| Autore |
 Discussione  |
|
|
hoffmann79
New Member
41 Messaggi |
 Inserito il - 14/07/2007 : 21:23:42
|
Salve a tutti! sono nuovo di queste parti.ho voluto iniziare questa discussione perché nella ricerca di una soluzione del mio problema ho trovato qui più risposte che altrove, quindi mi sono registrato ed ora vi chiedo di darmi una mano.
Partiamo dall'inizo:
Vivo a Venezia per studio e tra un pò dovrei laurearmi in architettura,sto facendo una tesi a base di render, quasi tutti fatti in rete (senno col cavolo che mi laureo a fine mese!!!).la mia tesi la sto facendo in uno studio di amici(non è un vero e proprio studio,ma noi lo chiamiamo così visto che tentiamo di farlo diventare!)che ho trasformato nella mia personale render farm.
Pochi giorni fa uno dei pc ha iniziato a dare qualche problema: non accede più al disco D: , o quando ci clikki ti dice accesso negato (come se fosse un lettore dvd ma senza dvd per intenderci) ma se hai un collegamento che porta all'interno di D: non c'è problema. Per inciso se su D: fai tasto dx apri , la cosa funziona.Nel contempo il proprietario è tornato a casa sua quindi il problema era temporaneamente congelato(o cmq di non grave importanza poiché non dava altri problemi9.
Oggi il fattaccio ho caricato per un render in rete la macchina infetta (fesso vero? ), vado a casa a fare le pappe perché un pò di tempo gli serviva, torno , render finito, mio pc con schermata di antivir che avvisa di aver trovato un virus in c:\document&setting\...\ctfmon.exe
tipo di "coso" TR/VB.aqt.37
non solo dopo un pò si sparge nella rete su tutti i pc tranne uno che non ha su office ma openoffice.
Parto alla ricerca di aiuto e cose varie e mi imbatto in una discussione su questo sito dove Leleago da una fantastica tabella su come agire per fare un file log con Hijack.
Quindi eseguo ed ora posto
htt*://freefilehosting.net/download/MTQ1OQ==
(spero funzioni)
qualcuno saprebbe dirmi se devo spararmi in bocca o c'è speranza di venirne fuori senza formattare?
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 14/07/2007 : 21:51:29
|
Apri hijackthis e fixa:
Log pulito..
Segui la procedura di rimozione malware presente nella mia firma 
(salta il passo del log perchè lo hai già postato) |
 |
|
|
hoffmann79
New Member
41 Messaggi |
Inserito il - 14/07/2007 : 21:57:45
|
| Grazie mr. Burrito, mi cimento subito...e soprattutto FORZA JUVE!!! |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 14/07/2007 : 21:59:43
|
Citazione:
Messaggio inserito da hoffmann79
Salve a tutti! sono nuovo di queste parti.ho voluto iniziare questa discussione perché nella ricerca di una soluzione del mio problema ho trovato qui più risposte che altrove, quindi mi sono registrato ed ora vi chiedo di darmi una mano.
Partiamo dall'inizo:
Vivo a Venezia per studio e tra un pò dovrei laurearmi in architettura,sto facendo una tesi a base di render, quasi tutti fatti in rete (senno col cavolo che mi laureo a fine mese!!!).la mia tesi la sto facendo in uno studio di amici(non è un vero e proprio studio,ma noi lo chiamiamo così visto che tentiamo di farlo diventare!)che ho trasformato nella mia personale render farm.
Pochi giorni fa uno dei pc ha iniziato a dare qualche problema: non accede più al disco D: , o quando ci clikki ti dice accesso negato (come se fosse un lettore dvd ma senza dvd per intenderci) ma se hai un collegamento che porta all'interno di D: non c'è problema. Per inciso se su D: fai tasto dx apri , la cosa funziona.Nel contempo il proprietario è tornato a casa sua quindi il problema era temporaneamente congelato(o cmq di non grave importanza poiché non dava altri problemi9.
Oggi il fattaccio ho caricato per un render in rete la macchina infetta (fesso vero?), vado a casa a fare le pappe perché un pò di tempo gli serviva, torno , render finito, mio pc con schermata di antivir che avvisa di aver trovato un virus in c:\document&setting\...\ctfmon.exe
tipo di "coso" TR/VB.aqt.37
non solo dopo un pò si sparge nella rete su tutti i pc tranne uno che non ha su office ma openoffice.
Parto alla ricerca di aiuto e cose varie e mi imbatto in una discussione su questo sito dove Leleago da una fantastica tabella su come agire per fare un file log con Hijack.
Quindi eseguo ed ora posto
htt*://freefilehosting.net/download/MTQ1OQ==
(spero funzioni)
qualcuno saprebbe dirmi se devo spararmi in bocca o c'è speranza di venirne fuori senza formattare?
Ciao Hoffman fai una cosa veloce, scaricati AVS di AOL powered by kaspersky htt ://sicurezza.html.it/articoli/leggi/2313/active-virus-shield-lantivirus-gratuito-di-aol-e-k/.
E' gratis e potentissimo, se non hai una rootkit che ne blocca l'installazione s'installa, ne aggiorni la base dati virali e con quello scanni e pulisci il pc in poco tempo, ma prima di pulire devi disabilitare i punti di rirpistino.
Ciao e in **** alla balena per tutto. 
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 15/07/2007 : 00:34:44
|
controlla se nel disco c'è questo file: D:\autorun.inf se lo trovi eliminalo.
se hai problemi, dal taskmanager termina ctmfon.exe inoltre passa in rassegna tutti gli archivi removibili aprendoli con il tasto destro e fai la stessa procedura di eliminazione file autorun.inf |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 01:46:53
|
Risulta una mossa azzardata terminare ctfmon.exe col task manager: htt ://support.microsoft[.com]/kb/282599/it
Se si sospetta che è un file virus di pari nome al file di sistema è meglio prima controllare chi è ctfmon.exe.
Per farlo: Start-->Esegui-->digitare msinfo32, dare invio, si apre System Information, andare nella sezione Ambiente Software, passare nella sottosezione Programmi ad esecuzione automatica, verificare che ctfmon.exe appartenga al percorso C:\windows\system32 (o altra lettera di unità nel caso l'HD su cui risiede XP non sia C)
Per quanto riguarda autorun.inf se è un file del virus, ed è altamente possibile dato che c'è un virus trojan che ne genera uno, esso si ricrea al volo appena cancellato se non elimini il virus.
Installare AVS e pulire con quello no? |
Modificato da - killbill in data 15/07/2007 02:25:00 |
|
|
|
hoffmann79
New Member
41 Messaggi |
Inserito il - 15/07/2007 : 02:13:30
|
| Beh che dire...grazie di tutto!adesso le provo tutte e appena risolvo posto subito... |
|
|
|
hoffmann79
New Member
41 Messaggi |
Inserito il - 15/07/2007 : 02:19:19
|
Fatto!..Ringrazio vivamente tutti per l'attenzione, in particolare il Sig. michal perchè è arrivato a detto una cosa e ci ha azzeccato al volo...fantastico! adesso provo anche sugl'altri infetti. |
Modificato da - hoffmann79 in data 15/07/2007 02:20:34 |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 02:29:20
|
Citazione:
Messaggio inserito da hoffmann79
Fatto!..Ringrazio vivamente tutti per l'attenzione, in particolare il Sig. michal perchè è arrivato a detto una cosa e ci ha azzeccato al volo...fantastico! adesso provo anche sugl'altri infetti.
Grande, complimenti, uhmmm facile entusiasmo... però spegni e riavvia, ricollegati al web... oppsss quando leggerai l'hai già fatto, ed ora dicci se non ricompare l'autorun.inf.
Già che ci sei vedi se hai un certo setup.exe nelle cartelle condivise. |
Modificato da - killbill in data 15/07/2007 05:15:40 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 15/07/2007 : 05:03:37
|
Ma che ti passa per la testa? Vuoi fargli cancellare un file legittimo di Windows? Gli vai a reinstallare tu il SO dopo??
C:\WINDOWS\System32\smss.exe
non levare assolutamente quel file, è un file di sistema!
Il secondo che citi:
C:\WINDOWS\system\smss.exe
non so come puoi farglielo fixare, non ne vedo nessun riferimento nel log
in quanto al terzo che citi potrebbe pure essere uno spyware, ma comunque non ci giurerei, non trovo riferimenti sicuri (e nel dubbio non cancello..).
Screen relativi al post precedente, prima della modifica:
Parte 1 Parte 2 |
Modificato da - Yves in data 15/07/2007 05:25:34 |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 05:25:43
|
Citazione:
Messaggio inserito da Yves
Ma che ti passa per la testa? Vuoi fargli cancellare un file legittimo di Windows? Gli vai a reinstallare tu il SO dopo??
C:\WINDOWS\System32\smss.exe
non levare assolutamente quel file, è un file di sistema!
Il secondo che citi:
C:\WINDOWS\system\smss.exe
non so come puoi farglielo fixare, non ne vedo nessun riferimento nel log
in quanto al terzo che citi potrebbe pure essere uno spyware, ma comunque non ci giurerei, non trovo riferimenti sicuri (e nel dubbio non cancello..).
Ho letto e riletto quel log molte volte.
Mi sono dovuto ricredere, ho cancellato, ma tu sei stato + veloce di una pistola.
E' davvero uno strano log e sono giunto alla conclusione che si tratta della variante del trojan Medbot.
E' lui che genera l'autorun.inf
La cosa è nota.
Dato che nel log di HJT non vedo attivo il servizio del virus ed smss.exe è sì un file di sistema, ma anche il nomefile del virus, il log non è completo oppure, cosa molto probabile e quasi certa, il virus risiede su un'altra macchina.
I due file si riformano sul PC perchè sono copiati da remoto.
Il trojan infatti è capace di diffondersi spontaneamente dalle macchine infette verso le altre in due modi: sfruttando alcune vulnerabilità del sistema e le porte aperte per la condivisione file e stampanti, interrogando (ping) i PC della stessa subnet per poi copiarsi nelle loro cartelle condivise, se trovate.
Il solo fatto di trovarli non significa che si è infetti: l'infezione avviene solo dopo che viene eseguito il file setup.exe.
Il file autorun.inf contiene solamente le istruzioni per avviare il file setup.exe
[autorun]
open=setup.exe
icon=setup.exe
Oggi la macchina è stata messa in lan e sicuramente era stata in lan anche precedentemente.
Questo fatto m'ha fatto ripensare a tutto.
E spiega perchè il log di HJT non abbia la chiave di smss.exe in 04 - C:\Windows\system\smss.exe/w
E neppure il servizio in O23 - Service: Windows Log
Queste 2 chiavi devono risiedere su un'altro pc della Lan, la fonte dell'infezione.
Così il file autorun.inf quanto il setup.exe arrivano da quel pc infetto, che non è quello del log di HJT.
[cut] xxxxxxxxxxxxxxxx [/cut]
|
Modificato da - pedrus in data 15/07/2007 09:39:49 |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 15/07/2007 : 09:40:58
|
Come già ti è stato detto, se hai lamentele scrivi all'indirizzo che ti è stato fornito e non all'interno delle discussioni.
Se lo ritieni più opportuno procedi per vie legali. |
|
|
|
hoffmann79
New Member
41 Messaggi |
Inserito il - 15/07/2007 : 11:47:27
|
Dopo un pò di indagini credo di aver capito come sono andate le cose. ma andiamo con ordine:
killbill:una volta riavviato il pc non c'è stato più nessun problema!
Yves: ho cercato smss.exe ne ho trovati due uno in C:\WINDOWS\system32 e l'altro in C:\WINDOWS\ServicePackFiles\i386 ma credo che anche il secondo sia legittimo
per quanto riguarda il da dove viene io mi ci sono fatto una idea:
la dannata chiavetta del c.... ce l'aveva ,quindi presa e formattata.in sostanza è sempre e la solita storia chiedimi di farti un 3D della cappella sistina in 20 secondi e ti rispondo "si può fare"...chiedimi di accendere il pc e chiamo un tecnico della N.A.S.A. per farmi dare qualche dritta!(ovvero voi!) |
Modificato da - hoffmann79 in data 15/07/2007 11:55:01 |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 13:41:08
|
Citazione:
Messaggio inserito da hoffmann79
Dopo un pò di indagini credo di aver capito come sono andate le cose. ma andiamo con ordine:
killbill:una volta riavviato il pc non c'è stato più nessun problema!
Yves: ho cercato smss.exe ne ho trovati due uno in C:\WINDOWS\system32 e l'altro in C:\WINDOWS\ServicePackFiles\i386 ma credo che anche il secondo sia legittimo
per quanto riguarda il da dove viene io mi ci sono fatto una idea:
la dannata chiavetta del c.... ce l'aveva ,quindi presa e formattata.in sostanza è sempre e la solita storia chiedimi di farti un 3D della cappella sistina in 20 secondi e ti rispondo "si può fare"...chiedimi di accendere il pc e chiamo un tecnico della N.A.S.A. per farmi dare qualche dritta!(ovvero voi!)
Sì, hai ragione.
Smss.exe è legittimo in entrambi i percorsi.
Inoltre per verificarne la legittimità basta cliccarci sopra, mouse dx, proprietà e verificare nome del produttore dell'eseguibile e versione del file, l'originale è ovviamente Microsoft.
La chiavetta ce l'aveva non significa certezza assoluta che il virus non ti sia arrivato da un'altro pc della lan arrivando fino alla chiavetta.
Se a sto punto ricompare il problema il trojan è installato su una macchina della lan della tua render farm.
Per levarti i dubbi dovresti farti un HTJ per ogni pc della lan e se sono puliti è sempre la solita storia chiedimi di farti un 3D della cappella sistina in 20 secondi e ti rispondo "si può fare". |
|
|
|
hoffmann79
New Member
41 Messaggi |
Inserito il - 29/07/2007 : 18:18:28
|
Bene signori il giorno fatidico della mia tesi è passato (era il 26 e c'ho messo un pò a riprendermi!!!) Vorrei ringraziare tutti quelli che hanno pertecipato a questo post:senza di voi non sarei arrivato alla fine, per cui sappiate che una parte del mio 108 è solo ed unicamente merito vostro ...Grazie di cuore a tutti!!
p.s.:adesso sto attivando la procedure di rimozione dei malware,presente qui su notrace, su tutti i pc che ho infettato e al momento sta dando ottimi risultati. |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/07/2007 : 18:45:32
|
Credo che il 108 sia tutta farina del tuo sacco, il nostro è stato un contributo marginale di supporto.
Grazie comunque per l'apprezzamento. |
|
|
| |
Discussione |
|
Sto tentando di cavarmela da solo,ma se qualcuno..
Forum Bloccato
