NSIS più chiusura automatica di applicazioni

[paniga]

Ciao a tutti.
Ennesima vittima del famigerato malware NSIS(o di quello che è).
Il file nsxx.dll cambia valore nemrico tutte le volte che viene in qualche modo rimosso...
Chiedo scusa magari per la domanda banale,ma c'è un software che permetta di fare il una sorta di "percorso a ritroso", andando a vedere chi è il mandante della creazione del file?
In più il sottoscritto ha altri problemi:
tutte le volte che cerco di avviare hijackthis o bholist oppure di aprire url che puntano a thread riguardanti proprio il problema di sicurezza che voglio risolvere,mi si chiude tutto!
In particolare, tenendo sotto aperto task manager sui processi in corso,vedo questo:
tentando di aprire hijackthis, alla sua chiusura immediata prima si chiude explorer.exe,poi si apre verclid.exe che si richiude subito dopo,poi imapi.exe che si richiude dopo 5 secondi, dopodichè torna explorer.exe
Qualche idea in merito?(chiedo scusa per la poca pertinenza della seconda parte al tema discusso...)
Grazie mille

[paniga]

Ho voluto provare a restringere l'utilizzo degli .exe di explorer e opera cliccandoci sopra col destro e selezionando "Esegui come...utente corrente".
Oltre il mio profilo,ne erano presenti altri 2 non visibili altrimenti dal profile-manager classico di windows...
Ho il nemico già in casa quindi?
Meglio dare una bella formattata a tutto?
Grazie ancora.

PS x Habanero:
Mi scuso ancora per l'intromissione di là...ta m'è ciuchè eh?!

[Al è qui]

Nsis, con cui ho avuto a che fare tempo fa è una brutta bestia.
Non tanto per il codice in se, quanto perchè è, passami questa semplificazione, "dentro" un altro programma che tu avrai scaricato.

Hai una lista degli ultimi software provati? anche solo scaricati e poi tolti.

Inoltre, hai ancora avvisi pubblicitari? Se si quando navighi con che cosa navighi?
In questo caso non fare nulla e dimmelo, ti faccio scaricare un paio di tool per vedere cosa sta facendo.

Prima di continuare però sappi che ci sono metodi per fermarlo, non toglierlo sia chiaro, ma fermarlo, renderlo inattivo.

Dimmi te.

[paniga]

Ciao Al e grazie inanto per la risposta...
La lista a dire il vero non ce l'ho...devo vedere se riesco a recuperarne una attendibile usando regcleaner e vedendo quali siano le chiavi di software vecchio...
Adesso uso Opera 9.10 e direi che non ci sono problemi.
Se uso IE 7 ricompare puntuale nonostante vari tentati di disinstallazione e cancellazione chiavi dal registro varie.
In più mi sa di avre un bel rootkit in azione.
Beccato pure un bel linkoptimizer+backdoor.
Adesso vedo di procurarti la lista che dicevi.
Al massimo se mi indichi tu come hai fatto a tamponare il problema,metto innanzitutto in atto quella strategia.
Intanto ved che cippa è che mi chiude certi tipi di finestre.
Grazie ancora intanto e a presto!

[paniga]

Innanzitutto risolti i problemi di chiusura browser e programmi per la sicurezza:affetto da link optimizer/gromozon/trojan small.
Per cui per quanti stanno cercando risposte a problemi simili,cercate bene sul forum che ci sono risposte esaurienti in merito (non come ho io fatto all'inizio...).
Comunque se cercate di aprire hijackthis o link a siti contenenti strumenti di rimozione e non ce la fate, seguite questa procedura (presa non ricordo su quale post di questo forum,mi scuso se non cito il mitico autore):

La caratteristica di questo trojan\downloader (small) è quella di collocare nella %WinDir% un file dove il nome dello stesso è composto da due stringhe, la prima solitamente ha come nome un prodotto conosciuto tipo Norton, McAfee, Corel, Siemens.... la seconda parte del nome che compone il file può essere uno simile a sensor, speed, tool... e la modifica della chiave HKLM\..\Winlogon\Userinit Il file è solitamente visibile dalla Task (CTRL+ALT+CANC) fra i processi. Ora il problema è individuare che nome il trojan ha dato all'eseguibile. Per farlo basta, da Start>Esegui> scrivere regedit e dare l'OK portarsi, aiutandosi con i +, in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon aprire la cartellina gialla Winlogon e dal pannello di dx vedere quale valore è presente al fianco del dato Userinit. Il valore corretto è C:\%WinDir%\system32\userinit.exe, Nota %WinDir% e la directory di sistema a seconda del proprio sistema operativo: se usate XP sarà Windows se usate Win2000 sarà WINNT Nota 2 C:\%WinDir%\system32\userinit.exe, in questo valore dev'essere presente la , (virgola)
In conclusione se avete, sotto la colonna Dati ed in Userinit, un valore simile a questo
C:\%WinDir%\system32\userinit.exe, C:\%WinDir%\fujitsuhelper.exe,
allora dovrete procedere come segue:
1. aprite la Task e terminate il processo collegato al trojan
2. andate nel registro di sistema e modificate il valore presente in Userinit fino ad ottenere questa stringa
C:\%WinDir%\system32\userinit.exe,
(ricordo ancora che al posto di %WinDir% dovrete mettere la corretta directory a seconda del vostro sistema operativo)
3. usate The Avenger per eliminare il file
http://swandog46.geekstogo.com/avenger.zip
seguendo questa procedura

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

Citazione:
Files to delete:
C:\%WinDir%\nome dell'eseguibile da eliminare compreso d'estensione

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

ora potrete usare sia HijackThis che altri tool, che collegarvi ai siti che prima vi venivano chiusi.

Io però non riesco a cancellarlo...ho trovato quasta procedura:

per la rimozione dei file sopra indicati e di quelli(inizia fonte Tg soft) crittografati bisogna cambiare i privilegi(Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

Mi limito inoltre a segnalare i file e le cartelle che non erano visibili normalmente tramite scansioni con vari software per sicurezza (lo stato "stealth" è prerogativa dei rootkit,come ben descritto altrve su questo sito) che ho in prima battuta individuato anche con Rootkitrevealer:
c:\windows\vokkp1.dll
c:\windows\system32:byaa.dll
c:\windows\system32:c_8nt.nls
I file sono stati rimossi con la utility di Prevx (per quanto riguarda gromozon9 e di Symantec (link optimizer).
Il problema è che gromozon se ne sta bello bello nelle mie ADS (problema comune a tutti quanti lo hanno neutralizzato,a quanto ne so),vedremo che fare (al max un bel format...)

Attenzione.Questi sono file e cartelle trovati sul mio pc;il fatto che voi non li ritroviate non significa necessariamente che non siate affetti dal problema...
Intanto caro AL,questa è la lista (già ripulita) dei software che bene o male avevo oppure ho installati:
[syntax: Author, Software, Age ] [Unknown], 0D92R7F92J, Old [Unknown], CCleaner, Old [Unknown], foobar2000, Old [Unknown], IAN, Old [Unknown], Licenses, Old [Unknown], Reminder, Old [Unknown], eMule, Old [Unknown], FileZilla, Old [Unknown], Opera Software, Old [Unknown], VFPlugin, Old [Unknown], WinRAR SFX, Old Ahead, Aac, Old Ahead, Cover Designer, Old Ahead, Nero - Burning Rom, Old Ahead, Nero Recode, Old Ahead, Nero ShowTime, Old Ahead, Nero SoundTrax, Old Ahead, Nero StartSmart, Old Ahead, Nero Wave Editor, Old Ahead, NeroCBUI, Old Ahead, NeroMediaPlayer, Old Ahead, NeroVision, Old Ahead, NeroWebEngine, Old Ahead, Shared, Old AIS Medical, MedStation Express, Old Alcohol Soft, Alcohol 120%, Old Alps, Apoint, Old Altium (Dream VCL), Instant Report, Old ALWIL Software, Avast, Old Anal Software, Mixere, Old Ascher, ATnotes, Old Asio, Creative Asio Usb, Old Asio, Adobe Default Windows, Old ATI Technologies, ATI Control Panel, Old ATI Technologies, Cbt, Old ATI Technologies, Cds, Old ATI Technologies, Desktop, Old ATI Technologies, Installed Drivers, Old ATI Technologies Inc., Driver ATI, Old BasicScript Program Settings, Msvm, Old C07ft5Y, H&d, Old C07ft5Y, WinXP, Old Chilkat Software, Inc., ChilkatXml.ChilkatXml, Old CoffeeCup Software, CoffeeCup Free FTP, Old CoffeeCup Software, Free FTP, Old CoffeeCup Software, Internet, Old DivXNetworks, DivX Player, Old DivXNetworks, DivX Player 2.0, Old DivXNetworks, DivX, Old DivXNetworks, DivX4Windows, Old DVD Shrink, DVD Shrink 3.2, Old Easy Systems Japan Ltd., EzShieldProtector For Px, Old Easy Systems Japan Ltd., Setting, Old FlasK Development, FlasK MPEG, Old Freeware, VirtualDub, Old FullCircle, TalkBack, Old Gemplus, Cryptography, Old GlobeSpanVirata, Adsl, Old GlobeSpanVirata, GVInstDLL, Old Google, Google Toolbar, Old Google, GoogleToolbarNotifier, Old Google, NavClient, Old Ice, DoNotInstall, Old Illustrate, DBpowerAMP, Old InstallShield, Driver, Old InstallShield, InstallShield Free Edition, Old InstallShield, Cryptography, Old Intel, Psis, Old Intel, Indeo, Old InterTrust, DocBox, Old InterVideo, Registration, Old InterVideo, Common, Old InterVideo, MediaCenter, Old InterVideo, WinDVD4, Old IPC Software, Premiere Video Server, Old Items Technology Co., Ltd., TV Card Remote Control Applet, Old JavaSoft, Java Plug-in, Old JavaSoft, Java Update, Old JavaSoft, Java Web Start, Old JavaSoft, Java Runtime Environment, Old JavaSoft, Java2D, Old Lake, DolbyHph, Old Lake, LakeControl, Old LanExpress, LAN-Express AS IEEE 802.11 Wireless LAN, Old LeaderTech, Product Registration, Old Local AppWizard-Generated Applications, NKC_CD_Viewer, Old Macromedia, FlashPlayer, Old Macromedia, FlashPlayerUpdate, Old Macromedia, FreeHand, Old Macromedia, Shockwave 10, Old Macromedia, Shockwave 8, Old Macromedia, SwInstall, Old Magic Workstation, Chat, Old Magic Workstation, Misc, Old Magic Workstation, MWSPlay, Old Magic Workstation, Queries, Old MainConcept, DirectShow, Old Minnetonka Audio Software, SurCode Dolby Digital Premiere, Old Mirabilis, Icq, Old MoTeC, Directories, Old Mozilla, Mozilla Thunderbird, Old Mozilla, Mozilla Thunderbird 1.5.0.9, Old Mozilla Thunderbird, Desktop, Old Mozilla.org, Mozilla, Old MySQL AB, MySQL Servers And Clients 3.23.49, Old Netscape, Netscape Navigator, Old Northcode Inc, SWF Studio, Old Od2, Dmn, Old Od2, MusicManager, Old On Demand Distribution, Music Manager, Old PCTools, Live Update, Old PCTools, Spyware Doctor, Old Pegasys Inc., TMPGEnc, Old Primax, Uninstall, Old Rebellion, GunLok, Old Schlumberger, Smart Cards And Terminals, Old SecuROM, Keys, Old Skype, Phone, Old Skype, ProtectedStorage, Old Soeperman Enterprises Ltd., HijackThis, Old Soeperman Enterprises Ltd., BHOList, Old SourceCodeControlProvider, InstalledSCCProviders, Old SourceCodeControlProvider, Options, Old SourceTec, Sothink DHTMLMenu, Old SourceTec, Sothink Updater, Old Startup Mechanic, Noe, Old Startup Mechanic, Quarantine, Old Sun Microsystems, Setup, Old Syntrillium, Cep1, Old Syntrillium, CEPro, Old Sysinternals, RootkitRevealer, Old Trust, SoftwareInstaller, Old V3,Inc., Devices, Old V3,Inc., COMponents, Old VB And VBA Program Settings, CCleaner, Old VB And VBA Program Settings, DHE Editor, Old VB And VBA Program Settings, Dhwe, Old VB And VBA Program Settings, Euro Add-in, Old VB And VBA Program Settings, NapMX, Old VideoLAN, Vlc, Old Vision, Sensor Data, Old Vision, USB Camera (STV680), Old WinRAR, ArcHistory, Old WinRAR, DialogEditHistory, Old WinRAR, FileList, Old WinRAR, Formats, Old WinRAR, General, Old WinRAR, Interface, Old WinRAR, Profiles, Old WinRAR, Setup, Old WinRAR, Viewer, Old Zone Labs, MiniLog, Old Zone Labs, TrueVector, Old Zone Labs, ZoneAlarm, Old Zone Labs, Monitor, Old Zone Labs, ZoneAlarm, Old

Attendo notizie...

[paniga]

Dimenticavo la nota polemica! ...
Ci sono troppi di questi maledetti cosi in giro,che fanno perdere tempo e soldi alle persone!
Come mai Microsoft ad esempio ha interrotto il suo programma di ricerca The Strider Ghostbuster ? :master:

Sarà stato antieconomico?
O si può essere maliziosi?

[Al è qui]

Cioè, non era Nsis?

[paniga]

Ciao Al.
NSIS c'era pure lui.Insieme a Gromozon e LinkOptimizer.Ho fatto la Triade sacra dei rompiscatole!!
Comunque sembrerebbe risolto pure il problema NSIS.
Dopo averlo disinstallato più volte, ho proceduto pure a rimuovere manualmente le varie chiavi in cui NSIS e il file "uninstall" comparivano.
In particolare, la disinstallazione risolutiva è stata quella nella quale ho rimosso la chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache"(C:\Programmi\File comuni\NSIS\uninst.exe)"

Che è la cache dei file utilizzati di recente; al riavvio e da tre giorni a questa parte niente NSIS con IE7.

Va detto in aggiunta che ho disinstallato "Firefox" ed "Emule" proprio prima della session di tentativi di cui sopra.

Potresti comunque indicarmi, se ne hai il tempo e la possibilità, come hai fatto tu, nel caso il malefico essere ricomparisse?(sempre che sia effettivamente scomparso...)
Grazie mille