bla.exe

[bluepix]

Scaricalo da qui
http://www.firewallleaktester.com/wwdc.htm
e poi clikka su tutti i pulsanti che non hanno la spunta verde.
Fai un reboot dopo questa operazione

[robyesp17]

perfetto così, wwdc a me ha trovato le prime tre opzioni aperte

certo sono proprio tanti i controlli da fare.... beh diciamo che ne abbiamo scoperta un'altra

[Dtax]

Quote:

Originariamente inviato da bluepix

Scaricalo da qui
http://www.firewallleaktester.com/wwdc.htm
e poi clikka su tutti i pulsanti che non hanno la spunta verde.
Fai un reboot dopo questa operazione

Sono tutti verdi!!!

[eraser]

scusate qualcuno mi potrebbe mandare una copia di questo bla.exe? tnx

[YMen]

Quote:

Originariamente inviato da eraser

scusate qualcuno mi potrebbe mandare una copia di questo bla.exe? tnx

E a che ti servirebbe

[eraser]

da analizzare

l'indirizzo è fileanalysis@email.it grazie

[antomaiz]

Quote:

Originariamente inviato da bluepix

Scaricalo da qui
http://www.firewallleaktester.com/wwdc.htm
e poi clikka su tutti i pulsanti che non hanno la spunta verde.
Fai un reboot dopo questa operazione

Scusate, ma posso scaricarlo anch'io che ho Windows 98?

La mia novità è che, dopo aver aggiornato AVG Antivirus, all'avviamento AVG mi ha avvisato che è presente C:/BLA.EXE Trojan horse Downloader.Small.42.M. Ho continuato l'avvio ugualmente e AVG mi ha rilevato per 2 volte BLA.EXE, nonostante dopo la prima rilevazione, lo avessi spostato nella Virus Vault.
Cosa mi consigliate di fare? Ciao.

[*Marilù*]

Ragazzi, dovete aiutare anche me!!
Piccola e povera ragazza indifesa!!
Sarà già un paio di settimane che mi esce questo cavolo di virus!!
Maggiormente quando mi collego a Virgilio (che prima era la mia Pagina Iniziale), al sito de La Repubblica e a quello di Alice!!
Il mio NOD32, rileva la connessione al sito www.norad.fr e mi chiede di disconnettersi, ma dopo un po' o quando chiudo tutte le finestre, mi compare l'avviso di questo Virus!!
Ogni volta, faccio la scansione, NOD32 mi dice che può eliminarlo, lo elimina..
..però, appena vado su uno di questi siti.. patapumfete.. lo ribecco!!

Non mi parlate di firewall.. credo di non averne!!
Purtroppo non posso formattare il pc in questo periodo..
Cosa devo fare?

Provvederò a cancellare i file winamp e winampa.. e anche a creare quello vuoto di sola lettura..
Mi consigliate altro ancora?


Grazie a tutti!!

[eraser]

qualcuno mi manda sto bla.exe?

[MrOZ]

Quote:

Originariamente inviato da eraser

qualcuno mi manda sto bla.exe?

NO ...cercatelo da solo

Io ce l'ho già

[*Marilù*]

Quote:

Originariamente inviato da eraser

qualcuno mi manda sto bla.exe?

Quando ho letto il thread, nOD già me li aveva cancellati.. altrimenti te li avrei inviati con piacere!!
C'avevo una coltivazione!!

Piuttosto, qualcuno mi risponde?

[antomaiz]

Quote:

Originariamente inviato da robyesp17

alla fine io ho trovato un metodo semplice ma efficace.

1) Cancello il file c:\bla.exe che puntualmente mi compare nell'HD
2) Creo in c:\ un file vuoto chiamato bla.exe in sola lettura

il trojan non riesce a sovrascriverlo...

Scusate l'ignoranza, ma come si fa a creare un file di sola lettura?
Grazie e ciao.

[eraser]

Quote:

Originariamente inviato da MrOZ

NO ...cercatelo da solo

Io ce l'ho già

si ma se non lo usi per qualche scopo utile è del tutto inutile che ce l'hai

[MrOZ]

Quote:

Originariamente inviato da eraser

si ma se non lo usi per qualche scopo utile è del tutto inutile che ce l'hai

e come fai a saperlo tu che io non lo uso x qualche scopo utile???

[eraser]

meglio così

[MrOZ]

Quote:

Originariamente inviato da eraser

meglio così

la maggior parte di quei bla.exe sono dei trojan downloader (che ad es kav classifica come Agent e che hanno forme diverse), droppano dialer o backdoor ed alcuni di essi sfruttano degli exploit di IE. So che alcuni (non so xò se tutti) puntano al famoso sito norad.fr da cui scaricano altri malware.

[bluepix]

Quote:

Originariamente inviato da antomaiz

Scusate l'ignoranza, ma come si fa a creare un file di sola lettura?
Grazie e ciao.

Si crea un file di testo vuoto e lo si chiama bla.exe.
Poi tasto destro sul file/proprietà Tab:Protezione e togli la spunta su tutte le caselle Consenti e metti la spunta sulle caselle Nega

[nelchael]

Qualcuno sa dirmi se è tutto ok? Grazie


Logfile of HijackThis v1.99.1
Scan saved at 13.41.35, on 07/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\angelo\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1120055998258
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C968EEA-3321-49FB-B2ED-9BFC8F2EBA64}: NameServer = 85.37.17.7 151.99.125.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Provvedere al Servizio Sicurezza (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

[andorra24]

Mi sembra tutto a posto.

[bluepix]

Quote:

Originariamente inviato da antomaiz

Scusate l'ignoranza, ma come si fa a creare un file di sola lettura?
Grazie e ciao.

Lancia Blocco note , metti un punto e salva col nome bla.exe, dichiaralo in sola lettura e muovilo nella directory dove viene messo il virus.
Per dichiararlo in sola lettura:
punta sull'icona, tasto destro, proprietà, tick sul campo apposito (attributi-sola lettura)