NSIS Media Advertisment ...

**Misterxxx** · 17-07-2006, 11:32

Originariamente inviato da holifay
Mah, capisco perchè gli altri forum brancolano nel buio.. rootkit non sembrano esserci, così come altre cose molto evidenti. Adesso guardo con più attenzione i vari log, ma comunque per ora ti consiglio:

1) Disinstalla tutte le versioni di Java e JAVARUNTIME dal Pannello di Controllo >> Installazione Applicazioni. La tua è la 1.5.0_05 ed è superata per quanto riguarda la sicurezza. Al termine installi l´ultima da qui http://www.java.com/it/download/index.jsp

2) Svuota tutte le cartelle temporanee e la cache di IE e Firefox

3) controlla su www.virustotal.com il file C:/Documents and Settings/Marco/Application Data/GDIPFONTCACHEV1.DAT. Potrebbe essere legittimo, ma è riportato in associazione a questo (ma anche ad altri) worm. Poi posta il risultato delle scansioni.

Puoi dire con più precisione in quali occasioni ti compaiono i popup o è veramente random?

Punto 1: ci penso perchè uso java x il sito "fisconline" e non l'ho mai aggiornato perchè altre versioni non funzionano.
Punto 2: lo faccio sovente, lo rifarò.
Punto 3: nessun virus trovato da virustotal.com

La finestra compare veramente random; ho notato che mentre con IE compare ma resta vuota; con FF viene caricato anche il contenuto.

Grazie di tutto, per adesso

**holifay** · 17-07-2006, 12:01

OK, ascolta:

Dovresti trovare la possibilità di disinstallarlo dal Pannello di Controllo. La voce da rimuovere è NSIS Media Extension. Però punta ad un file uninst.exe nella cartella NSIS che tu fai cancellare in automatico.... quindi o la fai ricomparire, o provi a cancellare NSIS a mano

Naviga in questa chiave del registro: [HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/explorer/shellexecutehooks] e cancella il valore {F28439F2-4996-41B8-8BD0-22789780DE81} (NSIS Media Extension)

Poi controlla nella cartella chrome di Firefox l´esistenza di un file chiamato nsis.jar. Se c´è verifica tra le estensioni installate se puoi rimuoverlo, altrimenti prova a cancellarlo.

Ora scarica RegSrch.zip. Estrai lo script RegSrch.vbs dall´archivio e mettilo sul desktop. Poi avvialo e nella finestra che si apre scrivi NSIS. Poi attendi.....quando si apre una finestra di wordpad, se trova qualcosa, copia /incolla qui il contenuto

**holifay** · 17-07-2006, 12:03

mi manderesti il file GDIPFONTCACHEV1.DAT a www.suspectfile.com ?

**Misterxxx** · 17-07-2006, 12:12

Originariamente inviato da holifay
OK, ascolta:

Dovresti trovare la possibilità di disinstallarlo dal Pannello di Controllo. La voce da rimuovere è NSIS Media Extension. Però punta ad un file uninst.exe nella cartella NSIS che tu fai cancellare in automatico.... quindi o la fai ricomparire, o provi a cancellare NSIS a mano

Naviga in questa chiave del registro: [HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/explorer/shellexecutehooks] e cancella il valore {F28439F2-4996-41B8-8BD0-22789780DE81} (NSIS Media Extension)

Poi controlla nella cartella chrome di Firefox l´esistenza di un file chiamato nsis.jar. Se c´è verifica tra le estensioni installate se puoi rimuoverlo, altrimenti prova a cancellarlo.

Ora scarica RegSrch.zip. Estrai lo script RegSrch.vbs dall´archivio e mettilo sul desktop. Poi avvialo e nella finestra che si apre scrivi NSIS. Poi attendi.....quando si apre una finestra di wordpad, se trova qualcosa, copia /incolla qui il contenuto

La prima l'ho fatta quando ancora non rimuovevo la cartella col .bat, ma nix. Me lo ritrovo all'avvio successivo nella stessa cartella in compagnia di un .dll
Sia nel registro che sull'hd ho cercato qualsiasi cosa che contenesse 'nsis' e rimosso, ma nix. Come sopra.
Anche il .jar (ora l'ho messo nel .bat, così lo elimino all'avvio con la cartella nsis).

Prova a leggere l'ultimo post di questo forum (http://www.wilderssecurity.com/showthread.php?t=138307 ). Cosa ne pensi?

Una cosa che non ho detto è che, anche dopo chiusi, spesso iexplorer.exe e firefox.exe sono tra i processi attivi e li devo terminare manualmente ... mah!

**Misterxxx** · 17-07-2006, 12:13

Originariamente inviato da holifay
mi manderesti il file GDIPFONTCACHEV1.DAT a www.suspectfile.com ?

Fatto.

**Misterxxx** · 17-07-2006, 12:18

Originariamente inviato da holifay
Ora scarica RegSrch.zip. Estrai lo script RegSrch.vbs dall´archivio e mettilo sul desktop. Poi avvialo e nella finestra che si apre scrivi NSIS. Poi attendi.....quando si apre una finestra di wordpad, se trova qualcosa, copia /incolla qui il contenuto

Più o meno quello che cancello con regedit.exe:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "nsis" 17/07/2006 12.15.33

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\NSIS]

[HKEY_LOCAL_MACHINE\SOFTWARE\NSIS\Media]

[HKEY_LOCAL_MACHINE\SOFTWARE\NSIS\Media]
"InstDir"="C:\\Program Files\\Common Files\\NSIS\\"

[HKEY_USERS\S-1-5-21-1935655697-1275210071-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="nsis"

[HKEY_USERS\S-1-5-21-1935655697-1275210071-725345543-1003\Software\ODBC\ODBC.INI\Outpost Database]
"ExtendedAnsiSQL"=hex:00

**holifay** · 17-07-2006, 12:43

OK, il file è quello che doveva essere. Dimenticalo.

Quella chiave di registro che ti dicevo di cancellare la devi avere sul PC: è presente nei log che hai postato. Incomincia ad eliminarla e dopo riavvia il PC.

Per quanto riguarda l´ultimo post che hai linkato, proviamo a cercare i file più recenti. Scarica Findfile.zip ed estrai lo script findfile.bat sul desktop. Avvialo e per 3 volte al messaggio premi un tasto. Ti aprirà 4 file di testo con i file trovati nelle varie cartelle (c:, %Windir%, system32, %temp%). Posta qui i risultati dei file più recenti (direi ultimi 2 mesi)

Scarica WinPfind, estrai l´eseguibile sul dektop e avvialo. Al termine posta anche quel log

**holifay** · 17-07-2006, 12:58

Ecco, ho finito adesso di spulciare i log...

quello che proprio non mi convince (a parte la chiave di registro che ti dicevo prima) è questa dll:
C:/WINDOWS/System32/windexserv.dll

Potresti controllarla su www.virustotal.com e mandarmela zippata a www.suspectfile.com ?

**Misterxxx** · 17-07-2006, 13:01

Voilà (sono uno scolaro modello !!!):

Volume in drive C is WIN
Volume Serial Number is 382D-8D62

Directory of C:\WINDOWS\SYSTEM32

17/07/2006 07.43 400.624 perfh009.dat
17/07/2006 07.43 62.286 perfc009.dat
17/07/2006 07.43 470.828 PerfStringBackup.INI
17/07/2006 07.42 890 vsconfig.xml
16/07/2006 22.17 2.206 wpa.dbl
12/07/2006 14.57 0 cmmgr32.exe
12/07/2006 14.25 460 imon1.dat
07/07/2006 03.21 6.757.792 MRT.exe
01/07/2006 08.44 223.224 FNTCACHE.DAT
30/06/2006 17.33 176.167 rmoc3260.dll
30/06/2006 17.33 5.632 pndx5032.dll
30/06/2006 17.33 6.656 pndx5016.dll
30/06/2006 17.33 278.528 pncrt.dll
30/06/2006 16.10 5.248 giveio.sys
01/06/2006 20.47 163.840 jgdw400.dll
01/06/2006 20.47 27.648 jgpl400.dll
29/05/2006 17.30 1.494.016 shdocvw.dll
29/05/2006 16.05 761.856 xvidcore.dll
19/05/2006 17.08 3.052.544 mshtml.dll
19/05/2006 14.59 148.480 dnsapi.dll
19/05/2006 14.59 94.720 iphlpapi.dll
19/05/2006 14.59 111.616 dhcpcsvc.dll
18/05/2006 07.24 450.560 jscript.dll
14/05/2006 10.44 181.248 rasmans.dll
11/05/2006 10.23 24.576 xpsp3res.dll
10/05/2006 07.23 658.432 wininet.dll
10/05/2006 07.23 474.112 shlwapi.dll
10/05/2006 07.23 613.888 urlmon.dll
10/05/2006 07.23 532.480 mstime.dll
10/05/2006 07.23 146.432 msrating.dll
10/05/2006 07.23 448.512 mshtmled.dll
10/05/2006 07.23 39.424 pngfilt.dll
10/05/2006 07.22 16.384 jsproxy.dll
10/05/2006 07.22 1.022.976 browseui.dll
10/05/2006 07.22 55.808 extmgr.dll
10/05/2006 07.22 205.312 dxtrans.dll
10/05/2006 07.22 251.392 iepeers.dll
10/05/2006 07.22 151.040 cdfview.dll
10/05/2006 07.22 1.054.208 danim.dll
10/05/2006 07.22 96.256 inseng.dll
10/05/2006 07.22 357.888 dxtmsft.dll

Volume in drive C is WIN
Volume Serial Number is 382D-8D62

Directory of C:\DOCUME~2\Marco\LOCALS~1\Temp

17/07/2006 09.06 0 lqk1DF.tmp
17/07/2006 07.41 16.384 ~DF3949.tmp
16/07/2006 22.33 5.012 ASPNETSetup_00000.log
16/07/2006 22.17 16.384 ~DF3A03.tmp
14/07/2006 17.16 16.384 ~DF9B91.tmp
14/07/2006 15.47 16.384 ~DF7BE9.tmp
14/07/2006 11.40 16.384 ~DFD8F1.tmp
14/07/2006 10.15 16.384 ~DF3486.tmp
14/07/2006 10.04 16.384 ~DF3955.tmp
14/07/2006 10.02 16.384 ~DF38FD.tmp
14/07/2006 07.43 16.384 ~DF3915.tmp
13/07/2006 15.53 93.156 MSI8b636.LOG
13/07/2006 14.34 0 IH564D.tmp
13/07/2006 14.34 0 xqt558F.tmp
13/07/2006 14.33 0 uop5471.tmp
13/07/2006 14.11 59.964 Adobelm_Cleanup.0001
13/07/2006 09.12 798 IH2FF.tmp
13/07/2006 09.08 798 IH24B.tmp
13/07/2006 08.37 798 IH11C.tmp
13/07/2006 07.35 16.384 ~DF42C2.tmp
12/07/2006 15.47 16.384 ~DF47BE.tmp
12/07/2006 14.28 16.384 ~DF3468.tmp
12/07/2006 13.06 0 b8xAAF.tmp
12/07/2006 13.06 0 r1r9C2.tmp
12/07/2006 07.37 16.384 ~DF3552.tmp
11/07/2006 16.45 16.384 ~DF7EA1.tmp
11/07/2006 13.17 798 IH59.tmp
11/07/2006 13.13 16.384 ~DF3C01.tmp
11/07/2006 13.09 798 IH75F.tmp
11/07/2006 11.32 16.384 ~DF30EE.tmp
11/07/2006 07.25 16.384 ~DF3334.tmp
10/07/2006 14.19 0 IH1961.tmp
10/07/2006 12.18 798 IHFB5.tmp
10/07/2006 12.08 798 IHED5.tmp
10/07/2006 09.28 0 h1m380.tmp
10/07/2006 09.27 798 IH2BB.tmp
10/07/2006 09.23 798 IH25F.tmp
10/07/2006 09.20 798 IH208.tmp
10/07/2006 08.38 798 IH190.tmp
10/07/2006 08.23 16.384 ~DF4052.tmp
09/07/2006 18.59 95 1CA9223A.TMP
07/07/2006 18.58 16.384 ~DF33C9.tmp
07/07/2006 13.39 16.384 ~DF3012.tmp
07/07/2006 10.07 0 6uf570.tmp
07/07/2006 09.30 15.302 IH327.tmp
07/07/2006 07.43 16.384 ~DF3551.tmp
06/07/2006 16.41 16.384 ~DF354E.tmp
06/07/2006 12.29 0 zocE2.tmp
06/07/2006 12.24 16.384 ~DF3129.tmp
06/07/2006 07.33 16.384 ~DF350B.tmp
05/07/2006 20.31 16.384 ~DF14A6.tmp
05/07/2006 20.26 16.384 ~DF35BE.tmp
05/07/2006 17.21 16.384 ~WRF3368.tmp
05/07/2006 14.37 16.384 ~DF5B35.tmp
05/07/2006 06.51 16.384 ~DF34A6.tmp
04/07/2006 17.51 1.485 IHD1F.tmp
04/07/2006 17.51 125.146 IHFF8.tmp
04/07/2006 14.56 0 IHDCA.tmp
04/07/2006 14.54 0 i1qD97.tmp
04/07/2006 14.54 0 IHD8A.tmp
04/07/2006 14.52 0 yymD84.tmp
04/07/2006 14.52 0 IHD83.tmp
04/07/2006 14.52 0 IHD82.tmp
04/07/2006 14.51 0 ftbD73.tmp
04/07/2006 14.51 0 riaD63.tmp
04/07/2006 14.51 0 IHD61.tmp
04/07/2006 14.50 0 ih0D40.tmp
04/07/2006 14.47 0 m9vD33.tmp
04/07/2006 14.47 0 lnrD16.tmp
04/07/2006 13.48 65.536 IH660.tmp
04/07/2006 12.15 16.384 ~DF3354.tmp
04/07/2006 07.24 16.384 ~DFEAA5.tmp
03/07/2006 21.31 16.384 ~DF317D.tmp
03/07/2006 16.22 16.384 ~DF3CB1.tmp
03/07/2006 16.07 16.384 ~DFE315.tmp
03/07/2006 13.53 113.823 SoftCam.key Files 03.07.06 Update.zip
03/07/2006 10.58 0 wqsB0D.tmp
03/07/2006 10.58 0 ks7AFA.tmp
03/07/2006 09.01 0 IH303.tmp
03/07/2006 09.01 0 IH302.tmp
03/07/2006 07.30 16.384 ~DF34A4.tmp
02/07/2006 20.44 16.384 ~DF383D.tmp
01/07/2006 08.45 16.384 ~DFF3F6.tmp
30/06/2006 17.30 12.264.732 tmp-3.xpi
30/06/2006 17.30 12.264.732 tmp-2.xpi
30/06/2006 17.24 0 IH450.tmp
30/06/2006 17.24 0 IH44F.tmp
30/06/2006 17.23 0 IH407.tmp
30/06/2006 17.23 0 IH406.tmp
30/06/2006 17.19 226.869 SoftCam.key Files 30.06.06 Update.zip
30/06/2006 16.55 9.299 SetupExe(20060630165017B68).log
30/06/2006 15.47 16.384 ~DF339C.tmp
29/06/2006 18.30 16.384 ~DFEA6C.tmp
27/06/2006 11.30 16.384 ~DF311E.tmp
27/06/2006 08.50 16.384 ~DF31F4.tmp
26/06/2006 21.47 16.384 ~DF30E4.tmp
26/06/2006 19.04 16.384 ~DF304C.tmp
26/06/2006 12.47 16.384 ~DF31D0.tmp
26/06/2006 11.02 16.384 ~DFA43B.tmp
26/06/2006 08.33 16.384 ~DFACB3.tmp
25/06/2006 22.42 16.384 ~DF312D.tmp
25/06/2006 20.40 16.384 ~DF31C1.tmp
25/06/2006 17.30 16.384 ~DF313F.tmp
25/06/2006 17.27 16.384 ~DFE737.tmp
25/06/2006 17.13 16.384 ~DF303B.tmp
25/06/2006 17.10 16.384 ~DF4918.tmp
25/06/2006 09.55 16.384 ~DFD10E.tmp
25/06/2006 09.46 16.384 ~DF3124.tmp
24/06/2006 17.03 16.384 ~DF31EC.tmp
24/06/2006 17.01 16.384 ~DF3097.tmp
24/06/2006 16.59 16.384 ~DF30FE.tmp
24/06/2006 08.10 16.384 ~DF3067.tmp
23/06/2006 09.04 16.384 ~DF3112.tmp
22/06/2006 17.03 16.384 ~DFAD78.tmp
22/06/2006 07.55 16.384 ~DF3020.tmp
21/06/2006 17.53 16.384 ~WRF2846.tmp
21/06/2006 16.05 16.384 ~DFEA08.tmp
21/06/2006 07.32 16.384 ~DF3597.tmp
21/06/2006 07.05 16.384 ~DF3110.tmp
20/06/2006 20.24 16.384 ~DF3173.tmp
20/06/2006 06.36 16.384 ~DF3111.tmp
19/06/2006 15.36 16.384 ~DF3B15.tmp
19/06/2006 15.02 16.384 ~DF302B.tmp
19/06/2006 10.01 16.384 ~DF32B1.tmp
19/06/2006 08.06 16.384 ~DF3057.tmp
18/06/2006 21.18 16.384 ~DF2F17.tmp
16/06/2006 21.21 16.384 ~DF3274.tmp
16/06/2006 21.19 26.328 c84e_appcompat.txt
16/06/2006 20.45 16.384 ~DF2EBB.tmp
16/06/2006 16.12 16.384 ~DF361A.tmp
16/06/2006 10.27 16.384 ~DF4BF3.tmp
16/06/2006 10.26 16.384 ~DF353E.tmp
16/06/2006 07.38 16.384 ~DF79B2.tmp
15/06/2006 16.24 16.384 ~DF38C9.tmp
15/06/2006 07.20 16.384 ~DF35EF.tmp
14/06/2006 16.23 16.384 ~DF38E2.tmp
14/06/2006 10.43 16.384 ~DF3189.tmp
14/06/2006 10.40 16.384 ~DF37DA.tmp
14/06/2006 08.01 16.384 ~DF3DE1.tmp
13/06/2006 17.18 16.384 ~DFEA61.tmp
13/06/2006 12.44 16.384 ~DF153F.tmp
10/06/2006 20.37 16.384 ~DFF9B.tmp
24/05/2006 15.05 16.384 Perflib_Perfdata_320.dat
24/05/2006 09.16 16.384 Perflib_Perfdata_674.dat
17/05/2006 18.19 16.384 ~WRF3173.tmp
17/05/2006 18.19 5.592 ~WRS0000.tmp
17/05/2006 18.19 16.384 ~WRF0005.tmp
15/05/2006 11.37 16.384 ~WRF0246.tmp
10/05/2006 19.43 16.384 ~WRF3179.tmp
05/05/2006 19.27 16.384 ~WRF3548.tmp
05/05/2006 19.22 16.384 ~WRF0004.tmp

Volume in drive C is WIN
Volume Serial Number is 382D-8D62

Directory of C:\WINDOWS

17/07/2006 09.32 250 gmer.ini
17/07/2006 09.20 51 iTouch.ini
17/07/2006 07.41 0 0.log
17/07/2006 07.41 159 wiadebug.log
17/07/2006 07.41 50 wiaservc.log
17/07/2006 07.40 2.048 bootstat.dat
16/07/2006 22.35 32.404 SchedLgU.Txt
16/07/2006 22.35 1.333.078 WindowsUpdate.log
16/07/2006 22.27 100.623 ntdtcsetup.log
16/07/2006 22.27 162.738 comsetup.log
16/07/2006 22.27 610.014 iis6.log
16/07/2006 22.27 221.564 tsoc.log
16/07/2006 22.27 22.930 tabletoc.log
16/07/2006 22.27 1.374 imsins.log
16/07/2006 22.27 26.204 ocmsn.log
16/07/2006 22.27 11.789 KB917159.log
16/07/2006 22.27 80.686 netfxocm.log
16/07/2006 22.27 33.894 MedCtrOC.log
16/07/2006 22.27 253.783 ocgen.log
16/07/2006 22.27 23.926 msgsocm.log
16/07/2006 22.27 447.727 FaxSetup.log
16/07/2006 22.27 160.732 msmqinst.log
16/07/2006 22.27 1.374 imsins.BAK
16/07/2006 22.27 12.281 KB914388.log
16/07/2006 22.27 24.558 updspapi.log
16/07/2006 22.27 10.258 KB916595.log
14/07/2006 16.36 198.714 setupact.log
14/07/2006 16.25 528.446 gmer.dll
14/07/2006 12.16 192.556 setupapi.log
11/07/2006 11.55 65.617 wmsetup.log
30/06/2006 17.35 5.105 mozver.dat
25/06/2006 13.05 30 BERLITZ.INI
22/06/2006 11.07 116 NeroDigital.ini
14/06/2006 10.40 31.665 spupdsvc.log
14/06/2006 08.12 12.952 KB917734.log
14/06/2006 08.11 14.611 KB918439.log
14/06/2006 08.11 14.987 KB917344.log
14/06/2006 08.11 14.755 KB917953.log
14/06/2006 08.11 14.724 KB911280.log
14/06/2006 08.11 17.799 KB916281.log
14/06/2006 08.10 11.391 KB914389.log
10/06/2006 13.27 77.674 DirectX.log
06/06/2006 20.49 745.531 gmer.exe
27/05/2006 20.40 1.408 ODBC.INI
12/05/2006 15.43 11.634 KB913580.log

Volume in drive C is WIN
Volume Serial Number is 382D-8D62

Directory of C:\

17/07/2006 12.59 0 sys.txt
17/07/2006 12.58 9.935 system.txt
17/07/2006 12.58 9.390 systemtemp.txt
17/07/2006 12.56 120.819 system32.txt
17/07/2006 12.27 429 findfile.bat
17/07/2006 07.40 535.351.296 hiberfil.sys
17/07/2006 07.40 805.306.368 pagefile.sys
21/06/2006 13.34 287 ASWL2K.ini
05/06/2006 17.29 34.375 DEFAULT.APF

**Misterxxx** · 17-07-2006, 13:05

Originariamente inviato da holifay
Ecco, ho finito adesso di spulciare i log...

quello che proprio non mi convince (a parte la chiave di registro che ti dicevo prima) è questa dll:
C:/WINDOWS/System32/windexserv.dll

Potresti controllarla su www.virustotal.com e mandarmela zippata a www.suspectfile.com ?

Pulito.
Te lo mando.

Discussione: NSIS Media Advertisment ...

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio