NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Autoit:Balero-A2 (Wrm)		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'č:
Autore Discussione Precedente Discussione Discussione Successiva  

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi

Inserito il - 04/06/2010 : 10:10:09  Mostra Profilo
Salve, sono nuovo in questo forum e vorrei salutare tutti.

Ho postato un appello in Virus News con lo stesso oggetto ma ho visto che č poco frequentato per cui chiedo qui se potete dargli un'occhiata.

Un grazie in anticipo se qualcuno mi risponde.

Saluti
Modificato da - in Data

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 04/06/2010 : 10:26:31  Mostra Profilo

ciao e benvenuto nel forum

per iniziare scarica questo programma e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.

regolamento
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 04/06/2010 : 14:43:16  Mostra Profilo
Ok log postato su:

htt*://[www].freefilehosting.net/uwtE4jqI

non so se trovi qualcosa di utile, pare che dopo la pulizia del registry manuale di ieri il virus non si manifesti piu'.

Cmq, sull'altro forum avevo postato il file autorun.inf infetto, vorrei capirci qualcosa.

Ciao e grazie.
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 04/06/2010 : 15:58:16  Mostra Profilo
per ''altro forum'' spero tu voglia dire No trace nell'altra sezione

facciamo una verifica, nel log di pericoloso non sembra esserci molto

disattiva l'antivirus


scarica combofix sul desktop
(non installare la recovery console)
- esegui ComboFix.exe
- digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt

carica qui il rapporto ottenuto
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 07/06/2010 : 10:20:14  Mostra Profilo
combofix eseguito, ecco il log:

[URL=htt*://wikisend[.com]/download/499494/log.txt]log.txt[/URL]

Riporto anche l'autorun.inf infetto che avevo salvato come testo:

----------------------cut---------------------------------------
;H5B142VO93U4H22RRY
;JT1QSJ896AOBS67A17R9N
;CY32MWGBJ9314TQ57OSB00035YOTF3PK4G3K5VD3MZ9
[autoruN]
;6DT13GH7189MQ919T6Q92M52X0W98F54V0FT8S88F1G3OC73830ST6TC31W4O
;38
;OXB220W90XL90L0H6V2E3PNPNNTS8036VXAKO9JRJYWZOHPFYGRZJ3
;0D379J6VY5SX1P0760I78775NO7REL7R3U0L6ZBM6O78IPX7ZC8HH68W23I203
;45F27A231FCABAE1D962005B0845BEAA8E820EEBB727D2C7BFC81571
;OZ787SNWG2ZX4J0U483U03LM7MV6GH3NDX50NT0X3DA99
;8
;15P2FGXM102C4RK44S8B988O6L8FW3GQ5DTWF53QFYE17ZOA0CJP4814JME2V366G4829I1X
;0P76C304463IP6
;3YRJXU5AJ259IV7T16
;XCXV1I91484A7KZ6FT61P303OZQHP5065289X71K55PB3K9PZ1F5QK5Q3LH72U96S4J
;20IA26JGQPH89
;XKWT57360122K1NHS66
;VE2Z738FZUI48R416428L9JJT01BW3ZY
sHell\OpEN\coMmaND=BntDEV.Exe
;517J1L3B66ML5IF8DXAR3LJO927M
;1N3972CY91CSTKE2QA70254IN695Q2E08A4A20ZVG28N2T95LC2HR03222J32A58TZ094OG9H
;ECENWU5AA1Z514A6
;56Q17LC174P78255ME4MN2SU3O6073816
;79QN4R4454FW76Z0265686FVVUWLI
sheLL\OpEN\dEFAult=1
opEn=bnTdeV.exe
;12U4H938154ZI82525L48S3463X9619UL9FVLMM2G60M7647L77
;L1XA6EJ94YCD9DR35E51907AJ99RS08DKX0PCWL042E6W41YI7K471FTI64WZVP1F904Y857UMJFI
;86U0L757OOO484K75AY6JYH
;DJC2G85997052T3S4121GM2NCC76FK221SAD7D0Q53ZD95N006U8645R3M0055BNC0SHMJ0
;03LR46R6
-----------------------------------cut-----------------------------

Ricordo che dopo l'eliminazione manuale di alcune voci di registry
relative a shell open command relative ai drive rimobibili l'allarme
relativo al virus č sparito.

Grazie.
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 07/06/2010 : 10:22:40  Mostra Profilo
PS: ho messo un po' troppi "relativo".

PPS: quando ho eseguito combofix quel "digita 1" non mi č stato richiesto.
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 07/06/2010 : 10:41:34  Mostra Profilo
napocapo questo programma lo hai installato tu?

ANIWZCS2 Service
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 10/06/2010 : 18:24:19  Mostra Profilo
Si dovrebbe trattare del driver per la AirPlus XtremeG DWL-G122.

La cosa strana č che ci sono 2 dir sotto C:\Programmi, una dir ANI che contiene questi file:

Directory di C:\Programmi\ANI

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
24/11/2009 10.35 <DIR> ANIO Service
24/11/2009 10.36 <DIR> ANIWZCS2 Service
0 File 0 byte

Directory di C:\Programmi\ANI\ANIO Service

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
09/11/2005 17.04 159.744 ANIOInst.exe
14/10/2004 10.29 24.576 CtrlSrv.exe
2 File 184.320 byte

Directory di C:\Programmi\ANI\ANIWZCS2 Service

24/11/2009 10.36 <DIR> .
24/11/2009 10.36 <DIR> ..
02/11/2007 20.09 679.936 ANIWZCSd.dll
19/01/2007 11.49 49.152 ANIWZCSdS.exe
04/12/2006 13.43 24.576 CtrlSrv.exe
19/01/2007 11.49 49.152 WZCSLDR2.exe
4 File 802.816 byte


ed una dir D-Link che contiene questi altri:

Directory di C:\Programmi\D-Link

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
24/11/2009 10.35 <DIR> AirPlus XtremeG DWL-G122
0 File 0 byte

Directory di C:\Programmi\D-Link\AirPlus XtremeG DWL-G122

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
24/11/2009 10.35 <DIR> Drivers
12/05/2007 14.45 2.048 rt73.bin
12/05/2007 14.46 147.456 NewWizard.dll
12/05/2007 14.46 98.304 WLanMon.dll
02/01/2008 12.04 1.552.384 AirGCFG.exe
12/05/2007 14.44 24.576 CtrlSrv.exe
20/12/2007 09.23 806.912 D-Link Wizard.exe
12/05/2007 14.44 3.262 D-Link_Logo24b_art.ico
12/05/2007 14.46 766 IconId_10004.ico
12/05/2007 14.46 24.576 NetProp.dll
21/07/2008 11.15 335.872 CloseDMsg.exe
12/05/2007 14.46 302.080 lwd.exe
12/11/2007 13.18 1.176.436 ANIO.exe
12/11/2007 13.18 2.539.825 ANIWZCS2.exe
13 File 7.014.497 byte

Directory di C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\Drivers

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
24/11/2009 10.35 <DIR> WIN64
12/05/2007 14.45 392 Config.dat
12/05/2007 14.44 639 DWLAB.dat
12/05/2007 14.44 24.576 DWLInst.dll
17/03/2008 08.34 10.847 Dr71WU.cat
15/01/2008 21.50 459.520 Dr71WU.sys
12/05/2007 14.44 7.846 NetRTUSB.cat
12/05/2007 14.45 243.456 rt2500usb.sys
21/05/2008 19.53 569.344 DeviceInst.exe
24/11/2009 10.35 52 LogFile.ini
9 File 1.316.672 byte

Directory di C:\Programmi\D-Link\AirPlus XtremeG DWL-G122\Drivers\WIN64

24/11/2009 10.35 <DIR> .
24/11/2009 10.35 <DIR> ..
12/05/2007 14.45 437.760 CPSYS64.exe
12/05/2007 14.45 392 Config.dat
21/05/2008 19.53 523.264 DevInst.exe
17/03/2008 08.34 10.871 Dr71WU.cat
04/03/2008 19.37 25.209 Dr71WU.inf
15/01/2008 21.51 445.440 Dr71WU.sys
12/05/2007 14.46 24.576 NetProp.dll
12/05/2007 14.46 0 NetRTUSB.cat
12/05/2007 14.46 13.664 NetRTUSB.inf
12/05/2007 14.46 243.712 rt2500usb.sys
10 File 1.724.888 byte

entrambe con la stessa data di creazione.

Potrei provare a disinstallare la chiavetta e reinstallare per vedere se mi ricrea entrambe le dir.

Ciao.
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 10/06/2010 : 18:47:30  Mostra Profilo
a me invece risulta che ANIWZCS2 Service gode di una pessima reputazione


htt*://[www].levysoft.it/archivio/2006/01/19/aniwzcs2-service-launcher/

htt*://eclipses24.spaces.live[.com]/blog/cns!49B1D41E267C8B76!217.entry


vediamo casa ne pensa malwarebytes

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

per ora non rimuovere nulla
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 21/06/2010 : 20:15:48  Mostra Profilo
Rieccomi dopo una pausa dovuta ai troppi impegni tra lavoro e famiglia.

Malware aggiornato ad oggi (21/06) mi trova tutto meno che il mio autorun.inf che guarda caso č rispuntato quando ho aperto iexplorer (io si solito uso firefox) e con avast che mi avverte sempre di aver bloccato un AutoIt etc. etc.

cmq mi ha scocciato.

Qualche idea?

domani provo a rimettere in linea un log di Hijack
.
Ciao
Torna all'inizio della Pagina

napocapo
New Member


Cittā: Porto Sant'Elpidio


43 Messaggi
Inserito il - 22/06/2010 : 11:11:18  Mostra Profilo
ok, postato log HijackThis su
htt*://wikisend[.com]/download/913556/hijackthis.log

ho trovato anche questa chiave sul registry che ho poi eliminato:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4deb4b8-d611-11da-a1ca-806d6172696f}\sHEll\AutoRun\command]
="AMSsAf.eXe"

Saluti.
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 22/06/2010 : 11:47:39  Mostra Profilo
Napocapo la discussione dopo 12 giorni non posso riprenderla in questo modo, potrebbero esserci stati dei cambiamenti nel pc

apri una nuova discussione esponendo con precisione i problemi che hai
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,31 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000