| Autore |
 Discussione  |
|
|
pyth0n3
New Member
47 Messaggi |
 Inserito il - 25/10/2009 : 18:10:56
|
Ho un problema con un worm su un pc con sistema operativo Windows XP Home Edition .Praticamente ha cambiato tutte le foto che sono sul computer con una foto personalizzata .Nel albero dei processi ho :
Citazione:
BTSTAC~1.exe
igfxsrvc.exe
alcmtr.exe
hkcmd.exe
igfxpers.exe
igfxex.exe Il problema rimane per chiudere i processi visto che a ogni riavvio persistono ad esserci.Ho cercato di chiuderli pero non riesco. Sembra che nessun antivirus possa riconoscerlo tranne Avira .Qui presento una scansione con la maggior parte dei antivirus per il file infetto File Information
Report Generated: 25.10.2009 at 18.00.39 (GMT 1)
Time for scan: 61 seconds
File Name: ImageWormServer.exe
File Size: 46882
MD5 Hash: 5d63b56142565eeb1fc5ab81c1bec5dc
SHA1 Hash: 1BDEC067EF59F637E2A15050BBB4B336745803EA
Detection Rate: 1 on 23 (4.34%)
Status: INFECTED
Antivirus Sig version Engine Version Result
a-squared 24/10/2009 4.5.0.8 -
Avira AntiVir 7.1.6.145 7.6.0.59 TR/Dropper.Gen
Avast 091023-0 4.8.1229 -
AVG 270.14.24/2449 8.0.0.0 -
BitDefender 25/10/2009 7.0.0.2555 -
ClamAV 24/10/2009 0.95.1 -
Comodo 2707 3.12.560 -
Dr.Web 25/10/2009 5.0 -
Ewido 25/10/2009 4.0.0.2 -
F-PROT6 20091024 4.5.1.85 -
Ikarus T3 24/10/2009 1001044 -
Kaspersky 25/10/2009 8.0.0.357 -
McAfee 23/10/2009 5.1.0.0 -
NOD32 v3 4540 3.0.677 -
Norman 2009/10/23 5.92.08 -
Panda 20/10/2009 9.5.1.00 -
QuickHeal 25/10/2009 10.0 -
Solo Antivirus 25/10/2009 8.0 -
Sophos 25/10/2009 4.32.0 -
TrendMicro 571(657100) 1.1-1001 -
VBA32 25/10/2009 3.12.0.300 -
VirusBuster 10.112.77 1.4.3 -
ZonerAntivirus 25/10/2009 0.1.0 -
Extra Information
CRC32: 3913341219
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
PDF Exploit Scan: Nothing found
HTML Exploit Scan: Nothing found
Sul computer gira Avast! 4 Professional che no a rilevato niente Ho solo cercato di chiudere i processi ed non sono riuscito ,visto che non sono un utente esperto di windows in questo caso vorrei sapere in quale modo dovrei procedere.Grazie!
|
Modificato da - death in Data 26/10/2009 20:07:44
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/10/2009 : 18:23:14
|
Buona sera, vediamo di capire se esiste effettivamente qualcosa di infetto o se si tratta di un programma fake che modifica le immagini in maniera random, segui la procedura:
scarica ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
[Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora |
 |
|
|
pyth0n3
New Member
47 Messaggi |
Inserito il - 26/10/2009 : 19:06:07
|
Ecco qui il risultato della scansione
cut by death
Poi ho scaricano l'unico antivirus che riconosce questo malvare ed o fatto la scansione con Avira premium ed mi ha rilevato TR/Dropper.Gen
in c:\system volum information\_restore che ho cercato di cancellarlo pero non funziona perche al riavvio da qualche parte ce un processo che ha un nome tipo persist che lo fa funzionare purtroppo .L'unica cosa che vorrei fare e cercare di recuperare le foto che sono tute uniche per adesso :).Ho notato che come dimensione sono come prima ,pero spostandole su un altro pc con qualsiasi sistema(io ho cercato con Linux) La visualizzazione e la stessa ,una sola faccia per tutte le foto . .Potrei reinstallare il sistema pero e il pc e di una persona che vorrei comunque farlo funzionare .E anche per questo e che io ho scelto Linux perche ha un problema in meno riguardo malvare e virus :) .Credimi e il primo malvare che mi da tanta fattica , ho anche il file da qualle e partita l'infezione.Le seguenti scansioni che cerco di farle con Avira non mi rilevano piu niente pero penso ci sia qualcosa.
i report si postano come da regolamento. death |
Modificato da - death in data 26/10/2009 20:03:02 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/10/2009 : 20:05:49
|
Buona sera, io non ho riscontri su un virus simile, quindi o sei un caso unico o hai su quel pc un infezione nuova, vediamo un paio di cose:
Per cancellare tutti i punti di ripristino di windows, tranne l'ultimo, procedere in questo modo:
da Risorse del computer cliccate con il tasto destro del mouse sul disco di sistema
cliccare su Proprietà
cliccare su "Pulitura disco"
nella finestra che appare dopo il calcolo selezionate la scheda Altre opzioni
cliccare sul pulsante "Esegui pulitura..."della sezione Ripristino di configurazione di sistema.
poi esegui questo tool, non ti rimuoverà nulla ma mi permetterà di vedere alcune cose sul tuo sistema
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Per postare il report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
h) oppure utilizza questo servizio: htt*://[www].megaupload[.com]/ |
|
|
|
pyth0n3
New Member
47 Messaggi |
Inserito il - 27/10/2009 : 19:45:54
|
Ecco qui il mio report della scansine che ho fatto con Systemscan htt ://[www].megaupload[.com]/?d=DV041V2T l'archivio ha una password ed e insecurity ,quindi aspetto una tua risposta,qualunque sia io ti ringrazio già per la attenzione che mi hai offerto riguardo a questo mio problema . |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/10/2009 : 20:48:18
|
Buona sera, dalla scansione non vedo nulla a parte 1 file, segui la procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) segui le istruzioni di questo link htt*://forum.zeusnews[.com]/viewtopic.php?p=368999
riavvia il pc e poi esegui questa scansione:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
|
|
| |
Discussione |
|
Problema worm
Forum Bloccato
