www.MegaLab.it

da **mailandrex** » mer giu 18, 2008 6:17 pm

ciao ragazzi..
da poco acceso il pc e ogni tanto mi compare la finestra con errore applicazione che fa riferimento a seguenti file eseguibili..

str_INSdir.exe
hva.exe
insB.exe

a dire la verità non riscontro alcun problema rispetto al normale funzionamento del pc però mi sto un po' preoccupando..
ho come antivirus la versione free di antivir avira.. lo tengo sempre aggiornato ma sono consapevole che nessun antivirus rende immuni al 100% da virus e altre schifezze varie..
tra l'altro frequentando ambiente universitario c'è un continuo scambio da file con i compagni ed è quindi frequente contrarre qualcosa che meglio evitare..

qui c'è il log di hijackthis appena fatto..

http://www.mediafire.com/?aybxwfg1b4m

così di primo acchito non noto niente di anomalo.. voi che dite??
grazie

da **crazy.cat** » mer giu 18, 2008 6:35 pm

Sai cosa sono questi?
C:\WINDOWS\Installer\24ha12\Ic2d\insDr.exe
C:\Documents and Settings\Andrea\slp.exe

Cerca i file nel tuo pc e caricali sul sito www.virustotal.com per farli analizzare e anche questi se li trovi
hva.exe
insB.exe

da **mailandrex** » mer giu 18, 2008 7:28 pm

bah.. i file nel pc nn li trovo.. nn trovo neanke la cartella windows\installer..
no comunque nn so cosa siano.. non ho installato niente di rilevante a parte firefox3 ma nn credo possano essere processi legati a quello..
ho fatto il fix su hijack ma insdr ricompare..

da **ste_95** » mer giu 18, 2008 7:53 pm

mailandrex ha scritto:ho fatto il fix su hijack ma insdr ricompare..

Non sembra niente di buono:

http://www.prevx.com/filenames/X2556833 ... R.EXE.html

Qualche informazione in più:

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

da **mailandrex** » mer giu 18, 2008 8:24 pm

fatto tutto..
questo è autostart

http://www.mediafire.com/?mym0e7y1gvm

questo rootkit

http://www.mediafire.com/?d1yjt2b1ukh

da **ste_95** » mer giu 18, 2008 9:51 pm

Su VirusTotal, analizza questi due file:

C:\WINDOWS\System32\drivers\asjrjhkl.SYS
C:\WINDOWS\Installer\24ha12\Ic2d\str_insDr.exe

Li trovi visualizzando cartelle e file nascosti e di sistema.

da **mailandrex** » gio giu 19, 2008 9:01 am

niente da fare.. non riesco a visualizzare la cartella C:\windows\installer e nella cartella drivers in system32 quel file non c'è.. ho fatto visualizza file e cartelle nascosti e all'inizio non mi rimaneva impostata la selezione.. ho risolto poi tramite il regedit ma comunque i file non li visualizzo..
che faccio??
uff.. comunque adesso non ho avuto nessun segnale strano..
bah..

da **ste_95** » gio giu 19, 2008 11:03 am

Non li vedi neanche in modalità provvisoria?

da **mailandrex** » gio giu 19, 2008 6:31 pm

ok.. sono riuscito tramite modalità provvisoria a beccare la cartella 24ha12 blabla.. dentro c'erano un bel po' d file tra cui insdir.exe insA.exe insB.exe insC.exe str_insDr.exe... l'altro file in system32 nn l'ho trovato..
ho mandato il file su virus total ma nn ho molto capito cosa devo guardare..
mi dice che il file è già stato analizzato.. ho cliccato su report ed è venuta fuori una pagina con nomi di vari antivirus e credo l'identificazione da parte loro del virus..

in particolare antivir
AntiVir 7.8.0.55 2008.06.10 SPR/QuickBatch.Gen
però quando provo a fare la scansione del file con il mio antivir nn rileva nulla.. mah..

Authentium 5.1.0.4 2008.06.09 W32/Downldr2.AXFS
Avast 4.8.1195.0 2008.06.09 Win32:Agent-UUV
CAT-QuickHeal 9.50 2008.06.09 TrojanDropper.QuickBatch.l
F-Prot 4.4.4.56 2008.06.09 W32/Downldr2.AXFS
F-Secure 6.70.13260.0 2008.06.10 Suspicious:W32/Malware!Gemini
GData 2.0.7306.1023 2008.06.10 Win32:Agent-UUV
Ikarus T3.1.1.26.0 2008.06.10 Trojan-Downloader.Win32.Dadobra.sd
Prevx1 V2 2008.06.10 Malicious Software

http://info.prevx.com/aboutprogramtext.asp?PX5=F31BFCA9D6FD8B54F75D02E7604476009A4ADDEC

mi pare di capire che non è niente di buono..
prossimo passo?

da **ste_95** » gio giu 19, 2008 6:46 pm

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\System32\drivers\asjrjhkl.SYS Folders to delete: C:\WINDOWS\Installer\24ha12

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

da **mailandrex** » gio giu 19, 2008 7:03 pm

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: file "C:\WINDOWS\System32\drivers\asjrjhkl.SYS" not found!
Deletion of file "C:\WINDOWS\System32\drivers\asjrjhkl.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Folder "C:\WINDOWS\Installer\24ha12" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

da **ste_95** » gio giu 19, 2008 7:04 pm

Esegui nuovamente la scansione rootkit con GMER.

da **mailandrex** » gio giu 19, 2008 7:43 pm

ecco qui

http://www.mediafire.com/?p4nwbzw2m19

da **ste_95** » gio giu 19, 2008 7:48 pm

Questi file li vedi in modalità provvisoria?

System32\Drivers\aect7vz4.SYS
System32\Drivers\fzkuhoz.sys

Scarica ComboFix ed esegui una scansione, le istruzioni le trovi in fondo a questo articolo, poi carica il log su www.mediafire.com e postane il link.

da **mailandrex** » gio giu 19, 2008 8:18 pm

http://www.mediafire.com/?ma2xux7mext

da **ste_95** » gio giu 19, 2008 8:21 pm

Ok, sembra andare meglio, a parte i numerosi worm autorun piazzati nelle periferiche. Passa il Perlovga Removal Tool su tutte le unità del tuo computer, penne comprese.

da **mailandrex** » gio giu 19, 2008 8:36 pm

nn mi fa fare lo scan.. dice che devo comprare la versione a pagamento..

da **ste_95** » gio giu 19, 2008 8:39 pm

Sei sicuro di averlo scaricato da qui? A me funziona senza problemi:

http://en.sergiwa.com/modules/mydownloa ... id=2&lid=4

da **mailandrex** » gio giu 19, 2008 8:46 pm

ok fatto avevo scaricato il software sbagliato..

da **ste_95** » gio giu 19, 2008 8:48 pm

Dovrebbe essere andato tutto a posto, tu cosa ne dici?

www.MegaLab.it

str_INSdir.exe hva.exe insB.exe.. aiuto

str_INSdir.exe hva.exe insB.exe.. aiuto

Chi c’è in linea