PDA

Visualizza versione completa : LOGO1_.EXE non file ma cartella


roberto45
17-11-2007, 10.21.56
Uso Me con AVG e spesso controllo con escan e non trovo traccia di virus ma di tanto in tanto trovo cartelle vuote con nomi di virus come:

logo1_.exe
zts2.exe
rundl132.dll
rundll16.exe


Ovviamente le cancello ed a distanza di qualche giorno me ne ritrovo qualcuna, forse sono tentativi abortiti di infezione di questi virus.
Qualcuno riesce a darmi una spiegazione ?

Ludwig
17-11-2007, 10.38.29
mi sembrano infezioni, lancia questa (http://www.bitdefender.com/scan8/ie.html) scansione online e cambia antivirus con avast o avira, sempre free

roberto45
18-11-2007, 16.14.09
Ho provato con BitDefender on line, VirIt, Hj, EMCO, SPYBOT ed altri: PC sterile come un neonato. Brancolo nel misteriosofico.

Losko
19-11-2007, 12.36.05
Verifica nel registro di sistema se hai queste chiavi, in caso affermativo entra in mod provvisoria ed eliminale:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run logo1_.exe=%WinDir%\logo_1.exe

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
logo1_.exe=%WinDir%\logo_1.exe

Verifica anche se hai i seguenti file oltre a logo_1.exe:
[LETTERA DISCO]\pif.exe
[LETTERA DISCO]\autorun.inf

Servono al worm per replicarsi (anche in rete)!!!
A titolo informativo il worm si chiama Win32/Fujacks.AF o simile, varia in base al soft antivirus utilizzato.

Il file rundl132.dll dovrebbe essere il Bagle.

Il file rundll16.exe dovrebbe essere: (scegli quello che ti piace di più) :inn:
Alias:
• Kaspersky: Email-Worm.Win32.Nyxem.e
• TrendMicro: WORM_NYXEM.AA
• F-Secure: Email-Worm.Win32.Nyxem.e
• Sophos: W32/Nyxem-H
• Panda: W32/Tearec.B.worm
• Eset: Win32/Nyxem.NAA worm
• Bitdefender: Win32.Nyxem.H@mm
Si copia alle seguenti posizioni:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Però non stai messo male...il tuo pc è collegato in rete aziendale o solo internet? Nel caso fosse collegato in rete aziendale (mi meraviglio come mai te li sei beccati :mm: ma non è impossibile) avvisa l'amministratore o nel caso fossi tu l'Admin fai una bella scansione su tutti i pc collegati perchè tutti gli ospiti descritti sopra si diffondono anche in rete locale. Per isolare il virus scollega dalla rete eventualmente tutti i pc infetti.

Eccoti i link dove puoi scaricare i tools di rimozione:
1) Link Tool di rimozione (http://www.filehungry.com/italian/product/windows_software/security_tools/virus_scanners/w32_bagle_worm_and_its_variants_removal)
2) Raccolta tools di rimozione (http://news.wintricks.it/article?ID=1)

Il primo link ho fatto una ricerca diretta su internet quindi non lo conosco, ma puoi provare a scaricarlo e vedi se funziona.
Il secondo link è una raccolta di vari tools di rimozione rilasciati dalle famose case produttrici di sof antivirus (Symantec, BitDefender, ecc.ecc.) a mio avviso il più completo. Questo link ti servirà anche per scaricare i tools di rimozione degli altri due worm oltre al Bagle.
Al termine di tutto fai nuovamente una scansione (meglio se in mod provvisoria) con un soft antivirus aggiornato.
Molto probabilmente qualche programma non ti funzionerà perchè questi worm vanno a cancellare alcuni file (anche di sistema e dell'antivirus) pertanto credo che ti toccherà ripristinare il SO. Tra l'altro modificano/cancellano voci nel registro di sistema.

Naturalmente qualche info le ho reperite su internet oltre ad avere una mia documentazione già pronta (prevenire è meglio che essere infettato ;) )

roberto45
19-11-2007, 14.56.26
x LOSKO:

Ti ringrazio per la risposta, non sono uno sprovveduto di primo pelo ed ho già cercato in rete informazioni e nel registro tutti i riferimenti ai file collegati ai citati possibili virus: NULLA. Rimarco che quelli citati con il nome di file di virus sono in realtà CARTELLE completamente ed assolutamente VUOTE!
Ho controllato con ogni strumento le traccie di ogni possibile virus o BHO e non trovo nulla di lontanamente sospetto; mi sto consolidando l'opinione che le cartelle vuote siano il residuo di installazioni abortite di quei virus che il firewall e l'antivirus abbiano intercettato. Comunque non sono il rete ed uso come browser FF con Noscript ed Unplug.

Losko
19-11-2007, 20.35.23
x LOSKO:

Ti ringrazio per la risposta, non sono uno sprovveduto di primo pelo ed ho già cercato in rete informazioni e nel registro tutti i riferimenti ai file collegati ai citati possibili virus: NULLA. Rimarco che quelli citati con il nome di file di virus sono in realtà CARTELLE completamente ed assolutamente VUOTE!
Ho controllato con ogni strumento le traccie di ogni possibile virus o BHO e non trovo nulla di lontanamente sospetto; mi sto consolidando l'opinione che le cartelle vuote siano il residuo di installazioni abortite di quei virus che il firewall e l'antivirus abbiano intercettato. Comunque non sono il rete ed uso come browser FF con Noscript ed Unplug.

1. Scusami se ho toccato la tua suscettibilità ma la mia era semplicemente una risposta al tuo post ;)
2. La mia risposta non voleva farti passare per uno sprovveduto di primo pelo, questo lo hai voluto intendere tu.
3. Se sei cosi sicuro che non eri infetto non capisco il motivo del tuo post.
4. Scusami se ti ho fatto perdere del tempo nel leggere quello che ho scritto. ;)

roberto45
20-11-2007, 10.13.15
No, non mi sono assolutamente risentito. Quanto ho affermato era solamente per indicare che avevo già esaminato quanto era nelle mie conoscenze sul problema che mi si era presentato e cercavo nel forum qualche idea o conferma sulla mia ipotesi della installazione abortita dei virus citati. Inoltre, non considero MAI una perdita di tempo la ricerca di nuove informazioni, nonostante la mia età, e la mia esperienza quasi trentennale, sono ancora insopportabilmente curioso. Comunque, grazie per il tuo interessamento e disponibilità.

Losko
20-11-2007, 10.25.11
No, non mi sono assolutamente risentito. Quanto ho affermato era solamente per indicare che avevo già esaminato quanto era nelle mie conoscenze sul problema che mi si era presentato e cercavo nel forum qualche idea o conferma sulla mia ipotesi della installazione abortita dei virus citati. Inoltre, non considero MAI una perdita di tempo la ricerca di nuove informazioni, nonostante la mia età, e la mia esperienza quasi trentennale, sono ancora insopportabilmente curioso. Comunque, grazie per il tuo interessamento e disponibilità.

Di nulla ;) comunque credo anchio che sia qualche tentativo, non portato a termine, di una qualche infezione virale.

roberto45
21-11-2007, 10.09.56
Le cartelle sono create da eScan, non mi è chiara la motivazione e quando ciò avviene. L'ultima versione, la 9.5.6, mi ha rilevato SPYWARE.IMFMONITOR e dopo averlo rimosso e rilanciato eScan non ha ricreato le famigerate cartelle vuote.