Attenzione! siamo stati invasi dagli alieni (UFO.exe)

Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall Wink

) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.

La procedura per eliminare tale virus è la seguente:
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema con una linux live
3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è)
4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe,
5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli

Alla prossima

Grazie mille per le preziose informazioni. Anche io ho avuto un incontro ravvicinato del terzo tipo(o del quarto...boh) con questo coso, ma penso di averlo fatto fuori. Cmq un occhiata ai file e alle chiavi di registro citate gliela do lo stesso. Ciao ciao... Very Happy

mjalban ha scritto:: Anche io ho avuto un incontro ravvicinato del terzo tipo

Diciamo che sei tu che hai infettato tutti con questo UFO.exe Very Happy

Io all'epoca usavo solo linux e l'ho eliminato da lì però grazie per i preziosi consigli.. Maledetti virus lol!

si...grazie!

anch'io l'ho incontrato!

l'antivirus che ho sul pc dopo averlo rilevato lo ha messo in quarantena e da li sono riuscita ad eliminarlo.

Ho controllato nella cartella system32 ed è tutto ok...

Non dovrei avere problemi vero??

Ciao, l'unica cosa che devi controllare sono i supporti rimuovibili (penne, hard-disk esterni, ecc.ecc.), attenta se il virus è presente sulla penna reinfetti il computer, per evitarlo prima di inserire la penna tieni premuto la maiuscola e rilasciala solo dopo alcuni secondi dall'inserimento della penna! Ah e controlla anche se i file nascosti sono visibili! ciao vale...

grazie...seguirò i tuoi consigli Very Happy

Alucard ha scritto:: Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.

La procedura per eliminare tale virus è la seguente:
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema con una linux live
3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è)
4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe,
5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli

Alla prossima

Giusè ti ho riconosciuto lol!

Sempre il solito Prof Razz

comunque grazie

Utente Junior Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08

ah quindi circola ovunque sto ufo.exe...
La cosa "bella" è che io l'ho preso dalla mia compagna di stanza che con noi non c'entra niente..
Comunque non mi ha fatto danni nel computer, anzi, su windows, perché solo là rompe le scatoline..
Avast ogni tanto fa il suo lavoro e ora non dà più fastidio.

Hiems ha scritto:: ah quindi circola ovunque sto ufo.exe...
La cosa "bella" è che io l'ho preso dalla mia compagna di stanza che con noi non c'entra niente..
Comunque non mi ha fatto danni nel computer, anzi, su windows, perché solo là rompe le scatoline..
Avast ogni tanto fa il suo lavoro e ora non dà più fastidio.

Bè in effetti dall'esterno sembra che il virus non faccia niente, però dall'interno Twisted Evil

facendo un pò di analisi forense si può scoprire che:
1) è scritto in VB
2) è compresso con UPX (tipico dei virus)
3) il processo una volta avviato si inietta in un processo di sistema; così facendo il virus risulta completamente stealth a firewall e nelle liste dei processi
4) una tantum il processo cerca di connetersi al sito www.google.com (telefono casaaaaa) per verificare lo stato della connessione, nel caso in cui la connessione ad internet è stabilita si connette ad un sito straniero dove va a memorizzare l'ip della vittima ed inoltre dove scarica una pagina html che contiene un codice che decriptato rivela l'url da cui il malware si và ad aggiornare
5) si collega ad un altro sito dove invia informazioni e.g.(siti web visitati)
6) setta la data di creazione del file al 26/06/2003 così da rendersi ancora più nascosto da trovare

Il programma può assumere più nomi: UFO.exe cn911.exe song.exe

Utente Junior Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08

Ommioddio.. allora mi sa che farò un giretto nel mio pc...

Utente Junior Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08

olè..
non mi riconosce più la penna..
penso che questa notte ucciderò la mia compagna di stanza nel sonno....

Hiems ha scritto:: olè..
non mi riconosce più la penna..
penso che questa notte ucciderò la mia compagna di stanza nel sonno....

No...non lo fareeeeeeee Very Happy

, in che senso non te la riconosce???

Utente Junior Numero di messaggi : 404 Età : 37 Data d'iscrizione : 23.01.08

Alucard ha scritto:: No...non lo fareeeeeeee , in che senso non te la riconosce???

Hai presente quando su win esce la finestrella "Apri con.." per scegliere il programma con cui aprire quellochedeviaprire?
Ecco, ha fatto esattamente questo..
L'ho tolta e rimessa, ho eliminato il file .exe da \system32 e a raffica avast mi ha fatto notare la presenza di un miliardo di worms nella penna -_-
ora ne ho cancellati penso 5 o qualcosa del genere e gli sto facendo una scansione.. il problema è che file nascosti non ce ne sono.
Volevo rilassarmi stasera -_-

Hiems ha scritto:

Alucard ha scritto:: No...non lo fareeeeeeee , in che senso non te la riconosce???

Hai presente quando su win esce la finestrella "Apri con.." per scegliere il programma con cui aprire quellochedeviaprire?
Ecco, ha fatto esattamente questo..
L'ho tolta e rimessa, ho eliminato il file .exe da \system32 e a raffica avast mi ha fatto notare la presenza di un miliardo di worms nella penna -_-
ora ne ho cancellati penso 5 o qualcosa del genere e gli sto facendo una scansione.. il problema è che file nascosti non ce ne sono.
Volevo rilassarmi stasera -_-

Una volta eliminato l'eseguibile riavvia il pc (in realtà il processo infetto se non riavvii e ancora presente sul pc, precisamente è un svchost.exe) e prova a rivedere se il file secpol o gli altri nommi detti prima sono presenti...

Alucard ha scritto:

Hiems ha scritto:

Alucard ha scritto:: No...non lo fareeeeeeee , in che senso non te la riconosce???

Hai presente quando su win esce la finestrella "Apri con.." per scegliere il programma con cui aprire quellochedeviaprire?
Ecco, ha fatto esattamente questo..
L'ho tolta e rimessa, ho eliminato il file .exe da \system32 e a raffica avast mi ha fatto notare la presenza di un miliardo di worms nella penna -_-
ora ne ho cancellati penso 5 o qualcosa del genere e gli sto facendo una scansione.. il problema è che file nascosti non ce ne sono.
Volevo rilassarmi stasera -_-

Una volta eliminato l'eseguibile riavvia il pc (in realtà il processo infetto se non riavvii e ancora presente sul pc, precisamente è un svchost.exe) e prova a rivedere se il file secpol o gli altri nommi detti prima sono presenti...

Giusè me lo passi sto virus? mi hai fatto incuriosire Very Happy

Alucard ha scritto:: Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.

La procedura per eliminare tale virus è la seguente:
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema con una linux live
3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è)
4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe,
5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli

Alla prossima

A me da il seguente problema. Quando vado ad aprire un supporto come una penna USB, ma proprio oggi mi sa che mi ha infettato anche la partizione logica dove tengo i dati, non mi fa entrare. Non so se è lo stesso virus.

Su windows quando fai "doppio click" su qualcosa, viene eseguita l'operazione che nel menù contestuale risulta essere evidenziato in grassetto. A me l'istruzione evidenziata in grassetto è "Open(0)", praticamente non mi fa entrare con il doppio click. Per entrare devo fare click con il destro e selezionare "Apri"

Sai se è lo stesso virus di cui parli?

Thanks

Primi Passi Numero di messaggi : 80 Età : 38 Data d'iscrizione : 09.02.08

x moder:

Codice:: Per levarlo:
- attivate la visualizzazione file nascosti e file protetti di sistema.
- dal task manager fermate i processi ctfmon.exe che vedete (se sono
2, in genere uno è quello vero di windows, il secondo è il virus che
sta girando in memoria pronto a infettare tutto, per esser certi fermateli
tutti tanto non succede nulla)
- entrate nell'archivio infetto con clic destro e poi su apri
- eliminate autorun.inf e la cartella del cestino (nel caso del cestino di
c: dovreste cercare di eliminare solo il ctfmon.exe che sta li dentro,
sennò vi sparisce tutto il cestino)

notare che:
- autorun.inf è quello che fa comparire la voce open(o) nel menu
- nel cestino è contenuto il virus sotto forma di ctfmon.exe

mentre c'è anche un altro tipo di virus che gironzola per il lab 16/c LOL si chiama KNIGHT.EXE nn so se gli hanno cambiato nome con ufo.exe vi posto cmq la procedura:

Codice:: PASSO 1 Eliminazione dalla chiavetta/cellulare/iPod:
Nel sito di Stefano Frambi quello indicato per le chiavette non mi è bastato ecco quel che ho fatto:
1-supponendo che la vostra chiavetta sia riconosciuta come disco E:\, una voltra inserita da DOS digitare con le esatte maiuscole e spazi (ve li ho indicati con _): “dir_E:\/A_:_h”. In questo verranno visualizzati i files della chiavetta e, se infetta, anche la presenza di due files: “autorun” e “knight”.
2-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*autorun*”. Quindi si da conferma “S”.
3-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*knight*”. Quindi si da conferma “S”.
4-a questo punto la chiavetta è pulita, ma non reinseritela nel PC che è ancora infetto!!

PASSO 2 Eliminazione dal PC:
1 - con CTRL+ALT+CANC controllate i processi e se esiste un processo che si chiama Knight terminatelo;
2 - andate in Pannello di Controllo ->Installazione Applicazioni cercate Knight e rimuovetelo, se c’è;
3 - andate in Start -> Cerca -> File o cartelle ed inserite “Knight”. Rimuovetene i files di risultato;
4 - dal DOS digitate “regedit” quindi INVIO, poi si fa Modifica -> Trova e si scrive “knight”. Eliminate tutte le chiavi di registro con scritto “knight” o “disk knight” (sono 10-15!!) non quelle con scritto, per esempio, “knightj” o cose simili altrimenti si potrebbero bloccare altri programmi di sistema.

Dovete fare tutti questi passaggi perchè altrimenti il programma non si disintalla completamente!! La parte in DOS me l’hanno suggerita, con me ha funzionato, non so se esistano modi più veloci. Per qualsiasi cosa lasciate un commento!

x il virus knight è 100% funzionante (l'ho testata)
x la prima nn saprei Razz

Moder ha scritto:

Alucard ha scritto:: Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.

La procedura per eliminare tale virus è la seguente:
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema con una linux live
3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è)
4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe,
5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli

Alla prossima

A me da il seguente problema. Quando vado ad aprire un supporto come una penna USB, ma proprio oggi mi sa che mi ha infettato anche la partizione logica dove tengo i dati, non mi fa entrare. Non so se è lo stesso virus.

Su windows quando fai "doppio click" su qualcosa, viene eseguita l'operazione che nel menù contestuale risulta essere evidenziato in grassetto. A me l'istruzione evidenziata in grassetto è "Open(0)", praticamente non mi fa entrare con il doppio click. Per entrare devo fare click con il destro e selezionare "Apri"

Sai se è lo stesso virus di cui parli?

Thanks

Ciao Moder, no, come detto a lezione non si tratta dello stesso virus, sarà qualcos'altro...o almeno a me non ha dato problemi di questo tipo cerca di non farsi scovare il trojanone...

TheJungle ha scritto:

x moder:

Codice:: Per levarlo:
- attivate la visualizzazione file nascosti e file protetti di sistema.
- dal task manager fermate i processi ctfmon.exe che vedete (se sono
2, in genere uno è quello vero di windows, il secondo è il virus che
sta girando in memoria pronto a infettare tutto, per esser certi fermateli
tutti tanto non succede nulla)
- entrate nell'archivio infetto con clic destro e poi su apri
- eliminate autorun.inf e la cartella del cestino (nel caso del cestino di
c: dovreste cercare di eliminare solo il ctfmon.exe che sta li dentro,
sennò vi sparisce tutto il cestino)

notare che:
- autorun.inf è quello che fa comparire la voce open(o) nel menu
- nel cestino è contenuto il virus sotto forma di ctfmon.exe

mentre c'è anche un altro tipo di virus che gironzola per il lab 16/c LOL si chiama KNIGHT.EXE nn so se gli hanno cambiato nome con ufo.exe vi posto cmq la procedura:

Codice:: PASSO 1 Eliminazione dalla chiavetta/cellulare/iPod:
Nel sito di Stefano Frambi quello indicato per le chiavette non mi è bastato ecco quel che ho fatto:
1-supponendo che la vostra chiavetta sia riconosciuta come disco E:\, una voltra inserita da DOS digitare con le esatte maiuscole e spazi (ve li ho indicati con _): “dir_E:\/A_:_h”. In questo verranno visualizzati i files della chiavetta e, se infetta, anche la presenza di due files: “autorun” e “knight”.
2-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*autorun*”. Quindi si da conferma “S”.
3-eliminare autorun. Si digita sempre in DOS “del_/f_/P_/A:H_E:\*knight*”. Quindi si da conferma “S”.
4-a questo punto la chiavetta è pulita, ma non reinseritela nel PC che è ancora infetto!!

PASSO 2 Eliminazione dal PC:
1 - con CTRL+ALT+CANC controllate i processi e se esiste un processo che si chiama Knight terminatelo;
2 - andate in Pannello di Controllo ->Installazione Applicazioni cercate Knight e rimuovetelo, se c’è;
3 - andate in Start -> Cerca -> File o cartelle ed inserite “Knight”. Rimuovetene i files di risultato;
4 - dal DOS digitate “regedit” quindi INVIO, poi si fa Modifica -> Trova e si scrive “knight”. Eliminate tutte le chiavi di registro con scritto “knight” o “disk knight” (sono 10-15!!) non quelle con scritto, per esempio, “knightj” o cose simili altrimenti si potrebbero bloccare altri programmi di sistema.

Dovete fare tutti questi passaggi perchè altrimenti il programma non si disintalla completamente!! La parte in DOS me l’hanno suggerita, con me ha funzionato, non so se esistano modi più veloci. Per qualsiasi cosa lasciate un commento!

x il virus knight è 100% funzionante (l'ho testata)
x la prima nn saprei Razz

per quanto riguarda la prima parte posso affermare che non si tratta dello stesso virus in quanto il nome assunto dal trojan in esecuzione è svchost.exe e non ctfmon.exe, per la seconda parte dico meno male che non frequentiamo molto quel lab... lol!

Grazie per l'informazione... Ho controllato e per fortuna non ho trovato niente... Stavolta mi è andata bene... lol!

Alucard ha scritto:: Ciao, ho scoperto che c'è un virus che si sta propagando attraverso le penne USB dell'aula (a me l'ha fermato il firewall ) dal nome UFO.exe, tale malware è classificato come Trojan-Downloader ed è molto insidioso in quanto crea un file all'interno del sistema che è difficile da trovare quando è in esecuzione; per verificare la presenza di tale virus controllare se nella cartella C:\Windows\System32 vi è un file di nome secpol.exe (attenzione secpol.msc è un file di sistema windows), se esiste siete infetti dal figlio di trojan.

La procedura per eliminare tale virus è la seguente:
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema con una linux live
3) Eliminare il file C:\Windows\System32\secpol.exe(il file cerca di spacciarsi come file di winzoz ma non lo è)
4) Modificare la seguente chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit con C:\WINDOWS\system32\userinit.exe,
5) Controllare se sui supporti rimuovibili precedentemente collegati al pc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti), in caso eliminarli

Alla prossima

Umh...è da qualche mese che dico ad una mia amica di avere questo virus sul pc e che infetta le pennette degli amici, ma lei si ostina a dire che sono le pennette degli amici infettate. Vi prego aiutatemi a farle capire che sono infettate realmente le pennette degli amici, ma per colpa del suo pc, vi pregooooo!!! Sad

Help me!!!!!!

Oggi pomeriggio, ho notato di avere un file di nome secpol. E' tipo un case con un lucchetto, e il suo tipo è documento console comune Microsoft... Qui è sorto il mio dubbio... E' veramente un falso allarme o mi sono presa il virus??

Poi controllando anche l'altro svchost me lo ritrovo... Uffi uffi..... scratch

Mi aiutate a capire????GRAZIE!!

annarè ha scritto:: Help me!!!!!!

Oggi pomeriggio, ho notato di avere un file di nome secpol. E' tipo un case con un lucchetto, e il suo tipo è documento console comune Microsoft... Qui è sorto il mio dubbio... E' veramente un falso allarme o mi sono presa il virus??

Poi controllando anche l'altro svchost me lo ritrovo... Uffi uffi.....

Mi aiutate a capire????GRAZIE!!

ciao, dalla descrizione pare non sia il virus, cmq guarda l'estensione del tuo file, se è .msc è buono altrimenti no...gli svchost di solito sono multipli quindi non è una cosa anomala, se vuoi sapere se uno di questi è il virus cmq puoi usare spyxx che mostra i nomi delle finestre dei processi attivi ( se hai visual studio lo trovi qui "C:\Programmi\Microsoft Visual Studio\Common\Tools\SPYXX.EXE"), in particolare il virus ha un baco in quanto il processo svchost infetto (se presente) è l'unico che mostra il nome di finestra "Form1" tipico dei programmi VB...

Grazie mille..... delfino

» Siamo sotto controllo
» ATTENZIONE A QUELLO CHE SCRIVETE