Buongiorno a tutti. Non ho ancora visto discussioni con topic riguardanti questa nuova variante (spero di non aver visto male). Qui nell'area nord-est (Veneto) abbiamo un sacco di casi di infezione da questo finto antivirus. Ahime' a oggi (4 agosto 2008) kaspersky non lo intercetta minimamente. Se vi puo' essere utile questo antimalware (Malwarebytes' Anti-Malware) riesce ad identificare questo spyware e a rimuoverlo. Sfortunatamente, in tutti in quei casi in cui la diffusione all'interno del pc dello spyware e' stata massiccia ci sono dei problemi ad eseguire determinate operazioni: task manager, regedit e altro.
Se vi puo' far comodo qui in laboratorio abbiamo creato un piccolo file .cmd da eseguire su un computer non piu' infetto che sistema tutti i casini che crea sto spyware. Basta che creiate un file con estensione .cmd con il seguente contenuto:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f
REG delete "HKCU\Control Panel\International" /v sTimeFormat /f
REG add "HKCU\Control Panel\International" /v sTimeFormat /t REG_SZ /d HH:mm /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoSetFolders /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoStartMenuMorePrograms /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoToolbarCustomize /f
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogoff /f
pause
-----------
Spero che quanto prima il database di kaspersky venga aggiornato con questo nuovo e parecchio fastidioso spyware.
Scezzy
Full Version: Antivirus2009
grazie, stavo proprio per aggiornare il mio 3d....
il cliente ha preso proprio questo antivirus 2009..
gli ha cancellato il contenuto della cartella dell'antivirus kav 2009.... poi gli ha cancellato tutte le configurazioni per il collegamento ad internet..
però stranamente non ha nessun altro problema..
tra le altre cose strane è che se lui da casa sua si collega con il cavo di rete non riesce a navigare.. mentre dalla mia rete in negozio sì... (ho trovato solo un file ieupdate che kaspersky mi ha individuato come troyan..)
che diavolo è successo? il virus è entrato e "battendosi" con il kaspesky si sono autodistrutti entrambi?
anche la cartella dell'antivirus 2009 risulta completamente vuota...
non ha nessun altro danno.. funziona tutto..
ps
anche spybot rileva le voci di registro della'antivirus 2009... e le pulisce senza problemi...
quindi anche senza il vostro file bat, basta usare spybot...
il cliente ha preso proprio questo antivirus 2009..
gli ha cancellato il contenuto della cartella dell'antivirus kav 2009.... poi gli ha cancellato tutte le configurazioni per il collegamento ad internet..
però stranamente non ha nessun altro problema..
tra le altre cose strane è che se lui da casa sua si collega con il cavo di rete non riesce a navigare.. mentre dalla mia rete in negozio sì... (ho trovato solo un file ieupdate che kaspersky mi ha individuato come troyan..)
che diavolo è successo? il virus è entrato e "battendosi" con il kaspesky si sono autodistrutti entrambi?
anche la cartella dell'antivirus 2009 risulta completamente vuota...
non ha nessun altro danno.. funziona tutto..
ps
anche spybot rileva le voci di registro della'antivirus 2009... e le pulisce senza problemi...
quindi anche senza il vostro file bat, basta usare spybot...
QUOTE(scezzy @ 4.08.2008 11:31) 
Se vi puo' far comodo qui in laboratorio abbiamo creato un piccolo file .cmd da eseguire su un computer non piu' infetto che sistema tutti i casini che crea sto spyware.
Ciao scusa!
Quì in laboratorio dove?
QUOTE(Analyzer @ 5.08.2008 14:30)
Ciao scusa!
Quì in laboratorio dove?
Quì in laboratorio dove?
credo che intenda nel suo laboratorio di assistenza....
Ciao a tutti, il malware Antivirus2009 è correttamente rilevato sia da KAV/KIS 7.0 sia da KAV/KIS 2009, come testimoniano le immagini in allegato.
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
come sempre perfetto!
QUOTE(skywalker @ 8.08.2008 20:43)
Ciao a tutti, il malware Antivirus2009 è correttamente rilevato sia da KAV/KIS 7.0 sia da KAV/KIS 2009, come testimoniano le immagini in allegato.
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
mmm... mi dispiace dirlo ma non funziona.....
non so se in tempo reale lo prende o meno.. ma in fase di controllo, no..
ho apena finito di fare un controllo su un pc con "win antivirus 2009".. ho preso il disco fisso, l'ho montato su un pc pulito e con kaspesky antivirus 8.0.0.257 (a,b,c) aggiornato a oggi... peccato che mi abbia trovato 57.000 file infetti con vari virus.. ma nessun file riguardante win antivirus 2009... poi ho installato spybot.. e bam.. preso.... come mai? non doveva essere che riusciva a riconoscerlo?
QUOTE(nasosan @ 16.08.2008 10:47)
mmm... mi dispiace dirlo ma non funziona.....
non so se in tempo reale lo prende o meno.. ma in fase di controllo, no..
ho apena finito di fare un controllo su un pc con "win antivirus 2009".. ho preso il disco fisso, l'ho montato su un pc pulito e con kaspesky antivirus 8.0.0.257 (a,b,c) aggiornato a oggi... peccato che mi abbia trovato 57.000 file infetti con vari virus.. ma nessun file riguardante win antivirus 2009... poi ho installato spybot.. e bam.. preso.... come mai? non doveva essere che riusciva a riconoscerlo?
non so se in tempo reale lo prende o meno.. ma in fase di controllo, no..
ho apena finito di fare un controllo su un pc con "win antivirus 2009".. ho preso il disco fisso, l'ho montato su un pc pulito e con kaspesky antivirus 8.0.0.257 (a,b,c) aggiornato a oggi... peccato che mi abbia trovato 57.000 file infetti con vari virus.. ma nessun file riguardante win antivirus 2009... poi ho installato spybot.. e bam.. preso.... come mai? non doveva essere che riusciva a riconoscerlo?
Ciao, come hai potuto vedere dalle schermate allegate al mio post precedente, il malware in questione è rilevato da KAV/KIS a tutti i livelli, ma non posso escludere che ne esista una variante non ancora rilevata, in tal caso sarebbe molto utile poter avere un campione del malware. Se riesci a isolarlo, puoi inviarmelo via PM.
purtroppo no.. non pensavo che servisse.. quindi ha già cancellato tutto spybot... la cosa strana è che spybot mi ha trovato esattamente gli stessi file e valori dell'altra volta... quindi non dovrebbe essere diverso... cmq i valori di registro e i file li trovate dentro spybot... lui li conosce...
grazie.
grazie.
QUOTE(skywalker @ 8.08.2008 20:43)
Ciao a tutti, il malware Antivirus2009 è correttamente rilevato sia da KAV/KIS 7.0 sia da KAV/KIS 2009, come testimoniano le immagini in allegato.
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
Per chi fosse rimasto infetto, è sufficiente effettuare una scansione completa del sistema con Malwarebytes' Anti-Malware.
Per i casi più difficili, è possibile procedere alla rimozione mirata dei file e delle chiavi di registro creati dal malware. Chi avesse problemi anche dopo la disinfezione con Malwarebytes' Anti-Malware, apra un topic e sarà aiutato a neutralizzare l'infezione.
Per quanto riguarda la routine proposta da scezzy, esistono strumenti molto più completi per ripristinare le funzioni bloccate dal malware, ad esempio Remove Restrictions Tool (RRT).
________________________________________
Chiedo scusa per aver utilizzato un metodo poco professionale in questo forum. Purtroppo non avevamo preso in considerazione la possibilita' di trovare tools. Noi avevamo bisogno di ripristinare tutto subito e cosi' ci siamo " inventati " questa semplice scappatoia. Per quanto riguarda invece la capacita' di Kaspersky 7.0/8.0 di rilevare questo virus devo purtroppo smentire (in parte) cio' che dice Skywalker.
Non me ne volere male Skywalker ma per quello che abbiamo potuto vedere in laboratorio (dove lavoro) delle 8 varianti trovate fin'ora di quel virus (antivirus 2009) solo 2 vengono correttamente rilevate da kaspersky, le altre 6 (mi dispiace di non aver salvato i file virati) non venivano rilevate. Tutto questo puo' dirsi valido fino al giorno 14 agosto.
Sono tornato oggi dalle ferie e quindi non ho la situazione aggiornatissima. In ogni caso, dato che il virus (almeno nella nostra zona) e' ancora in propagazione vedro' di dare maggiori dettagli.
QUOTE(scezzy @ 3.09.2008 12:20)
Non me ne volere male Skywalker ma per quello che abbiamo potuto vedere in laboratorio (dove lavoro) delle 8 varianti trovate fin'ora di quel virus (antivirus 2009) solo 2 vengono correttamente rilevate da kaspersky, le altre 6 (mi dispiace di non aver salvato i file virati) non venivano rilevate
Ciao, scezzy, KAV/KIS è in grado di riconoscere e bloccare il malware della famiglia "Antivirus2008/2009". Il problema purtroppo, come per ogni altro tipo di malware, sta nel fatto che esistono moltissime varianti, ognuna delle quali ha caratteristiche proprie e richiede pertanto una diversa firma per potere essere individuata correttamente. Se vi capitassero altri casi di mancato rilevamento, potreste inviare i campioni zippati al laboratorio, o direttamente a me con un messaggio privato.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.