30 -
PCTools 4.4.2.0 2009.03.30 -
Prevx1 V2 2009.03.31 -
Rising 21.23.10.00 2009.03.31 -
Sophos 4.40.0 2009.03.31 -
Sunbelt 3.2.1858.2 2009.03.31 -
Symantec 1.4.4.12 2009.03.31 -
TheHacker 6.3.3.9.296 2009.03.30 -
TrendMicro 8.700.0.1004 2009.03.30 -
VBA32 3.12.10.1 2009.03.29 -
ViRobot 2009.3.30.1668 2009.03.31 -
VirusBuster 4.6.5.0 2009.03.30 -
Informazioni addizionali
File size: 124688 bytes
MD5...: e8a2190a9e8ee5e5d2e0b599bbf9dda6
grazie x aiuto ? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 10:06:58
|
Buon giorno, si è coretto e come vedi il files è pulito, ora mettiti di sana pazienza da start >>> esegui digiti regedit , apri il registro e verifichi le chiavi infette se richiamano questo file o altri.
EDIT: qui htt*://[www].sophos[.com]/security/analyses/viruses-and-spyware/trojircbottj.html trovi la spiegazione alla segnalazione dell'infezione, vedrai che trovi le chiavi di registro identiche alle tue e viene segnalato che qualcosa interagisce con il file ocx, per il motivo che ti ho detto prima, le winsock di xp. |
Modificato da - death in data 31/03/2009 10:10:27 |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 11:23:46
|
ma che fanno queste chiavi
HKEY_CLASSES_ROOT\ ???
e come faccio vado in ogni singloal chiave
e cosa devo fare e/o verificare ?
grazie |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 11:36:03
|
ma qui cosa dice ?
htt*://[www].sophos[.com]/security/analyses/viruses-and-spyware/trojircbotoh.html
Troj/IRCBot-OH is a Trojan for the Windows platform.
Troj/IRCBot-OH runs continuously in the background, providing a backdoor server
which allows a remote intruder to gain access and control over the computer via IRC channels.
When Troj/IRCBot-OH is installed the following files are created:
<System>\Mswinsck.ocx
<System>\ffdisk[.com]
<System>\<random>.exe
The two executable files are also detect as Troj/IRCBot-OH. Mswinsck.ocx is a clean DLL file.
The following registry entry is created to run mcim.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wiinamp
<System>\<random>.exe
The file Mswinsck.ocx is registered as a COM object.
cioe' ? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 13:11:49
|
Buon giorno, allora, procediamo in questo modo:
Operazione preliminare: da start >>>> esegui digita regedit , ti si aprirà l'editor del registro di windows, assicurati che nel tabellino a sinistra la dicitura "risorse del computer sia selezionata", clicca su file e poi su esporta e salva una copia del registro. La terrai finchè non avremo finito.
poi riesegui malwarebytes, quando ha finito e ti appare la schermata con le voci infette togli il segno di spunta dal file C:\WINDOWS\system32\mswinsck.ocx e poi rimuovi le chiavi di registro infette.
Riavvia il pc, connettiti come solito, fatti un giro sul web, poi a fine giornata riesegui la scansione con malwarebytes e vediamo se si è riformato qualcosa. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 31/03/2009 : 17:32:38
|
ottimo.....
stasera provo a aggiornare e rifare la scansione.
se me lo da ancora faccio come dici tu quindi?
1. lascio in system32 il file
2. cancello solo TUTTE le chiavi
corretto?
ho dato un occhiata al registro ma sembra che
nelle chiavi c'era scritto in fondo
"mswinsck" quindi infetto o corretto?
grazie |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/03/2009 : 18:15:28
|
|
Buona sera, le chiavi le do infette, è ovvio che utilizzano il file ma con altre istruzioni, in ogni caso segui la procedura per la copia del registro, in caso di problemi potremo sempre ripristinarlo, cosa che si puo' fare anche con malwarebytes comunque. |
|
|
| |
Discussione |
|
Report Trojan che fare ?
Forum Bloccato
