Internet Connection...L'ennesima!!

[KiRzyFa]

Ciao a tutti..!
Come da titolo anche io sono stata "infettata" da questa fastidiosissima connessione invisibile autogenerante..
Mi sono iscritta oggi nel forum, ed è la prima volta che cerco un aiuto diretto.. Mi è capitato altre volte in passato di avere qualche problema, e sono sempre riuscita ad avere ottime informazioni proprio grazie a voi, spulciando di qua e di là nei forum.
Non sono una cima in informatica, quindi perdonatemi nel caso in cui dovessi fare domande probabilmente sciocche o banali..
Il mio problema è praticamente come già ho letto per altri..solita apparizione della connessione Internet Connection. Come eliminarla definitivamente?? Ho già scaricato FindAWF e Avenger..ma ancora non ho fatto nulla..devo fare una scansione con il primo e riportare qui i risultati, giusto? Mi potete aiutare passo passo?? Grazie infinite...
KirZy

[Deifobe]

Scarica SystemScan

Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto (Find AWF lo vedo da questo rapporto)

Ciao

[KiRzyFa]

Grazie mille, Deifobe, per l'attenzione..!
Ho subito seguito le tue indicazioni. Il link di FreeFileHosting è:

http://www.freefilehosting.net/download/3h23k

Ieri intanto ho provato a fare varie scansioni con altri programmi..AVG, AWF, Dr.WebCureIt!, Spybot e A-squared Anti-Dialer.. Ma solo Spybot ha trovato qualcosa: un cookie da eliminare. Gli altri nulla..

Spero tanto di riuscire a disintegrare il fantasmino che s'è insediato nel mio piccì attraverso il tuo aiuto. Per ora attendo tue istruzioni..

Grazie ancora!
Kirzy

[Deifobe]

Scarica Avenger, e CCleaner
Scarica anche Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).

Crea una nuova cartella in c:\ chiamata pluto

Esegui avenger e nela finestra copia/incolla:

files to delete:
C:\WINDOWS\vsnpstd.exe3333841166
C:\WINDOWS\vsnpstd.exe662759667
C:\WINDOWS\vsnpstd .exe
C:\WINDOWS\system32\winsyser.exe1079195758
C:\WINDOWS\system32\winsyser.exe3352006445
C:\WINDOWS\system32\winsyser .exe
C:\WINDOWS\system32\winsyser.exe1491013655
C:\WINDOWS\system32\nerocheck.exe710177755
C:\WINDOWS\system32\ctfmon.exe1185222352
C:\WINDOWS\system32\nerocheck.exe4088885190
C:\WINDOWS\system32\nerocheck.exe1712922507
C:\WINDOWS\system32\winsyser.exe791226951
C:\WINDOWS\system32\nerocheck.exe2048088929
C:\WINDOWS\system32\nerocheck.exe1912478392
C:\WINDOWS\system32\winsyser.exe2376826394
C:\WINDOWS\system32\nerocheck.exe
C:\WINDOWS\system32\nerocheck .exe
C:\WINDOWS\system32\ctfmon .exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r4234499232.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r584657412.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r3396727532.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r337640037.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r1266861192.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\r3021345175.exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\ISHXYJ4T.htm
C:\DOCUME~1\Licia\IMPOST~1\Temp\2MTM3RHS.htm

files to move:
C:\WINDOWS\vsnpstd.exe | c:\pluto\vsnpstd.exe
C:\WINDOWS\system32\winsyser.exe | c:\pluto\winsyser.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

Analizza i files c:\pluto\vsnpstd.exe e C:\WINDOWS\system32\winsyser.exe su Virustotal e posta i risultati. Se risultano infetti eliminali.

Posta un nuovo systemscan

Ciao

[KiRzyFa]

Ok.
Avenger eseguito. Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\vsnpstd.exe3333841166" deleted successfully.
File "C:\WINDOWS\vsnpstd.exe662759667" deleted successfully.
File "C:\WINDOWS\vsnpstd .exe" deleted successfully.
File "C:\WINDOWS\system32\winsyser.exe1079195758" deleted successfully.
File "C:\WINDOWS\system32\winsyser.exe3352006445" deleted successfully.
File "C:\WINDOWS\system32\winsyser .exe" deleted successfully.
File "C:\WINDOWS\system32\winsyser.exe1491013655" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe710177755" deleted successfully.
File "C:\WINDOWS\system32\ctfmon.exe1185222352" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe4088885190" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe1712922507" deleted successfully.
File "C:\WINDOWS\system32\winsyser.exe791226951" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe2048088929" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe1912478392" deleted successfully.
File "C:\WINDOWS\system32\winsyser.exe2376826394" deleted successfully.
File "C:\WINDOWS\system32\nerocheck.exe" deleted successfully.
File "C:\WINDOWS\system32\nerocheck .exe" deleted successfully.
File "C:\WINDOWS\system32\ctfmon .exe" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r4234499232.e xe" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r584657412.ex e" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r3396727532.e xe" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r337640037.ex e" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r1266861192.e xe" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\r3021345175.e xe" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\ISHXYJ4T.htm" deleted successfully.
File "C:\DOCUME~1\Licia\IMPOST~1\Temp\2MTM3RHS.htm" deleted successfully.
File move operation "C:\WINDOWS\vsnpstd.exe|c:\pluto\vsnpstd.exe" completed successfully.
File move operation "C:\WINDOWS\system32\winsyser.exe|c:\pluto\winsyse r.exe" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Ho eseguito CCleaner e ripulito da filetemp e cookies.
Hijackthis non ha rilevato ADS.

Ora sono in attesa delle analisi di VirusTotal..(Mmm..va un po' lentino.. :master: ) appena termina le posto!!

[KiRzyFa]

VirusTotal ha analizzato i file che mi hai indicato.
Il primo risultato è:

File vsnpstd.exe ricevuto il 2008.05.09 18:29:56 (CET)
Stato corrente: finito
Risultato: 2/31 (6.46%)

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.5.9.1 2008.05.09 -
AntiVir 7.8.0.14 2008.05.09 -
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.08 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.08 -
ClamAV 0.92.1 2008.05.09 -
DrWeb 4.44.0.09170 2008.05.09 -
eSafe 7.0.15.0 2008.05.07 suspicious Trojan/Worm
eTrust-Vet 31.4.5771 2008.05.08 -
Ewido 4.0 2008.05.09 -
F-Prot 4.4.2.54 2008.05.08 -
F-Secure 6.70.13260.0 2008.05.09 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26.0 2008.05.09 -
Kaspersky 7.0.0.125 2008.05.09 -
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.09 -
NOD32v2 3088 2008.05.09 -
Norman 5.80.02 2008.05.08 -
Panda 9.0.0.4 2008.05.09 -
Prevx1 V2 2008.05.09 Cloaked Malware
Rising 20.43.42.00 2008.05.09 -
Sophos 4.29.0 2008.05.09 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.09 -
TheHacker 6.2.92.305 2008.05.08 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.08 -
Webwasher-Gateway 6.6.2 2008.05.09 -

Informazioni addizionali
File size: 14348 bytes
MD5...: 84a266c2c01e09912144c3744d0970f2
SHA1..: d15a08c71d0f7a050d2909d6bbc2b92a54590422
SHA256: 6136b70a2bcb91a879aee543d61ebb47b7438ba39fd027fccd 3d4d349deb20c0
SHA512: d5e3654c1e7abb05396c34f7c755ce7d1e5a3808886e061235 e6874509663983
1d7fb78b8cb2edf72cc06844fb78ffa7dbcaf413440b6a0d17 db596987385be8
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409f40
timedatestamp.....: 0x481f3998 (Mon May 05 16:45:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x4000 0x3200 7.84 08817b1fc062ee730249136d476d8433
UPX2 0xb000 0x1000 0x200 2.50 bac0808cde7de0b0ed672e7b9ab07036

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> SHLWAPI.dll: StrStrA
> USER32.dll: wvsprintfA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramte...F71E00EA59426F
packers (F-Prot): UPX
packers (Authentium): UPX
packers (Kaspersky): PE_Patch.UPX, UPX


Per quanto riguarda il secondo file, VirusTotal riporta:

Il file è già stato analizzato:
MD5: 84a266c2c01e09912144c3744d0970f2
First received: 2008.05.09 18:30:45 (CET)
Data 2008.05.09 18:30:48 (CET) [<1D]
Risultati 2/31
Permalink: analisis/b2d2c0488f110391bd84bb18d63d6a43

In ogni caso l'ho rianalizzato, e il risultato è questo:

File winsyser.exe ricevuto il 2008.05.09 18:47:11 (CET)
Stato corrente: finito
Risultato: 2/31 (6.46%)

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.5.9.1 2008.05.09 -
AntiVir 7.8.0.14 2008.05.09 -
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.08 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.08 -
ClamAV 0.92.1 2008.05.09 -
DrWeb 4.44.0.09170 2008.05.09 -
eSafe 7.0.15.0 2008.05.09 suspicious Trojan/Worm
eTrust-Vet 31.4.5772 2008.05.09 -
Ewido 4.0 2008.05.09 -
F-Prot 4.4.2.54 2008.05.08 -
F-Secure 6.70.13260.0 2008.05.09 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26.0 2008.05.09 -
Kaspersky 7.0.0.125 2008.05.09 -
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.09 -
NOD32v2 3088 2008.05.09 -
Norman 5.80.02 2008.05.08 -
Panda 9.0.0.4 2008.05.09 -
Prevx1 V2 2008.05.09 Cloaked Malware
Rising 20.43.42.00 2008.05.09 -
Sophos 4.29.0 2008.05.09 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.09 -
TheHacker 6.2.92.305 2008.05.08 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.08 -
Webwasher-Gateway 6.6.2 2008.05.09 -

Informazioni addizionali
File size: 14348 bytes
MD5...: 84a266c2c01e09912144c3744d0970f2
SHA1..: d15a08c71d0f7a050d2909d6bbc2b92a54590422
SHA256: 6136b70a2bcb91a879aee543d61ebb47b7438ba39fd027fccd 3d4d349deb20c0
SHA512: d5e3654c1e7abb05396c34f7c755ce7d1e5a3808886e061235 e6874509663983
1d7fb78b8cb2edf72cc06844fb78ffa7dbcaf413440b6a0d17 db596987385be8
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409f40
timedatestamp.....: 0x481f3998 (Mon May 05 16:45:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x4000 0x3200 7.84 08817b1fc062ee730249136d476d8433
UPX2 0xb000 0x1000 0x200 2.50 bac0808cde7de0b0ed672e7b9ab07036

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> SHLWAPI.dll: StrStrA
> USER32.dll: wvsprintfA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramte...F71E00EA59426F
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Authentium): UPX

Devo quindi eliminare entrambi i file, giusto?
Ora provvedo a fare lo scanning del sistema...

[Deifobe]

si eliminali.
http://www.file.net/process/vsnpstd.exe.html (forse della webcam)
http://www.bleepingcomputer.com/star...exe-22893.html
infatti hai "Windows Update"="C:\WINDOWS\system32\winsyser.exe"
e questo nemmeno è ok.

elimina l'intera cartella pluto e svuota il cestino.
attendo il nuovo systemscan

ciao

[KiRzyFa]

Ok. Ho eliminato pluto..
Il link del rapporto di SystemScan è

http://www.freefilehosting.net/download/3h28e

PS.Ma devo eliminare anche il file C:\WINDOWS\system32\winsyser.exe??
PPS. http://www.file.net/process/vsnpstd.exe.html
http://www.bleepingcomputer.com/sta....exe-22893.html
Cosa sono? ..devo far qualcosa??
(Perdonami, ma per queste cose mi sento veramente incapace.. :P
..grazie di seguirmi passo passo..!)

[Deifobe]

si, devi eliminare la cartella pluto (dentro già ci sono i 2 file infetti). svuota il cestino.
guardo systemscan e ti faccio sapere. ciao

[Deifobe]

svuota C:\WINDOWS\Prefetch

esegui avenger e copia/incolla nella finestra:

files to delete:
C:\WINDOWS\klog.dat
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\vsnpstd .exe
C:\WINDOWS\system32\Command.HTM
C:\WINDOWS\system32\nerocheck.exe
C:\WINDOWS\system32\nerocheck .exe
C:\WINDOWS\system32\winsyser.exe
C:\WINDOWS\system32\winsyser .exe
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTD.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTE.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT19.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT1B.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT1A.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT7.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT8.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT9.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTC.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTB.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTA.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMTF.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT10.xml
C:\DOCUME~1\Licia\IMPOST~1\Temp\IMT11.xml

folders to delete:
c:\pluto

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Windows Update

clicca su execute
posta il rapporto di avenger (c:\avenger) e una nuova scansione di systemscan (stavolta clicca su "unselect all" e seleziona solo la scansione "recent files")