TDSS e trojan Vundo - Sicurezza Informatica pagina 5 NoTrace Security Forum

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

TDSS e trojan Vundo

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Precedente

Autore

Discussione

Pagina: di 5

verastato
Average Member

82 Messaggi

Inserito il - 19/01/2009 : 15:11:18

ciao
faccio difficolta a fotografare la cartella
posso postarti i files che ci sono all'interno?

tutte le cartelle con WER....dir00 (sono 15)
contengono tutti gli stessi files
sono sempre
appcopmpat (testo 16kb)
manifest (testo 3kb)
svchost.exe.hdmp (file HDMP 701kb)
svchost.exe.mdmp (file MDMP 34kb)

sono 15 cartelle tutte con gli stessi files
all'interno...

proseguo con navilog?

dimenticavo:
io non ho installato niente con messenger
unica cosa che ho installato - se non erro - e' sopcast (ieri)

attendo istruzioni
grazie
ciao

death
Moderatore

Impegno nella community e capacità notevoli in campo hardware e software

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 19/01/2009 : 15:24:02

Per cortesia controlla su virustotal quei files all'interno e postami i report, poi procedi con navilog.

verastato
Average Member

82 Messaggi

Inserito il - 19/01/2009 : 17:25:32

eccomi
su virustotal tutto negativo
ho rieseguito anche kasperrsky che prima ha trovato parecchia roba ma solo nella posta (quindi svchost non e' piu' infetto?)
vmtyre e' ancora presente, ma non lo da come infetto?
non ci sto capendo piu' nulla...eheheh
poi eseeguito navilog
adesso kaspersky trova solo 2-3 files infetti
tutti nella posta

dici che siamo sulla buona strada?

death
Moderatore

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 19/01/2009 : 18:05:34

Buona sera attendo navilog, poi vediamo di rimuovere quella dll e ricontrollare il pc.

verastato
Average Member

82 Messaggi

Inserito il - 20/01/2009 : 15:29:09

buongiorno
ecco navilog

htt*://wikisend[.com]/download/480366/cleannavi.txt

kaspersky continua a trovare parecchi files infetti ma solo files della posta se non erro...ecco i logs

htt*://wikisend[.com]/download/859960/kaspersky.html
htt*://wikisend[.com]/download/945774/report.txt

death
Moderatore

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 20/01/2009 : 20:59:16

Buona sera ..

..
bene dopo navipromo, anche un worm, li stai provando tutti per vedere se sono bravo o per una forma di sadismo interna al vostro ufficio?

scarica questo tool ed eseguilo, voglio verificare una stupidagine htt*://[www].symantec[.com]/security_response/writeup.jsp?docid=2003-081119-5051-99

elimina tutte le cartelle C:\DOCUME~1\Federico\IMPOST~1\Temp\WER00ff.******

poi appena avrai eseguito tutte le procedura cerca una cartella con il nome simile C:\DOCUME~1\Federico\IMPOST~1\Temp\Rar$EX00.500 aprila e postami il contenuto

Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:

files to delete:
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\LS6O0PEX\nws32[1].exe
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\LS6O0PEX\nws32[2].exe
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\LS6O0PEX\nws32[3].exe
C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\LHK7SDCW\nws32[1].exe
C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\NKUHEPNI\mzx32[1].exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\A9RCBDC.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\fla2A.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\fla29.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\um.um
C:\DOCUME~1\Federico\IMPOST~1\Temp\9up78.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\lr277.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\u7y72.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\6926C.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\92n64.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\fkv60.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\xhc54.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\6by50.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\o8b4C.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\8ov48.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\pvp40.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\tze2F.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\~DF1AAD.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\~DF8743.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\~DFF296.tmp
C:\WINDOWS\system32\vmtyre.dll

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

verastato
Average Member

82 Messaggi

Inserito il - 20/01/2009 : 21:12:47

buonasera
ti assicuro che non lo faccio apposta...ci mancherebbe!!!
prima di eliminare ti dico come si chiamano tutte le cartelle in temp

Directory di C:\Documents and Settings\Federico\Impostazioni locali\Temp

20/01/2009 21.06 <DIR> .
20/01/2009 21.06 <DIR> ..
20/01/2009 12.43 4.096.000 A9R3C70.tmp
14/01/2009 16.21 <DIR> Adobe
20/01/2009 16.58 21.775.738 fla1D6.tmp
20/01/2009 16.58 222.531 fla1D8.tmp
20/01/2009 17.08 812.344 fla1DE.tmp
20/01/2009 17.08 70.421.108 fla1DF.tmp
20/01/2009 09.47 <DIR> hsperfdata_Federico
18/01/2009 13.30 <DIR> IXP000.TMP
20/01/2009 09.47 416 java_install_reg.log
14/01/2009 16.54 <DIR> jkos-Federico
20/01/2009 09.51 1.028 jusched.log
20/01/2009 09.48 <DIR> KAV Updater update files
20/01/2009 20.39 <DIR> MessengerCache
14/01/2009 17.19 <DIR> msohtmlclip
20/01/2009 18.22 <DIR> msohtmlclip1
14/01/2009 17.02 <DIR> plugtmp
14/01/2009 19.10 <DIR> plugtmp-1
19/01/2009 21.30 <DIR> plugtmp-10
20/01/2009 17.37 <DIR> plugtmp-11
15/01/2009 11.59 <DIR> plugtmp-2
15/01/2009 16.20 <DIR> plugtmp-3
16/01/2009 10.09 <DIR> plugtmp-4
16/01/2009 13.38 <DIR> plugtmp-5
18/01/2009 09.25 <DIR> plugtmp-6
18/01/2009 12.55 <DIR> plugtmp-7
18/01/2009 14.48 <DIR> plugtmp-8
19/01/2009 15.15 <DIR> plugtmp-9
18/01/2009 13.09 <DIR> Rar$EX00.500
20/01/2009 11.17 <DIR> sv5i5.tmp
20/01/2009 10.17 38 um.um
14/01/2009 16.17 <DIR> VBE
18/01/2009 16.21 <DIR> WER00ff.dir00
20/01/2009 09.46 <DIR> WER10a9.dir00
18/01/2009 13.20 <DIR> WER1594.dir00
17/01/2009 17.24 <DIR> WER1753.dir00
16/01/2009 09.11 <DIR> WER1967.dir00
16/01/2009 10.39 <DIR> WER1a1c.dir00
18/01/2009 15.57 <DIR> WER1bc1.dir00
16/01/2009 11.44 <DIR> WER1f18.dir00
18/01/2009 10.05 <DIR> WER296e.dir00
18/01/2009 09.52 <DIR> WER2b38.dir00
18/01/2009 09.38 <DIR> WER2f36.dir00
18/01/2009 09.21 <DIR> WER34f5.dir00
19/01/2009 08.33 <DIR> WER3d87.dir00
19/01/2009 16.29 <DIR> WERd423.dir00
15/01/2009 12.55 <DIR> WERe5f2.dir00
16/01/2009 10.33 <DIR> WERfb42.dir00
16/01/2009 10.47 <DIR> WERfdc9.dir00
20/01/2009 20.27 557.056 ~DF6029.tmp
20/01/2009 20.27 512 ~DF6061.tmp
20/01/2009 20.27 540.672 ~DF6A2F.tmp
20/01/2009 20.27 512 ~DF6A72.tmp
12 File 98.427.955 byte
42 Directory 253.324.668.928 byte disponibili

C:\Documents and Settings\Federico\Impostazioni locali\Temp>

che faccio cancello tutte quelle che iniziano in WERF ?

death
Moderatore

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 20/01/2009 : 21:18:19

Buona sera...allora visto che su alcune non ci sono riscontri, per la pace della tua anima, crea una cartella sul desktop, pippo, copia al suo interno queste cartelle:

18/01/2009 16.21 <DIR> WER00ff.dir00
20/01/2009 09.46 <DIR> WER10a9.dir00
18/01/2009 13.20 <DIR> WER1594.dir00
17/01/2009 17.24 <DIR> WER1753.dir00
16/01/2009 09.11 <DIR> WER1967.dir00
16/01/2009 10.39 <DIR> WER1a1c.dir00
18/01/2009 15.57 <DIR> WER1bc1.dir00
16/01/2009 11.44 <DIR> WER1f18.dir00
18/01/2009 10.05 <DIR> WER296e.dir00
18/01/2009 09.52 <DIR> WER2b38.dir00
18/01/2009 09.38 <DIR> WER2f36.dir00
18/01/2009 09.21 <DIR> WER34f5.dir00
19/01/2009 08.33 <DIR> WER3d87.dir00
19/01/2009 16.29 <DIR> WERd423.dir00
15/01/2009 12.55 <DIR> WERe5f2.dir00
16/01/2009 10.33 <DIR> WERfb42.dir00
16/01/2009 10.47 <DIR> WERfdc9.dir00

masterizza la cartella pippo su cd, poi rimuovile da temp e dal desktop, poi esegui avenger, NON collegare in rete questo pc e appena puoi comincia pure a tappeto su tutti gli altri pc con kaspersky on-line e per cortesia mi posti i report numerati secondo un tuo ordine logico di ufficio o con il nome del pc in rete, sono sempre piu' convinto che io ti pulisco questo e tu me lo infetti appena ti ricolleghi, quindi o facciamo estate qui insieme e a me sta pure bene, non vado in vacanza, o cerchiamo di capire quanti ce ne sono infetti.

verastato
Average Member

82 Messaggi

Inserito il - 21/01/2009 : 10:18:27

buongiorno
eccomi con gli aggiornamenti

copiato e cancellato le cartelle WER in temp

sto eseguendo symantec (finito adesso : non ha rilevato il worm blaster!)

nella cartella C:\DOCUME~1\Federico\IMPOST~1\Temp\Rar$EX00.500 c'e' solo avenger.exe (714kb - ultima modifica 30/5/2008 23.09)

ora eseguo avenger

sto eseguendo kasp online

ora vedo anche cosa rileva in questo pc kasp e poi ti posto il tutto

grazie

verastato
Average Member

82 Messaggi

Inserito il - 21/01/2009 : 13:04:57

ecco i log

htt*://wikisend[.com]/download/685606/kaspersky-ws1.html

htt*://wikisend[.com]/download/589108/avenger-ws1.txt

l'altro pc ha eseguito ksp online ma non mi ha fatto salvare il report...quindi lo sto rieseguendo (e' infettato pure quello di brutto....)
appena ho il report del pc2 lo posto

attendo istruzioni
grazie

death
Moderatore

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 21/01/2009 : 13:07:56

Buon giorno, solo per sapere hai eseguito avenger poi kaspersky o viceversa

verastato
Average Member

82 Messaggi

Inserito il - 21/01/2009 : 15:52:54

direi prima kasp poi avenger se non sbaglio...

verastato
Average Member

82 Messaggi

Inserito il - 21/01/2009 : 17:12:49

buonasera
ecco il report di kasp
del secondo pc

non ti spaventare...

attendo istruzioni

ps: il pc 1 lo posso riconnettere?
se sta disconnesso non si riscrive vmtyre.dll
ma penso che se lo riconnetto si ricopia...dici che contnuera' cosi per molto?

a dopo
ciao
grazie

verastato
Average Member

82 Messaggi

Inserito il - 21/01/2009 : 17:23:37

mi ero scordato il link...

htt*://wikisend[.com]/download/607222/kasp-pc2.html

death
Moderatore

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 21/01/2009 : 17:35:46

Buona sera, sul pc 1 rifai le pulizie, con ccleaner,atf e la cache del java, poi prova a connetterti, non connetterllo in rete con gli altri per ora.

Sul pc 2, segui queste istruzioni:

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:

files to delete:
E:\Documents and Settings\Administrator\Desktop\BearShareV6it.exe
E:\Documents and Settings\Administrator\Desktop\ca_setup.exe.part
E:\Documents and Settings\Administrator\Desktop\ophcrack-livecd-1.2.2.iso
E:\Programmi\ophcrack\win32_tools\LsaExt.dll
E:\Programmi\ophcrack\win32_tools\pwdump6.exe
E:\Programmi\ophcrack\win32_tools\pwservice.exe
E:\RECYCLER\S-1-5-21-1614895754-1220945662-839522115-500\Dc471.bak

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

poi esegui questa scansione:

scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

Modificato da - death in data 21/01/2009 17:36:40

Pagina: di 5

Discussione

Pagina Precedente

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Vai a:

NoTrace Security Forum

Pagina generata in 0,27 secondi.

TargatoNA | SuperDeeJay | Snitz Forums 2000