PDA

Visualizza versione completa : Voci in quarantena del Malwarebytes da analizzare


Moon75
27-11-2008, 17.48.16
Ciao, ragazzi, volevo chiedervi se le voci del Log che vi posto possono risultare malevole.
Vi dico questo perchè dopo averle cancellate, ho avuto un BSod, quindi vado per esclusione.
A cosa si riferiscono?
Posso cancellarle?
Ho effettuato scandisk con correzioni, e defrag, ma la BSoD l'ho avuta dopo che sono state trovate queste voci dal Malwarebytes.
Aspetto i VS. consigli.
Grazie come sempre..
allego il log.

leofelix
27-11-2008, 18.27.41
ciao Luna:)

"Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{df1c8e21-4045-4d67-b528-335f1a4f0de9} (Adware.Navipromo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{8e13dde1-e013-47ec-9c4c-27c2f78bdd26} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
"

Sono tracce di Rogue, Vundo e chi più ne ha più ne metta che probabilmente sono state solo in parte disinfettate dall'antivirus che usi.
E non sono falsi postivi o li avrei avuti anche io nelle 4 macchine dove uso Il MBAM e nel forum della MalwareBytes Corporation se ne sarebbe parlato.

Eventualmente prova a ripristinare la voci dalla quarantena, aggiorna il MalwareBytes e rifai la scansione.
E vedi se vengono segnalate ancora.

Credo che i BSOD siano una conseguenza naturale dopo la cancellazione di voci di registry che sono state manipolate dai Rogue che hai contratto.

Moon75
27-11-2008, 19.46.07
ciao, dopo aver disattivato il ripristino di configurazione, ho effettuato la scansione son superantispyware, ma mi ha rilevato questo che allego:
(scansione rapida, ho flaggato la prima casellina).
Strano non non abbia rilevato le stesse del malwarebytes.
A leofelix: aka..
non ho eliminato ancora niente, sono in quarantena, volevo studiarle ;)

http://img55.imageshack.us/img55/9264/saswm0.png (http://img55.imageshack.us/my.php?image=saswm0.png)
http://img55.imageshack.us/img55/saswm0.png/1/w690.png (http://g.imageshack.us/img55/saswm0.png/1/)

chiedo scusa, avrei dovuto postare la thumnail ma ho la connessione meno veloce del solito.. :grrr:
Cosa mi consigliate?

leofelix
28-11-2008, 11.24.49
dunque, se non provi a ripristinare dalla quarantena le chiavi trovate infette dal MalwareBytes e a seguire la procedura che avevo indicato temo che continuerai ad avere BSOD.

Poi certo, comprendo che se fai tutto questo a scopo di studio, poi spero che vorrai mettere a parte dei risultati tutta la community di wintricks in modo che noi non possiamo cadere nei medesimi errori :lol: :p

In quanto al SuperAntiSpyware, a parte che non si capisce cosa abbia rilevato sebbene l'immagine sia piuttosto grande (forse il file Winlogon è stato modificato?), non ha le medesime basi di definizione, non è stato progettato allo stesso modo del MalwareBytes' AntiMalware e funziona anche in modo differente.

Senza contare che il MBAM ha già rimosso la voci che ha ritenuto infette e come conseguenza SAS ha verosilmente trovato dell'altro

Come conseguenza non ci si può aspettare sempre i medesimi risultati: se uno riesce a rimuovere certe varianti di spyware, rogue e rootkit riesce in genere l'altro.
Ma non è detto: alle volte bisogna agire con metodi brutali e non convenzionali.
Specie se un sistema è fortemente compromesso. :fiufiu:

as known as myself:)

Moon75
28-11-2008, 16.10.56
Ho ripristinato le voci dalla quarantena.
Poi certo, comprendo che se fai tutto questo a scopo di studio,
La BSod per il momento non c'è.
Che ci vuoi fare, faccio da cavia... :crying:

La voce trovata da Sas è simile alla terza voce del malwarebytes,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{8e13dde1-e013-47ec-9c4c-27c2f78bdd26} (Trojan.Vundo) -> Quarantined and deleted successfully.
Sto provando anche uno scanning online con eset. :anger:
Aka
Moon :)

leofelix
29-11-2008, 00.15.18
Nello splendore degli 8 millimetri la leofelix Corporation è lieta di presentare in esclusiva mondiale per wintricks:


Four tools for Moon.. o quattro strumenti per Luna :cool:

Norman Vundo Cleaner

http://download.norman.no/public/Norman_Vundo_Cleaner.exe

il primo non richiede spiegazioni


VundoFix:

http://vundofix.atribune.org/

(download VundoFix (http://www.atribune.org/ccount/click.php?id=4) )

1) esegui il VundoFix
2) clicca su Scan for Vundo
3) se rileva tracce di Vundo clicca su Remove Vundo
4) rispondi sempre YES alle richieste di rimozione
5) Ti chiederà di riavviare, premi su OK

potrebbe dare un errore se manca questo file comdlg32.ocx

http://windowsxp.mvps.org/comdlg32.htm

----------

NVT Rogue Software and Fake.Alert Remover

Un nuovo strumento gratuito multipurpose per varianti di Rogue:

http://www.novirusthanks.org/progs/11/

http://www.novirusthanks.org/dl.php?get=nvt_rogue_software_remover_setup.exe

Installalo, eseguilo e inizia la scansione.
---------------

Infine scarica lo SmitFraudFix (l'antivirus potrebbe segnalartelo come infetto: non è così) da qui
http://siri.geekstogo.com/SmitfraudFix.php

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

http://siri.geekstogo.com/SmitfraudFix.exe

Procedura:
A) Eseguire lo strumento facendo doppio click sul file smitfraudfix.exe
B) Premere un tasto qualsiasi per visualizzare opzioni proposte
ovvero
- 1, Search (Esegue la scansione)
- 2, Clean (Disinfetta - è raccomandato riavviare il modalità provvisoria: tasto F8 più volte al riavvio se necessario)
- 3. Delete trusted zone (Elimina la lista dei siti attendibili)
- 4. Check for updates (Cerca aggiornamenti)
- 5. Search and Clean DNS Hijack (Cerca e disinfetta modifiche al DNS)
- 6. Frech Language (Visualizza in francese)
- 7. Quit (Chiudi)
C) Avviare ora la scansione premendo il pulsante 1 o "INVIO" (o "ENTER" a seconda della vostra tastiera)

Una volta terminata la ricerca sarà possibile visualizzare il log dei risultati, chiamato "rapport.txt" che sarà rintracciabile nella root di sistema ovvero solitamente nell'unità C:\

Nella eventualità dal file di rapporto risultassero presenti ancora infezioni attive, riavviate il sistema in modalità provvisoria (Tasto F8 più volte se necessario al riavvio, qualora non funzionasse il tasto F8, da start>esegui digitate "msconfig" - senza virgolette - quindi mettete la spunta da "Opzioni di avvio" su "Modalità provvisoria" , cliccate su applica e riavviate: una volta terminata la procedura sempre da comando "msconfig" ripristinate l'avvio normale),
eseguite nuovamente il file smitfraudfix.exe, selezionate il tasto 2 e premete "INVIO".
Prestate attenzione: il desktop potrebbe svanire, ma è normale.
Ora vi verrà chiesto "Do you want to clean the registry?" ("Vuoi disinfettare il registro?"), cliccate su "Y" (Yes).
Potrebbe risultare compromesso il file wininet.dll, in questo caso vi verrà chiesto se volete disinfettarlo, anche in questo caso cliccate su "Y".

A questo punto vi verrà richiesto di riavviare il sistema e con esso verranno eliminati i residui delle infezioni rilevate.

made by leofelix ™

(ho un febbrone da cavallo di . eh uh ehm :rolleyes: da diversi giorni, ma cercherò lo stesso di essere più chiaro in caso di dubbi)


[EDIT] se poi con tutti quei removal tools non riesci, non perdere la speranza, c'è sempre il Navilog1 (http://steven.altervista.org/files/tools1.html) (trovi istruzioni in italiano e link per il download).
Augh

Moon75
29-11-2008, 08.48.07
Ciao leo..
prima di leggere i tuoi messaggi, ho eseguito, a restore disattivato, uno scanning online di eset.
Ha trovato 7 threats che son sfuggiti a Kaspersky..
Che dici, a questo punto rifaccio la scansione con MBAntimalware?
Un'altra cosa che non ricordo, è se nello scan online di eset bisogna spuntare entrambe le caselline, prima di procedere.
Ossia:
1) scan online
2)unwanted applications.

leofelix
29-11-2008, 13.15.22
ciao Moon,
puoi dire che minacce ha trovato (e spero anche disinfettato) Eset on line?

Non ricordo di aver mai fatto una scansione on line tramite ESET.
Tuttavia "Scan on line" sta per "Scansione in linea" e "Check for unwanted applicatios" sta per "Controlla (anche) applicazioni indesiderate" (spyware, riskware).
Quindi sta a te decidere, presumo, se fare anche la scansione delle "applicazioni indesiderate".

Ora perché non provi con gli strumenti che ti ho indicato?
Cadono a fagiolo per il tipo di malware che il tuo PC ha contratto.

Se però preferisci fare un'altra scansione col MalwareBytes' AntiMalware
a) assicurati che sia aggiornato
b) che la scansione sia completa (non rapida indendo)

Moon75
29-11-2008, 13.34.23
Ciao Leo, le voci sono riferibili a quell'allegato.
La scansione rapida di malwarebytes, non controlla le registry keys?
http://img48.imageshack.us/img48/4926/esetue2.th.jpg (http://img48.imageshack.us/my.php?image=esetue2.jpg) (K)

leofelix
30-11-2008, 01.03.52
Ciao Moon75
il worm che segnala la ESET infetta SymbianOS, insomma ti colleghi tramite cellulare?
Se sì è infetto anche quello.
In questi casi nè il MalwareBytes'AntiMalware nè La Kaspersky Security Suite possono fare qualcosa temo.

http://www.symantec.com/security_response/writeup.jsp?docid=2005-102011-2304-99

Questo è un tool di rimozione specifico, ma non ho idea di come si usi.

MalwareBytes' AntiMalware cerca nel registry sia nella scansione veloce sia in quelle completa.
Ti ho chiesto di fare una scansione completa per far sì che il MBAM controlli tutti i files del sistema.

Ora, intanto, cortesemente ti suggerirei di iniziare a disinfettare Windows con i tools di rimozione che ti ho indicato in precedenza.

Poi io fossi in te inizierei a pensare di comprare anche una soluzione di sicurezza per dispositivi mobili che usino SymbianOS

Moon75
30-11-2008, 20.13.24
Avevo collegato un altro smartphone, (col bluetooth) al pc che è evidente era infetto.
Comunque scarico il tool.
Per il momento non rilevo altre infezioni.

leofelix
30-11-2008, 22.06.01
ok,
allora attendo i risultati dei 4 tool for Moon:)

Moon75
01-12-2008, 13.37.41
così è la volta buone che imparo ad utilizzarli sulla propria pelle, anche se alcuni, converrai, son pericolosi, agiscono a fondo sul sistema, tipo il combofix.
Ps: bella emoticon, la salvo subito!

leofelix
02-12-2008, 13.24.41
qualsiasi cosa se usata senza cognizione di causa è potenzilamente pericolosa.

Notato che mago che sono? Sono ruscito a far apparire degli emoticon natalizi e senza nemmeno sapere come ehehehe