Pagina 1 di 2

Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 8:55 pm
da Emanuelito
Salve oggi per sbaglio ho aperto uno strano file arrivatomi via Msn e mi si è aperto un errore di svchost, ho subito preso il file e l'ho inviato a Virus total esso è riconosciuto da avira come TR/Dropper gen, ho fatto una scansione veloce con malwarebytes e ha rilevato 7 elementi infetti tra cui dei Trojan Downloader.
Ho effettuato la pulizia e riavviato il p, cosa devo fare per capire se questo virus si avventura nel mio pc, vi prego aiutatemi

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 8:58 pm
da eugenio19911
posta un log di hijackthis se non hai il prgramma puoi scaricarlo da qua:
http://www.xnavigation.net/view/156/hij ... nload.html
ricordati di usare il tag memo

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:04 pm
da Emanuelito

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:02:26, on 09/04/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Software Informer\softinfo.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Users\Emanuele\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\Emanuele\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8535397B\removaltool-win32-en.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files (x86)\Software Informer\softinfo.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Startup: GameRanger.lnk = C:\Users\Emanuele\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow ... ab_nvd.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung UPD Service - Unknown owner - C:\Windows\System32\SUPDSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: VIA Karaoke digital mixer Service (VIAKaraokeService) - Unknown owner - C:\Windows\system32\viakaraokesrv.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 5758 bytes

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:07 pm
da eugenio19911
fixa questa voce:
Codice: Seleziona tutto
   R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4

dopo averla fissata fai partire una scansione con hitman pro:
http://www.surfright.nl/en

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:19 pm
da Emanuelito
ho fixato la voce che mi hai detto ma non è di quello che si tratta perché questa è una cosa vecchia , ho visto mandando l'eseguibile che mi ha provocato l'infezione su virustotal ho visto che emisoft lo rileva per questo sto scaricando emisoft antimalware e tra poco faro la scansione per il resto il log è ok?
sto facendo anche la scansione con hitman pro

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:36 pm
da Emanuelito
l'ha scovato Hitman Pro e l'ha eliminato!come faccio ora a capire se tutte le traccia sono state rimosse?

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:51 pm
da eugenio19911
un ulteriore scansione con kaspesky virus removall tool:
http://www.kaspersky.com/virusscanner

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 9:52 pm
da Emanuelito
eugenio durante l'installazione di emisoft anti malware mi dice accesso negato impossibile creare la cartella...........come posso risolvere??
sto facendo anche una scansione con lo strumento che mi hai consigliato!

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:02 pm
da francesco betatester
Se sei riuscito a eliminare il malware ma non riesci ad installare qualsiasi programma ti consiglio di usare il ripristino del sistema

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:05 pm
da eugenio19911
francesco betatester ha scritto:Se sei riuscito a eliminare il malware ma non riesci ad installare qualsiasi programma ti consiglio di usare il ripristino del sistema

meglio che prima debella il maggior numero di minacce possibili perché nel system volume restore spesso si trovano ancore delle minacce che riemergono dopo aver ripristinato il sistema (a meno che abbia sofware esterni come acronis)

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:12 pm
da Emanuelito
quindi ragazzi che faccio ripristino di sistema o finisco la scansione con kav?

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:13 pm
da Emanuelito
finora la scnaisone con kaspersky è solo al 3%

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:16 pm
da eugenio19911
Emanuelito ha scritto:finora la scnaisone con kaspersky è solo al 3%

riprova domani mattina perché non è rapida la scansione poi aggiorni su questo post i risultati

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:25 pm
da Emanuelito
piccolo aggiornamento ho provato a installare avira è va sembra sia un problema di emisoft

Re: Vi prego aiuto Dropper!!

MessaggioInviato: sab apr 09, 2011 10:32 pm
da Uomo_Senza_Sonno
Effettua un controllo con il rescue disk kaspersky; lo masterizzi su cd e poi esegui il boot con quanto hai appena masterizzato, poi lo aggiorni (collegati con il cavo e non in wireless) e esegui una scansione di tutti i files/cartelle. Se non viene rilevato nulla, allora hai rimosso senza ulteriori problemi l'infezione.

Re: Vi prego aiuto Dropper!!

MessaggioInviato: dom apr 10, 2011 11:29 am
da Emanuelito
Ciao,ho eseguito lo scan con Kaspersky e tutto è andato per il meglio, ora ho installato e attivatyo la versione completa di emsisoft anti malware grazie alla pormozione in coroso della casa per il lancio della versione 5.1
http://web20.excite.it/anti-malware-gra ... 70474.html
Gli ho affiancato Online Armor Free,ma mi è sorto un dubbio Emsisoft Anti malware comprende il modulo antivirus di Ikarus oppure è solo un antiSpyware?

Re: Vi prego aiuto Dropper!!

MessaggioInviato: dom apr 10, 2011 11:32 am
da Emanuelito
la scansione con Kaspersky non ha rilevato niente

Re: Vi prego aiuto Dropper!!

MessaggioInviato: dom apr 10, 2011 11:32 am
da eugenio19911
Emanuelito ha scritto:Ciao,ho eseguito lo scan con Kaspersky e tutto è andato per il meglio, ora ho installato e attivatyo la versione completa di emsisoft anti malware grazie alla pormozione in coroso della casa per il lancio della versione 5.1
http://web20.excite.it/anti-malware-gra ... 70474.html
Gli ho affiancato Online Armor Free,ma mi è sorto un dubbio Emsisoft Anti malware comprende il modulo antivirus di Ikarus oppure è solo un antiSpyware?

comprende il dabase di icarus tanto è vero che quando trova qualche malware lo identifica in base ai due database, mi spiego meglio: quando fa una rilevazione se dai un occhiata al nome del file rilevato ti apparirà !IK (vuol dire che è stato trovato dal database di ikarus) mentre !A2 (vuol dire che è stato rilevato dal proprio database).
Se riesci posta i vari risultati di kaspersky (se non hai log dicci almeno se ha rilevato qualcosa)
Un suggeriemento se fai una scansione completa con emsisoft armati di pazienza perché è un bel po' lunga

Re: Vi prego aiuto Dropper!!

MessaggioInviato: dom apr 10, 2011 11:53 am
da Emanuelito
eugenio19911 ha scritto:
Emanuelito ha scritto:Ciao,ho eseguito lo scan con Kaspersky e tutto è andato per il meglio, ora ho installato e attivatyo la versione completa di emsisoft anti malware grazie alla pormozione in coroso della casa per il lancio della versione 5.1
http://web20.excite.it/anti-malware-gra ... 70474.html
Gli ho affiancato Online Armor Free,ma mi è sorto un dubbio Emsisoft Anti malware comprende il modulo antivirus di Ikarus oppure è solo un antiSpyware?

comprende il dabase di icarus tanto è vero che quando trova qualche malware lo identifica in base ai due database, mi spiego meglio: quando fa una rilevazione se dai un occhiata al nome del file rilevato ti apparirà !IK (vuol dire che è stato trovato dal database di ikarus) mentre !A2 (vuol dire che è stato rilevato dal proprio database).
Se riesci posta i vari risultati di kaspersky (se non hai log dicci almeno se ha rilevato qualcosa)
Un suggeriemento se fai una scansione completa con emsisoft armati di pazienza perché è un bel po' lunga

ho visto che la scansione è piuttosto lunga comunque alla fine fine sono riuscito a eliminare l'infezione e how installato questa nuova configurazione di sicurezza del pc , secondo te cosi son0o abbastanza protetto o dovrei ancora dovrei affiancare ai due prodotti emsisoft (ora pure online armor fa parte emsisoft) qualcos'altro?

Re: Vi prego aiuto Dropper!!

MessaggioInviato: dom apr 10, 2011 12:02 pm
da eugenio19911
Emanuelito ha scritto:ho visto che la scansione è piuttosto lunga comunque alla fine fine sono riuscito a eliminare l'infezione e how installato questa nuova configurazione di sicurezza del pc , secondo te cosi son0o abbastanza protetto o dovrei ancora dovrei affiancare ai due prodotti emsisoft (ora pure online armor fa parte emsisoft) qualcos'altro?

piccola osservazione hai tolto comodo prima di affiancare Online Armor perché 2 firewall insieme possono creare conflitti.
Anche se fra i 2 preferirei comodo, perché con il suo defense+ mi ha salvato una volta da un infezione sicura avviata automaticamente avvisandomi del comportamento malevolo che aveva il file inoltre è stato sandboxato è i danni sono stati nulli