Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum1 -- CercaGlobale -- Informativa su Cookie e Privacy


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
VIRUS SULLA CHIAVE DI MEMORIA FLASH - POSSIBILI METODI DI RIMOZIONE
#1
VIRUS SULLA CHIAVE DI MEMORIA FLASH - POSSIBILI METODI DI RIMOZIONE
Eccomi, qualcuno conosce già le premesse, ma non tutti quindi devo partire dal inizio. In breve sono 
andata in un internet point come faccio spesso e come faccio sempre mi sono portata dietro la mia usb-
drive o chiavetta di memoria se preferite. Lo scopo è di scaricare installer o pagine web da trasferire poi 
sul mio pc di casa che non dispone sempre di una connessione internet. Lasciamo perdere il perchè e 
tutti i discorsi che riguardano la mia connessione internet, altrimenti andiamo fuori argomento. 
I posti che frequento io sono gestiti da stranieri e rispetto agli internet point gestiti da italiani hanno alcuni 
vantaggi e altri svantaggi. I vantaggi sono la libertà e il prezzo, la libertà perchè ti danno un pc con i 
privilegi di amministratore senza nessun tipo di restrizione, si può fare letteralmente tutto, qualsiasi 
download ma come potete immaginare anche molte altre cose, fra le quali alcune discutibili e altre 
decisamente criminali. Dicendo questo non sto suggerendo che io abbia mai compiuto queste azioni,  
dico solo che chiunque potrebbe ad esempio entrare ed installare un keylogger su questi pc, senza che 
nessuno se ne accorga e poi andarsene senza lasciar traccia di se perchè non ti chiedono nessun 
documento quando entri o esci. E ovviamente questa non è nemmeno la cosa peggiore possibile. Come 
dicevo l' altro vantaggio è il prezzo, di solito è sui 90 centesimi ora ma a volta anche meno.
Avevo smesso di frequentare un posto perchè avevo preso un virus sulla chiavetta, si trattava di un virus 
che se fosse arrivato al mio pc probabilmente mi avrebbe creato problemi. Agiva cosi: in ogni cartella 
esistene della chiave creava (se erano presenti delle sottocartelle) un eseguibile per ogni sottocartella 
con gli stessi nomi delle sottocartelle. Poi rendeva invisibili queste col metodo previsto dal sistema 
operativo (cioè il flag di cartella invisibile spuntato). E faceva in modo che cliccando sulle false cartelle 
queste si aprissero ma allo stesso tempo ogni volta che si cliccava su una di queste cartelle\eseguibile in 
virus andava in funzione e infettava il pc. Quindi per aprire le cartelle occorreva avviare il virus. Per 
infettare la chiave è stato sufficiente collegarla al pc già infetto, quindi anche se me ne sono accorta subito 
la frittata era già fatta. Ho provato ad aprire CMD per fare qualche tentativo con qualche tool che mi porto 
appresso ma il virus non era d' accordo e ha spento il pc per difendersi. Me ne sono andata in un altro 
internet point ma non avendo riflettuto abbastanza ho finito per infettare anche quel pc cosi me ne sono 
andata a casa. Per mesi non ho toccato la chiave e me ne sono comperata un altra. Temevo che il solo 
fatto di inserire la chiave in un pc bastasse ad infettarlo ma ad un certo punto pensando e ripensando mi 
sono resa conto che non era cosi. Collegare la chiave al pc non poteva infettarlo, bisognava prima 
provare ad aprire una cartella, solo allora il virus andava in ram e si moltiplicava. Cosi ho collegato la 
chiavetta al mio vecchio pc che alcuni di voi conoscono di fama e ho fatto una cosa banalissima: con 
esplora risorse ho fatto una ricerca di tutti gli eseguibili sulla chiave e .... li ho cancellati. Risolto il problema 
, talmente facile che mi sono sentita stupida a non averci pensato prima. Adesso che è passato del tempo 
non mi ricordo nemmeno se ho dovuto fare qualcosa per rendere nuovamente visibili le cartelle, in teoria 
avrei dovuto ma non mi ricordo di averlo fatto. Forse perchè avevo un applicazione che è un alternativa 
ad esplora risorse che permette di modificare il flag facilmente, forse è andata cosi. 
Però io fino adesso ho parlato del virus precedente mentre sono qui per un altro virus. Avevo messo una 
croce su quel posto, e avevo cominciato a frequentare un altro. Ma i tempi cambiano e anche gli stranieri 
adesso hanno quasi tutti uno smartphone collegato ad internet percio questi posti sono in via di 
estinzione. Sta di fatto che il posto dove andavo ha eliminato quasi tutti i pc e si è trasformato in un 
negozietto di mercanzia varia. Ha ancora due pc ma l' ultima volta che sono entrata erano disconnessi da 
internet e nonostante le mie proteste i gestori non sono stati in grado di riconnetterli e cosi me ne sono 
andata. Recentemente ero stata anche in un altro posto ma li è vietato fare il download e per fare questo 
hanno interdetto l' accesso ai file sul disco, nel senso che esplora risorse non vede C:. Inoltre Chrome 
blocca i download. Per fortuna sono riuscita a far partire IE e con quello ho potuto scaricare direttamente 
sulla chiave, ma quando il gestore si è accorto che stavo usando IE mi ha chiesto di non farlo. Quindi non 
avevo molte alternative dovevo andare nel posto dove avevo preso il virus. 
Sono entrata, ho chiesto un pc, ho inserito la chiave e...di solito si apre una finestra che ti chiede quale 
applicazione vuoi usare, ma non è accaduto. Allora ho premuto Win+E e ho notato che l' icona del usb-
drive non era una cartella come è normalmente ma quella di un disco. Ho pensato che il pc fosse 
configurato in maniera differente ed ho premuto sul icona. Si è aperta una cartella ma invece di trovare i 
miei file dentro c'era ancora una sola icona sempre con le sembianze di un disco, tuttavia aveva l' 
estensione .lnk. Ma forse sul momento non l' ho notato e comunque la chiave era già infettata, ho 
ripremuto sul icona ed ho finalmente visto tutte le mie cartelle abituali. 
Altra cosa strana è stata che dopo aver inserito la chiave il sistema ha caricato i drivers ma un messaggio 
mi ha detto che per rendrli funzionanti dovevo riavviare il sistema, ho ignorato il messaggio anche perchè 
temevo che il contatore si azzerasse e che il proprietario mi potesse redarguire per questo, ma in realtà 
quel pc non aveva nemmeno il contatore.
Ho inziato a fare i miei soliti download mentre guardavo pagine di vari siti o wikipedia, copiando anche 
queste pagine sulla chiavetta senza problemi. Ma quando il mio download principale era quasi terminato 
il pc è andato in bambola. Blocco totale, niente da fare ho chiamato il gestore ma ha dovuto riavviare il 
sistema. Ho inserito ancora la chiave e si è ripetuto tutto come prima. Ho iniziato ancora lo stesso 
download ma quando il pc si è bloccato per la seconda volta ho capito che non era il caso di insistere. 
Ho riavviato il pc da sola e prima che ripartisse ho estratto la chiavetta in modo che non subisse traumi. 
Me ne sono andata a casa e sono andata subito a copiare le pagine web e le poche altre cose che 
avevo scaricato sul mio pc. Appena ho inserito la chiave la solita finestra non si è aperta e questo mi è 
parso stano ma non avevo ancora capito e come prima ho cliccato sul icona .lnk. Ho aperto la cartelle e 
copiato tutto quello che dovevo sul pc ma quando ho finito mi sono accorta che in esplora risorse (o 
risorse del computer se volete) nella struttura ad albero non si poteva scompattare la struttura. Cioè 
cliccando sul + si dovrebbero vedere le sottocartelle apparire a destra, mentre qui non succedeva. 
Allora ho cliccato sul icona, si è aperta la finestra e solo a questo punto mi sono resa veramente conto 
che quello che vedevo era un file .lnk. Ho cliccato con il tasto destro del mouse per avere il menù 
contestuale, ho scelto proprietà ed ho scoperto che il link punta... rullo di tamburi... all' applicazione 
rundll32.exe. 
BAT, scusa se ci ho messo cosi tanto, questo discorso è principalmente rivolto a te, ma comuque penso 
che ora avrai capito molte cose. Questo è il motivo per cui sostengo che sia un virus basato sulle dll, 
perchè nella descrizione di questo programma cosa si legge? "Run a DLL as an App", quindi tu non 
avevi torto dicendo che ci deve essere un eseguibile, ma forse non avevi pensato che potesse essere un 
componente del sistema a fare il lavoro sporco. Inoltre, nel file .lnk c'è una stringa che viene inviata alla 
applicazione come argomento e che io ipotizzo sia la password per decriptare la cartella nascosta che 
contiene tutti i miei file. A questo punto siamo in un campo che io conosco poco e posso solo fare 
congetture. Per esempio mi sembra più logico pensare che sia criptata la cartella piuttosto che i singoli 
file, ma forse questa distinzione ha poco senso perchè le cartelle sono un astrazione del sistema 
operativo e non esistono fisicamente sui supporti. Dico bene o dico male? Qullo che posso dire per certo 
è che la prima cosa che ho fatto è stata provare vari strumenti per accedere ai file senza ricorrere al link, 
anche tramite la riga di comando ma non si vede assolutamente nulla, la chiave appare vuota, anche 
cercando file nascosti. So che in NTFS esistono delle tecniche per occultare i file il cui nome centra con 
"flussi" ma ricordo di aver letto che queste tecniche non funzionerebbero su FAT32 e la mia chiave ha 
questo file system. 
Ma anche nel caso delle cartelle criptate, pur non essendo accessibili i dati al loro interno la cartella in  
qualche modo dovrebbe essere visibile e questo non accade per cui lo trovo stano. 
Inoltre quando apro la cartella il percorso appare cosi: E:\\nomecartella\nomecartella\...
Come si nota la cartella nascosta appare senza nome e anche questa è una stranezza. 
A questo punto mi sono chiesta se potevo estrarre le sottocartelle dalla cartella nascosta e portarli in E:
In questo modo avrei potuto accedere ai miei file senza passare per il link e il virus l' avrebbe presa in 
quel posto. Ma per esperimento ho provato prima a creare un file txt e una cartella in E:, apparentemente 
la cosa ha funzionato ma quando ho scollegato la chiave e l' ho ricollegata indovina dove erano andati i 
due nuovi file? Nella cartella nascosta.
Ho ripetuto l' esperimento ma questa volta non ho potuto dare un nome ai nuovi file, il sistema me lo 
impediva come se esistesse già un file con quel nome anche se io usavo nomi mai usati prima.
Questo mi ha fatto pensare che ci dovesse essere un processo attivo che interveniva cosi ho usato alcuni 
strumenti di Sysinternals Suite che immagino non abbiano bisogno di presentazioni ma non riesco a 
trovare nulla di anomalo il sistema peraltro si comporta in modo normalissimo non sembra che ci siano 
attività strane, niente di sospetto che usa il processore. 
Quindi ho provato con Dependency Walker pensando che se è veramente un virus basato sulle dll 
questo avrebbe dovuto aiutare. In realtà facendo una ricerca mi pare di capire che nessuno fa questo uso 
di questo porgramma.
So che esiste una tecnica detta DLL Injection ma non ne so quasi nulla, non so se potrebbe essere 
questo il caso. 
Ho anche letto dei rootkit, che sono molto difficili da rivelare, ma mi chiedo se sia possibile che questa 
infezione arrivi tramite chiave. 
Accidenti come al solito ho fatto un testo lunghissimo, speriamo che qualcuno abbia voglia di leggerlo.
Mi pare di aver detto tutto, almeno per quello che ne so fino adesso. Se scopro qualcosa aggiornerò il 
post ma per ora chiudo, forse sarebbe il caso di abbassarsi ad un ativirus ma non so nemmeno se la 
prossima settimana avrò ancora internet percui non ho tanta voglia di far questo, poi le scansioni sono 
una barba....Ciao.
Cita messaggio
Grazie da:
#2
Ciao Undecided amm..zza che discorso lungo.
Sicuramente non aiuta chi ti può aiutare, non si capisce molto di quello che chiedi, se non nel titolo della discussione (che ti invito a scrivere anche in minuscolo, il maiuscolo significa urlare).

Quindi ti rispondo: hai per caso provato a formattare la chiavetta?
Cita messaggio
Grazie da:
#3
rundll32.exe è un .EXE di Windows e serve a caricare dll;
il fatto che rundll32.exe possa caricare dll virali è cosa nota, ma comunque deve avvenire o a tua insaputa (motivo per cui devi tener d'occhio i posti di avvio automatico; se individui la dll puoi provare a deregistrarla, dai un'occhiata qui:
https://zerozerocent.blogspot.com/2014/08/librerie-dll-registrare-deregistrare-ripristinare.html
inoltre, notoriamente, se non a tua insaputa, è una tua azione ad avviare il virus: il doppio click sull'apertura di una cartella di per sé è innocuo, ma se è attivo l'autoplay di windows il doppio click innesca l'esecuzione di codice malevolo, per cui consiglio sempre di disabilitarlo;
sempre sul mio blog ci sono articoli dove ho descritto cosa fare (si capiscono dal titolo), se non li trovi cerca "autoplay" con la casella in alto a sinistra.
Per nascondere un file alla vista basta poco: ci si mette il flag nascosto, si associa al file un'icona trasparente, che non è altro che un'immagine, solo che è un quadratino trasparente e non si vede; infine come nome al file si dà un carateere non visualizzabile, che è invisibile.
Io non perderei troppo tempo: formatta la pendrive infetta con LLF format tool (http://hddguru.com/software/HDD-LLF-Low-Level-Format-Tool/) e lo spazzi via.
Lascia stare gli internet point, oltre ai virus ti ritrovi spiata tutta la navigazione e soprattutto non aprire caselle di posta che come minimo ti rubano la password.
Non ho capito se i problemi di connessioni che hai sono sonlo su linea fissa ma se, come penso hai uno smartphone, ti basta connetterti in tethering; dopo Iliad oramai tutti ti danno 15-30 GB mensili, se non scarichi roba troppo pesante ti bastano e avanzano.
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da: Sebastian
#4
un antivirus che scansioni la chiavetta in automatico quando la inserisci sul tuo?
Cita messaggio
Grazie da:
#5
Ciao ragazzi, grazie di aver partecipato alla discussione. Vedo tre risposte, quindi rispondo per ordine.

Per primo c'è esabatad. Per prima cosa mi scuso per il maiuscolo, è stata una distrazione.
Sono d' accordo, il discorso è lungo e ho anche divagato, però non sono d'accordo sul fatto che non si
capisca, le domande ci sono e la descrizione è dettagliata, forse tu trovi noioso il mio stile, questo però
non credo dipenda solo da me, visto che nessun altro si è lamentato fino adesso. E' un fatto che se non ti
va di leggere quello che ho scritto e ti limiti al titolo, non vedo bene come si possa approfondire una
discussione. Intendo dire che sei il benvenuto se l' argomento ti interessa, viceversa se non ti interessa e
ti astieni io non mi posso certo offendere. Immagino che tu sia un membro dello staff, quindi ti sentirai in
qualche modo coinvolto in ogni conversazione, ma io ho un mio modo di sviluppare gli argomenti,
ognuno ha un suo stile, se non piace a tutti che ci posso fare io?
Veniamo ora al tuo consiglio. Formattare la chiave. Certo immagino sia una delle cose più semplici da
fare, ma non sono sicura che sia la soluzione. Se il mio pc è stato infettato, il virus sopravviverà al
operazione e appena reinserisco la chiave siamo punto e a capo.
Mi sembra abbastanza logico, mi sembra strano che voi non ci abbiate pensato. Ammesso che il virus
non abbia qualche contromisura per evitare la formattazione. In realtà basterebbe provare, ma se tu
avessi letto il mio testo (ecco perchè la premessa di prima) capiresti che a me non interessa
esclusivamente liberarmi del virus, ma voglio anche capire come funziona. Ti sembra una cosa strana?
Si, io sono un po' strana, ma la cosa è cosi.

BAT tu sai che io ho stima di te. Questa volta però non sono pienamente soddisfatta di quello che mi dici.
Devo pensare che abbia ragione esabatad allora a dire che il mio discorso è poco comprensibile, ma
non è tanto facile fare un discorso limpido quando bisogna riportare un gran numero di indizi pur senza
conoscere l' intero quadro della situazione. Intendo dire che il virus non l' ho scritto io e non posso
spiegare come funziona. Per questo ho cercato di dare molte informazioni, forse troppe e alla fine il
risultato non è dei migliori.
Ora vengo al dunque. Tu parli di un file nascosto, ma un file nascosto si vede modificando le
impostazioni di Opzioni Cartella. E comunque è visibile con attrib.exe in alternativa. Oltre al fatto che le
cartelle contenenti file nascosti indicano in basso che ci sono questi file.
E poi parli di un icona trasparente, ok potrebbe funzionare per un file o un programma, ma non credo si
possa fare per una cartella. E nel mio caso deve essere una cartella, perchè tutto il contenuto della
chiave è invisibile fino a quando non clicco sul .lnk.
Penso che si possa avere opinioni differenti e io ritengo che in questo caso le cose non stiano come hai
ipotizzato tu. Certo è difficile basandosi solo su delle descrizioni, io avrei preferito che mi facessi qualche
domanda per comprendere meglio piuttosto che arrivare subito alla conclusione.
Mi interessa invece il tuo discorso sul registrare le dll anche se per il momento non sono riuscita ad
individuare nessun processo che sembri in qualche modo legato al virus e come ho detto sulla chiave
non sembrano esserci eseguibili ma nemmeno dll, altrimenti il gioco sarebbe facile dopotutto.
Mi interessa anche il discorso dei caratteri non visualizzabili, quindi se non ti secca continuare questo
discorso questo sarebbe un aspetto da approfondire.
E mi sono chiesta anche perchè usare un tool esterno per formattare la chiavetta, il metodo di Windows
non va bene?
Come dicevo prima a esabatad se il pc è infetto questa soluzione non può essere valida. Deve esserci un
processo attivo sul pc altrimenti come si spiega che i nuovi file creati vengano spostati dentro la cartella
nascosta?
L' altra volta la discussione era partita male ma poi si è rivelata un successo, cosi penso che possiamo
fare ancora molto qui. Comunque appena ho finito qui vado sul tuo blog a leggere tutto quello che mi hai
consigliato. Mi interessa questo autoplay.
Grazie per il tuo interessamento, lo so che possono fregarmi le password, se voglio lo posso fare anche
io con loro e anche di peggio se mi gira. Ma chi cerca di spiare me deve prepararsi ad avere le sue
delusioni.
Non ho uno smartphone. Ho un 3310. I problemi che avevo col mio pc principale sembrano essersi risolti
dopo aver sostituito la batteria di sistema. Non voglio che adesso la gente incominci ad intervenire per
dirmi che le due cose non possono essere correlate lo so anche io che non sembra avere senso, ma è
cosi e non ho assolutamente voglia di perdere tempo nel cercare di convincere a parole persone che
non possono in alcun modo toccare la cosa con mano.
Che il modem non sarà utilizzabile a partire dal prossimo mese è una cosa che mi ha detto la TIM.
Aspettiamo a vedere se è proprio cosi.

dxgiusti, ti ho tenuto per ultmo, forse perchè sei il mio preferito? Un antivirus dici? Neanche tu hai letto il
mio discorso, di la verità! Non voglio un antivirus, ho i miei motivi, preferisco tenerli per me ma sto
prendendo in considerazione dei programmi che fanno comunque una scansione, senza però rimanere
sempre attivi sul sistema. Alcuni si limitano a creare log informativi, altri opzionalmente possono anche
rimuovere le minacce, sto valutando ma non è questa la mia strada maestra.

Mi fermo qui, probabilmente esabatad avrà da ridire anche sta volta sulla lunghezza del post. Che ci
posso fare? Si vede che non ho il dono della sintesi. Salute a tutti.
Cita messaggio
Grazie da:
#6
Dove le compri le batterie del Nokia 3310? fui costretto a cambiare telefonino perché non le trovai più!

Detto questo, confermo che ha regione esabatad:
è molto meglio e molto più sicuro formattare la chiavetta perché se non lo fai e pensi di aver eliminato il virus in altro modo potresti sbagliare e continuando ad usarla così com'è ora infettare di nuovo altre macchine. Anche le icone delle cartelle possono essere rese invisibili: basta che la cartella contenga dentro un file .ini fatto in modo da visualizzare un'icona specifica della cartella: basta mettere un'icona trasparente ed il gioco è fatto (vedi, per esempio, che le cartelle speciali "Documente" e "Download" di Windows hanno un aspetto diverso dalle cartelle ordinarie: è perché contengono un file desktop.ini con le istruzioni per caricare -guarda caso- una DLL e un'icona).
Sui caratteri c'è poco da dire: ci sono caratteri i cui codici non corrispondono a nessun carattere visibile (il ritorno di carrello, nuova linea, il "beep" e molti altri).

Ora, nel tuo caso specifico, non avendo la pendrive non posso sapere cosa succede. Ma anche se le cose non stessero come ho detto, il discorso non cambia molto: il file .lnk è un ling e con il doppio click "punta" a qualcosa, potrebbe essere qualsiasi cosa, per esempio una cartella "invisibile" ed un file specifico dentro di essa con del codice malevolo.
Che ci sia un processo che fa il lavoro sporco è certo al 100%, ma se non riesci ad individuarlo è proprio spazzandolo via a basso livello (LLF fa proprio quello ed elimina anche una possibile tabella delle partizioni costruita ad arte sulla pendrive) l'unico modo certo per eliminarlo.
La formattazione di Windows non può fare più della formattazione completa, ignorerebbe eventuali partizioni nascoste sulla pendrive perché Windows ne vedrebbe solo una.

Ci sono dei tool online per tentare la decrittazione di documenti cifrati da ransomware (cerca con google), ma il risultato non è garantito per niente a meno che la password di decifrazione si quella del ransomware che ti ha giocato il brutto tiro.
Con una distribuzione Linux live potresti tentare di farie copia-incolla dei file che ti interessa recuperare perché essendo il virus scritto per sistema Windows, Linux non lo eseguirebbe neanche col doppio click
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da:
#7
Ciao BAT! Eccomi qui. Questa volta avevo paura di quello che potevo trovare scritto, invece vedo che non si è
arrabbiato nessuno. Meglio cosi, non avrei mai voluto.
La batteria? Ma non è un 3310 di quelli la! E' uno della nuova generazione, non sai che lo hanno rifatto? In
qualche modo si collega anche ad internet ma non ci ho mai provato e non intendo farlo, io mi vanto di
spendere 5 € al anno di ricariche. Perchè ho molta vita sociale.

O.K. i tuoi discorsi sono sempre interessanti e ragionati ma sai anche che io ho una visione particolare delle
cose. Ti dico subito che ho risolto il problema del virus e potrei anche dire che l'ho fatto da sola, ma non
sarebbe del tutto giusto, alcuni tuoi consigli mi hanno fatto comodo.
La cosa migliore che ho letto sul tuo blog è il modo in cui si deregistrano le dll. Questo mi tornerà utile, ne sono
certa.
Però spero che ormai avrai capito che non sono del tutto una principiante. Ho visto i tuoi tutorial sui programmi
di Sysinternals e su questo posso affermare senza temere di essere smentita che io li conoscevo già, sono anni
che ci gioco, sono praticamente i miei programmi preferiti.
Ora però devo ammettere un errore. La fretta di iniziare la discussione la volta scorsa mi ha fatto scordare di fare
prima le prove giuste per poter dare le informazioni corrette. Perchè tu sai che se ci si confonde al inizio poi
non se ne viene più fuori. Quando ho controllato se la cartella era una semplice cartella nascosta, mi sono
scordata di controllare se era una cartella di sistema.
Si, era una semplice cartella nascosta e di sistema. Appena ho controllato è apparsa ma era senza nome. Però
l' icona era normale non era trasparente, però c'è anche un file desktop.ini in realtà.
E qui invece vi sbagliavate voi due. Perchè il pc era veramente infettato e quando ho provato a rinominare la
cartella il sistema me lo ha impedito.
Dentro la cartella ora era visibile un file con un nome assurdo e l' estensione .1 ma era chiaramente un
eseguibile.
Adesso dal discorso che mi hai fatto vedo che non hai letto bene il mio precedente post, perchè avevo già
spiegato che il .lnk puntava a rundll32.exe , ti ricordi? La stringa che inviava al applicazione era infatti lo strano
nome del eseguibile con estensione .1.
Quindi ricapitolando il virus era attivo sul pc e difendeva le modifiche alla chiave. Non ho provato a formattarla,
principalmente perchè non avevo voglia di stare a fare il backup, ma penso che me lo avrebbe impedito e
anche se non lo avesse fatto avrebbe comunque ripristinato la situazione un istante dopo. Lo so per certo
perchè ho fatto tutte le prove del caso, ma andiamo per ordine.
Come tu scrivi nei tuoi tutorial era venuto il momento di cercare il processo che manteneva in vita il virus.
Quindi via con Process Explorer. Rundll32 si vedeva in molte istanze, a proposito tu sai perchè esistono due
versioni, una in maiuscolo e una in minuscolo? Non credo che si tratti di una versione infetta perchè ho
controllato le proprietà e sembra che derivino dalla stesso eseguibile. Non so ma non credo sia importante.
Quello che ho notato di strano è che era attivo msiexec.exe.
Con Process Monitor ho visto che si dava da fare, non usava tanta cpu ma non stava mai fermo. Poi di tanto in
tanto su Process Explorer appariva ping.exe che faceva un paio di tentativi e poi si fermava.
Mi domando cosa sia successo le ultime volte che mi sono connessa ad internet. Qualcuno si deve esser
divertito!
Allora, ho analizzato in vario modo la cosa, i moduli attivi, i threads ma non riuscivo ad isolare la parte maligna
da quella sana del processo. Allora ho terminato msiexec.exe interamente, tanto non è che sto installando
qualcosa. Ho provato a rinominare la cartella nascosta, e ci sono riuscita senza problemi. Quindi pensavo di
essere a cavallo. Ma non era finita.
Ho spostato lo strano eseguibile dove non poteva nuocere e anche il .lnk. Anche un file di nome
IndexerVolumeGuid che viene indicato come un System file, non ho visto l' estensione perchè sono pigra.
E poi ho riavviato il sistema senza collegare la chiave.
Purtroppo msiexec.exe era riapparso al riavvio e quando ho collegato la chiavetta, come avevo previsto, tutti i
file maligni erano di nuovo sulla chiave.
Allora sono passata ad Autoruns ma ho fatto un bel po di fatica a trovare qualcosa di sospetto e niente che era
direttamente associato a msiexec.exe.
Mi sono procurata anche regscanner di nirsoft (altro bel sito) e di chiavi ne ho trovate tantissime con
msiexec.exe e rundll32.exe ma nessuna che sembrava fare al caso mio.
Allora ho deciso di provare qualcosa di nuovo per me: dtaskmanager di snapfiles.
Una specie di Process Explorer forse più semplice ma in realtà è stato determinante perchè mi ha fatto vedere
una dll che Process Explorer non vedeva, non so perchè. Scommetto che mi dirai che è impossibile, ma ho
verificato la cosa con attenzione, Process Explorer non la vede e basta.
Invece Listdlls.exe la vede, non so perchè.
Questa dll era proprio sospetta, intanto nella rappresentazione di dtaskmanager si vedeva che era collegata a
msiexec.exe e anche a rundll32.exe. Ma il fatto che si trovasse in mezzo ai file temporanei mi ha fatto pensare
che ero sulla strada giusta. Finalmente potevo usare Dependency Walker! Aspettavo questo momento. Ma
sono rimasta delusa. Per ora l' output di quel programma non mi è chiaro per niente.
Nel frattempo ho provato anche altri programmi il migliore dei quali è System Explorer che è un terzo
programma in stile Process Explorer ma con lo svantaggio che occorre installarlo e a me non piace questo.
Hijackthis è molto famoso e lo conosco da anni ma non mi è mai tornato utile fino adesso. Poi OTL che è un
programma vecchio e non mi piace.
Peexplorer l' ho installato ma quando ho scoperto che era uno shareware l' ho lasciato perdere.
DLL-Toys non sono riuscita ad installarlo.
Gmer.exe è uno scanner per rootkit e quando l' ho capito non l'ho usato.
Rkill.exe sembrava interessante. Si avvia e in teoria termina tutti i processi malevoli in modo automatico per
permetterti di agire manualmente o con un antivirus prima del reboot ma nel mio caso non ha funzionato.
Altri li ho scaricati ma non li ho nemmeno provati.
Ho fatto allora quello che dici tu di fare con le dll, l' ho deregistrata e poi l' ho spostata in un posto differente. Poi
ho riavviato per vedere se poteva bastare ma non bastava, tutto come prima, anche la dll era stata ricopiata.
Stavo cominciando a stufarmi, ad un certo punto diventa noioso cercare a mano.
Comunque alla fine in autoruns ho notato un eseguibile che stava in un posto poco consono. Lo avevo visto
diverse volte cercando ma per qualche motivo era riuscito a passare inosservato.
Era in una cartella tipo C:\Documents and Settings\All Users, cosa ci fa li un eseguibile? In fin dei conti avrei
dovuto trovarlo prima, invece mi ha fatto perdere un sacco di tempo. Era di sistema e nascosto ma c'era.
Prima ho provato a deselezionare la chiave di registro in atoruns ma al riavvio si era ripristinata, allora ho
spostato l' eseguibile e dopo il riavvio finalmente era tutto tornato alla normalita.
Mentre cercavo il virus ho trovato anche uno script VBS che stava sempre attivo ed era in un posto strano, forse
non molto strano ma per precauzione l'ho terminato e poi ho disattivato la chiave e mi pare che questo sia
bastato. Non credo faccia parte del virus.
Quindi adesso ho due eseguibili, una dll, un file di sistema e il file .lnk. Se ti interessano posso fare un zip e
mandarteli, cosi provi ad infettare il tuo pc, o quello di qualcun altro.
Mi dispiace solo che non ero connessa ad internet mentre facevo queste cose perhè un programma, mi pare
System Explorer, aveva la possibilità di risolvere il ping per vedere l' ip dall' altra parte. Sarà per un altra volta.

Bene, missione compiuta. A si, per rendere nuovamente la cartella di sistema e nascosta una cartella normale
non ho potuto usare il menù di proprietà. Alla fine ho risolto con Attrib.exe, io non ho trovato un modo più facile,
se non quello di ricreare una cartella normale e poi trasferire tutto dalla cartella di sistema.
Non credo che ci siano rimasti pezzi di virus nel sistema se non le chiavi di registro. Ma per quelle si sta poco,
e poi se puntano al nulla che male c'è, possono stare anche li per ora.
Non penso che formatterò, io non ci vedo rischi. Però grazie per avermi assistito in questa cosa, è stato
comunque bello e utile farlo assieme a qualcun altro.

Nel frattempo ho scaricato le cose che mi ha detto pandone, quindi appena trovo un disco da masterizzare ci
provo. In passato ho già provato Ubuntu a dire il vero, ma per pochissimo quindi sarà come una prima volta.
Ultima cosa volevo dirti che mi piace il tuo blog. Oltre ai contenuti mi piace il modo in cui sono fatte le pagine,
sono molto leggere. Io conosco i rudimenti del html e so che i siti di oggi usano javascript, css, php in modo
sconsiderato. Alla fine per leggere un testo scritto che è la cosa tipica in una pagina web, basterebbe veramte
poco codice rispetto a quello usato e allora forse anche i pc vecchi come il mio sfreccerebbero in internet.
Ciao, alla prossima. Se ci sarà!
Cita messaggio
Grazie da:
#8
(28-07-2018,01:44 )Darla Bosconero Ha scritto: [...]

Mi fermo qui, probabilmente esabatad avrà da ridire anche sta volta sulla lunghezza del post. Che ci
posso fare? Si vede che non ho il dono della sintesi. Salute a tutti.

Io non ho nulla da ridire, ma leggi un pò il punto 4 del regolamento. Grazie
Cita messaggio
Grazie da:
#9
Prima cosa rispondere a esabatad:
Ho letto il punto 4 del regolamento. Bene, se queste sono le regole cercherò di rispettarle di più, questo post
è più corto dei precedenti.

Anche se questa conversazione può considerarsi conclusa, ho visto che ci sono state molte visualizzazioni.
Molta gente, forse attratta dal titolo, anche se magari poi non hanno letto veramente tutto il discorso.
Ma fra quelli che hanno tenuto duro ci sarà qualcuno che probabilmente si è domandato cosa avrebbe detto
un antivirus se avesse potuto analizzare il mio pc.
Io questa domanda me la sono fatta e mi interessava dare un nome al mio virus. Ma come penso si sarà ormai
capito l' idea di installare un antivirus non mi entusiasma affatto.
So che un alternativa possono essere gli antivirus online, ma ogni volta che ho provato questa strada non è
andata bene, di solito perchè non supportano XP, poi non so se fanno anche scansioni selettive.
Ma comunque ho fatto una ricerca perchè non si sa mai, magari esiste qualcosa che non ho ancora visto.
Il primo che ho trovato ti faceva scaricare un applicazione sul pc, che interagiva con il sito. L' applicazione era
piccola, si è scaricata in un attimo ma quando sono andata ad avviarla non ha funzionato.
Ho cercato ancora e mi è venuto fuori:
https://www.virustotal.com/it/
Lo conoscete, si? Immaginavo, io invece non lo avevo mai sentito nominare.
Una pagina semplice, senza inutili fronzoli, senza la presenza di 20 filmati che partono automaticamente.
Questa è roba per me. Per chi non lo conosce è un sito che ti permette di fare l' upload di un file sospetto, di
max 128 MB. Quando ottiene il file lo scansiona con tutti gli antivirus esistenti sulla faccia della terra e poi ti
fornisce il risultato delle scansioni in una nuova pagina. Perfetto.
Beh, quasi perfetto. Se avete una connessione lenta come la mia e il file è grandino come questo (92 MB), sarà
meglio che vi troviate qualcosa da fare mentre aspettate che l' upload termini. Con questo pc il download non è
un grande problema perchè si può gestire con un download manager alternativo. Ma che sappia io non
esistono upload manager alternativi, forse mi sbaglio, esiste di tutto ma penso che dipenda dal sito e non dai
programmi che ho io a disposizione.  
Naturalmente dipende principalmente dalla connessione e dal modem ma credo che il sito potrebbe usare
qualche espediente per migliorare la cosa.
Ad ogni modo questo è il risultato della scansione:

https://www.virustotal.com/it/file/f3ca5...533090126/

(spero che il link funzioni )
Ci sono alcune cose interessanti da notare. Prima di tutto una buona metà degli antivirus non ha rilevato la
minaccia. Complimenti, una garanzia questi programmi!
La seconda cosa è che quasi ognuno usa un nome differente per indicare questo virus.  
Secondo me i nomi più significativi sono:
   Trojan.Agent.BUFF   - perchè è il più ricorrente
   Worm.Gamarue         - perchè è meno generico di altri, individua una sottoclasse specifica

Con questi nomi in mano pensavo di scoprire chissà cosa su questo virus. Invece no, una delusione.
Cercando con Google viene fuori qualcosa ma le pagine che ne parlano danno descrizioni generiche, vaghe
e poi arrivano tutte alla stessa conclusione: ti serve il loro antivirus per rimuovere questa minaccia e ti danno il
link per l' aggiornamento idoneo alla situazione.
Adesso comincio a capire il business che c'è dietro a queste cose. Bastano 4 mosse per far fuori questo virus
e sono facilissime. Certo, bisogna sapere quali processi terminare e quali file rimuovere. Per chi diffonde i virus
cambiare nome e posizione ad un file non è un problema ma per cambiare processo attivo deve modificare il
codice, una faccenda ben diversa.
Comunque voi fate quello che volete, non c'è niente di male ad usare un antivirus, sopratutto se è gratuito.
L' unica cosa che mi domando è se da qualche parte esistano delle informazioni realmente valide su questi
virus. Cosa intendo per valide? Non lo so, che ne dite del codice sorgente? Mi accontenterei di una
descrizione semplificata di come fa un applicazione come questa a divenire parte di un processo di
MsiExec.exe  (windows installer).
Se pensate di avere una risposta valida, potete provare a proporla. Tenete solo presente che scrivere il nome
di un virus in Google e vedere cosa salta fuori non è esattamente un operazione da utenti avanzati.
Grazie a chi ha avuto la pazienza di leggere tutto questo.
Cita messaggio
Grazie da:
#10
Devo fare una piccola aggiunta. Siccome il virus mi ha lasciato un piccolo problema ho fatto ancora qualche ricerca.
Ho trovato descrizioni simili al mio problema usando in Google sequenze come:

usb flash drive contents replaced with a single shortcut

Tutti descrivevano un problema simile al mio ma c' è una differenza che sembra sia unica del mio caso. Qualcuno qui molto ben informato mi aveva suggerito di disattivare l' autoplay.
Però se leggete tutto il mio discorso dall' inizio... (sono sicura che lo farete) .. no, nemmeno io lo farei, però se vi ricordate la primissima cosa che ho notato quando ho inserito la chiavetta nel pc infetto è stata che non partiva l' autoplay (che io ho descritto come una finestra che si apre per chiederti che operazione vuoi fare).
Bene, questo fatto si è ripetuto anche quando ho inserito la chiave nel mio pc, ma io ritengo di averlo infettato solo quando ho cliccato sul file .lnk.
Ad ogni modo l' autoplay risulta disattivato e ovviamente ho provato a riattivarlo con il menù contestuale ma non succede nulla.
Immagino che il virus abbia creato una chiave di registro che neutralizza le impostazioni manuali sul menù contestuale.
Questa è una domanda, se lo chiedo vuole dire che non conosco la risposta. Qualcuno di voi saprebbe indicarmi dove cercare nel registro per vedere se salta fuori questa chiave?
Nel frattempo io provo a cercarla e se dovessi trovarla spero che nessuno se la prenderà a male, ma se sarete più veloci di me avrete i miei complimenti.
Grazie a tutti e ciao.
Cita messaggio
Grazie da:


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)