Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus che si presente come antivirus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus che si presente come antivirus

Messaggioda ric74 » ven set 05, 2008 2:34 pm

Buongiorno a tutti!

Quest'oggi in uno dei PC del mio ufficio è stato notificato dall'antivirus (PC-Cillin 2008) l'esistenza di un virus (Trojan Generic ADV) che aveva danneggiato il sistema operativo, chiedendo con una finestra a parte il riavvio del PC e l'inserimento del Disco del Windows per ripristinare i files danneggiati.

Al riavvio il PC ha subito dato un messaggio di errore irreversibile con schermata blu che ha totalmente bloccato l'avvio del sistema operativo.

Qualche ora dopo la stessa sorte è capitata ad un altro PC.

Il tecnico al quale ci appoggiamo per l'assistenza informatica ci ha detto di non spegnere il PC in questione (parlo del secondo) in quanto quegli avvisi sono stati dati dall'antivirus per trarre in inganno l'utente e costringerlo a riavviare il PC dando così modo di far lavorare il virus ormai innescato.

Inoltre ci ha reso noto che nell'arco della mattinata altri quattro dei suoi clienti lo hanno contattato per il medesimo problema.

Sapete dirmi con che virus abbiamo a che fare e se è già noto un modo per renderlo immune?

Nel frattempo, ovviamente, il PC infetto non verrà spento fino alla risoluzione del problema, così da evitare che non si riavvii più com'è successo per il precedente.

Grazie anticipate per le eventuali risposte.
Avatar utente
ric74
Aficionado
Aficionado
 
Messaggi: 56
Iscritto il: gio lug 06, 2006 8:26 am

Re: Virus che si presente come antivirus

Messaggioda crazy.cat » ven set 05, 2008 2:41 pm

Dovresti farci vedere un log della scansione di hijackthis di quel pc tanto per cercare di capire cosa è entrato.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Virus che si presente come antivirus

Messaggioda ric74 » ven set 05, 2008 3:13 pm

Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.05.09, on 05/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\LogMeIn\x86\RaMaint.exe
C:\Programmi\LogMeIn\x86\LogMeIn.exe
C:\Programmi\LogMeIn\x86\LMIGuardian.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\BM\TMBMSRV.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\LogMeIn\x86\LogMeInSystray.exe
C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programmi\3M\PSNLite\PsnLite.exe
C:\Programmi\LogMeIn\x86\LMIGuardian.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_STMS03.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [TSC] "C:\Programmi\Trend Micro\Internet Security\tsc.exe" /HD
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] "C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe"
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8324504468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 8335058578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428C9DF8-E3C0-4D0D-9DD6-B7D25C798A17}: NameServer = 212.17.192.45,218.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{84DDBB89-2156-4F9E-904D-E36AFFE5D8EE}: NameServer = 151.99.0.100,151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB081DB1-AABD-4AC7-A51B-EA0EDB4B80DB}: NameServer = 151.99.125.2,212.216.112.112
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programmi\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\LogMeIn.exe
O23 - Service: Componente Central Control Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Unknown owner - C:\Programmi\Trend Micro\BM\TMBMSRV.exe" /service (file missing)
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
Avatar utente
ric74
Aficionado
Aficionado
 
Messaggi: 56
Iscritto il: gio lug 06, 2006 8:26 am


Re: Virus che si presente come antivirus

Messaggioda ste_95 » ven set 05, 2008 3:31 pm

Il log è pulito.

Scarica ComboFix ed esegui una scansione, le istruzioni le trovi in fondo a questo articolo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Virus che si presente come antivirus

Messaggioda ric74 » lun set 08, 2008 11:58 am

Ho trovato l'inghippo che ha causato il problema!!!

Proprio questa mattina ho ritrovato tra la mia posta elettronica una mail della Trend Micro dove comunica che ci sono stati alcuni casi (ma penso che siano parecchi) in cui, a causa di un aggiornamento, l'antivirus ha considerato ostili alcuni files di sistema validi mettendoli di conseguenza in quarantena. [:p] [:p] [:p]

Per il secondo Pc colpito dal problema è stato possibile risolverlo mediante un ulteriore aggionamento dell'antivirus; purtroppo ora il problema rimane nel primo PC dove non è possibile accede al sistema neanche in modalità provvisoria malgrado la stessa Trend Micro abbia sostenuto il contrario.

Mi sapete suggerire un sistema per poter accedere al PC attualmente inaccessibile?
Avatar utente
ric74
Aficionado
Aficionado
 
Messaggi: 56
Iscritto il: gio lug 06, 2006 8:26 am

Re: Virus che si presente come antivirus

Messaggioda ste_95 » lun set 08, 2008 12:49 pm

Sicuramente la formattazione è la cosa migliore, ma se devi recuoperare i tuoi dati, puoi prenderli con il MegaLabCD. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Virus che si presente come antivirus

Messaggioda BilloKenobi » mar set 09, 2008 4:20 pm

ric74 ha scritto:Ho trovato l'inghippo che ha causato il problema!!!

Proprio questa mattina ho ritrovato tra la mia posta elettronica una mail della Trend Micro dove comunica che ci sono stati alcuni casi (ma penso che siano parecchi) in cui, a causa di un aggiornamento, l'antivirus ha considerato ostili alcuni files di sistema validi mettendoli di conseguenza in quarantena. [:p] [:p] [:p]


non è la prima volta né l'ultima che un antivirus blocchi alcuni file del so causando, in casi più gravi come questo, problemi abbastanza seri [nonono] a quanto pare, i controlli degli update sono cosa sottovalutabile per molti [chat]
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising