| Attenzione! siamo stati invasi dagli alieni (UFO.exe) | |
|
+9TheJungle Moder Hiems Sonnenblume KillerCD v@lentina Carmine mjalban Alucard 13 partecipanti |
|
Autore | Messaggio |
---|
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Gen 08, 2008 6:07 pm | |
| Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan. La procedura per eliminare tale virus è la seguente: 1) Disattivare l'autorun di penne USB 2) Riavviare il sistema con una linux live 3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è) 4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe, 5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli Alla prossima | |
|
| |
mjalban Primi Passi
Numero di messaggi : 80 Età : 38 Localizzazione : Kalabrian Bronx Data d'iscrizione : 17.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Gen 08, 2008 11:24 pm | |
| Grazie mille per le preziose informazioni. Anche io ho avuto un incontro ravvicinato del terzo tipo(o del quarto...boh) con questo coso, ma penso di averlo fatto fuori. Cmq un occhiata ai file e alle chiavi di registro citate gliela do lo stesso. Ciao ciao... | |
|
| |
Carmine Moderatore
Numero di messaggi : 768 Localizzazione : Cosenza Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Gen 08, 2008 11:50 pm | |
| - mjalban ha scritto:
- Anche io ho avuto un incontro ravvicinato del terzo tipo
Diciamo che sei tu che hai infettato tutti con questo UFO.exe Io all'epoca usavo solo linux e l'ho eliminato da lì però grazie per i preziosi consigli.. Maledetti virus | |
|
| |
v@lentina Grafica Ufficiale
Numero di messaggi : 185 Localizzazione : Cosenza Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mer Gen 09, 2008 7:37 pm | |
| si...grazie!
anch'io l'ho incontrato!
l'antivirus che ho sul pc dopo averlo rilevato lo ha messo in quarantena e da li sono riuscita ad eliminarlo.
Ho controllato nella cartella system32 ed è tutto ok...
Non dovrei avere problemi vero?? | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mer Gen 09, 2008 7:49 pm | |
| Ciao, l'unica cosa che devi controllare sono i supporti rimuovibili (penne, hard-disk esterni, ecc.ecc.), attenta se il virus è presente sulla penna reinfetti il computer, per evitarlo prima di inserire la penna tieni premuto la maiuscola e rilasciala solo dopo alcuni secondi dall'inserimento della penna! Ah e controlla anche se i file nascosti sono visibili! ciao vale... | |
|
| |
v@lentina Grafica Ufficiale
Numero di messaggi : 185 Localizzazione : Cosenza Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mer Gen 09, 2008 10:05 pm | |
| grazie...seguirò i tuoi consigli | |
|
| |
KillerCD Moderatore
Numero di messaggi : 380 Età : 38 Localizzazione : Proprio Cosenza Cosenza Data d'iscrizione : 16.12.07
| |
| |
Sonnenblume Primi Passi
Numero di messaggi : 153 Età : 38 Localizzazione : in una delle tante trembe vicino CS Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Gio Gen 10, 2008 4:47 pm | |
| Sempre il solito Prof comunque grazie | |
|
| |
Hiems Utente Junior
Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mer Gen 23, 2008 8:07 pm | |
| ah quindi circola ovunque sto ufo.exe... La cosa "bella" è che io l'ho preso dalla mia compagna di stanza che con noi non c'entra niente.. Comunque non mi ha fatto danni nel computer, anzi, su windows, perché solo là rompe le scatoline.. Avast ogni tanto fa il suo lavoro e ora non dà più fastidio. | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Gio Gen 24, 2008 11:25 pm | |
| - Hiems ha scritto:
- ah quindi circola ovunque sto ufo.exe...
La cosa "bella" è che io l'ho preso dalla mia compagna di stanza che con noi non c'entra niente.. Comunque non mi ha fatto danni nel computer, anzi, su windows, perché solo là rompe le scatoline.. Avast ogni tanto fa il suo lavoro e ora non dà più fastidio. Bè in effetti dall'esterno sembra che il virus non faccia niente, però dall'interno facendo un pò di analisi forense si può scoprire che: 1) è scritto in VB 2) è compresso con UPX (tipico dei virus) 3) il processo una volta avviato si inietta in un processo di sistema; così facendo il virus risulta completamente stealth a firewall e nelle liste dei processi 4) una tantum il processo cerca di connetersi al sito www.google.com (telefono casaaaaa) per verificare lo stato della connessione, nel caso in cui la connessione ad internet è stabilita si connette ad un sito straniero dove va a memorizzare l'ip della vittima ed inoltre dove scarica una pagina html che contiene un codice che decriptato rivela l'url da cui il malware si và ad aggiornare 5) si collega ad un altro sito dove invia informazioni e.g.(siti web visitati) 6) setta la data di creazione del file al 26/06/2003 così da rendersi ancora più nascosto da trovare Il programma può assumere più nomi: UFO.exe cn911.exe song.exe | |
|
| |
Hiems Utente Junior
Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Gio Gen 24, 2008 11:57 pm | |
| Ommioddio.. allora mi sa che farò un giretto nel mio pc... | |
|
| |
Hiems Utente Junior
Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Ven Gen 25, 2008 12:08 am | |
| olè.. non mi riconosce più la penna.. penso che questa notte ucciderò la mia compagna di stanza nel sonno.... | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Ven Gen 25, 2008 12:12 am | |
| - Hiems ha scritto:
- olè..
non mi riconosce più la penna.. penso che questa notte ucciderò la mia compagna di stanza nel sonno.... No...non lo fareeeeeeee , in che senso non te la riconosce??? | |
|
| |
Hiems Utente Junior
Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Ven Gen 25, 2008 12:17 am | |
| - Alucard ha scritto:
No...non lo fareeeeeeee , in che senso non te la riconosce??? Hai presente quando su win esce la finestrella "Apri con.." per scegliere il programma con cui aprire quellochedeviaprire? Ecco, ha fatto esattamente questo.. L'ho tolta e rimessa, ho eliminato il file .exe da \system32 e a raffica avast mi ha fatto notare la presenza di un miliardo di worms nella penna -_- ora ne ho cancellati penso 5 o qualcosa del genere e gli sto facendo una scansione.. il problema è che file nascosti non ce ne sono. Volevo rilassarmi stasera -_- | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Ven Gen 25, 2008 12:24 am | |
| - Hiems ha scritto:
- Alucard ha scritto:
No...non lo fareeeeeeee , in che senso non te la riconosce??? Hai presente quando su win esce la finestrella "Apri con.." per scegliere il programma con cui aprire quellochedeviaprire? Ecco, ha fatto esattamente questo.. L'ho tolta e rimessa, ho eliminato il file .exe da \system32 e a raffica avast mi ha fatto notare la presenza di un miliardo di worms nella penna -_- ora ne ho cancellati penso 5 o qualcosa del genere e gli sto facendo una scansione.. il problema è che file nascosti non ce ne sono. Volevo rilassarmi stasera -_- Una volta eliminato l'eseguibile riavvia il pc (in realtà il processo infetto se non riavvii e ancora presente sul pc, precisamente è un svchost.exe) e prova a rivedere se il file secpol o gli altri nommi detti prima sono presenti... | |
|
| |
KillerCD Moderatore
Numero di messaggi : 380 Età : 38 Localizzazione : Proprio Cosenza Cosenza Data d'iscrizione : 16.12.07
| |
| |
Moder Primi Passi
Numero di messaggi : 113 Età : 41 Localizzazione : MT5 :-) Data d'iscrizione : 24.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Dom Feb 10, 2008 3:52 pm | |
| - Alucard ha scritto:
- Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.
La procedura per eliminare tale virus è la seguente: 1) Disattivare l'autorun di penne USB 2) Riavviare il sistema con una linux live 3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è) 4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe, 5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli
Alla prossima A me da il seguente problema. Quando vado ad aprire un supporto come una penna USB, ma proprio oggi mi sa che mi ha infettato anche la partizione logica dove tengo i dati, non mi fa entrare. Non so se è lo stesso virus. Su windows quando fai "doppio click" su qualcosa, viene eseguita l'operazione che nel menù contestuale risulta essere evidenziato in grassetto. A me l'istruzione evidenziata in grassetto è "Open(0)", praticamente non mi fa entrare con il doppio click. Per entrare devo fare click con il destro e selezionare "Apri" Sai se è lo stesso virus di cui parli? Thanks | |
|
| |
TheJungle Primi Passi
Numero di messaggi : 80 Età : 38 Data d'iscrizione : 09.02.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Dom Feb 10, 2008 4:17 pm | |
| x moder: - Codice:
-
Per levarlo: - attivate la visualizzazione file nascosti e file protetti di sistema. - dal task manager fermate i processi ctfmon.exe che vedete (se sono 2, in genere uno è quello vero di windows, il secondo è il virus che sta girando in memoria pronto a infettare tutto, per esser certi fermateli tutti tanto non succede nulla) - entrate nell'archivio infetto con clic destro e poi su apri - eliminate autorun.inf e la cartella del cestino (nel caso del cestino di c: dovreste cercare di eliminare solo il ctfmon.exe che sta li dentro, sennò vi sparisce tutto il cestino)
notare che: - autorun.inf è quello che fa comparire la voce open(o) nel menu - nel cestino è contenuto il virus sotto forma di ctfmon.exe
mentre c'è anche un altro tipo di virus che gironzola per il lab 16/c LOL si chiama KNIGHT.EXE nn so se gli hanno cambiato nome con ufo.exe vi posto cmq la procedura: - Codice:
-
PASSO 1 Eliminazione dalla chiavetta/cellulare/iPod: Nel sito di Stefano Frambi quello indicato per le chiavette non mi è bastato ecco quel che ho fatto: 1-supponendo che la vostra chiavetta sia riconosciuta come disco E:\, una voltra inserita da DOS digitare con le esatte maiuscole e spazi (ve li ho indicati con _): “dir_E:\/A_:_h”. In questo verranno visualizzati i files della chiavetta e, se infetta, anche la presenza di due files: “autorun” e “knight”. 2-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*autorun*”. Quindi si da conferma “S”. 3-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*knight*”. Quindi si da conferma “S”. 4-a questo punto la chiavetta è pulita, ma non reinseritela nel PC che è ancora infetto!!
PASSO 2 Eliminazione dal PC: 1 - con CTRL+ALT+CANC controllate i processi e se esiste un processo che si chiama Knight terminatelo; 2 - andate in Pannello di Controllo ->Installazione Applicazioni cercate Knight e rimuovetelo, se c’è; 3 - andate in Start -> Cerca -> File o cartelle ed inserite “Knight”. Rimuovetene i files di risultato; 4 - dal DOS digitate “regedit” quindi INVIO, poi si fa Modifica -> Trova e si scrive “knight”. Eliminate tutte le chiavi di registro con scritto “knight” o “disk knight” (sono 10-15!!) non quelle con scritto, per esempio, “knightj” o cose simili altrimenti si potrebbero bloccare altri programmi di sistema.
Dovete fare tutti questi passaggi perchè altrimenti il programma non si disintalla completamente!! La parte in DOS me l’hanno suggerita, con me ha funzionato, non so se esistano modi più veloci. Per qualsiasi cosa lasciate un commento!
x il virus knight è 100% funzionante (l'ho testata) x la prima nn saprei | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Lun Feb 11, 2008 9:27 pm | |
| - Moder ha scritto:
- Alucard ha scritto:
- Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.
La procedura per eliminare tale virus è la seguente: 1) Disattivare l'autorun di penne USB 2) Riavviare il sistema con una linux live 3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è) 4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe, 5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli
Alla prossima A me da il seguente problema. Quando vado ad aprire un supporto come una penna USB, ma proprio oggi mi sa che mi ha infettato anche la partizione logica dove tengo i dati, non mi fa entrare. Non so se è lo stesso virus.
Su windows quando fai "doppio click" su qualcosa, viene eseguita l'operazione che nel menù contestuale risulta essere evidenziato in grassetto. A me l'istruzione evidenziata in grassetto è "Open(0)", praticamente non mi fa entrare con il doppio click. Per entrare devo fare click con il destro e selezionare "Apri"
Sai se è lo stesso virus di cui parli?
Thanks Ciao Moder, no, come detto a lezione non si tratta dello stesso virus, sarà qualcos'altro...o almeno a me non ha dato problemi di questo tipo cerca di non farsi scovare il trojanone... | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Lun Feb 11, 2008 9:34 pm | |
| - TheJungle ha scritto:
- x moder:
- Codice:
-
Per levarlo: - attivate la visualizzazione file nascosti e file protetti di sistema. - dal task manager fermate i processi ctfmon.exe che vedete (se sono 2, in genere uno è quello vero di windows, il secondo è il virus che sta girando in memoria pronto a infettare tutto, per esser certi fermateli tutti tanto non succede nulla) - entrate nell'archivio infetto con clic destro e poi su apri - eliminate autorun.inf e la cartella del cestino (nel caso del cestino di c: dovreste cercare di eliminare solo il ctfmon.exe che sta li dentro, sennò vi sparisce tutto il cestino)
notare che: - autorun.inf è quello che fa comparire la voce open(o) nel menu - nel cestino è contenuto il virus sotto forma di ctfmon.exe
mentre c'è anche un altro tipo di virus che gironzola per il lab 16/c LOL si chiama KNIGHT.EXE nn so se gli hanno cambiato nome con ufo.exe vi posto cmq la procedura:
- Codice:
-
PASSO 1 Eliminazione dalla chiavetta/cellulare/iPod: Nel sito di Stefano Frambi quello indicato per le chiavette non mi è bastato ecco quel che ho fatto: 1-supponendo che la vostra chiavetta sia riconosciuta come disco E:\, una voltra inserita da DOS digitare con le esatte maiuscole e spazi (ve li ho indicati con _): “dir_E:\/A_:_h”. In questo verranno visualizzati i files della chiavetta e, se infetta, anche la presenza di due files: “autorun” e “knight”. 2-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*autorun*”. Quindi si da conferma “S”. 3-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*knight*”. Quindi si da conferma “S”. 4-a questo punto la chiavetta è pulita, ma non reinseritela nel PC che è ancora infetto!!
PASSO 2 Eliminazione dal PC: 1 - con CTRL+ALT+CANC controllate i processi e se esiste un processo che si chiama Knight terminatelo; 2 - andate in Pannello di Controllo ->Installazione Applicazioni cercate Knight e rimuovetelo, se c’è; 3 - andate in Start -> Cerca -> File o cartelle ed inserite “Knight”. Rimuovetene i files di risultato; 4 - dal DOS digitate “regedit” quindi INVIO, poi si fa Modifica -> Trova e si scrive “knight”. Eliminate tutte le chiavi di registro con scritto “knight” o “disk knight” (sono 10-15!!) non quelle con scritto, per esempio, “knightj” o cose simili altrimenti si potrebbero bloccare altri programmi di sistema.
Dovete fare tutti questi passaggi perchè altrimenti il programma non si disintalla completamente!! La parte in DOS me l’hanno suggerita, con me ha funzionato, non so se esistano modi più veloci. Per qualsiasi cosa lasciate un commento!
x il virus knight è 100% funzionante (l'ho testata) x la prima nn saprei per quanto riguarda la prima parte posso affermare che non si tratta dello stesso virus in quanto il nome assunto dal trojan in esecuzione è svchost.exe e non ctfmon.exe, per la seconda parte dico meno male che non frequentiamo molto quel lab... | |
|
| |
annarè Utente Junior
Numero di messaggi : 424 Età : 38 Localizzazione : Ovunque.... Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Feb 12, 2008 12:44 am | |
| Grazie per l'informazione... Ho controllato e per fortuna non ho trovato niente... Stavolta mi è andata bene... | |
|
| |
Chip Primi Passi
Numero di messaggi : 153 Localizzazione : Lontano dal mondo Data d'iscrizione : 16.02.08
| |
| |
annarè Utente Junior
Numero di messaggi : 424 Età : 38 Localizzazione : Ovunque.... Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Lun Feb 25, 2008 10:45 pm | |
| Help me!!!!!! Oggi pomeriggio, ho notato di avere un file di nome secpol. E' tipo un case con un lucchetto, e il suo tipo è documento console comune Microsoft... Qui è sorto il mio dubbio... E' veramente un falso allarme o mi sono presa il virus?? Poi controllando anche l'altro svchost me lo ritrovo... Uffi uffi..... Mi aiutate a capire????GRAZIE!! | |
|
| |
Alucard Primi Passi
Numero di messaggi : 110 Localizzazione : Castlevania Data d'iscrizione : 07.01.08
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Feb 26, 2008 12:59 am | |
| | |
|
| |
annarè Utente Junior
Numero di messaggi : 424 Età : 38 Localizzazione : Ovunque.... Data d'iscrizione : 16.12.07
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) Mar Feb 26, 2008 12:29 pm | |
| Grazie mille..... | |
|
| |
Contenuto sponsorizzato
| Titolo: Re: Attenzione! siamo stati invasi dagli alieni (UFO.exe) | |
| |
|
| |
| Attenzione! siamo stati invasi dagli alieni (UFO.exe) | |
|