www.MegaLab.it

[melinda]

stavo scaricando emule, e ho preso un virus, possibile? e subito dopo altri 2 virus !
adesso mi si aprono strane pagine.
questa è l'immagine della quarantena, come posso eliminare questi virus?
grazie!

[clic]

puoi mettere il link dal quale lo hai scaricato? all'inizio del link mettici però un underscore in modo che possa apparire così

_http://www.sito.com

in questo modo se si tratta di un sito pericoloso si evita di fare danni a chi ci fa clic sopra (c'è sempre qualcuno che clicca )

ad ogni buon conto questo è il sito ufficiale del progetto:
http://www.emule-project.net/

[melinda]

guarda ho cancellato tutta la cronologia, ma sembrava proprio il sito ufficiale
_http://www.e-mule-it.com/emule/
l'ho preso cliccando su download (rosso) emule plus

[clic]

emule plus è un progetto abbandonato, usa il link che ti scritto sopra e non avrai problemi

eccoti la prova che quel sito è da evitare:
http://my.opera.com/the-xico/blog/la-truffa-dell89

[melinda]

grazie per il link,ma per i virus non devo fare niente?

[clic]

in teoria se il nod te li ha rilevati e messi in quarantena significa che ha svolto il suo lavoro. L'importante è che tu non abbia installato quella robaccia

[crazy.cat]

Il sito http://www.e-mule-it.com/emule/ è fasullo.

Ma hai anche telefonato per farti dare il codice di attivazione?

[melinda]

Il sito http://www.e-mule-it.com/emule/ è fasullo.

Ma hai anche telefonato per farti dare il codice di attivazione?

no, mi sono fermata proprio a quel punto, e mi sa che proprio a quel punto ho beccato il virus

[ste_95]

Lo avevo provato di persona, ma virus non ne installa.

Per sicurezza comunque, segui le seguenti istruzioni:

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.

[melinda]

grazie!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.13.33, on 27/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\ASUS\NB Probe\NBProbe.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\PROGRA~1\MAGENTIC\bin\MgApp.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\antivirus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.alice.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Hamlet\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Hamlet\Adsl\dslagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [1ce1359d] rundll32.exe "C:\WINDOWS\system32\grdxkeym.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\MAGENTIC\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{30D7CC9D-25FA-4F6F-BD4B-7187C1234E53}: NameServer = 85.37.17.16 85.38.28.68
O20 - AppInit_DLLs: fywalm.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/user/IMPOST~1/Temp/msohtml1/03/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/user/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 7335 bytes

[ste_95]

Si vedono tracce di Vundo nel log, segui le istruzioni di questo articolo.

[melinda]

stavo aprendo il forum per dire che VundoFix non mi ha rilevato niente (procederò con gli altri)
quando mi è apparso questo!

[melinda]

da quando avevo installato nod32 2 anni fa non ho mai preso un virus! ora sono 3 giorni che non mi danno tregua, ma da dove vengono non capisco che succede

[clic]

hai qualcosa nel pc che punta quel server e da li scarica un file di 83k circa. E' sufficiente digitare questo indirizzo per veder comparire la finestra di download (il kasper non lo rileva maledizione )
_http://89.188.16.44/bdb
analizzato con Virustotal si ha la conferma del messaggio del tuo NOD
Per iniziare direi di bloccare con il firewall del pc e, se il tuo router lo prevede, l'ip di questo untore in modo da non permettergli di continuare nella sua opera.

questo è whois per il range a cui appartiene quell'IP

Risultato query sull'IP 89.188.16.44

inetnum: 89.188.16.0 - 89.188.16.255
netname: NL-CUST-DUOCAST-XS-24
descr: XS-24 Subnet
org: ORG-XIl3-RIPE
country: NL
admin-c: PS6888-RIPE
tech-c: PS6888-RIPE
status: ASSIGNED PA
mnt-by: MNT-DUOCAST
mnt-lower: MNT-DUOCAST
mnt-routes: MNT-DUOCAST
source: RIPE # Filtered

organisation: ORG-XIl3-RIPE
org-name: XS-24 international ltd
org-type: OTHER
address: Heymanslaan 16
address: 9301 EX RODEN
address: The Netherlands
e-mail: info@xs-24.nl
mnt-ref: MNT-DUOCAST
mnt-by: MNT-DUOCAST
source: RIPE # Filtered

person: Peter Santema
org: ORG-XIl3-RIPE
address: Heymanslaan 16
address: 9301 EX RODEN
address: The Netherlands
phone: +31 50 855 0373
nic-hdl: PS6888-RIPE
mnt-by: MNT-DUOCAST
source: RIPE # Filtered


route: 89.188.0.0/19
descr: Duocast
origin: AS31477
mnt-by: MNT-DUOCAST
source: RIPE # Filtered


route: 89.188.16.0/20
descr: Duocast - Groningen
origin: AS31477
mnt-by: MNT-DUOCAST
source: RIPE # Filtered

[melinda]

credo si chiami virtumonde, è da giovedi che ho problemi, ma vundifix non me lo rileva, mi si apre anche in automatico un'eseguibile che mi dice di installare un antivirus si chiama A9installer_770522162986.exe da freeonlinescanner9.com
e mi si aprono finestre strane
io non ho un router, ma quele indirizzo esatto dovrei mettere?

[LOG]

riesci ad installare AVIRA antivir? E eseguire una scansione del disco c:\ da modalità provvisoria?

AVIRA ANTIVIR FREE DOWNLOAD

[Hironori]

forse mi sfugge, ma che firewall usi ? ed è attivo?

[melinda]

si, ho fatto la scansione mi ha rilevato qualcosa da 3 giorni ma non è che mi ha dato possibilità di capire di che si trattava tantomeno di riparare..e...

[melinda]

nod me lo ha rilevato come virus? (è quello in cima alla quarantena)
è impazzito? sono impazzita io?
e comunque come apro la connessione mi arrivano 3 allarmi di virus ogni volta...

[ste_95]

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.