Accedi per seguire   
Seguaci 0
Doctor

Spy Terminator E Falsi Positivi

35 messaggi in questa discussione

Buondì,

Ho una domanda, facendo la scansione con Spy Term, qualche mese fa mi sono comparse delle voci segnalate come maligne :dia: (in rosso sotto), che ho provveduto a cancellare in modalità provvisoria (non le cancellava altrimenti).

Da quel momento, benchè, in modalità provissoria non riscontrassi più quelle voci, il report della scansione me le segnala ugualmente.

le voci sono:

Yvp : C:\WINDOWS\system32\yvpp01.dll

Yvp : C:\WINDOWS\system32\yvpp01.sys

Yvp : C:\WINDOWS\system32\yvpp02.sys

Trojan/Cimuz-TC : C:\WINDOWS\system32\ipv6mons.dll

quelle in rosso, maligne, come ho già detto, non si trovano, neanche come files nascosti.

Io le ho spostate fra le voci da ignorare.

Di cosa si può trattare?

Saluti :up1:

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ,

non sono dei falsi positivi, ma dei trojan con funzioni da rootkit

dai un occhiata qui

http://www.greatis.com/appdata/d/SysDir/y/...sys_Removal.htm

fai anche uno scan con AVG Antirootkit e segnalaci quello che trova

http://www.avgfrance.com/doc/12254/us/crp/0

e al limite prova anche la release finale del Panda-Antirootkit uscita da qualche giorno

http://research.pandasoftware.com/blogs/re...t-Released.aspx

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Ho provato con i tre tools di rimozione ma nessuno ha rilevato la presenza dei trojan.

Spero che ciò indichi che tutto è ok....

Saluti

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ma quei file ci sono o non ci sono nel tuo sistema ?

* Posta comunque un log hijackthis

* Fai anche uno scan online Kaspersky in questo modo ed allega il suo log in formato HTML

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Ieri sera ho riprovato con la scansione con Spy Term, per vedere cosa diceva:

Mi segnalava la presenza di Frammenti (o una cosa del genere) dei files

Yvp : C:\WINDOWS\system32\yvpp01.dll[/size]

Yvp : C:\WINDOWS\system32\yvpp01.sys

Yvp : C:\WINDOWS\system32\yvpp02.sys

Trojan/Cimuz-TC : C:\WINDOWS\system32\ipv6mons.dll

Ho fatto la ricerca dei files ma non li ho trovati.

A questo punto suppongo non ci siano... ma come mai verrebbero segnalati?

Al più presto posterò il log di HJT.

Grazie,

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

per fare il controllo della presenza dei file hai visualizzato file e cartelle nascosti ?

se spyware terminator te li ha trovati, normalmente li ha anche eliminati o no?

comunque posta anche il log HJT

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Purtroppo per limitazioni di rete (Ho ancora il 56k...sig) non riesco a fare la scansione con Kaspersky.

però, se può aiutare inserisco il reporto quasi completo (risparmio le voci inutili al proposito) di Spyterm ed il log di HJT.

Per fare il controllo ho provato visualizzando i files nascosti...ma nulla.

Il Report di Spyterm:

Avanzamento della scansione (scansione rapida)

Orario d'inizio: 18/04/2007 19.57.04

Database: 1.0.671.426

Scansione dei processi

PowerProfile : C:\WINDOWS\SYSTEM32\POWRPROF.DLL

Wextract : C:\WINDOWS\SYSTEM32\ADVPACK.DLL

Shdocvw : C:\WINDOWS\SYSTEM32\SHDOCVW.DLL

AcroIEHelper : C:\PROGRAMMI\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL

Spybot S&D : C:\PROGRAMMI\SPYBOT14\SDHELPER.DLL

Scansione dell'avvio

SUPERAntiSpyware : C:\PROGRAMMI\FREEWARE SICUREZZA E MANUTENZIONE\SUPERAMTISPYWARE\SUPERANTISPYWARE.EXE

Ashampoo PopUpBlocker : C:\Programmi\Ashampoo\ WinOptimizer 2004\POPUPKILLER.EXE

SpybotSD TeaTimer : C:\PROGRAMMI\SPYBOT14\TEATIMER.EXE

SiSUSBRG : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SiSUSBRG

SiSUSBRG : C:\WINDOWS\SISUSBRG.EXE

NeroFilterCheck : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NeroFilterCheck

NeroFilterCheck : C:\WINDOWS\SYSTEM32\NEROCHECK.EXE

EPSON Stylus C66 Series : C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I0S2.EXE

BDMCon : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run BDMCon

BDMCon : C:\PROGRAMMI\SOFTWIN\BITDEFENDER8\BDMCON.EXE

BitDefender : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run BDMCon

BitDefender : C:\PROGRAMMI\SOFTWIN\BITDEFENDER8\BDMCON.EXE

BDNewsAgent : C:\PROGRAMMI\SOFTWIN\BITDEFENDER8\BDNAGENT.EXE

avgnt : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avgnt

avgnt : C:\PROGRAMMI\ANTIVIR PERSONALEDITION CLASSIC\AVGNT.EXE

Zone Labs Client : C:\PROGRAMMI\FREEWARE SICUREZZA E MANUTENZIONE\ZONEALARM\ZLCLIENT.EXE

Explorer : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell

Explorer : C:\WINDOWS\EXPLORER.EXE

Scansione delle barre di strumenti

Scansione degli oggetti BHO

AcroIEHelper : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

AcroIEHelper : C:\PROGRAMMI\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL

AcroIEHelper : explorer.exe PID: 1128

Spybot S&D : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}

Spybot S&D : C:\PROGRAMMI\SPYBOT14\SDHELPER.DLL

Spybot S&D : explorer.exe PID: 1128

PDFCreator Toolbar Helper ( BHO ) : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}

PDFCreator Toolbar Helper ( BHO ) : C:\PROGRAMMI\PDFCREATOR TOOLBAR\V3.0.0.0\PDFCREATOR_TOOLBAR.DLL

IE Explorer Bars

Estensioni IE

Scansione dei servizi

Scansione dei filtri di protocollo

Scansione degli handler di protocollo

Scansione del WinSock2

Scansione dei disinstallatori

Scansione del menu Avvio

Scansione del Desktop

Scansione dei Preferiti

Scansione dei Cookie

Scansione del Registry

AcroIEHelper : HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

AcroIEHelper : C:\PROGRAMMI\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL

AcroIEHelper : explorer.exe PID: 1128

MSDXM : HKCR\CLSID\{8E718888-423F-11D2-876E-00A0C9082467}

MSDXM : C:\WINDOWS\SYSTEM32\MSDXM.OCX

Spybot S&D : HKCR\CLSID\{53707962-6F74-2D53-2644-206D7942484F}

Spybot S&D : C:\PROGRAMMI\SPYBOT14\SDHELPER.DLL

Spybot S&D : explorer.exe PID: 1128

EPSONWeb-To-Page : HKCR\CLSID\{EE5D279F-081B-4404-994D-C6B60AAEBA6D}

EPSONWeb-To-Page : C:\PROGRAMMI\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL

Scansione dei File

WebRebates : C:\Programmi\webrebates

MessengerService : C:\Programmi\Messenger\msmsgs.exe

ATIModeChange : C:\WINDOWS\system32\Ati2mdxx.exe

Ctfmon : C:\WINDOWS\system32\ctfmon.exe

Yvp : C:\WINDOWS\system32\yvpp01.dll

Yvp : C:\WINDOWS\system32\yvpp01.sys

Yvp : C:\WINDOWS\system32\yvpp02.sys

Trojan/Cimuz-TC : C:\WINDOWS\system32\ipv6mons.dll

Fine

Oggetti critici : 5

Procedura per la Rimozione:

Preparazione delle strutture

Creazione del punto di ripristino

Rimuovi Trojan/Cimuz-TC

Il file selezionato da eliminare non esiste: C:\WINDOWS\system32\ipv6mons.dll

Rimuovi WebRebates

Delete Directory: C:\Programmi\webrebates

Eliminazione cartella non riuscita: C:\Programmi\webrebates

Rimuovi Yvp

Il file selezionato da eliminare non esiste: C:\WINDOWS\system32\yvpp01.dll

Il file selezionato da eliminare non esiste: C:\WINDOWS\system32\yvpp01.sys

Il file selezionato da eliminare non esiste: C:\WINDOWS\system32\yvpp02.sys

Chiusura del punto di ripristino

Ora il LOG di HJT

Logfile of HijackThis v1.99.1

Scan saved at 20.02.24, on 18/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\Programmi\Freeware sicurezza e manutenzione\Spyware Terminator\sp_rsser.exe

C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\Programmi\Softwin\BitDefender8\bdmcon.exe

C:\Programmi\Softwin\BitDefender8\bdnagent.exe

C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programmi\Freeware sicurezza e manutenzione\Spyware Terminator\SpywareTerminatorShield.exe

C:\Programmi\Freeware sicurezza e manutenzione\ZoneAlarm\zlclient.exe

C:\Programmi\Freeware sicurezza e manutenzione\Superamtispyware\SUPERAntiSpyware.exe

C:\PROGRA~1\Ashampoo\WINOPT~1\PopUpKiller.exe

C:\Programmi\Spybot14\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Freeware sicurezza e manutenzione\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibo.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot14\SDHelper.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [bDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Freeware sicurezza e manutenzione\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Freeware sicurezza e manutenzione\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\Freeware sicurezza e manutenzione\Superamtispyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\WINOPT~1\PopUpKiller.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programmi\Spybot14\TeaTimer.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=about:blank

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\Freeware sicurezza e manutenzione\Superamtispyware\SASWINLO.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: qxRd - Unknown owner - C:\Programmi\NIAXCBI.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Freeware sicurezza e manutenzione\Spyware Terminator\sp_rsser.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Grazie

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

mmmmmm <_<

Puzza di rootkit...

Vai su VIRUS TOTAL (nella mia firma) e fai analizzare questo:

C:\Programmi\NIAXCBI.exe

Dai una passata con:

CW SREDDER http://www.intermute.com/spysubtract/cwshr...r_download.html

e

AVG Antirootkit: http://beta.grisoft.cz/beta/betarep.files/...it_1.0.0.13.exe

Poi, fissa tutte le voci 015 (con Hijack)

--> O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Buondì,

AVG non ha prodotto risultati (Non ci sono Rootkit)

Le Voci 015... è già un paio di volte che provo ad eliminarle, seguendo sempre la procedura indicata, e rivedendo i passaggi per capire miei eventuali errori, ma non se ne vanno. :ranting2:

CWS mi ha trovato:

CWS Mupdate

CWS Msconfd

CWS Smartsearch

CWS Aboutblank

Ora provo a fixare le voci, ma mi chiede di chiudere tutto. al più presto manderò novità,

Saluti e Grazie

Doctor

Aprendo la cartella programmi mi sono apparsi un tot di files nascosti del tipo:

gator.exe

malwaresweeper.exe

altnet

downloadware

e tanti altri dai nomi assurdi ed un tantino inquitenti.

inoltre in C:, sempre nascosti ci sono

Archivos de programa

e2g

spedia ecc...

li posso cancellare tutti così come sono?

doctor

Modificato da Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

certo che devi....

se non lo hai ancora fatto , fai anche uno scan con AVG Antispyware

* Per far sparire quelle 015 bisogna ristabilire i valori di defaut della trusted zone nel registro:

Portati in questi percorsi del registro di sistema: (Start / Esegui / regedit / Ok)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Seleziona la cartella in grassetto "ProtocolDefaults"

nel pannello di destra, clicca con il tasto destro su ognuno di questi protocolli, scegli modifica e ristabilisci i valori come da esempio;

HTTP 3

HTTPS 3

FTP 3

@ivt 1

shell 0

file 3

Alla fine con hijackthis fixa tutte le 015

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Quei rootkit sospetti li avrà individuati scansionando gli ADS (Alternate Data Stream), funzionalità inserita solo nei programmi anti-rootkit e tra gli antispyware solo Spyware Terminator e Ad-aware hanno questa possibilità.

Comunque sono dati inseriti a un livello più basso del sistema operativo, non basta explorer per vederli...

Modificato da CarmWelo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Sembra che il problema sia risolto, almeno quello dei files strani e degli 015...

Anche la voce di spyterm

Trojan/Cimuz-TC : C:\WINDOWS\system32\ipv6mons.dll

è stata cancellata.

Solo le altre tre sono ancora segnalate dal programma che però, quando avvio l'eliminazione, mi dice "il file non esiste" (è stupido o cosa?)

Per ciò che riguarda il file.exe (NIAXCBI.exe), se guardo le proprietà mostra una cosa del tipo : Applicazione, Sola lettura, Nascosto, Crittografia.

E non ne vuol sapere di essere cancellato, anche in modalità provvisoria con pochi programmi in background (solo quelli di winXP).

La scansione on-line non mi ha ancora mandato il risultato ma nel caso fosse anche infetto, non credo riuscirei ad aliminarlo.

Dato che la data di creazione è prossima a quando ho installato Xp, potrebbe tratarsi di un suo files? (e gli venisse un colpo a chi mette certi nomi...più o meno inquietanti).

Comunque, da quando ci mettete le mani (virtualmente) in mio Computer non è mai andato così bene ed iosto imparando tantissimo sul suo funzionamento.

Saluti e Grazie

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il file NIAXCBI.exe fallo analizzare su www.virustotal.com e vedi che dice

mentre per gli altri che ti vengono segnalati come mancanti , forse sono rimasti solo dei collegamenti nel registro , al limite fai una ricerca e vedi se trovi qualcosa.....

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Su virustotal.com, quando invio il file, appare una schermata con scritto che ho inviato un archivio vuoto.

Stessa cosa su Kaspersky alla sezione per la scansione di un solo file.

A questo punto ho riprovato a mandarlo per e-mail all'indirizzo indicato su virustotal, staremo a vedere cosa dice...se arriva qualcosa.

Saluti

Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

già il fatto che è un file a 0 Kb... mi fa sospettare <_<

Comprimilo ed inviamelo... mettilo su questo server: http://www.mytempdir.com

Poi dammi il link per scaricarlo che lo invio a un laboratorio di analisi (Aviria)

Vedi di darmi anche un po' di info..

allora, metto qui quello che hai già scritto:

--> Percorso da ?????/????/NIAXCBI.exe

--> file nascosto e a sola lettura

--> non lo hai installato tu

--> non si elimina

-->---------------- Se hai altre info aggiungimele----------

Prova a vedere con UNLOKER chi lo sta usando http://ccollomb.free.fr/unlocker/

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Buondì a tutti

Altre info sul file:

Ho provato a limitare la scansione di SpyTerm al singolo file in esame e salta fuori:

Preparazione Scansione Profonda

Scansione approfondita dei File

Unreadable Binary Files : C:\Programmi\NIAXCBI.exe

Fine

(al termine dalla scansione il resident di Spybot mi avvertiva del tentativo di modificare una voce nel registro)

Allora ho provato a comprimerlo...

Con Winzip:

Action: Add (and replace) files Include subfolders: yes Save full path: no

Include system and hidden files: yes

Adding NIAXCBI.exe

Warning: could not open for reading: C:\Programmi\NIAXCBI.exe

copying Zip file

(il file zip è vuoto)

Con Winrar:

! NIAXCBI.rar: Impossibile aprire C:\Programmi\NIAXCBI.exe

Accesso negato.

Ho riprovato la scansione antivirus limitatamente al file:

Bitdefender 8 (Free)

Scanned files

C:\=>Master Boot Record OK

C:\=>Primary partition 1 (Active) OK

Per SuperAntiSpy:

non ci sono software pericolosi

Per Antivir:

Starting the file scan:

Begin scan in 'C:\Programmi\NIAXCBI.exe'

C:\Programmi\

C:\Programmi\NIAXCBI.exe

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

Unlocker (programma interessante...):

"non sono stati trovati handle che bloccano l'oggetto selezionato

Unlocker è in grado di effettuare alcune operazioni sull'oggetto

(nel menù a tendina) : nessuna azione; Elimina; Rinomina; Sposta"

Che fare?

(Prima di muovermi attendo i vostri consigli)

Saluti e Grazie

Doctor

Modificato da Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao..

nella cartella programmi quindi... e senza nessuna sottocartella <_<

Io procederei con l'eliminazione (se ci riusciamo)

Prova prima con MagicRun

lo script da inserire è questo:

<title>Malvare: NIAXCBI.exe (29/04/07)

<deletefile>

C:\Programmi\NIAXCBI.exe

</deletefile>

Se non lo elimina, prova con KILLBOX (tienici comunque informati)

Scarica anche REGSEARCH http://download.bleepingcomputer.com/steelwerx/regsearch.zip

nella prima riga inserisci il nome del file in [string to search] (NIAXCBI.exe) ed avvia la ricerca per le voci presenti nel registro...

Al termine si aprirà il blocco note con le voci individuate (se ce ne sono)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Buondì,

Ho provato con MagicRun ma quando ho inserito lo script

<title>Malvare: NIAXCBI.exe (29/04/07)

<deletefile>

C:\Programmi\NIAXCBI.exe

</deletefile>

Mi è sparita la finestra del programma e non si è più fatta vedere (penso si sia chiusa, senza nessun messaggio)

indows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.4.2

; Results at 28/04/2007 8.13.46 for strings:

; 'rova prima con magicrun

lo script da inserire è questo:

per Regsearch il report è il seguente:

quote

<title>malvare: niaxcbi.exe (29/04/07)

<deletefile>

c:\programmi\niaxcbi.exe

niaxcbi.exe'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

Ho provato a cancellare il file anche con Unloker ma mi dice che il file non può essere cancellato.

Ho anche scansionato il registro con RegSeeker:

e mi ha trovato:

HKEY_LOCAL_MACHINE:

System\controlset001\services\qxRd ... Imagepath "C:\programmi\NCAXBI.exe

Stessa cosa ma in ...\controlset002\...

...\controlset004\...

...\current controlset\.

Mi servirebbe anche il link diretto a killbox(grazie)

Saluti

Doctor

Modificato da Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

KILLBOX è qui: http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path:-> C:\programmi\NCAXBI.exe

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra:

capt0012od.jpg

Elimina le voci presenti nel registro

prova a riavviare e ad eliminare il file

mi sa tanto di rootkit, però è strano che sia in quella posizione..

Fammi uno scan anche con GMER

http://www.gmer.net/gmer110.zip // http://www.majorgeeks.com/GMER_d5198.html

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Attendi la fine della scansione e clicca su "Copy"

Apri il block notes di windows clicca su modifica e seleziona incolla

salva il file

Quindi allegalo al tuo post (allegalo, non copiarlo che non ci sta)

Dimmi se ti evidenzia delle voci in rosso)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Quanto prima allegherò il report di Gmer.

Tuttavia:

Non sono riuscito a cencellare il file con killbox; le voci del registro le ho eliminate, ho seguito le istruzioni per killbox ma al riavvio il file c'è ancora.

Gmer non mi ha evidenziato alcuna voce in rosso.

Non so se l'ho già detto ma il file NCAXBI.exe ( :ranting2: ) ha il nome scritto in verde; vorrà dire qualcosa anche quello?

Saluti, doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

ha il nome scritto in verde

Allora si tratta di un file crittografato...

clic con il tasto destro sul file, Proprietà e prova a togliere la crittografia e a eliminarlo

Al limite prova ad eliminarlo con AVENGER

scarica e decomprimi avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue:

files to delete:

C:\programmi\NCAXBI.exe

Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Controlla il log che verrà creato in C:\Avenger

___

Comunque non riesco atrovare nessuna info su quel file...

Era una buona norma farne almeno una copia di Backup

Se non te lo elimina ancora, ti faccio scaricare un'altra cosa da un mio server, però mi devi mandare la tua email via PM ... e spero che hai l'ADSL, perchè il file è 150 MB

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Buondì,

Nelle proprietà del file mi si mostra un menù abbastanza complesso (Almeno per me) diverso da quelo di altri files "maligni" che ho precedentemente rimosso (Grazie alle vostre istruzioni).

Vi mando in allegato zip la prima schermata che mi appare.

Comunque non riesco a modificare alcuna proprietà.

Ho provato a spuntare la voce "Nascosto" ma, dopo un avviso di impossibilità, mi si è creato un collegamento (con icona MSDOS) non nascosto. (Ovviamente l'ho eliminato).

Allego anche il report di GMER.

Ho provato AVENGER

Ho Eseguito passo passo le istruzioni ma, alla fine della fiera, mi sono comparsi due messaggi di errore ed il seguente report:

Fatal error: could not create new script file.

Error code: 1813

Error logged to errorlog.txt. Aborting now!

A questo punto mi chiedo: Siamo sicuri che sia da eliminare ? (Spererei che non fosse nulla...ma, per il fatto che avete lavorato per me spererei che almeno si eliminasse); non ho mai fato tanta fatica per un file....

Il brutto è che non ci sono info in rete (Ho provato su vari siti di produttori di antivirus e sul sito microsoft).

Saluti

Doctor

GMER.txt

Propriet__NIAXCBI_1.zip

Modificato da Doctor

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao il log di Gmer è OK...

dall'immagine che mi mandi, pare essere un file DOS

Non è comunque un file di sistema... sopratutto vista la posizione in cui si trova...

(che ci fa un file DOS dentro "Programmi".... senza nessuna cartella????)

Ora questa cosa mi sta incuriosendo parecchio... se non possiamo eliminarlo, almeno vorrei inviarlo per un analisi....

Se hai una linea ADSL mandami via PM la tua Email che ti faccio scaricare un file e vediamo se con questo riusciamo a copiarlo da qualche parte....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buondì,

Purtroppo non ho l'adsl, ma qualcuno a cui posso appoggiarmi per scaricare un file lo trovo sicuramente.

In effetti, hai ragione sulla posizione del file...

O riguardato un paio di cose e mi sembra, se non sbaglio, che il file sia comparso più o meno con quello dal nome strano (XY...) correlato a linkoptimizer (Che ho però eliminato con la tool di Symantech (Quella consigliata da voi), (Ho ricontrollato ma non c'è più).

Non so se può essere di aiuto ma allego un paio di voci strane che mi ha riportato Zone Alarm nella lista dei report del "Firewall".

(Premetto, se mi fossi infettato su un sito pornografico almeno lo potrei capire, ma dato con ho meglio da fare che spendere soldi così, non ci vado...).

Per l'indirizzo e-mail basta che clicchi sul mio nome e dovrebbe venire fuori con il profilo.

Comunque te lo invio ugualmente.

Saluti

Doctor

Alcuni_log_di_zone_alarm_strani.doc

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti ho madato sia un Pm che una email...

dal log di ZA, non capisco cosa possa essere... e comunque sono stati bloccato dal firewall...

Non sempre ci si infetta sui siti porno, a volte basta andare su siti di suonerie, sfondi o comunque che offrono cose "gratis"

Pertanto, è buona norma abbandonare IE e navigare con Firefox 2, ma con NOScript installato

L'estensione Noscript devi installarla (scaricarla) usando Firefox

Nota che Noscript bloccherà TUTTI gli script, (benevoli o malevoli) ma basterà che acconsenti una sola volta il sito fidato (come Wininizio) perchè gli script siano sempre consentiti

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0