Penso di essere capitato nel virus più anomalo e infame della storia.
Premetto che studio nella facoltà di informatica, e se sono qui è perchè sono nella più completa disperazione. Ho provato di tutto, ma nulla.
Il virus l'ha preso mio padre, che ha trovato su internet un giochino del 1992. La cartella in formato .rar conteneva un file MAX.nfo e un serial.exe.. Scusate per l'estrema precisione ma ne capirete poi il motivo. Mio padre ha cliccato il file .exe, si è aperta una finestra di ice xp (a detta sua) e poi si è riavviato il pc. A questo punto, l'antivirus è sparito dalla barra in basso a destra (uso antivir). Ogni volta che provo a rilanciarlo, mi dà l'errore "C:\Programmi\Avira\Antivir Desktop\avcenter.exe non è un'applicazione di Win32 valida.". Ma non è tutto. Provo a cercare un altro antivirus, e ogni volta che lo faccio succedono cose strane, o che il download si interrompe, o che lancio una possibile scansione, mi dà errore. Se cerco alcuni siti di noti antivirus, addirittura mi si blocca il browser. Avenger non mi concede di scaricarlo, così come HijackThis. Non ho un sintomo di infezione da Bagle, non ho la cartella dwnld malefica che già una volta mi ha fatto formattare. Ho analizzato il file con VirusTotal, ecco i risultati:
ntivirus Versione Ultimo aggiornamento Risultato
a-squared 5.0.0.26 2010.06.09 Virus.Win32.Cryptor!IK
AVG 9.0.0.787 2010.06.09 Win32/Cryptor
CAT-QuickHeal 10.00 2010.06.09 (Suspicious) - DNAScan
eSafe 7.0.17.0 2010.06.08 Win32.NewPoly
Ikarus T3.1.1.84.0 2010.06.09 Virus.Win32.Cryptor
McAfee 5.400.0.1158 2010.06.09 New Poly Win32
McAfee-GW-Edition 2010.1 2010.06.09 Heuristic.LooksLike.Trojan.Dropper.E
Panda 10.0.2.7 2010.06.08 Trj/Thed.A
Sophos 4.53.0 2010.06.09 Sus/UnkPack-C
Sunbelt 6424 2010.06.09 Trojan.Win32.Generic!BT
Informazioni addizionali
File size: 1046016 bytes
MD5...: b06b7c77a8bdf5c8f0dbdf0826361a55
SHA1..: f21e7e16508f0b4a51b98d6e54806b943af6e5b4
SHA256: d1a1bcbf6b6970c1608560a3914cdbff29105951b9b97c06f5 1509d8d3b67d31
ssdeep: 24576:QhFSNgco5toa0+1CbiBmTlRDz7MAV+T9krxuy/h6lKgDP9:QhztoajsDXL
+T0eKgDV
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x23a000
timedatestamp.....: 0x4bfa8ab5 (Mon May 24 14:18:29 2010)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
deauuilp 0x1000 0x93000 0x40600 7.98 1b18051af8e1d9e4fdef88b3d611b88c
.rsrc 0x94000 0x8568 0x3600 7.09 1db4807dcf825019706628daba1004cb
wqpudleg 0x9d000 0x1000 0x200 0.70 6133cadc4b8c97571c9c5554d25791f4
rajctufy 0x9e000 0x19c000 0xb9800 7.85 fe92a516c5fd2766ae62298268cf3bf6
bnwdwdmw 0x23a000 0x1000 0x1000 1.93 e90b742490559d66b3e18bb35ae12282
( 1 imports )
> kernel32.dll: LoadLibraryA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_res...021223-0550-99
sigcheck:
publisher....: Info soft
copyright....: Copyright (C) 2010
product......: ntimong
description..: Screen Protector LCD Pro Guard
original name: atm.exe
internal name: ntimong
file version.: 3, 3, 0, 0
comments.....: Screen Protector LCD Pro Guard
signers......: -
signing date.: -
verified.....: Unsigned
packers (F-Prot): Themida
cosa devo fare?
Rispondi quotando
