Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus Autoreplicante nei dischi rimovibili: m.exe ?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 27 Lug 2008 23:54    Oggetto: Virus Autoreplicante nei dischi rimovibili: m.exe ? Rispondi citando

Ciao a tutti!
Sono un nuovo utente, ed è la prima volta che ricorro ad un forum per assistenza di questo tipo, quindi abbiate pazienza Very Happy

Un mesetto fa, mentre navigavo accidentalmente senza antivirus, ho beccato una caterva di virus che hanno causato un po' di problemi al mio pc, ma alla fine sono riuscito a liberamene quasi completamente.
L'unico problema che ora noto è un pop up di Adstargeted Banner (o qualcosa di simile) che compare saltuariamente e non mi causa più di tanto fastidio Confused

Piuttosto, venendo al dunque, oggi ho notato che quando inserisco nel computer una SD, o collego il mio lettore mp3 via usb, in queste periferiche appare un file m.exe, che AVG mi segnala come infetto.
Non c'è rimozione manuale o automatica che tenga, questo antipatico eseguibile si ripresenta ogni volta Shocked

Ecco il messaggio che appare.


Ho provato ad aprire HijackThis, ma quando clicco appare per una frazione di secondo e poi si richiude.
Idem con Processexplorer.
Non cambia niente anche se rinomino gli eseguibili.
[E se proprio volete ridere, firefox si chiude automaticamente quando apro uno dei risultati della ricerca google '' hijackthis non si apre '' )

Utilizzo windows XP e il mio antivirus è AVG free.

Illuminatemi Wink Shocked
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 28 Lug 2008 07:32    Oggetto: Rispondi citando

Ciao justdare e benvenuto, Ciao

Segui queste istruzioni per controllare le chiavi del file di registro.
Dopo, vedremo il da farsi. Razz

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 28 Lug 2008 07:38    Oggetto: Rispondi citando

Citazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
guarda se esistono
- explorer.exe e se c'è riporta qui i valori.
- iexplore.exe e se c'è riporta qui i valori.


Non ci sono Crying or Very sad

per quanto riguarda l'altra chiave, il valore è lo stesso dell'immagine:

C:\WINDOWS\system32\userinit.exe,[/quote]
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 28 Lug 2008 07:41    Oggetto: Rispondi citando

Ok, allora fa parte dei servizi di Windows. Think

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

Se non dovessi riuscire a scaricarlo, prova da uno dei seguenti links:
sys13200.zip
sys13200.zip
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 28 Lug 2008 20:22    Oggetto: Rispondi citando

Eccomi Smile
Scusate il ritardo

28_07_2008_20_18_report.zip
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 29 Lug 2008 00:38    Oggetto: Rispondi citando

Ciao,

Porta il PC in modalità provvisoria;

Naviga attraverso questa chiave di registro:
Citazione:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | {4de5ec15-7557-0fff-c573-075f1ffce428}

Guarda nella finestra a destra se vedi quella in rosso racchiusa tra le parentesi graffe, clic col destro->elimina;

Fai la stessa cosa con quest'altra chiave, sempre dalla modalità provvisoria:
Citazione:
HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32

Appena giungi a quella in grassetto, selezionala e guarda nella finestra a destra se trovi questo valore: (Attenzione a non eliminare la chiave InprocServer32 ovunque compaia)
Citazione:
C:\WINDOWS\system32\ydmwnwqngessjn.dll

Elimina la chiave in corrispondenza del valore indicato quì sopra;
Adesso cerca questi file ed eliminali:
C:\WINDOWS\system32\ydmwnwqngessjn.dll
C:\WINDOWS\09F1B5B57561FAF85295FE67A1793E.exe
Riavvia il PC alla modalità normale;
Fai un log di Hijackthis.
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 29 Lug 2008 23:57    Oggetto: Rispondi citando

Ciao!
Sono entrato in modalità provvisoria, ho eliminato la chaive di registro scritta in rosso, ma non ho capito bene cosa fare con la seconda.

Mi dici di fare lo stesso con

HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32

ma poi di non cancellarla.
ad ogni modo questo è ciò che mi appare (non vedo C:\WINDOWS\system32\ydmwnwqngessjn.dll da eliminare )


ho cercato i due file da cancellare, e li ho eliminati.
Ora Hijack parte, ecco il log.
hijackthis.log
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 30 Lug 2008 09:13    Oggetto: Rispondi citando

justdare ha scritto:
Ciao!
Sono entrato in modalità provvisoria, ho eliminato la chaive di registro scritta in rosso, ma non ho capito bene cosa fare con la seconda.
Mi dici di fare lo stesso con
HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32
ma poi di non cancellarla.
ad ogni modo questo è ciò che mi appare (non vedo C:\WINDOWS\system32\ydmwnwqngessjn.dll da eliminare )

[/quote]
Volevo dire di non cancellare la chiave principale e cioè InprocServer32, ma il valore infetto che non compare perchè eliminato manualmente poco prima...

Adesso porta il PC nuovamente in modalità provvisoria;

Se hai il TTimer di Spybot attivo disattivalo prima di fare questa operazione, così per altri moduli in tempo reale;

avvia Hijack, seleziona queste righe e clicca poi su fix Checked:
Citazione:
O2 - BHO: targetedbanner browser optimizer - {0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187} - C:\WINDOWS\system32\ydmwnwqngessjn.dll (file missing)
O2 - BHO: (no name) - {250CFFC1-5BF5-4AE9-887D-80C1C75D545C} - (no file)
O2 - BHO: PPOob - {51E30BDC-0E41-4AED-8FBE-7813CB42497B} - C:\WINDOWS\system32\ppobo.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {82336A8D-6CD0-4647-B791-75FCA8CF2B39} - (no file)
O2 - BHO: (no name) - {8F37BE3F-7080-0507-AA4E-7AA2969B42C4} - (no file)
O20 - Winlogon Notify: adeccbbfaf - C:\WINDOWS\system32\adeccbbfaf.dll
O20 - Winlogon Notify: efcASiFV - efcASiFV.dll (file missing)
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)

Riavvia il PC alla modalità normale;
Adesso faremo un altra operazione con Systemscan, anche se qualche file non verrà trovato perchè già eliminato;

quindi avvia Systemscan;
clicca su Removal Script;
nel box inserisci queste scritte in rosso:
Citazione:
Drivers to unload:
c647c52264a1df6fbec946b3975f9cef

Files to delete:
C:\WINDOWS\system32\adeccbbfaf.dll
C:\WINDOWS\system32\ydmwnwqngessjn.dll
C:\WINDOWS\system32\ppobo.dll
C:\WINDOWS\system32\c647c52264a1df6fbec946b3975f9cef.sys
C:\Programmi\xloadnet\xloadnet.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | {4de5ec15-7557-0fff-c573-075f1ffce428}

Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adeccbbfaf
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51E30BDC-0E41-4AED-8FBE-7813CB42497B}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xloadnet
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{4de5ec15-7557-0fff-c573-075f1ffce428}

Clicca su Proceed with Removal
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 30 Lug 2008 20:58    Oggetto: Rispondi citando

Ciao!
Scusate se ci impiego una giornata a rispondere ma ho accesso al pc di casa solo alla sera in questi giorni Smile

Dalla modalità provvisoria Hijackthis non è voluto partire ( come all'inizio ) - ho provato due volte.
Curiosamente dalla modalità normale invece funziona.
FIxo quei dalla modalità normale e faccio partire system scan in provvisoria?
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 30 Lug 2008 21:36    Oggetto: Rispondi citando

OK, fixa in modalità normale e fai partire Systemscan sempre in modalità normale; posta anche il log di Hijackthis...
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 30 Lug 2008 22:20    Oggetto: Rispondi citando

Allora, all riavvio è apparsa questa schermata.


Ho dato annulla al messaggio sul disco ed è sparito, dopo un paio di tentativi.
Ho dato Heal a AVG che non ha trovato il file, e la schermata nera (DOS?) si è chiusa.
E' apparso il log di avenger:

avenger.txt

ed ecco quello di hijack fatto partire dopo.

weeee.txt

COme procediamo? Confused
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 31 Lug 2008 00:27    Oggetto: Rispondi citando

L'antivirus, doveva essere disabilitato perchè Avenger o Systemscan, vengono riconosciuti come potenziali virus;
Come era prevedibile, qualche file non è stato trovato da Avenger;
A meno che non l'hai saltata, la riga sottostante non è scomparsa;
Proviamo prima a disabilitare il servizio;
Vai su Pannello di controllo->Strumenti di amministrazione->Servizi;
Cerca questo servizio:
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)
Alla voce Tipo di Avvio, apri il menu a tendina e scegli Disabilitato;
Clicca su Applica e su OK;
Ora riprova a fixarlo con HJT e puoi controllare tu stesso se la riga è andata via;

Adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC.
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 31 Lug 2008 19:46    Oggetto: Rispondi citando

Dopo averlo disabilitato tramite ''Servizi", Hijack this non l'ha più rilevato.

[ o sbaglio? weeee.txt ]

Ora faccio la scansione Wink
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 31 Lug 2008 20:33    Oggetto: Rispondi citando

Esattamante.... Wink
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 01 Ago 2008 07:17    Oggetto: Rispondi citando

C'è un VAIRUS!

riporto.html
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 01 Ago 2008 09:07    Oggetto: Rispondi citando

Dovresti eliminare questo file:
Citazione:
C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe

magari dalla modlità provvisoria e dovresti essere a posto così.
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 01 Ago 2008 10:13    Oggetto: Rispondi citando

Quando arrivo a casa lo faccio.

Però ho il terrore a ricollegare le periferiche (cfr primo post) - non è che poi finiamo punto a capo? Very Happy
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 01 Ago 2008 11:54    Oggetto: Rispondi citando

Disattiva momentaneamente il riconoscimento automatico delle periferiche USB; serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
Citazione:
Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue periferiche e/o chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
Top
Profilo Invia messaggio privato
justdare
Mortale pio
Mortale pio


Registrato: 27/07/08 23:44
Messaggi: 17

MessaggioInviato: 01 Ago 2008 19:37    Oggetto: Rispondi citando

Fatto.
Ora sul lettore mp3 sembra non riapparire...
C'è qualche prova del 9 da fare? Very Happy
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 02 Ago 2008 02:11    Oggetto: Rispondi

Se non riscontri altri problemi abbiamo finito.... Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi