| Autore |
 Discussione  |
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
 Inserito il - 29/08/2007 : 15:39:42
|
il file si trova nella cartella system32, e viene associato nel registro di sistema, con il sistema dei IMAGE FILE EXECUTION ad una caterba di applicazioni e programmi tipo GMER HIJACK... etc etc..
naturalmente cancellandolo, non appare piu' il desktop e non si avviano quasi tutti gli antispyware e antirootkit conosciuti...
ogni colta che mnwcweib.bak viene eseguito, rimodifica il registro...
e' veramente sveglio il tipo che l'ha fatto...
cmq io al momento sono entrato nel regedit, ho copiato la chiave "image file execution" dopodiche, ho cancellato tutto il suo contenuto con regassassin.. poi riavviando, (a schermo naturalm nn appare piu' nulla) con l'esegui del taskmanager ho avvia Hijackthis e Gmer..
ora proseguo.. dopo devo copiarmi una chiave buona da un altro pc...
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 29/08/2007 : 16:32:20
|
ho avuto tempo di dare un occhiata a 'sta cosa... ecco cosa viene fatto eseguire da varie applicazioni (che normalmente fanno parte dell' autoscompattante o del porgramma..) tipo setup.exe setup32.exe install.exe setup32.dll.. etc etc. ect..
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssetup.exe]
''ApplicationGoo''=hex:00,07,00,00,54,02,00,00,00,02,00,00,84,07,34,00,00,00,56,
00,53,00,5f,00,56,00,45,00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,
46,00,4f,00,00,00,00,00,bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,
00,05,00,07,00,a8,07,3f,00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,e4,06,00,00,01,00,53,00,74,00,72,00,69,00,6e,
00,67,00,46,00,69,00,6c,00,65,00,49,00,6e,00,66,00,6f,00,00,00,60,03,00,00,
01,00,30,00,34,00,30,00,39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,
00,43,00,6f,00,6d,00,6d,00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,
43,00,6f,00,6d,00,70,00,61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,
00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,
72,00,70,00,6f,00,72,00,61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,
00,46,00,69,00,6c,00,65,00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,
69,00,6f,00,6e,00,00,00,00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,
00,74,00,20,00,45,00,78,00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,
65,00,72,00,76,00,65,00,72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,
00,0b,00,01,00,46,00,69,00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,
6e,00,00,00,00,00,35,00,2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,
00,00,00,00,00,2c,00,06,00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,
6c,00,4e,00,61,00,6d,00,65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,9e,
00,3d,00,01,00,4c,00,65,00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,
69,00,67,00,68,00,74,00,00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,
00,74,00,20,00,02,00,00,00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,
05,00,00,00,00,00,00,00,65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,
00,65,00,72,00,76,00,69,00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,
33,00,00,00,24,00,54,02,00,00,00,02,00,00,a4,08,34,00,00,00,56,00,53,00,5f,
00,56,00,45,00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,46,00,4f,00,
00,00,00,00,bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,00,05,00,07,
00,a8,07,3f,00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,04,08,00,00,01,00,53,00,74,00,72,00,69,00,6e,00,67,00,46,
00,69,00,6c,00,65,00,49,00,6e,00,66,00,6f,00,00,00,f0,03,00,00,01,00,30,00,
34,00,30,00,39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,00,43,00,6f,
00,6d,00,6d,00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,43,00,6f,00,
6d,00,70,00,61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,00,4d,00,69,
00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,72,00,70,00,
6f,00,72,00,61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,00,46,00,69,
00,6c,00,65,00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,69,00,6f,00,
6e,00,00,00,00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,
00,45,00,78,00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,65,00,72,00,
76,00,65,00,72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,00,0b,00,01,
00,46,00,69,00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,00,00,
00,00,35,00,2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,00,00,00,00,
00,2c,00,06,00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,6c,00,4e,00,
61,00,6d,00,65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,a6,00,41,00,01,
00,4c,00,65,00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,
68,00,74,00,00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,20,
00,02,00,00,00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,05,00,00,00,
00,00,00,00,65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,00,65,00,72,
00,76,00,69,00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,33,00,00,00,
24,00,54,02,00,00,00,02,00,00,18,04,34,00,00,00,56,00,53,00,5f,00,56,00,45,
00,52,00,53,00,49,00,4f,00,4e,00,5f,00,49,00,4e,00,46,00,4f,00,00,00,00,00,
bd,04,ef,fe,00,00,01,00,05,00,05,00,07,00,a8,07,05,00,05,00,07,00,a8,07,3f,
00,00,00,00,00,00,00,04,00,04,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,78,03,00,00,01,00,53,00,74,00,72,00,69,00,6e,00,67,00,46,00,69,00,6c,
00,65,00,49,00,6e,00,66,00,6f,00,00,00,54,03,00,00,01,00,30,00,34,00,30,00,
39,00,30,00,34,00,42,00,30,00,00,00,18,00,00,00,01,00,43,00,6f,00,6d,00,6d,
00,65,00,6e,00,74,00,73,00,00,00,4c,00,16,00,01,00,43,00,6f,00,6d,00,70,00,
61,00,6e,00,79,00,4e,00,61,00,6d,00,65,00,00,00,00,00,4d,00,69,00,63,00,72,
00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,72,00,70,00,6f,00,72,00,
61,00,74,00,69,00,6f,00,6e,00,00,00,68,00,20,00,01,00,46,00,69,00,6c,00,65,
00,44,00,65,00,73,00,63,00,72,00,69,00,70,00,74,00,69,00,6f,00,6e,00,00,00,
00,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,45,00,78,
00,63,00,68,00,61,00,6e,00,67,00,65,00,20,00,53,00,65,00,72,00,76,00,65,00,
72,00,20,00,53,00,65,00,74,00,75,00,70,00,00,00,36,00,0b,00,01,00,46,00,69,
00,6c,00,65,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,00,00,00,00,35,00,
2e,00,35,00,2e,00,31,00,39,00,36,00,30,00,2e,00,37,00,00,00,00,00,2c,00,06,
00,01,00,49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,6c,00,4e,00,61,00,6d,00,
65,00,00,00,53,00,65,00,74,00,75,00,70,00,00,00,9a,00,3b,00,01,00,4c,00,65,
00,67,00,61,00,6c,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,
00,00,43,00,6f,00,70,00,79,00,72,00,69,00,67,00,68,00,74,00,20,00,02,00,00,
00,00,00,00,00,01,00,00,00,4c,00,00,00,3c,fd,06,00,05,00,00,00,00,00,00,00,
65,05,00,00,02,00,00,00,00,00,00,00,00,00,00,00,53,00,65,00,72,00,76,00,69,
00,63,00,65,00,20,00,50,00,61,00,63,00,6b,00,20,00,33,00,00,00,24,00
per risolvere il casino ho dovuto correggere la chiave del registro con il notepad, perche' col regedit e' impossibile...
cancellare quella originale con il regassasin...
avviare il pc (con schermo vuoto visto che la chiave manca...)
importare la chiave modificata, e riavviare il pc...
il tutto condito da numerosi rootkit rilevati dal gmer..
bella rogna stavolta!
|
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/08/2007 : 20:55:01
|
apprezzo l'inventiva che ti ha portato a questo tuo metodo di risoluzione del problema ma non vedo il motivo di pubblicarlo nel forum.
Linkoptimizer "B" si elimina più velocemente cancellando da:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options
le sottochiavi interessate (explorer o iexplorer ecc..) ed i files (con estensione log, dat, tmp, txt, ver, old, bak) associati al problema.
|
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 30/08/2007 : 10:43:25
|
sarebbe fattibile, se non ci fosse anche il regedit nell' elenco del file execution :)
in ogni caso nn so come fai a dire che sia il linkoptimizer B ... mnwcweib.bak (che non e' un nome inventato a caso, perche' veniva ricreato sempre con lo stesso nome, da un dialer con nome random nei file comuni)
scusa se scrivo io un programmino che modifica il registro di sistema nei file execution, e che fa qualche altra modific ain giro per il sistema tu potresti dire che si tratta del linkoptimizer b? io nn penso sarebbe la stessa cosa. cmq, visto che il forum si intitola VIRUS NEWS (e non quattro chiacchere a casaccio) volevo rendere partecipe chi legge , che il file mnwcweib.bak (uguale per tutti da quello che ho capito).. non ha riferimenti sul WEB...(e quindi penso sia una NEWS) e se ve lo trovate in system32 qualcosa non va' come andrebbe.
non dico altro, le polemiche mi fanno proprio venire il vomito. |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 30/08/2007 : 13:47:49
|
non volevo creare nessuna polemica: ci tengo alla salute del tuo stomaco.
La precisazione che ho fatto si riferisce al fatto che la soluzione da te proposta (sia o non sia linkoptimizer b)
non può essere capita da molti, questo non è un forum di programmatori ma di utenti normali che si attendono da noi risposte semplici a volte elementari.
|
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 08/09/2007 : 17:29:12
|
Citazione:
Messaggio inserito da Bartoloni Davy
cmq, visto che il forum si intitola VIRUS NEWS (e non quattro chiacchere a casaccio) volevo rendere partecipe chi legge , che il file mnwcweib.bak (uguale per tutti da quello che ho capito).. non ha riferimenti sul WEB...(e quindi penso sia una NEWS) e se ve lo trovate in system32 qualcosa non va' come andrebbe.
E hai fatto benissimo!!
Ci sono molti nuovi attacchi (anche un utonto se ne accorgerebbe) che si stanno diffondendo, di cui, però, si sa poco o niente.
Quindi, per me, hai fatto la cosa giusta a pubblicare ciò di cui sei venuto a conoscenza.
Però, potresti spiegare meglio a quali chiavi del registro si lega mnwcweib.bak? E come hai dovuto intervenire, in modo un po' più dettagliato...?
Grazie. 
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/09/2007 : 19:50:39
|
Il fatto di trovare, nel registro di win, un eseguibile con un nome strano non è affatto una novità o un nuovo virus.
Normalmente quasi tutti i maleware in circolazione usano questo sistema, inoltre il problema in particolare è ben conosciuto con soluzioni alla portata di tutti.Se ti fai un giro nel forum troverai altre soluzioni a problemi identici anche se con nome file diversi.
Questi sono i motivi per i quali la soluzione "personale" non è ritenuta valida, ne trattasi di nuovo virus, solo una variante di maleware esistente. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 09/09/2007 : 14:23:12
|
Invece a me sembra che si faccia troppo affidamento a risoluzioni standard che, alla fine, non tengono nel giusto conto, oltre che le varianti (come tu stesso ammetti), anche i nuovi metodi d'attacco che, a questo punto, nemmeno io chiamerei più genericamente "virus". Se fosse per me, l'antivirus lo toglierei addirittura! Non serve più a niente oramai...
Io dico che, in ogni caso, visto che ci troviamo di fronte a nuove tecniche molto più sofisticate ed evolute rispetto agli antichi virus, e delle quali però sappiamo ancora troppo poco, ogni notizia, ogni più piccolo dettaglio, può essere d'aiuto.
Infine, mi pare che Davy abbia messo in evidenza che secondo lui non si tratta di LO.
Forse sarebbe più interessante fargli altre domande, invece che zittirlo. Non trovi?
Comunque mi farebbe piacere se mi rispondesse lui e postasse, come gli ho chiesto, a quali chiavi si riferiva.
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/09/2007 : 19:36:46
|
Citazione:
Forse sarebbe più interessante fargli altre domande, invece che zittirlo. Non trovi?
In questo forum nessuno viene zittito, tanto è vero che questa discussione è aperta e sino ad ora l'interessato non ha inviato nessuna lamentela o risposta ulteriore.
Non è in discussione il metodo di risolvere i problemi, ognuno fa a modo suo, la mia precisazione è dovuta alla sua soluzione "accademica" difficilmente applicabile ad un forum non specifico di programmazione.
Citazione:
Comunque mi farebbe piacere se mi rispondesse lui e postasse, come gli ho chiesto, a quali chiavi si riferiva.
Se vuoi approfondire il suo metodo puoi chiedergli spiegazioni con un messaggio privato. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 09/09/2007 : 20:04:44
|
Guarda che ho chiesto a Davy soltanto di postare le chiavi a cui faceva riferimento.
La cosa è inerente il thread...
Non vedo perchè debba scriverlo in privato... bah! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/09/2007 : 21:08:16
|
leggi attentamente tutta la discussione è citata due volte
da me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options
da Davy per la modifica:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssetup.exe
ti consigliavo un contatto diretto per farti spiegare il metodo(valido), se te ne intendi di programmazione. |
Modificato da - michal in data 09/09/2007 21:11:20 |
|
|
| |
Discussione |
|
|
|
Nuova zozzeria, centrata oggi: mnwcweib.bak
Forum Bloccato
