Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

ancora r16:worm.luder Opzioni
toro051963
Inviato: Wednesday, May 20, 2009 10:50:19 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
scusa, ma facendo una scansione per scrupolo con malawb sull'account di mia figlia (non ha privilegi di amm.re) ha riscontrato questo
Malwarebytes' Anti-Malware 1.36
Versione del database: 2159
Windows 5.1.2600 Service Pack 3

20/05/2009 22.39.48
mbam-log-2009-05-20 (22-39-48).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 109401
Tempo trascorso: 8 minute(s), 8 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\MSN\MSNCoreFiles\copymar.exe (Worm.Luder) -> Delete on reboot.
C:\Programmi\MSN\MSNCoreFiles\dw.exe (Worm.Luder) -> Delete on reboot.

che per eliminarli e metterli in quarantena chiede il riavvio che poi faccio,
ma dopo il ravvio se ripeto la scansione rieccoli:
è un falso positio di msn?
ti allego anche hjt sempre tramite questo account

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.43.02, on 20/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ff\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gioco.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222182782356
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FA7AE4C-6C0C-4B7F-8F00-16656305F801}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: PMJ151 AutoLaunch Service (PMJ151LA) - Matsushita Electric Industrial Co. ,Ltd, - C:\WINDOWS\PMJ151LA.BIN
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 4438 bytes

attendo notizie.
grazie
Sponsor
Inviato: Wednesday, May 20, 2009 10:50:19 PM

 
r16
Inviato: Wednesday, May 20, 2009 11:00:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
La figlia deve usare con più prudenza Messenger.
I file trovati da malwarebytes, per eliminarli, si richiede il riavvio del pc.
Riavvia, e fai una'altra scansione per vedere se li ha eliminati.
Se li trova ancora fai una scansione con questo:
Scarica MSN Virus Remover:
http://www.msnvirusremoval.com/download/
crea, sul desktop una cartella apposita, che chiamerai MSN Virus Remover ed al suo interno posizione il tool scaricato.
Esegui il tooll.
verrà mostrata la finestra di avvio: clicca sul tasto Avvia .
verrà richiesto dove indirizzare il salvataggio del log: clicca sul tasto OK
seleziona la cartella creata sul Desktop, e conferma con OK
Verrà, automaticamente, avviata la scansione .
verrà mostrato il risultato della scansione: clicca sul tasto OK
se fossero stati rilevati dei virus, a questo punto il tool avrebbe già eseguito la loro rimozione .
verrà suggerito di cambiare, per ogni evenienza, la password utlizzata per accedere a Windows Live Messenger (da cambiare, solo se sono stati rilevati virus)
clicca su OK è verrai indirizzato alla pagina di login di Windows Live Messenger
esegui l'accesso con il tuo account e provvedi al cambio della password e della risposta alla domanda segreta
NB:
Messenger deve restare ben chiuso
.
toro051963
Inviato: Wednesday, May 20, 2009 11:13:31 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
adesso sta facendo una scansione di malwb dal mio account da mm.re e ha rilevato anche da me gli stessi:
rispetto a ieri dopo la pulizia che sai di navipromo, oggi non ha usato il pc nessuno solo io stasera che appena entrato ho aggiornato malawb e fatto la scansione prima da mia filgia ora dame.
non è che dopo l'update di stasera ore 21,00 di malawb. questi sono falsi positivi di msn?
ecco la scansione dal mio account.
Malwarebytes' Anti-Malware 1.36
Versione del database: 2159
Windows 5.1.2600 Service Pack 3

20/05/2009 23.10.54
mbam-log-2009-05-20 (23-10-54).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 162717
Tempo trascorso: 14 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\MSN\MSNCoreFiles\copymar.exe (Worm.Luder) -> Quarantined and deleted successfully.
C:\Programmi\MSN\MSNCoreFiles\dw.exe (Worm.Luder) -> Quarantined and deleted successfully.

come vedi a me li ha messi in quarantena a mia figlia no.
ora riavvio e rifaccio la scansione (ho già scaricato msn virus remove)
a dopo
toro051963
Inviato: Wednesday, May 20, 2009 11:20:12 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
sta facendo la scansione ma intanto in c:\progr\msn\msncorefiles i suddetti non ci sono più;
aspeeto che finisca la scansione
r16
Inviato: Wednesday, May 20, 2009 11:22:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vediamo cosa trova MSN Virus Remover.
Fossero anche dei falsi positivi, non sono file vitali per il pc, nell'eventualità che siano rimossi.
toro051963
Inviato: Wednesday, May 20, 2009 11:32:00 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
ecco il log di malawb (una precisazione.mio figlio alle ore 19,00 ha usato msn solo per andare a cancellare i 47 messaggi di posta che dice erano di pubblicità anche se non li ha aperti)

Malwarebytes' Anti-Malware 1.36
Versione del database: 2159
Windows 5.1.2600 Service Pack 3

20/05/2009 23.30.02
mbam-log-2009-05-20 (23-30-02).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 162539
Tempo trascorso: 13 minute(s), 45 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0000063.exe (Worm.Luder) -> Quarantined and deleted successfully.
r16
Inviato: Wednesday, May 20, 2009 11:35:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disattiva il ripristino configurazione di sistema.
Riavvia il pc.
Rifai la scansione con MBAM.
Non dovrebbe rilevare più niente.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
toro051963
Inviato: Wednesday, May 20, 2009 11:39:18 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
prima del riavvio chiesto da malawb. ho tolto il ripristino config.;
ho lanciato msn virus rem. e non ha dato nessun virus e non ho cambiato le password,
ora rilancio malawb
r16
Inviato: Wednesday, May 20, 2009 11:48:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Dopo la scansione di MBAM, controlla se ci sono anomalie o problemi.
Dovrebbe essere tutto regolare.
toro051963
Inviato: Wednesday, May 20, 2009 11:56:07 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
tutto pulito,
pulisco prefetch, temp temporary, svuotata quarantena di malwb, svuotato cestino,lanciato ccleaner riavvio e faccio punto di ripristino.
grazie ancora
p.s. a volte mi mi sento a disagio nel darti tutto questo lavoro.
b.notte
r16
Inviato: Thursday, May 21, 2009 12:05:30 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
toro051963 ha scritto:
p.s. a volte mi mi sento a disagio nel darti tutto questo lavoro.
b.notte

Non metterti a sparare cazzate anche tu toro051963 Drool
Non è un lavoro...
Notte..
luciano61
Inviato: Friday, May 22, 2009 1:05:03 PM
Rank: Newbie

Iscritto dal : 1/15/2009
Posts: 9
Chiedo scusa,ma credo abbiate commesso un errore di valutazione in merito a Worm.Luder che è in copymar.exe e soprattutto della relativa segnalazione di Malwarebytes' Anti-Malware.
A me risulterebbe un processo legittimo,anche se sto cercando di capirne di più.
Armor lo dichiara come trusted (sicuro) ed inoltre devo dire che tutti i miei pc,anche quelli oggettivamente non esposti a rischio,comunque con un aggiornamento di Malwarebytes' lo hanno rilevato e quarantinato.
Però poco fa l'ho ripristinato in uno dei pc direttamente dalla quarantena di Malwarebytes',quindi ho aggiornato l'applicazione stessa,e lanciato una scan.
Ed a questo punto Malwarebytes' non l'ha più rilevato.
Adesso ripeto la scan dopo un riavvio,ma se il risultato sarà lo stesso,a questo punto l'aggiornamento di Malwarebytes' ha determinato la legittimità di worm.luder,che evidentemente non è un worm,ma solo un comportamento legittimo di copymar.exe.
Credo che la politica migliore,in questi casi,sia quella di lasciare in quarantena per qualche giorno un file,piuttosto che non precipitarsi a cancellarlo.
Se il file era legittimo lo si sarebbe potuto ripristinare,se era maligno in ogni caso in quarantena non era in grado di fare più nulla.
Adesso,se la scan che è in corso mi darà lo stesso esito,credo si dovrà cercare nel web e scaricare copymar.exe.
Saluti.
r16
Inviato: Friday, May 22, 2009 2:11:44 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@luciano61 :
Tutto è possibile.
Anche che quel file sia legittimo.
Però d'altra parte bisogna ricordarsi che quando un Worm, si infiltra in un sistema cerca sempre di nascondersi usando come nome, lo stesso di altri file o elementi legittimi, questo per confondersi e rendere più difficile l'identificazione.


@toro051963:
In ogni caso, se riscontri problemi, (sopratutto in MSN) non devi fare altro che riferirmelo.
Con una reistallazione di MSN, o con la reistallazione del file, tutto si risolve.



luciano61
Inviato: Friday, May 22, 2009 3:04:10 PM
Rank: Newbie

Iscritto dal : 1/15/2009
Posts: 9
Guarda,dopo tanti anni in informatica,ciò che ho capito sono due cose:

1 - le certezze non sono applicabili in questo argomento
2 - ogni giorno si sa sempre quel qualcosa in più che ti fa capire che ne sai meno di quello che credevi il giorno prima

Mah!
Cosa posso dirti...adesso il pc dove avevo rifatto la scan,lo ridichiara pulito Malwarebytes'...quindi,secondo me,o:

1B - che aveva preso una cantonata,che adesso ha corretto
2B - che il worm è più infido di quanto ci si possa attendere,e riesce a dissimularsi

Però,visto che quella macchina è oggettivamente piuttosto sicura,ho ragione di credere fosse un falso positivo,quindi abbraccerei la soluzione 1B.
Tra un po ripeto l'operazione su altre macchine,e stiamo a vedere.....
Ciao ciao.
r16
Inviato: Friday, May 22, 2009 5:12:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
luciano61 ha scritto:
Guarda,dopo tanti anni in informatica,ciò che ho capito sono due cose:

1 - le certezze non sono applicabili in questo argomento
2 - ogni giorno si sa sempre quel qualcosa in più che ti fa capire che ne sai meno di quello che credevi il giorno prima

1B - che aveva preso una cantonata,che adesso ha corretto
2B - che il worm è più infido di quanto ci si possa attendere,e riesce a dissimularsi

Ciao ciao.


Io in questo campo, sono portato a credere di più ai software di difesa.
Certo, alle volte prendono "lucciole per lanterne", ma in generale, a parte rari casi,non fanno danni irreversibili.
In questo caso,non è un grosso danno (sempre se si tratta di un falso positivo), e basta reistallare MSN.
Facci caso luciano61 : stiamo parlando di un software (MSN) in cui i virus, ci sguazzano.
Diverso sarebbe, se il percorso del file, avesse riguardato una cartella di sistema, allora si', che era un problema.
Ma allora l'attenzione era maggiore.
Quando vedo MSN, lo associo quasi sempre ad un'infezione.
E, al massimo, se qualcuno (MBAM, e io di seguito) ci sbagliamo, non penso che la reistallazione sia un dramma.
Comunque hai ragione, quando dici che è sempre meglio mettere i file infetti rilevati dai vari software in quarantena, e non eliminarli definitivamente subito.
luciano61
Inviato: Friday, May 22, 2009 5:35:44 PM
Rank: Newbie

Iscritto dal : 1/15/2009
Posts: 9
Quindi dici che è un file di MSN?
Che dovrebbe,se non sbaglio,corrispondere a Messenger?
Se così fosse sono a posto.
E' disattivato più o meno in tutti i miei pc da almeno 5 anni...
Ragione di più di pensare che Malwarebytes' si sia sbagliato,anche perchè poi alle scan successive dopo aver ripristinato da Malwarebytes' la presunta schifezza,con l'aggiornamento non l'ha più trovato.
Grazie e ciao ciao.
r16
Inviato: Friday, May 22, 2009 5:43:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Certo che in questo caso si tratta di un file che si trova nella cartella MSN. (Messenger)
C:\Programmi\MSN\MSNCoreFiles\copymar.exe
Non vorrai dirmi che MBAM ha sbagliato pure il percorso....Drool

luciano61
Inviato: Friday, May 22, 2009 5:53:59 PM
Rank: Newbie

Iscritto dal : 1/15/2009
Posts: 9
Ah ah ah...non credo,ma se il problema era proprio per Messenger,era proprio una cantonata.
Capita anche ai migliori.
Malwarebytes' resta uno dei miei preferiti,con:

Avira Premium
Superantispyware
Spy Sweeper
Comodo

tra le varie tipologie di protezione.
Mai usato Messenger!
Dancing
r16
Inviato: Friday, May 22, 2009 5:57:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai una buona protezione.
Aggiungendo Malwarebytes (nonostante tutto) sei quasi su una botte di ferro.
Specialmente se terrai ben chiuso Messenger.Drool
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.