Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

VIRUS: SrvJir

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

VIRUS: SrvJir

Messaggioda Robby78 » lun set 11, 2006 1:17 pm

c'è questo servizio che lancia in automatico un file crittato, lanciato da un account utente amministratore creato da lui.

Loggatomi come amministratore ho:
1_assunto la proprietà dell'exe crittato
2_tolto la cifratura
3_rinominato l'exe (tuttora nn me lo fa cancellare)
4_eliminato l'utente intruso

Ora quando parte windows, non consente di fare il login, e c'è ancora questo servizio impostato come avvio automatico e non riesco in nessun modo a disabilitarlo.

Qualcuno ne sa qualcosa?

P.S. Il log di hijackthis è pulito e l'antivirus nn rileva nulla (anche perché nn apriva i files cifrati).
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Robby78 » lun set 11, 2006 1:23 pm

UPDATE: sono riuscito a cancellare il file... ma il risultato rimane lo stesso: non riesco a fare login in modalità "normale"
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » lun set 11, 2006 1:59 pm

Un nuovo account amministratore con il nome random viene creato anche da LinkOptimizer. Purtroppo questo rootkit si evolve troppo in fretta e spesso nel log di hijackthis oltre alla voce
R3 - Default URLSearchHook is missing
non si vede nulla di sospetto.

Per togliere ogni dubbio fammi vedere il log di hijackthis, volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.

<----- P.S. Il mio millesimo post!! [applauso]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda Robby78 » lun set 11, 2006 2:35 pm

Amantide ha scritto:<----- P.S. Il mio millesimo post!! [applauso]


congratulations!! [8D]

Logfile of HijackThis v1.99.0
Scan saved at 15.28.47, on 11/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Network Associates\VirusScan\mcconsol.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\NoAdware4\NoAdware4.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da ***CENSORED***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***CENSORED***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ***CENSORED***;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmi\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***CENSORED***
O17 - HKLM\Software\..\Telephony: DomainName = ***CENSORED***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***CENSORED***
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***CENSORED***
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bluetooth Service - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio di framework di McAfee - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe

le voci ***CENSORED*** sono mie...
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Robby78 » lun set 11, 2006 2:56 pm

Amantide ha scritto:volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.


fatto, e risolto!! grande, grazie! [applauso]
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » lun set 11, 2006 3:04 pm

Robby78 ha scritto:le voci ***CENSORED*** sono mie...

Hai fatto benissimo.
Comunque sul log avevi ragione, non c'è nulla di sospetto.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » lun set 11, 2006 3:08 pm

Robby78 ha scritto:
Amantide ha scritto:volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.


fatto, e risolto!! grande, grazie! [applauso]

No!! Non me lo dire!! [boxed]
Ma quindi, questo vuol dire che adesso abbiamo una variante di LinkOptimizer totalmente invisibile dal log di hijackthis. [:(!] [cry] [cry+] [sedia]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » lun set 11, 2006 3:37 pm

Amantide ha scritto:
Robby78 ha scritto:
Amantide ha scritto:volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.


fatto, e risolto!! grande, grazie! [applauso]

No!! Non me lo dire!! [boxed]
Ma quindi, questo vuol dire che adesso abbiamo una variante di LinkOptimizer totalmente invisibile dal log di hijackthis. [:(!] [cry] [cry+] [sedia]


non saprei... perché comunque quando ho fatto questo log avevo già tolto un po' di roba a mano... (quella elencata nel primo post); forse se avessi fatto il log prima ci sarebbe stato qualcosa.

Comunque avevo già ripulito altri PC con questo utente amministratore (a mano, senza tools di rimozione), ma nessuno fin'ora mi ha messo così in difficoltà.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda BilloKenobi » lun set 11, 2006 3:40 pm

Amantide ha scritto:
Robby78 ha scritto:
Amantide ha scritto:volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.


fatto, e risolto!! grande, grazie! [applauso]

No!! Non me lo dire!! [boxed]
Ma quindi, questo vuol dire che adesso abbiamo una variante di LinkOptimizer totalmente invisibile dal log di hijackthis. [:(!] [cry] [cry+] [sedia]



putroppo è risaputo che una delle ultime varianti sia invisibile ai log

puoi provare con questo

http://www.prevx.com/gromozon.asp
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Robby78 » lun set 11, 2006 3:53 pm

BilloKenobi ha scritto:
Amantide ha scritto:
Robby78 ha scritto:
Amantide ha scritto:volendo puoi anche provare il tool di rimozione di LinkOptimizer e vedere se trova qualcosa.


fatto, e risolto!! grande, grazie! [applauso]

No!! Non me lo dire!! [boxed]
Ma quindi, questo vuol dire che adesso abbiamo una variante di LinkOptimizer totalmente invisibile dal log di hijackthis. [:(!] [cry] [cry+] [sedia]



putroppo è risaputo che una delle ultime varianti sia invisibile ai log

puoi provare con questo

http://www.prevx.com/gromozon.asp


sisi, ho usato proprio quello, e -come ho scritto sopra- ho risolto, grazie!
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » lun set 11, 2006 6:36 pm

Robby, una curiosità... hai usato solo il tool di rimozione o l'hai abbinato a Prevx1?
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda crazy.cat » lun set 11, 2006 6:43 pm

Siamo rovinati, anche la variante invisibile o quasi.

Chi si offre per scriverci un articolo su questa bestiaccia, perché io non posso farlo in questo periodo.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Robby78 » mar set 12, 2006 10:12 am

Amantide ha scritto:Robby, una curiosità... hai usato solo il tool di rimozione o l'hai abbinato a Prevx1?

solo il tool di rimozione... dopo averci smanettato un po' con le manovre "standard" di pulizia.
comunque è rimasta una traccia del virus: il fantomatico servizio SrvJir che però ora punta ad un EXE inesistente
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda crazy.cat » mar set 12, 2006 10:20 am

Robby78 ha scritto:comunque è rimasta una traccia del virus: il fantomatico servizio SrvJir che però ora punta ad un EXE inesistente

La riesci ad eliminare?
http://www.MegaLab.it/2578
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Robby78 » mar set 12, 2006 10:26 am

crazy.cat ha scritto:
Robby78 ha scritto:comunque è rimasta una traccia del virus: il fantomatico servizio SrvJir che però ora punta ad un EXE inesistente

La riesci ad eliminare?
http://www.MegaLab.it/2578

no, mi dice "Errore: Impossibile eliminare la voce"; dovrei provare dalla modalità provvisoria, ma ora proprio nn ho tempo...
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mar set 12, 2006 1:21 pm

crazy.cat ha scritto:Chi si offre per scriverci un articolo su questa bestiaccia, perché io non posso farlo in questo periodo.

Purtroppo adesso non posso nemmeno io, perche per scrivere un articolo sul LO si dovrebbe testarlo per bene, magari infettando volontariamente il computer e studiandolo di persona. Il problema è che da qualche giorno sono rimasta senza il mio portatile, è partito hdd [sedia] , e lo riavrò fra circa 7-10 giorno; e sul computer di casa non posso fare gli sperimenti, che se combino qualcosa i miei maschietti mi sbranano... [cry]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising