|
|
|
|
Strumenti |
10-06-2006, 15:45 | #21 |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Allora abbiamo presso la stessa schifosissima cosa. Controlla in document e setting e troverai pure un account nascosto...disintegralo!... per eliminare il servizio maledetto puoi usare wsf.
P.S. Penso sia utile riunire i post...mi sa si tratti della stessa "cosa"
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." Ultima modifica di Commodore : 10-06-2006 alle 15:48. |
11-06-2006, 21:34 | #22 |
Senior Member
Iscritto dal: Sep 2003
Messaggi: 346
|
Rieccomi. Allora, innanzitutto grazie mille ragazzi, grazie ai vostri suggerimenti e al tool di Eraser (grazie per la disponibilità ), ho fatto fuori quell'exe bastardo e ora non ho più schifezze attive nel pc
Bugs, ho seguito pure la tua indicazione, tutto ok , thnx L'unica cosa rimasta è appunto quell'account farlocco chiamato PEU che però, facendo riferimento all'exe sopracitato e eliminato, è morto. Infatti risulta arrestato e non rompe. Tuttavia grazie a Commodore proverò a farlo sparire ugualmente. Una cosa. Cos'è wsf? |
12-06-2006, 00:30 | #23 | |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
Ciao!
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
|
12-06-2006, 09:12 | #24 |
Senior Member
Iscritto dal: Sep 2003
Messaggi: 346
|
Azz, grazie!
|
12-06-2006, 12:26 | #25 | |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
|
12-06-2006, 13:53 | #26 |
Senior Member
Iscritto dal: Sep 2003
Messaggi: 346
|
Sono "costretto" a ri-ringraziarti: questo tool è ottimo! Disintegrato l'ultimo residuo del bast..done
Ode al forum di HU e ai suoi preparati e disponibili frequentatori e Mod |
12-06-2006, 14:59 | #27 |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Figurati dovere ....ho qualche nuova...dal vecchio log di comodo risultano questi strani IP 195.225.176.85 195.225.177.145 e altri. Ho rifatto una ricerca whois che porta dritta dritta a questi siti:
NameServer: NS-PRI.RIPE.NET NameServer: NS3.NIC.FR NameServer: SUNIC.SUNET.SE NameServer: NS-EXT.ISC.ORG NameServer: SEC1.APNIC.NET NameServer: SEC3.APNIC.NET NameServer: TINNIE.ARIN.NET Se si tenta il collegamento spunta un certificato (non valido) da scaricare....mi sa che è la chiave di volta....resta da capire come è entrato nel mio PC. Se qualcuno (leggi eraser ) avesse un pc da immolare mi sa che si svelerebbe l'arcano... P.S. Mi sa che non hai, come me del resto, disintegrato tutto. Se cerchi nel registro di sistema con regedit (non con jv16 che non trova niente) troverai alcune chiavi (si chiamano come il servizio) ancora presenti...se smanetti con autorizzazioni varie riesci a cancellare qualcosa...non tutto però
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." Ultima modifica di Commodore : 12-06-2006 alle 15:03. |
12-06-2006, 15:17 | #28 |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6377
|
non ho problemi nell'analizzare sample ma non capisco di che certificato parli
il server probabilmente sotto inchiesta é questo 195.225.176.85 e sicuramente il sample é lí, solo che visto cosí potrebbe essere in qualunque posizione, sotto qualunque cartella con chissá quale nome. Se eravate ancora infetti con uno sniffer sarebbe stato possibile analizzarne il percorso completo di connessione Cosí sinceramente non c'é moltissimo da fare...rimango in attesa di qualche altro caso, i vostri sono stati risolti ma la questione non mi convince
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
12-06-2006, 16:01 | #29 |
Senior Member
Iscritto dal: Sep 2003
Messaggi: 346
|
controllato con regedit, col nome di quel servizio non ho trovato nulla. può essere che abbia chiavi con altri nomi in proposito, boh?
pure io sarei curioso di capire come cavolo è entrato stò coso. faccio vari test mensili e il Pc mi risulta essere blindato. Mi sorge anche il dubbio che Spybot e Spywareblaster fungono poco |
12-06-2006, 16:35 | #30 | |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
X maxone Il "mio" servizio si chiamava PVHsX ...dubito però che nel tuo registro ci sia qualcosa di simile
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
|
13-06-2006, 06:05 | #31 |
Member
Iscritto dal: Nov 2005
Messaggi: 94
|
Ciao ragazzi... come dicevo ho avuto anche io questa bestiolina nel mio PC... premetto che ci sono andato dietro da un po, anche perchè all'inizio non si trovava nulla su LinkOptimizer ( potete leggermi in questo forum )
Cmq... prima di riuscire ad eliminare i file presenti in c:\programmi\ (io li ho disintegrati con la knoppix 5.0 di linux non conoscevo il tool proposto da erase, grande programmino) ho notato che con passware EFS key e possibile decriptare il file ma purtroppo richiede una password... Il Trojan abbiamo visto che crea un nuovo account utente... All'interno delle directory presenti in Documents and Settings\xxxxx\ si trovano i certificati per riuscire a decriptare il file EFS... o per creare un "agente di recupero" le cartelle dove si trovano informazioni per il recupero sono: \Application Data\Microsoft\SystemCertificates\My\Certificates \Application Data\Microsoft\SystemCertificates\My\Keys \Application Data\Microsoft\Crypto\RSA Se qualcuno all'interno di questo forum ha gia fatto qualcosa del genere, faccia un passo avanti in caso trovate informazioni qui -> Parte1 Parte2 (ringrazio Guia nell'altro forum per la collaborazione) Purtroppo avendo cancellato i file crittografati non posso più fare esperimenti... inoltre volevo chiedervi un parere su una cosa... Dato che il servizio di criptazione EFS si trova solo nella versione professional di XP ed è imparentato con il file system di una partizione NTFS... Secondo voi un attacco del genere davanti ad una partizione a Fat32 o ad un sistema operaivo diverso come anche XP Home, che tipo di infezione provocherebbe? Perchè sto pensando in questi giorni grazie a LinkOptimizer di disattivare il servizio in XP di crittografia dei file... Insomma in questo modo anche i virus potrebbero risiedere nel nostro HD passando invisibili alle scansioni dei nostri antivirus... Microsoft dovrebbe provvedere ad un aggiornamento immediato per evitare questo tipo di attacchi... Ok... adesso sto spyware a proprio il scoperto... Se riusciamo a sniffare la corretta locazione sul server... e ad aprire i file critografati... siamo a cavallo Rivoglio il Trojan!!! Ultima modifica di tratto99 : 13-06-2006 alle 06:08. |
13-06-2006, 08:49 | #32 |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6377
|
attualmente Prevx rimuove linkoptimizer.dll
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
13-06-2006, 09:49 | #33 |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6377
|
ok, abbiamo intercettato un altro caso in forum stranieri
stiamo cercando di recuperare il sample
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
13-06-2006, 12:11 | #34 | |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
|
13-06-2006, 14:11 | #35 | |
Member
Iscritto dal: Nov 2005
Messaggi: 94
|
Quote:
In Knoppik 5.0 mi sono mosso cosi... (la 4.0 non me lo permetteva) Avviato da CD... tasto destro su HD... ho abilitato in scrittura l'HD... c:\programmi\xxxxxx.exe tasto destro su file elimina, che corrisponde a shift+canc... |
|
13-06-2006, 19:58 | #36 |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Fortunatamente sono riuscito a cancellare il maledetto (non so ancora come) da xp
hola!
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
13-06-2006, 20:08 | #37 | |
Member
Iscritto dal: Nov 2005
Messaggi: 94
|
Quote:
|
|
13-06-2006, 20:50 | #38 | |
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..." |
|
15-06-2006, 00:39 | #39 |
Member
Iscritto dal: Nov 2005
Messaggi: 94
|
@Commodore
Mi controlli se hai ancora la chiave: O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) su un PC su cui sto facendo assistenza è l'unica cosa che rimane... e non capisco perche si rigenera anche dopo averla cancellata da ragedit... |
15-06-2006, 05:38 | #40 | |
Senior Member
Iscritto dal: Sep 2003
Messaggi: 346
|
Quote:
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:04.