| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 16/01/2008 : 00:36:15
|
stavo facendo delle considerazioni... più che altro mettevo insieme le informazioni..
premetto che c'è una discussione (la si trova facilmente in internet) il cui la chiavetta si infettava anche dopo averla formattata più volte.. In seguito a questa, mi ero convinta che l'infezione provenisse dal pc. Ma magari si tratta di una variante o di un secpol.exe-infezione diversa.
Qui ci sono stati 3 casi MA tutti e 3 XP Professional.. tutti e tre con gli stessi file.. (l'XP Home non ha il secpol.msc)
Visto che dubito userai quel file secpol.msc.. proporrei di lasciarlo stare.. fuori dal tuo pc.
Tu che dici? |
Modificato da - Sibilla in data 16/01/2008 01:59:24 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/01/2008 : 09:58:40
|
X Michal: ho trovato i files secpol e fsmgmt => msc . Il secpol ha l'icona di un pc con il lucchetto... il che mi ricorda qualcosa che ho letto a proposito del secpol.exe.. se non erro che quando veniva rilevata l'infezione compariva proprio l'icona di un pc con il lucchettino..
Provo a rifare stasera tutte le ricerche :( al piu' glieli passo e li tengono nel pc zippati, giusto nel caso dovessero servirgli un giorno..
A parte questo... 2 file omonimi infetti casualmente? ma tu ci credi? :\ Io no. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 19:31:49
|
Salve a tutti!
Mi presento sono nuovo...
Sono capitato qui perchè è una settimana che ho a che fare con il SONG911.
Ho capito un po' di cose su questo pseudo virus e ho pensato di postare un po' di informazioni. Magari dico cose risapute però non si sa mai.
Questo Malware (perchè di questo si tratta) non è rilevato da diversi antivirus forse perche non riescono ad analizzare il file secpol.exe.
Comunque il mio NOD32 non lo rileva, ho sentito che anche AVG non lo rileva ma grazie al fido Zone Alarm ho scoperto un po di cose.
Per esempio ho notato una marea di file is-ib804.tmp che cercano di collegarsi ad internet e che prontamente vengono bloccati da zone alarm, lo stesso song911.exe, Loader[1].exe con il numero variabile a caso, NewLoader[1].exe idem come prima, addirittura delle versioni false di GoogleUpdater (GoogleUpdater[1].exe); addirittura l'altra sera per quanti file stavano tentanto ripetutamente di accedere a internet, mi è andato in crash zone alarm.
Questi file sono il risultato sempre dell'infezione di secpol e della dll fsmgmt che abbiamo già visto.
Tra l'altro non so se avete fatto caso che l'errore relativo al song911 viene fuori solo ede esclusivamente se il computer infetto è collegato ad internet.
Seguendo i consigli di sibilla sembra che sia riuscito ad eliminarlo anche se ho dovuto fare diversi tentativi, finche non ho trovato il file LOADER[7].exe imboscato nella cartella system32 di win xp.
Ciao a tutti.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 19:54:02
|
Grazie per le info.. sei stato gentilissimo...
tienici aggiornati, però. Le info che si trovano sono davvero poche, come avrai sicuramente avuto modo di vedere..
Ciao..
Ah, hai per caso eliminato anche tu secpol e fsmgmt.msc? Puoi descrivermi l'icona del secpol infetto? |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 20:24:05
|
Ciao si,
li ho eliminati!
Poi ho scaricato quelli che hai postato ma l'icona del secpol.msc ha comunque il lucchettino. Non so cosa significhi.
Forse vuol dire che è un file di sistema protetto?
A proposito potete scaricare questo programma (Prevx CSI purtroppo è demo e rileva ma non elimina, però restituisce il percorso del file infetto) che è ottimo per rilevare la tipologia di virus come quello del secpol.
Il link: htt*://[www].prevx[.com] |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 20:31:28
|
Intendi dire che anche il secpol infetto aveva l'icona del case con il lucchettino, così come il secpol.msc?
E l'infezione quando pensi di averla debellata? Sono ancora in dubbio proprio con i 2 msc.... Spero di poter fare chiarezza.. :)
Non scompattare i files, tienili zippati in system32, (tanto sai che stanno li')
Ok x il link, diciamo che fa come kaspersky, allora (  ). |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 20:32:25
|
Ah dimenticavo....
in questo forum ho trovato una breve spiegazione sullo scopo del file secpol.msc.
Il Link: htt*://forum.masterdrive.it/microsoft-windows-and-co-10/secpol-msc-n-n-c-3317/ |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 20:36:50
|
| Puoi rispondere per piacere... :) |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 20:37:47
|
Beh ho in quel modo ho scoperto altri file in giro come il LOADER.exe per esempio. Comunque per adesso il messaggio del file song911 non l'ho ancora visto.
Il file secpol serve per gestire i diritti di accesso degli utenti e i criteri di protezione, quindi deduco che il file infetto possa garantire accesso al pc ad estranei!! ; mooolto pericoloso!!
Ecco spiegato perchè viene fuori solo se è presente il collegamento attivo ad internet.
Ciao |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 20:44:25
|
Per completezza,
l'infezione penso di averla debellata ieri sera dopo aver scollegato il pc da internet, lanciato il Ccleaner ripulendo tutto il possibile e quindi i temporary internet file e i fila temp del sistema operativo (ho dovuto fare ben 4 passaggi), una botta anche con a-squared free, molto interessante anche questo programma, e poi ho messo a nanna il pc (che si è spento ad una velocità pazzzesca!!! mai successo).
E oggi con calma lo riacceso e ho sperato.
Posto anche questo link: htt*://[www].emsisoft.it/ |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 20:47:14
|
bravissimo :)
e siccome nessuno cancella l'msc non sempre riescono a debellarlo..
Se vedi la discussione, a me il dubbio è venuto non tanto per le caratteristiche del file ma proprio perchè infetta sempre l'XP Pro (la home è al riparo).
Per ora non credo che i miei altri due utenti utilizzeranno il secpol, ecco perchè preferisco lasciarlo zippato.
un malware in meno (hihiih non che si sia risolto molto  ) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 20:49:46
|
| infatti anche l'altro utente diceva che aveva avuto problemi con i temp.. |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 17/01/2008 : 20:52:57
|
Se non hai bisogno di collegare due o più pc in rete puoi farne a meno.....
Ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 17/01/2008 : 20:53:29
|
|
ciao e grazie... |
|
|
|
Discussione |
|
song911
Forum Bloccato
