|
| Precedente :: Successivo |
| Autore |
Messaggio |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
 Inviato: 12 Mar 2008 19:52 Oggetto: |
 |
|
| chemicalbit ha scritto: |
Non sapevamo già che era lpt4.exe ? |
Si, ma non sapevamo che c'era quest'altro;
quindi dobbiamo usare anche Symantec e Gromozon...
| chemicalbit ha scritto: |
(a proposito perché AVG resident non mi segnala più il malware che prima mi aveva segnalato in esso?) |
Bhe.... a volte capita che non li segnalano affatto....
| chemicalbit ha scritto: |
Ora mi pare di capire che quello più urgente / che è meglio fare per primo è il CSI che mi haiindicato ora, quindi faccio per primo quello. |
Esatto... |
|
| Top |
|
 |
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 12 Mar 2008 22:37 Oggetto: |
|
|
| Sante62 ha scritto: | | chemicalbit ha scritto: |
Non sapevamo già che era lpt4.exe ? |
Si, ma non sapevamo che c'era quest'altro;
quindi dobbiamo usare anche Symantec e Gromozon... |
Ma quelli li ho già usati, senza trovare niente.
(vero che quello della Symanteck, tool anti linkoptimizer, non l'ho ancora usato con ilfile lpt4.exe rimesso al suo posto, o meglio al suo nome)
p.s. quindi knlps.exe : Trojan horse KillAV.GY è il Gromozon/Linkoptimizer/altri 1000 nomi?
| Sante62 ha scritto: | | chemicalbit ha scritto: | | (a proposito perché AVG resident non mi segnala più il malware che prima mi aveva segnalato in esso?) |
Bhe.... a volte capita che non li segnalano affatto.... |
ah, bella roba! 
| Sante62 ha scritto: | | chemicalbit ha scritto: | | Ora mi pare di capire che quello più urgente / che è meglio fare per primo è il CSI che mi haiindicato ora, quindi faccio per primo quello. |
Esatto... |
Eccolo. log di CSI
Nota: l'ho fatto col il file C:\WINDOWS\system32\qsws\knlps.sys non più presente (è in quarantena di AVG) e il file lp4.exe rinominato in ABlpt4.virus
L'ultima modifica di chemicalbit il 12 Mar 2008 23:36, modificato 1 volta |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Mar 2008 23:14 Oggetto: |
|
|
| chemicalbit ha scritto: |
Ma quelli li ho già usati, senza trovare niente. |
Lo so, ma è sempre meglio provarci, non si sa mai...
| chemicalbit ha scritto: |
(vero che quello della Symanteck, tool anti linkoptimizer, non l'ho ancora usato con ilfile lpt4.exe rimesso al suo posto, o meglio al suo nome) |
Va bene, ormai credo che abbiamo capito dov'è il problema;
| chemicalbit ha scritto: |
p.s. quindi knlps.exe : Trojan horse KillAV.GY è il Gromozon/Linkoptimizer/altri 1000 nomi? |
Credo che questo non faccia parte di Gromozon/Linkoptimizer;
per questo motivo hai usato Prevx_CSI, che non ha trovato forse perchè è nella quarantena di AVG;
| chemicalbit ha scritto: |
Nota: l'ho fatto col il file C:\WINDOWS\system32\qsws\knlps.sys non più presente (è in quarantena di AVG) e il file lp4.exe rinominato in ABlpt4.virus |
il file lp4.exe rinominato in ABlpt4.virus si trova anche nella quarantena di AVG?; hai provato a farglieli eliminare?
in ogni caso, adesso fai le scansioni online:
BitDefender
Kaspersky online scanner |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 12 Mar 2008 23:38 Oggetto: |
|
|
| Sante62 ha scritto: | | il file lp4.exe rinominato in ABlpt4.virus si trova anche nella quarantena di AVG?; hai provato a farglieli eliminare? |
No, se ben ricordo non riuscivo né a metterlo in quarantena, né a curarlo.
Ora poi AVG resident manco si accorge più di quel file. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Mar 2008 00:05 Oggetto: |
|
|
| chemicalbit ha scritto: |
Ora poi AVG resident manco si accorge più di quel file. |
Non mi meraviglia questo fatto.... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 13 Mar 2008 13:34 Oggetto: |
|
|
| chemicalbit ha scritto: | | (vero che quello della Symanteck, tool anti linkoptimizer, non l'ho ancora usato con ilfile lpt4.exe rimesso al suo posto, o meglio al suo nome) |
Fatto : non trovato. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 15 Mar 2008 13:45 Oggetto: |
|
|
PS: l'ho rimesso casomai ti sia sfuggito... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 16 Mar 2008 00:06 Oggetto: |
|
|
Sì, li sto facendo, è che ci vuole parecchio tempo per fare le varie scansioni.
Tra l'altro ieri mentre facevo Kasperky (e mentre mi stavo "lamentando" che dall'estrapolazione della % già effettuata e il tempo già trascorso, stimando un 7 - 10 ore di scansione -inalcuni mementi la scansione era lentisisma, si "piantava" su un singolo file, altre volte diventava ben veloce)
non so cos'è successo, o cosa ho fatto, ma quando andato a riguardare la finestra dove si stava svolgendo la scansione ho visto che era tornata alla schemata in cui chiede se si accetta o meno la licenza (strano, anche se avessi inavvertitamente premuto "stop scan" sarei dovuto arrivare alla schermata coi riusultati, non lì). 
Ho dovuto quindi ripartire da zero, buttando via quaclhe ooretta di scansione. E a quel punto, pensando che c'avrebbe messo molto tempo, non ero sicuro che se se l'avessi fatto partire a quell'ora, sarei riuscito a finire, e così ho rimandato ad oggi.
Nel frattempo ho fatto una scansione con AVG antivirus free, e questo potrebbe aver creato una piccola complicazione, che però spero di aver risolto. Infatti mi ha rispostato i file c:\windows\system32\qsws\knlps.exe e knlps.sys , quindi poi non li ho esaminati con la scansione i Kaspersky.
Oggi ho fatto la scansione con Kasperky Online Scan (per fortuna c'ha impiegato "solo" 4 ore e mezza) :
log della scansione con Kaspersky (formato testo) -alcuni dei file lì indicati ritengo impobabile siano dei malware, vedi prossimo messaggio-.
Accortomi che i file c:\windows\system32\qsws\knlps.exe e knlps.sys non erano stati esaminati perché erano nella quarantena di AVG, li ho ripristinati, e ho fatto una scansione di quella carella.
log della scansione della cartella c:\windows\system32\qsws\ (in formato html). In pratica l'unica informazione è "C:\WINDOWS\system32\qsws\knlps.sys - Object is locked - skipped"
Ho caricato un po' di file in VirusTotal (quei due, quelli indicati nel log di kaspersky, e altri che mi sembravano sospetti), posto i risultati nel prossimo messaggio. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 16 Mar 2008 00:34 Oggetto: |
|
|
Non ricordandomi se li avevo già fatti analizzare da Virustotal , ho fatto analizzare i due file che AVG aveva trovato in c:\windows\system32\qsws\
c:\windows\system32\qsws\knlps.exe
Risultato: 17/32 (53.13%)
| Codice: | Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.3.15.0 2008.03.14 Win-AppCare/Prockill.25088
AntiVir 7.6.0.73 2008.03.14 SPR/Tool.ProcKill.KernelPS.0.4
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.03.15 Potentially harmful program Tool.CF
BitDefender 7.2 2008.03.15 Application.Prockill.Knlkillp.D
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.15 VirTool.Kernps.A
DrWeb 4.44.0.09170 2008.03.15 Tool.KnlKillp
eSafe 7.0.15.0 2008.03.09 suspicious Trojan/Worm
eTrust-Vet 31.3.5616 2008.03.14 -
Ewido 4.0 2008.03.15 -
F-Prot 4.4.2.54 2008.03.15 -
F-Secure 6.70.13260.0 2008.03.14 -
FileAdvisor 1 2008.03.15 -
Fortinet 3.14.0.0 2008.03.15 Misc/Knlkillp
Ikarus T3.1.1.20 2008.03.15 Virus.Win32.Agent.AEZ
Kaspersky 7.0.0.125 2008.03.15 -
McAfee 5252 2008.03.14 potentially unwanted program ProcKill-KnlKillP
Microsoft 1.3301 2008.03.15 -
NOD32v2 2949 2008.03.15 -
Norman 5.80.02 2008.03.14 -
Panda 9.0.0.4 2008.03.15 Application/Killapp.D
Prevx1 V2 2008.03.15 Generic.Malware
Rising 20.35.51.00 2008.03.15 Trojan.Win32.KillAV.gfp
Sophos 4.27.0 2008.03.15 -
Sunbelt 3.0.963.0 2008.03.14 Worm.Win32.Randon
Symantec 10 2008.03.15 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.13 Backdoor.Win32.Hupigon.eko
VirusBuster 4.3.26:9 2008.03.14 -
Webwasher-Gateway 6.6.2 2008.03.14 Riskware.Tool.ProcKill.KernelPS.0.4
Informazioni addizionali
File size: 25088 bytes
MD5: f64a3bcac762e5906c05d9f77d01303b
SHA1: ac4b239ef2c25aa958da6de812228310c25004e9
PEiD: ASPack v2.12 -> Alexey Solodovnikov
packers: Aspack
packers: ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FE444C0700A6EEE062A400D68CEF3B00BAF0B5D9 |
c:\windows\system32\qsws\knlps.sys
Risultato: 16/32 (50%)
| Codice: | Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.3.15.0 2008.03.14 Win-Trojan/ProcKill.3072
AntiVir 7.6.0.73 2008.03.14 SPR/ProcKill.C
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.15 Win32:KillProc-G
AVG 7.5.0.516 2008.03.15 KillApp.AA
BitDefender 7.2 2008.03.15 Application.Prockill.Knlkillp.B
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.15 -
DrWeb 4.44.0.09170 2008.03.15 Tool.KnlKillp
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5616 2008.03.14 -
Ewido 4.0 2008.03.15 -
F-Prot 4.4.2.54 2008.03.15 -
F-Secure 6.70.13260.0 2008.03.14 -
FileAdvisor 1 2008.03.15 -
Fortinet 3.14.0.0 2008.03.15 HackerTool/ProcKill.KnlKillP
Ikarus T3.1.1.20 2008.03.15 Virus.Win32.KillProc.G
Kaspersky 7.0.0.125 2008.03.15 -
McAfee 5252 2008.03.14 potentially unwanted program ProcKill-KnlKillP
Microsoft 1.3301 2008.03.15 -
NOD32v2 2949 2008.03.15 -
Norman 5.80.02 2008.03.14 -
Panda 9.0.0.4 2008.03.15 Application/Killapp.D
Prevx1 V2 2008.03.15 KillApp.AA
Rising 20.35.51.00 2008.03.15 Backdoor.Win32.Gpigeon2007.joz
Sophos 4.27.0 2008.03.15 ProcKill
Sunbelt 3.0.963.0 2008.03.14 Worm.Win32.Randon
Symantec 10 2008.03.15 -
TheHacker 6.2.92.247 2008.03.15 Trojan/Killapp.gen
VBA32 3.12.6.2 2008.03.13 -
VirusBuster 4.3.26:9 2008.03.14 -
Webwasher-Gateway 6.6.2 2008.03.14 Riskware.ProcKill.C
Informazioni addizionali
File size: 3072 bytes
MD5: 7453dfe438791983cc2349a8403a51b9
SHA1: a24ccf0f5387d6ac0dbe4d5ebfa50eee98b1004c
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9CDC3DC100C8E0BE0C7C002E8135E500B79BCD14 |
nota: per caricarlo ho dovuto rinominarlo in ABknlps.sys.virus , altrimenti non me lo caricava (il sito internet diceva che gli avevo mandato 0 byte) , questo anche se disattivavo AVG resident.
---------
Quanto ai file indicati nel log di Kasperkey online,
alcuni non penso siano dei malware:
C:\Documents and Settings\amministratore\Documenti\avwinntp.exe ZIP: infected - 1 skipped
e
C:\Documents and Settings\$user3\Documenti\frominte\!da guardare\!NUOVIbis\avwinsfx.exe ZIP: infected - 1 skipped
sono dei file d'installazione di vecchi antivirus (Antivir Personal Edition) [size]che non so perché non ho buttato e me li tengo ancora, visto che sono vecchi :wink[/size].
Per sicurezza ho mandato anche quelli a VirusTotal.
(rissumo i log, se servono quelli compelti, basta dirmelo)
Per il primo (il avwinntp.exe ) Risultato: 2/32 (6.25%)
| Codice: | Kaspersky 7.0.0.125 2008.03.15 Backdoor.Win32.IRCBot.gen
Prevx1 V2 2008.03.15 Heuristic: Suspicious Self Modifying File
Informazioni addizionali
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=648ADF4A00E2E38E04BA04C3F041F70089090E64 |
Per il secondo (il avwinsfx.exe ) Risultato: 1/32 (3.13%) | Codice: | | Kaspersky 7.0.0.125 2008.03.15 Backdoor.Win32.IRCBot.gen |
anche per
C:\Documents and Settings\All Users\Documenti\programmi DownLoaded\dwl 2005lug-ago\già master\mIRC\mirc616.exe mIRC: infected - 1 skipped
e
C:\Programmi\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
Sono il file d'installazione di mIRC (un client IRC) che avevo prelevatotempo fa dal sito ufficiale, e sempre mIRC installato (anche se ormai non lo uso quasi più, uso pidgin)
Per il primo (mirc616.exe) Risultato: 2/32 (6.25%) | Codice: | Fortinet 3.14.0.0 2008.03.15 Misc/mIRC
Kaspersky 7.0.0.125 2008.03.15 not-a-virus:Client-IRC.Win32.mIRC.616 |
Per il secondo (mirc.exe) Risultato: 7/32 (21.88%) | Codice: | CAT-QuickHeal 9.50 2008.03.14 ClientIRC.mIRC.616 (Not a Virus)
ClamAV 0.92.1 2008.03.15 PUA.IRC-Client.mIRC-6
F-Secure 6.70.13260.0 2008.03.14 Backdoor.Win32.mIRC-based
Fortinet 3.14.0.0 2008.03.15 Misc/mIRC
Ikarus T3.1.1.20 2008.03.15 not-a-virus:Client-IRC.Win32.mIRC.616
Kaspersky 7.0.0.125 2008.03.15 Backdoor.Win32.mIRC-based
TheHacker 6.2.92.247 2008.03.15 Aplicacion/mIRC.16 |
Vedo ora di fare le scansioni con BitDefender
(anche quelle per forza con lo stesso mdoto di Kaspersky, giusto? Quindi per forza con Internet Exploerer, e dopo aver scaricato il "motore" dell'antivirus mi disconnetto da internet e disattivo antivirus, firewall, ecc.) |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Mar 2008 10:57 Oggetto: |
|
|
| chemicalbit ha scritto: |
Vedo ora di fare le scansioni con BitDefender
(anche quelle per forza con lo stesso mdoto di Kaspersky, giusto? Quindi per forza con Internet Exploerer, e dopo aver scaricato il "motore" dell'antivirus mi disconnetto da internet e disattivo antivirus, firewall, ecc.) |
Giusto...
E' chiaro che knlps.exe e knlps.sys sono dei trojan, ma stranamente Kaspersky non lo riconosce come tale;
quando li hai caricati su virus total li hai rinominati giusto?
Il risultato così potrebbe non essere attendibile;
vediamo BitDefender cosa elimina e poi ci regoliamo di conseguenza;
ovviamente riporta quei file allo stato originale... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 16 Mar 2008 11:07 Oggetto: |
|
|
| Sante62 ha scritto: | quando li hai caricati su virus total li hai rinominati giusto?
Il risultato così potrebbe non essere attendibile; |
Il .sys ho dovuto rinominarlo.
Il .exe no. ( si è accorto che ce l'aveva già nel suo database, perché un altro utente gli aveva già fatto fare una scansione, col nome .ex_ -evidentemente si basa più sugli hash, in fondo riporta gli MD5 e SHA1, che sul nome del file- . Per sicurezza avevo "forzato" di fare una nuova scansione)
Per il .sys , che ho dovuto rinominare, non ricordo se l'avesse già nel database (se sì, anche lì ho forzato la scansione. Quidni in ogni caso il risultato è del mio file)
| Citazione: | vediamo BitDefender cosa elimina e poi ci regoliamo di conseguenza;
ovviamente riporta quei file allo stato originale... |
Ok
(anche se non capisco perché, se siamo sicuri che sono malware, non posso inziare a toglierli ...). |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Mar 2008 12:33 Oggetto: |
|
|
| chemicalbit ha scritto: | Ok
(anche se non capisco perché, se siamo sicuri che sono malware, non posso inziare a toglierli ...). |
Hai ragione, però di solito si aspetta il risultato delle scansioni online;
non vorrei che fosse collegata a qualche chiave di registro;
Kaspersky lo ha saltato, perchè il file è sicuramente bloccato da un altro processo;
in ogni caso puoi provare ad eliminarli, però dalla modalità provvisoria... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 16 Mar 2008 13:47 Oggetto: |
|
|
| Sante62 ha scritto: | | Kaspersky lo ha saltato, perchè il file è sicuramente bloccato da un altro processo; |
Ha saltato solo il .sys , non l' .exe
| Sante62 ha scritto: | | in ogni caso puoi provare ad eliminarli, però dalla modalità provvisoria... |
Con cosa? non posso fare la scansione online non potendo collegarmi ad internet dalla modalità povvisoria (o avendo già scaicato il "motore" della scansione, posso farla anche off-line?) né inviare a VirusTotal (o mi faccio una copia altrove dei file?) |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Mar 2008 21:54 Oggetto: |
|
|
| chemicalbit ha scritto: |
Con cosa? non posso fare la scansione online non potendo collegarmi ad internet dalla modalità povvisoria (o avendo già scaicato il "motore" della scansione, posso farla anche off-line?) né inviare a VirusTotal (o mi faccio una copia altrove dei file?) |
Volevo dire di eliminare manualmente quei file seguendone il percorso dalla modalità provvisoria...e poi procedere con la scansione online dalla modalità normale, scaricando nuovamente il motore della scansione per non tralasciare eventuali aggiornamenti... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 17 Mar 2008 22:50 Oggetto: |
|
|
Ufff ... mi ha fatto tribulare anche bitdefender (ho dovuto rifarlo. Vabbe' , racconto poi che questo mesaggio mi sa che verrà già lunghetto di suo)
log: | Codice: | Scan path: A:\;C:\;D:\;E:\;
Statistics
Time 04:39:14
Files 908986
Folders 24232
Boot Sectors 2
Archives 55321
Packed Files 30740
Results
Identified Viruses 11
Infected Files 11
Suspect Files 0
Warnings 0
Disinfected 0
Deleted Files 0
Engines Info
Virus Definitions 1004651
Engine build AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins 16
Archive plugins 41
Unpack plugins 7
E-mail plugins 6
System plugins 5
Scan Settings
First Action Report
Second Action __SECACT__
Heuristics Yes
Enable Warnings Yes
Scanned Extensions *;
Exclude Extensions
Scan Emails Yes
Scan Archives Yes
Scan Packed Yes
Scan Files Yes
Scan Boot Yes |
Poi c'è l'elenco dei file che ha trovato infetti
(alcuni dei quali però mi sa che sono file legittimi che allo scanner "puzzano"  per qualche motivo).
Li riporto qui, assieme all'analisi che non ho fatto con VirusTotal, al solito riporto solo le parti rilevanti del log.
------------------
Probabilmente non maligni.
sys38971.exe=>(NSIS o)=>zlib_nsis0011 - Infected with: DeepScan:Generic.Zlob.B486D4AF
è il systemscan che ho prelevato qualche giorno fa proprio per fare le analisi di cui parlaiamo in questa discussione . Scaricato dal sito ufficiale.
(penso che qualche sua routine insospettisce bitdefender)
VirusTotal: Risultato: 6/32 (18.75%)
| Codice: | BitDefender 7.2 2008.03.17 DeepScan:Generic.Zlob.B486D4AF
ClamAV 0.92.1 2008.03.17 PUA.Packed.TeLock
DrWeb 4.44.0.09170 2008.03.17 Trojan.Proxy.2804
eSafe 7.0.15.0 2008.03.09 suspicious Trojan/Worm
Prevx1 V2 2008.03.17 Heuristic: Suspicious File With Bad Child Associations
Sophos 4.27.0 2008.03.17 Mal/VB-A
packers: PE_Patch.UPX, UPX, UPX, UPX, PE_Patch, TeLock, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AAD87470D783BC246DDC0AEDEFA13D0060EE57C8 |
Delete arbitrary files using Help and Support Center [MSRC 1198dg].htm - Infected with: Exploit.XPHelpDelete.A
Vecchia pagina di un sito che parecchio tempo fa -neanche mi ricordavo di averla- mi ero salvato, che riportava la notizia della scoperta di un exploit (buco di sicurezza) .
Probabilmente gli esempi hanno allertato il bitdefender.
VirusTotal: Risultato: 1/32 (3.12%)
| Codice: | | BitDefender 7.2 2008.03.17 Exploit.XPHelpDelete.A |
erunt-setup.exe=>(Instyler o)=>(Instyler Module 9) - Infected with: Trojan.Pws.Banker.FV
Programma Erunt che mi ero prelevato tempo fa, e che non ho poi mai avuto tempo di guaradare, e ora mi sono accorto che giace tuttora nei meandri del mio hard disk . Scaricato dal sito ufficiale.
(penso che qualche sua routine insospettisce bitdefender)
VirusTotal: Risultato: 3/32 (9.38%)
| Codice: | BitDefender 7.2 2008.03.17 Trojan.Pws.Banker.FV
Ikarus T3.1.1.20 2008.03.17 Trojan-PWS.Banker.3943
VBA32 3.12.6.2 2008.03.16 Trojan.PWS.Banker.3943 |
sfg800e.exe=>(NSIS o)=>lzma_solid_nsis0006 - Detected with: Application.Veevo.A
Altro programma che mi ero scaricato ma che non avevo mai usato. (anzi, dovrei buttarlo, tanto ora uso Firefox, e ha quella funzione integrata) . Scaricato da cnet.com
Non so perché insospettisca btdefender
VirusTotal: Risultato: 2/32 (6.25%)
| Codice: | BitDefender 7.2 2008.03.17 Application.Veevo.A
DrWeb 4.44.0.09170 2008.03.17 Adware.SafeGuard |
-----------------------
In dubbio, non penso siano maligni ma non ne sono sicuro.
C:\Programmi\Common Files\GTK\2.0\uninst.exe - Infected with: Trojan.Generic.91432
E' nella directory delle librerie GTK, che mi ha installato gaim/pidgin , di cui mi fiderei. Però potrebbe essere anche un file si è aggiunto lì successivamente
VirusTotal: Risultato: 1/32 (3.13%)
| Codice: | | BitDefender 7.2 2008.03.17 Trojan.Generic.91432 |
------------------
Probabilmente maligni.
Mania.htm Infected with: Generic.XPL.CodeBase.81570FFD
pagina web salvata da un sito con molta pubblicità, banner, ecc. Non escludo affatto che possa essere veramente infetto.
(è una pagina molto vecchia, penso sia scorrelata dall'infezione di cui ci stiamo occupando, però ovviamente ripultisco anche questa. Non ho problemi a cancellarla, è anch'essa roba dispersa nel mio hard disk)
VirusTotal: Risultato: 1/32 (3.13%)
| Codice: | | BitDefender 7.2 2008.03.17 Generic.XPL.CodeBase.81570FFD |
....\Identities\{87....-....-...-...-...}\Microsoft\Outlook Express\arrivo Yahoo.dbx=>(message 2104)=>(base64) Infected with: Win32.Sober.I@mm
Sarà qualche email con un allegato infetto (a volte mi dimentico di buttarli). Va a sapere quale, visto che ci sono poche informazioni (qual è il messaggio numero 2104?)
VirusTotal: non sono riuscito a farlo (forse perché il file è mooooooooolto grande -dovrei suddividere quella cartella, ma una delel tante cose che sto rimandando perchè preferisco aver già debellato il virus quando le farò.). Poi riprovo.
....\Identities\{87....-....-...-...-...}\Microsoft\Outlook Express\scegliere.dbx=>(message 117)=>[Subject: Fwd:metro][Date: Sun, 05 Oct 2003 15:20:39 +0000]=>(MIME part)=>=?iso-8859-1?Q?metro.zip?==>metro.exe Detected with: Application.Joke.Slidescreen.A
Anche questa sarò qualche email con un allegato infetto che mi sono dimenticato di buttare. Qui ho più informazioni, vedo se riesco a capire quale messaggio sia e ad eliminarlo.
VirusTotal: non sono riuscito a farlo (forse perché il file è un po' grande -molto mento dell'altro. Neanche tantissimo grande , a dire il vero). Poi riprovo.
C:\WINDOWS\system32\qsws\abo3ramconfit - Infected with: Trojan.Generic.91432
VirusTotal: Risultato: 4/32 (12.5%)
| Codice: | BitDefender 7.2 2008.03.17 Backdoor.Irc.Fasmex.E
Ikarus T3.1.1.20 2008.03.17 Backdoor.IRC.Fasmex.E
McAfee 5252 2008.03.14 IRC/Flood.ap
TheHacker 6.2.92.247 2008.03.15 IRC/Flood |
C:\WINDOWS\system32\qsws\gt.x - Infected with: Trojan.IRC.Gen
VirusTotal: Risultato: 9/32 (28.13%)
| Codice: | AntiVir 7.6.0.73 2008.03.17 TR/IRC.404
BitDefender 7.2 2008.03.17 Trojan.IRC.Gen
Fortinet 3.14.0.0 2008.03.17 IRC/FLOOD.AP!worm
Ikarus T3.1.1.20 2008.03.17 Trojan.IRC
McAfee 5252 2008.03.14 IRC/Flood.ap
Panda 9.0.0.4 2008.03.16 W32/Randon.DD.worm
Symantec 10 2008.03.17 IRC Trojan
TheHacker 6.2.92.247 2008.03.15 IRC/Flood
Webwasher-Gateway 6.6.2 2008.03.17 Trojan.IRC.404 |
C:\WINDOWS\system32\qsws\w.e - Infected with: Worm.Randon.DD
VirusTotal: Risultato: 7/32 (21.88%)
| Codice: | BitDefender 7.2 2008.03.17 Worm.Randon.DD
Fortinet 3.14.0.0 2008.03.17 IRC/FLOOD.AP!worm
Ikarus T3.1.1.20 2008.03.17 Worm.Randon.DD
McAfee 5252 2008.03.14 IRC/Flood.ap
Panda 9.0.0.4 2008.03.16 W32/Randon.DD.worm
Symantec 10 2008.03.17 IRC Trojan
TheHacker 6.2.92.247 2008.03.15 IRC/Flood |
----------
nota: non ha rilevato né C:\WINDOWS\system32\qsws\knlps.exe né knlps.sys
A questo punto ho fatto controllare con VirusTotal tutti i file della cartella C:\WINDOWS\system32\qsws\ (ero convinto di averlo già fatto per l'altro .exe che c'è in quella cartella), ma a quanto pare no.
E quasi tutti i file sono risultati infetti. Posto nel prossimo messaggio.
p.s. nessuno -non solo bitdefender- ha mai rilevato virus nel ....\Impostazioni locali\Temp\lpt4.exe , forse perché non riescono a leggerlo. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 17 Mar 2008 23:18 Oggetto: |
|
|
come dicevo, ho guardato la directory C:\WINDOWS\system32\qsws , ho mandato i vari file a VirusTotal e sono risultati tutti infetti.
Contiene questi file | Codice: | Directory di C:\WINDOWS\system32\qsws
16/10/2004 06.34 239 abo3ramconfit (I1)
08/12/2001 23.12 288.072 cygwin1.dll (N)
24/06/2004 21.00 49.107 ger.exe (I0)
22/07/2004 14.31 412 gt.x (I1)
16/03/2008 20.27 25.088 knlps.exe (I2)
16/03/2008 20.27 3.072 knlps.sys (I2)
14/04/2004 15.12 72.588 riqa (N)
12/10/2004 05.17 225 w.e (I1) |
(I0) e (I1) e (I2) = infetti sencondo VirusTotal
(N) = VirusTotal non ha trovato nulla
Riporto qui il risultato di VirusTotal di quelli (I0)
ger.exe Risultato: 3/32 (9.38%)
| Codice: | Avast 4.7.1098.0 2008.03.16 Win32:Trojan-gen {UPX}
eSafe 7.0.15.0 2008.03.09 suspicious Trojan/Worm
Ikarus T3.1.1.20 2008.03.17 Virus.Win32.Trojan
|
I risultati di VirusTotal per quelli (I1) - cioè abo3ramconfit , gt.x , w.e -
li ho già postati nel messaggio precedente.
I risultati di VirusTotal per quelli (I2) - cioè knlps.exe , knlps.sys (nota:avevo dovuto rinominarlo) - li ho già postati in un mssaggio più vecchio del 15 marzo.
(N) = VirusTotal non ha trovato nulla.
cygwin1.dll Risultato: 0/32 (0%)
riqa Risultato: 0/32 (0%)
------------------------
Ma che è 'sta directory C:\WINDOWS\system32\qsws ? 
------------------------
Devo fare un riassunto di tutti i file sospetti
e di tutti i tipi di malware trovati?
L'ultima modifica di chemicalbit il 18 Mar 2008 23:00, modificato 1 volta |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 18 Mar 2008 00:06 Oggetto: |
|
|
| chemicalbit ha scritto: | come dicevo, ho guardato la directory C:\WINDOWS\system32\qsws , ho mandato i vari file a VirusTotal e sono risultati tutti infetti.
Contiene questi file | Codice: | Directory di C:\WINDOWS\system32\qsws
16/10/2004 06.34 239 abo3ramconfit (I1)
08/12/2001 23.12 288.072 cygwin1.dll (N)
24/06/2004 21.00 49.107 ger.exe (I0)
22/07/2004 14.31 412 gt.x (I1)
16/03/2008 20.27 25.088 knlps.exe (I2)
16/03/2008 20.27 3.072 knlps.sys (I2)
14/04/2004 15.12 72.588 riqa (N)
12/10/2004 05.17 225 w.e |
(I1)
|
Questa cartella la puoi eliminare con tutto il suo contenuto...
| chemicalbit ha scritto: |
Ma che è 'sta directory C:\WINDOWS\system32\qsws ? |
Quella che ti ha creato il malware...
| chemicalbit ha scritto: |
Devo fare un riassunto di tutti i file sospetti
e di tutti i tipi di malware trovati? |
No, basta che posti il log di BitDefender completo, se ancora ce l'hai disponibile;
poi, in base a quello che decideremo di eliminare (dopo la scansione di kaspersky), deciderai tu se toglierli effettivamente, o lasciarne alcuni perchè li conosci, anche se io al tuo posto li eliminerei tutti;
quando hai tempo fa la scansione con Kaspersky, senza però passare per virus total questa volta... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 18 Mar 2008 00:15 Oggetto: |
|
|
Ma la scansione con Kaspersky l'avevo già fatta (risultato qui) e da allora non è cambiato nulla (l'unica cosa che ho fatto dopo è stata la scansione con bitdefender).
EDIT: ops, forse ho capito. Intendo dopo che ho cancellato la directory C:\WINDOWS\system32\qsws
Per il log di bitdefender,
oltre alla parte che ho incollato nel messaggio, c'era poi l'elenco dei file trovati infetti, e li ho elencati io tutti.
Comunque se preferisci il log "ufficiale" completo, ce l'ho ancora, te lo recupero.
p.s. a proposito del cancellare C:\WINDOWS\system32\qsws ,
meglio da modalità provvisoria, giusto? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 18 Mar 2008 00:23 Oggetto: |
|
|
Ah, non ricordavo che la scansione con Kaspersky l'avevi già fatta...
anche lui segnala dei file infetti, che io ti consigilerei di togliere;
in ogni caso aspetto il log di Bitdefender e poi tramite The Avenger (Nuova versione) che intanto scaricherai e metterai in una cartella tutta sua, e in base allo script che metterò tu decidi cosa effettivamente eliminare, se lo ritieni necessario; basta solo togliere quel file dallo script...
| chemicalbit ha scritto: |
Per il log di bitdefender,
oltre alla parte che ho incollato nel messaggio, c'era poi l'elenco dei file trovati infetti, e li ho elencati io tutti. |
Si però in alcuni di essi mancano i percorsi, a meno che tu non decida di eliminarli manualmente, senza l'utilizzo di Avenger;
| chemicalbit ha scritto: |
Comunque se preferisci il log "ufficiale" completo, ce l'ho ancora, te lo recupero. |
Si, sarebbe gradito, magari in formato HTML, per una miglione lettura...
| chemicalbit ha scritto: |
p.s. a proposito del cancellare C:\WINDOWS\system32\qsws ,
meglio da modalità provvisoria, giusto? |
Sicuramente.... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 18 Mar 2008 00:49 Oggetto: |
 |
|
Ecco qui il log di bitDefender in formato HTML.
p.s. beh, sì, mancava il percorso
è che orami inziano ad essermi fin troppo familiari  per cui ormai chiamo quei file per nome: "il knlps.exe " e così via
i percorsi li averi aggiunti io, se mi dici di cancellare il file tale, so dove andarlo a pescare.
-ok che ho datoprova d'imbranataggine e di jelle varie durante queste scansioni ...  -
A cancellare a mano non avrei problemi, neanche da DOS ("proudly 'born' under DOS 5.0"  )
ma sì, proviamo The Avenger , non l'ho mai usato. (autorisposta: e ti lamenti di non essere mai stato in situazione di averne mai avuto bisogno? )
Ah, visto che -non so perché, e stranamente per me- in questo messaggio sto abbondando di faccine, non posso non mettere anche questa:
 grazie di tutto. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
