sagal

Xp Nssm.exe Insistente

23 messaggi in questa discussione

Ciao ragazzi.

Da un paio di settimane mi capita che mentre navigo mi appare questa finestra di VirIT

sgphoto20100626225733.th.png

A questo punto apro Avanger e immetto il seguente script

sgphoto20100626230337.th.png

a cui segue questo txt.

sgphoto20100626230925.th.png

Poi controllo con Autoruns se il file è stato cancellato e questo è quello che appare

sgphoto20100626231225.th.png

Il problema è che dopo un paio di giorni la situazione si ripresenta tale e quale.

Sapete dirmi perchè?

C'è qualche cosa che posso fare per liberarmi definitivamente di questo cavallo di tr**a

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova ad installare MBAM ed esegui una scansione completa del sistema. Scarica la versione free... ;)

Quando hai eseguito la scansione, postane il log per piacere.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike, ti posto il log.

Comunque volevo dirti che questa operazione l'ho fatta altre 4-5 volte ed ogni volta il log è uscito come lo vedi tu adesso.

Il problema è, che nonostante tutto, periodicamente (un paio di giorni circa) Nssm.exe ricompare

Come postavo sopra ecco quello che mi ha segnalato SUPERANTISPYWARE dopo la scansione effettuata qualche ora prima con MBAM, che mi diceva che il P.C. era pulito.

sgphoto20100630192329.th.png

Poi questa mattina mi ha aperto una finestra VirIT segnalandomi la presenza del solito trojan, e dopo averlo eliminato tramite VirIT, questa sera ho rifatto una scansione con SUPERANTISPYWARE con lo stesso risultato della foto.

Ora è toccato ad AVIRA guardavo la mia email su tiscali e Avira mi ha segnalato che NSSM.EXE tentava di entrare.

AVIRA era impostato su NEGA ACCESSO.

Quello che penso è che da qualche parte deve esserci qualche file dannoso, i vari antivirus continuano a segnalarmi la presenza di NSSM.EXE in System32, io continuo ad eliminarlo e lui continua a saltar fuori.

Qualcuno sa darmi indicazioni???????????????

Grazie.

mbam-log-2010-06-28 (09-51-05).txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova ad inoltrare a VirusTotal il file nssm.exe.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sarebbe utile sapere che tipo di minaccia riscontrano i software antivirus per scartare l'ipotesi di un falso-positivo.

Quando software come Avira o MBAM rilevano una minaccia indicano anche il tipo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate per il tempo trascorso, ma tanto per cambiare ho avuto problemi di connessione.

In riferimento a NSSM.EXE, quello che posso dirvi (si è verificato anche un paio di ore fa) e che appare l'avviso di VirIT identico a quello postato, dopo qualche minuto Avira mi informa che ha negato l'accesso a TR/Dropper.Gen [trojan] se dopo eseguo scansioni con AVIRA o MBAM il report è negativo.

In ogni caso se vado a verificare i programmi in Autoruns il file, come ho postato c'è realmenteed.

Io lo elimino con Avanger, almeno fino alla prossima ricomparsa.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao sagal,

sono curiosa di vedere il log di Superantispyware

Apri il programma, clicca su "preferenze", poi su "statistiche registri"

seleziona l'ultima scansione e clicca su "visualizza il registro"

riporta il contenuto del log nella tua risposta

Se dovesse ripresentarsi il problema allega un log di Combofix

:anna::ciao:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per essere preciso dovrei analizzare il file.

La cosa migliore da fare, a questo punto, è sottoporlo all'analisi di VirusTotal ed indicarci il link dell'analisi completa.

In tal modo potremmo venire a conoscenza dell'HASH del file, della dimensione e della data di creazione (utili per individuare con esattezza la provenienza del file).

Il problema fondamentale di questo tipo di minacce è che spesso non lo sono! :)

Un altro problema è che i produttori di Antivirus dovrebbero accordarsi sulle definizioni: ben diverso è dire Trojan o Dropper.

Un Trojan è sostanzialmente un programma che dice di fare una cosa "buona" mentre ne fa una "cattiva" (o anche che fa quello che promette ma in più fa altro che non dichiara).

Un Dropper è solo un programma che ne contiene un altro e che al suo avvio lo "salva" sul disco dell'host sul quale viene eseguito.

A volte basta poco per far sì che un programma venga tacciato di essere un Dropper: basta che nell'intestazione il progrtamma dichiari di essere "grande" un tot di byte quando invece lo è di più ed il gioco è fatto.

Gli sviluppatori ne sanno qualcosa soprattutto per quanto riguarda l'inclusione di "risorse" (RES) incorporate nel programma stesso: queste non vengono conteggiate nella creazione dell'header (intestazione) e si rischia un falso positivo.

In genere si affibia ad ogni Dropper l'epiteto di Trojan semplicemente perchè l'header dichiara il falso e, di conseguenza, potrebbe avere qualche funzione "nascosta".

Non sto asserendo con fermezza che si tratta di un falso positivo, ma prendo in considerazione anche questa possibilità.

Se dopo averlo inviato a VirusTotal ottieni un risultato simile a questo allora non c'è da preoccuparsi.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Bene, non ho mai eseguito questo procedimento, cosa devo fare per inviarlo a VirusTotal, devo aspettare che si apre qualche altro avviso?

In questo momento non c'è nemmeno nei programmi indicati da Autoruns.

E dopo averlo inviato come devo indicarti il link dell'analisi completa???

P.S. si aprono spesso pagine di Mozilla con pubblicità, potrebbe esserci un nesso????

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Bene, non ho mai eseguito questo procedimento, cosa devo fare per inviarlo a VirusTotal, devo aspettare che si apre qualche altro avviso?

In questo momento non c'è nemmeno nei programmi indicati da Autoruns.

E dopo averlo inviato come devo indicarti il link dell'analisi completa???

P.S. si aprono spesso pagine di Mozilla con pubblicità, potrebbe esserci un nesso????

Per quanto riguarda VirusTotal lascia momentaneamente perdere.

Credo che tu sia effettivamente infetto, ma da più di un agente.

Probabilmente l'uso di un solo strumento non sarà sufficiente nè sarà così facile venirne a capo, ma proviamoci :)

Per far questo ho bisogno di vedere un nuovo log di HijackThis e uno di ComboFix.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ogni volta che provo a lanciare ComboFix si aprono queste finestre

sgphoto20100712195213.th.png

sgphoto20100712195223.th.png

Ho provato a disattivare AVIRA ma il messaggio appare lo stesso.

Intanto questo è il log.

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

A mio modesto parere, il fatto che rilevi 4 volte AVIRA non è una bella cosa.

Io di mia spontanea volontà e conscio dei rischi, ho ignorato il messaggio ed ho lasciato eseguire combofix anche con questo messaggio, dove avevo una radicata convinzione di macchina infetta.

Non ho ancora avuto problemi usando combofix come tool, per l'integrità di sistema.

Ciò però non significa che tu non ne avrai se ignori questo avviso.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma perchè disattivando AVIRA combofix continua a darmi quel messaggio??????????

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non preoccuparti, ignora l'avviso e procedi con la scansione.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok ora procedo con la scansione.

Ho disattivato tutte le voci AVIRA con Autoruns, ma il messaggio che mi apre Combofix continua a spuntare.

Ho disattivato anche tutte le voci (due) di VirIT

EDIT

Ho eseguito una disinstallazione avanzata di Avira con RevoUninstaller ma niente il messaggio di Combofix continua ad apparire, ora procedo con Combofix e speriamo che Angelique abbia ragione

EDIT

Questo è il txt di Combofix sopra c'è il log di HijackThis.

Cosa ne pensate??????????

log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Tra le diverse voci è il rilievo 95288361.sys caricato come driver e due voci di registro:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPopUpsOnBoot"= 1

e

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0

Il primo disabilita la comparsa di errori all'avvio del sistema, i secondi disabilitano la notifica di problemi di attivazione/aggiornamento di Antivirus e Firewall.

Apri il registro di sistema (Start > Esegui > regedit.exe) e portati alla chiave

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

da lì vai al menu Modifica e clicca su Trova.

Digita poi il termine di ricerca 95288361.sys e clicca su Trova successivo.

La ricerca evidenzia qualcosa?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Suggerimento: clicca in questa finestra per caricare l'editor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ragazzi, qualcuno sa dirmi se evidenziano qualcosa il log di HijackThis, il txt di Combofix o la ricerca eseguita nel registro di sistema?????

Intanto, ieri VirIT ha aperto questa finestra

sgphoto20100715094523.th.png

Uploaded with ImageShack.us

Sapete dirmi cosa è???????????

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

sgphoto20100714104302.th.png

Elimina la voce, intanto.

Come già detto sei "infetto" da più di una minaccia.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Parli della voce del REGISTRO in evidenza??

E come la elimino?????

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

C'è nessuno che sa dirmi che cosa è quest'ultimo avviso che mi ha dato VirIT relativo a "SVCHOST.EXE -K NETSVCS"

Modificato da sagal

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora