PDA

Visualizza versione completa : Virus e Spyware Torrent e virus: non ci ho capito nulla



ferdinanduzzo
25-04-10, 14: 51
Salve ragazzi,

credo sia la prima volta che io scriva in un forum di problemi che ho avuto con dei virus (o presunti tali) in prima persona..

Ho un bel netbook che utilizzo per i più svariati usi. Un giorno lo lascio e me lo ritrovo con una strana scritta che diceva che erano stati rilevati sul mio pc file con estensione .torrent e che potevo scegliere di collaborare, premendo su un tasto, per fornire i miei dati a una non meglio precisata organizzazione CREDO vicina alla RIAA.

Poco dopo, vedo che l'antivirus, AVIRA, rileva manomissioni a manetta. Io cancello tutto, prendo Hijackthis, rilevo e rimuovo le voci correlate, tolgo alcuni programmi dall'avvio.. e nulla.. il pc pare essere pulito e lindo come il mare delle Bahamas..

Se non che.. mi trovo tutte le connessioni (senza fili e LAN) disattivate, e tutti i driver (da Gestioni Periferiche) mancanti o non correttamente funzionanti. In pratica non mi posso connettere in nessun modo.

Ragazzi.. non so. All'inizio ho pensato che quel messaggio fosse un virus, ma a quanto pare mi hanno beccato davvero con dei torrent sul mio pc con tanto di IP in bella mostra tra quella scritta che mi è uscita. Preciso che il mio avere i torrent non significa scaricare i file ad essi correlati.

http://img504.imageshack.us/img504/3780/39271618.jpg (http://img504.imageshack.us/i/39271618.jpg/)

Cosa sarà mai successo? E' un virus? Mi devo preoccupare per quel messaggio? Come faccio a rimettere in sesto la connettibilità del mio pc? Ho provato a reinstallare i driver, ma nulla..

La cosa più strana mai capitata al pc, forse..

Spero in un vostro aiuto. Cari saluti, ricordo molti di voi con il sorriso sulle labbra.

Ferdi

Asterix
25-04-10, 15: 57
Ciao ferdi

in rete ho trovato questo (http://www.stilegames.com/2010/04/13/malware-bittorrent-violazione-copyright.html) e quest'altro (http://punto-informatico.it/2855731/PI/News/copyright-se-violazione-una-truffa.aspx) articolo che a quanto pare rispecchia molto il tuo caso.

Questo è quanto trovo sul sito di f-secure
(http://www.f-secure.com/weblog/archives/00001931.html) ora avendo in nome del malware (Rogue:W32/DotTorrent.A) possiamo fare qualche ricerca più mirata.

:bai

K.a.o.s.
25-04-10, 15: 57
Ciao,
un virus tipo questo (http://punto-informatico.it/2855731/PI/News/copyright-se-violazione-una-truffa.aspx) :eye? Dovrebbe pure avere a che fare con il toolkit Zeus...

Comunque schermate del genere fino ad oggi sono virus :eye.


con tanto di IP in bella mostra tra quella scritta che mi è uscitaNon è difficile ricavare il proprio ip :hap: click (http://www.whatismyip.org/).

A questo punto passo la palla a gente che ha già una sua procedura "standard" per la rimozione dei virus, sicuramente di aiuto più efficace delle mie possibili proposte.

EDIT:
Anticipato :hap

Asterix
25-04-10, 16: 33
il virus in questione dovrebbe portare queste modifiche al tuo sistema:


add file:
%application data%\IQManager
"iqmanager.exe"

#
The presence of the following registry modifications:
Adds value: "iqmanager.exe"
With data: "%application data%\IQManager\iqmanager.exe silent"
To subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Adds value: "Shell"
With data: "%application data%\IQManager\iqmanager.exe"
To subkey: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

tratto dal sito microsoft (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan:Win32/DotTorrent&ThreatID=149018)

Quindi ripara il file di registro eliminando le voci sopra riportate e cancella il file iqmanager.exe attenzione attiva la visualizzazione dei file nascosti.
Per sicurezza il ripristiniamo il Winsock con le istruzioni sotto riportate ed esegui una scansione completa con antivirus aggiornato.

Procedura ripristino winsock:

Start -> Esegui ->
Poi digitare: cmd -> Ok
Nella finestra dei comandi digitare: netsh Winsock reset
Riavviare il computer e poi al riavvio eseguire:
Start -> Esegui -> cmd -> OK
digitare: netsh int ip reset reset.log

:bai

ferdinanduzzo
25-04-10, 17: 47
Salve ragazzi, grazie mille....

Ecco.. sono stato 10 giorni in santa pace (è successa 10 giorni fa la cosa, ma non ho avuto modo di occuparmene prima) proprio perché immaginavo fosse un virus o un malware.. e non un vero messaggio di violazione..

Per quanto riguarda l'ip, K.a.o.s., sarà anche vero che ultimamente mi occupo di meno di informatica, però.. :). Avrò recensito 100 siti tutti uguali a quello che mi hai mostrato tu, dunque so che si può ricavare facilmente. E stesso dal pc, se vogliamo.. ;). Il problema non era questo, era che se fosse stato vero.. registravano il mio ip (insomma, non il come.. ma il fatto che..) :).

Comunque.. riguardo il metodo di asterix. Nessuna traccia di quel file e di quelle chiavi di registro. Io penso che in ogni caso il virus comunque non ci sia. Task Manager pulito, log di Hijack pure.. E scansione con AVIRA e Spybot S&D aggiornati fatta quello stesso giorno. E' che proprio non riesco a far riconoscere le periferiche per la rete al pc.. Neanche il modem usb, che ho riprovato. Anche a reinstallare. Niente...

Penso che il malware se ne sia andato, ma abbia lasciato questa spiacevole conseguenza come liquidazione.. :P

Sapete come fare per farmi ovviare? Vi ringrazio tanto per il celere ed efficiente supporto, nonchè per la vostra gentilezza e competenza.

Ciao! :-)

K.a.o.s.
25-04-10, 18: 03
Io consiglierei di riparare i file di sistema con sfc /scannow dal prompt dei comandi (eseguito come amministratore). :hap

LadyHawke
25-04-10, 18: 45
Ciao ferdi,

Allegheresti anche un log di Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)?

:bai

ferdinanduzzo
25-04-10, 19: 15
@K.a.o.s

Per questa procedura mi richiede quasi per tutti i file processati il cd di Windows, cosa impossibile.. non ho nessun lettore cd nè integrato nè usb su questo pc..

@Lady

Ciao lady, che piacere rileggerti. Ecco qui il log..

Armandillo
25-04-10, 19: 44
Per questa procedura mi richiede quasi per tutti i file processati il cd di Windows, cosa impossibile.. non ho nessun lettore cd nè integrato nè usb su questo pc..

:bai

Una volta, se non sbaglio, feci così:

-copiai il cd di Xp su una chiavetta
-copiai la chiavetta in una cartella
-creai un collegamento al file gpedit.msc (criteri di gruppo)
-nella finestra scelsi il percorso: configurazione utente_modelli amministrativi_sistema
qui attivai la voce "configura percorsi di ricerca driver" digitando il percorso esatto della cartella creata in precedenza
-a questo punto l'utility sfc cerchera' in quella cartella i files da ripristinare ed anche piu' velocemente che non dal cd

:bai

LadyHawke
25-04-10, 23: 56
Il piacere è mio ferdi :hap

Allora, la prima cosa che mi è saltata agli occhi dal log è che il file ndis.sys risulta mancante e da qui i problemi sulla connessione :shock
Se hai fatto la procedura consigliata da K.a.o.s dovrebbe essersi ripristinato, altrimenti dovrai farlo prelevando la copia compressa dalla cartella /i386 nel CD di installazione di XP espandendolo: apri un terminale (cmd) e digita il comando

expand X:\I386\ndis.sy_ C:\windows\System32\drivers\ndis.sys (fra ...ndis.sy_ e C:... c'è uno spazio)

dove X: è la lettera che identifica il lettore dove metti il disco di XP e C: è il drive dove è installato XP

Ma poi c'è da capire perchè è stato eliminato: dalle scansioni che hai fatto in precedenza?

Altra cosa vorrei che tu passassi per verifica su Virustotal (http://www.virustotal.com) i files services .exe e ctfmon.exe che si trovano nella quarantena di Combofix (c:\qoobox-->percorso originario): occhio a non eseguirli e facci sapere il risultato

:bai

ferdinanduzzo
29-04-10, 13: 28
http://www.virustotal.com/it/analisis/64a8ad0e53cb7a655ac6e2d43df4e986327a063c8b4ac15a20 773dd30699c7ed-1271916244
http://www.virustotal.com/it/analisis/935db29473bec2edb91035bcd94633d87e18017898c65269e2 376bc311043753-1272356500

Il primo, infetto, è services.exe. Il secondo, ctfmon.exe, pulitissimo....

Mettendo il file ndis.sys, formidabilmente, tutto apposto. Resta solo che ho questo services infetto nella cartella di Combofix.

In ogni caso chiedo scusa per il ritardo, ma purtroppo questa settimana non è una delle migliori sotto tanti punti di vista, e solo adesso ho avuto a disposizione il binomio tempo-umore per poter effettuare questa prova. Grazie mille e grazie mille anche per la vostra professionalità :hap.

[EDIT]

Allego file scansione che ha fatto un po' di piazza pulita (nsis.sys cancellato dall'AV)...

LadyHawke
29-04-10, 14: 10
Ferdi, nessun problema, però dovresti fare un'altra verifica:

Vai in Gestione Periferiche --> Visualizza --> Mostra periferiche nascoste
Apri il + dei Drivers non Plug&Play e vedi se è presente un TDSSserv.sys. Se lo trovi NON disinstallarlo ma disabilitalo e riavvia immediatamente, poi fai una scansione online con Nod32 (http://www.eset.com/online-scanner)

:bai

ferdinanduzzo
29-04-10, 14: 38
Grazie Lady, davvero :hap.

Il file che hai detto di controllare NON c'è. Per il resto, ho già provveduto a fare una scansione con Antivir e ho riparato gli elementi trovati, che allego.

Adesso faccio anche da ESET Online Scanner :).

Dopo aver fatto questo, e aver riparato eventuali file, è tutto ok? C'è bisogno di fare altro?

Grazie tanto ancora.

Ferdi :bai

LadyHawke
29-04-10, 14: 48
E meno male che non dovevano esserci più malware :lol:

Allora, intanto attento perchè molti files non sono stati disinfettati da Avira perchè è stato negato l'accesso: vedi se riesci a fare la scansione online in "Modalità provvisoria con rete" e fai attenzione al risultato di Nod32 perchè finanto che non abbiamo tutto pulito si deve insistere.
Pulisci a priori tutti i files Temp e simili con ATF-Cleaner (http://www.atribune.org/ccount/click.php?id=1) o CCleaner, così anche la scansione sarà più veloce.
Se dovessi avere sentore che ancora rimane qualcosa fai pure la scansione online con BitDefender, e poi facci sapere :eye

:bai

ferdinanduzzo
29-04-10, 23: 24
Fatto scansioni con ESET e BitDefender... :hap.

Qualche file trovato ed eliminato, specie nella cache di Opera.

Adesso dovrebbe essere ok, spero. Possiamo chiudere la questione? :tong2

Grazie mille, di nuovo.. :). Ciao!

LadyHawke
29-04-10, 23: 43
Possiamo chiudere la questione? :tong2 :ohoh Dici che ho uno dei soliti attacchi di eccesso di zelo? :cry3

Vabbè dai :tong2, se sei soddisfatto dei risultati delle scansioni probabilmente ora stiamo a posto, però nei prossimi giorni tieni un'occhio aperto :oo2

:bai

ferdinanduzzo
30-04-10, 10: 28
Lady, Lady... ma cosa mi vai a capire... :hap

Zelante lo sei sempre stata, ma detto come l'hai detto tu mi pare quasi un difetto xD..

Non è questo che volevo dire. Era semplicemente per chiedere, visto che mi rendo conto che non ci capisco una mazza di sicurezza, se adesso potevo essere più tranquillo (non vorrei che questi virus mi fregassero informazioni, corrompessero file etc., ecco..).

Sono soddisfatto delle scansioni? Non lo so, lo sarei se fossi certo che è tutto ok. Per questo domandavo.. visto che, ripeto, ci capisco come un idraulico ne capisce di medicina.. :hap. Si, lo so, sono un pessimo utente.. :hap.