Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Tutorial / How-To / F.A.Q.

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 06-03-2008, 18:34   #21
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Quote:
Originariamente inviato da murack83pa Guarda i messaggi
ciao sirio

fai una scansione con findawf, solo scansione, quindi solo funzione 1 e posta qui il log e vediamo
Ok, me lo procuro e te lo posto.
Thanks.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 19:44   #22
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Dunque, ho eseguito il tool ma ho avuto questo problemino



tempo fa aveva installato il Norton Antivirus... cmq cliccando su ignora mi ha generato il log:


Quote:
Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\MESSEN~1\BAK

13/10/2004 17.24 1.694.208 msmsgs.exe
1 File 1.694.208 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\NVIDIA~1\NVMIXER\BAK

20/12/2004 17.12 131.072 NVMixerTray.exe
1 File 131.072 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\DOCUME~1\NADIA\DATIAP~1\RATORE~1\BAK

0 File 0 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007 19.51 39.792 Reader_sl.exe
1 File 39.792 byte
2 Directory 64.722.644.992 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1667584 19 Aug 2004 "C:\WINDOWS\$NtUninstallKB887472$\msmsgs.exe"
1694208 13 Oct 2004 "C:\Programmi\Messenger\bak\msmsgs.exe"
1694208 13 Oct 2004 "C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
131072 20 Dec 2004 "C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"


end of report
Che ne pensi?
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 19:51   #23
murack83pa
Bannato
 
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
penso che c'è ancora traccia di zonebac, quindi devi eseguire la funzione 2 e inserire nel file di testo che ti si apre come indicato in guida questo script:

Quote:
"C:\Programmi\Messenger\bak\msmsgs.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"
"C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
"C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
esegui come indicato in questo post 4:
http://www.hwupgrade.it/forum/showpo...58&postcount=4

quindi posta qui il secondo log che verrà creato

dopo penseremo alla completa rimozione di norton

Ultima modifica di murack83pa : 06-03-2008 alle 19:53.
murack83pa è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 20:12   #24
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ok, farò come dici e poi ti posterò l'altro log.
Thanks.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:44   #25
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
In attesa di poter seguire i tuoi consigli ho provato ad eseguire Findawf 1.4 sul mio PC, curioso di vedere il log che mi genera per fare dei confronti (ti volevo chiedere infatti: dal log che ti ho postato, da dove deduci che ci siano tracce di Zonebac?), purtroppo non sono nemmeno riuscito a fare lo scan perchè il NOD32 mi rileva Process.exe come virus Win32/PrcView.



PS Danno fastidio gli screen così grandi al post precedente? Se vuoi li riduco.
Ciao murak e grazie ancora.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:53   #26
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Vedendo il log si nota solo la presenza di cartelle bak, che sono create da questi tipi di malware. Però se si vedono le date degli eseguibili mi pare che si possa escludere che il trojan ci sia ancora, doveva esserci almeno un eseguibile con data 2008.

Ultima modifica di Nuz : 07-03-2008 alle 11:56.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:54   #27
murack83pa
Bannato
 
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
Quote:
Originariamente inviato da @Sirio@ Guarda i messaggi
..
ciao sirio

il zonebac e l'obfuscated hanno la capacità di sostituire gli eseguibili dei programmi che partono in avvio con file infetti, mettendo gli eseguibili legittimi in cartelle bak

il fatto che dal tuo log compaiono cartelle bak con dentro gli eseguibili, vuol dire che hai avuto uno di questi trojan, probabilmente l'obfuscated, xchè lo zonebac ha anche altri effetti, sopratutto la disattivazione dell'antivirus, modifica le impostazioni del browser....

dal tuo log si evince xò questo:
Quote:
"C:\WINDOWS\system32\ctfmon.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"
il primo è il file infetto, il secondo è quello legittimo....dal tuo log emerge quindi che hai ancora quest'ultima traccia di obfuscated... o x meglio dire tuo cugino

facendo le operazioni che ti ho detto prima, dovresti aver eliminato l'obfuscated

poichè questi trojan si trasmettono tramite navigazione web, forse è meglio controllare che tuo cugino utilizzi una versione aggiornata di internet explorer o firefox(in questo caso è necessario l'utilizzo di estensioni come noscript) e inoltre verifica che ha java aggiornato all'ultima versione

in ogni caso, x un controlo generale, potresti seguire la guida alla disinfezione

edit: ha ragione Nuz, nn avevo visto le date
murack83pa è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:09   #28
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:32   #29
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
Quote:
Originariamente inviato da @Sirio@ Guarda i messaggi
Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?
sì lo devi ripristinare l'exe altrimenti rimani con quello infetto...
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:51   #30
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.

Ultima modifica di Nuz : 07-03-2008 alle 13:01.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 13:14   #31
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ciao xcdegasp ..non sono sicuro che siano infetti.

@ Nuz
Si, volevo fare questa prova anch'io (visto che antivir a-squareed e SUPERantispyware non segnalano più niente), oggi pomeriggio passo a casa sua e faccio questa verifica.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 13:53   #32
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Quote:
Originariamente inviato da Nuz Guarda i messaggi
Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.
Allora, come supponevo virustotal.com me lo da pulito:



Quindi penso che non ci sia bisogno di sostituire ctfmon.exe? Farò un controllo anche sugli altri.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 13:55   #33
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Allora puoi eliminare le cartelle bak e il loro contenuto.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 14:04   #34
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Grazie Nuz te e tutti i ri..gazzi
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 15:30   #35
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 15:35   #36
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Quote:
Originariamente inviato da xcdegasp Guarda i messaggi
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 17:48   #37
Riverside
Bannato
 
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
Quote:
Originariamente inviato da xcdegasp Guarda i messaggi
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
Quote:
Originariamente inviato da Nuz Guarda i messaggi
Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.
Mi sembra che la Guida, in questo senso sia chiara (come fa notare Nuz).
Due cose:
1) questa è una Guida all'uso del programma, non una discussione ufficiale da utilizzare per risolvere il problema della eventuale infezione: per questo, c’è un thread apposito, sul forum;
2) per quale ragione la Guida in questione, non è, ancora, stata linkata nella apposita sottosezione: Guida all'uso dei programmi??
Riverside è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 18:46   #38
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Come siamo fiscali...la penso diversamente, mi sembra che con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf, inoltre sono emerse alcune incopatibilità con altri software di sicurezza. Perciò credo che sia più che attinente ciò che ho scritto e dove l'ho scritto.

Saluti.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 20:10   #39
Riverside
Bannato
 
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
Ciao Sirio; aprofitto del tuo reply per chiarire un paio di aspetti:
Quote:
sono emerse alcune incompatibilità con altri software di sicurezza
non è esatto dire che il tool è incompatibile con altri software; è noto che tool come questo e, come diversi altri, possono essere riconosciuti pericolosi dagli antivirus; la conseguenza è che, una volta riconosciuti tali, l'antivirus ne impedisce il download.
Tu ora dirai: perchè sulla Guida non è stato scritto?
La risposta è: quando ho scritto la Guida, ho dato per scontato che la cosa fosse risaputa; considerato che non è così, provvederemo ad integrare la Guida.
Quote:
con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf
D'accordo sul fatto della prova su strada; e sono contento che tu abbia risolto il problema che avevi esposto ma, lo avresti risolto comunque, indipendentemente da questa Guida.
Quote:
Come siamo fiscali...la penso diversamente
Personalmente (e sottolineo, personalmente), penso questo:
quanto viene pubblicata una Guida all'uso di un software, questa dovrebbe:
● essere spostata nella apposita Sezione;
● depurata di tutti gli interventi che si sono susseguiti.
● il relativo thread andrebbe, dal Moderatore di sezione, chiuso per evitare che gli utenti vi possano postare;
● nel caso in cui si dovessero apportare delle modifiche alla Guida, chi la ha realizzata/postata, potrebbe, in PM, chiedere al Moderatore di sezione di riaprire la discussione per il tempo necessario alla esecuzione delle modifiche;
● se non esistesse sul Forum, una discussione attinente alla tematica trattata dalla Guida, questa andrebbe aperta da chi ha realizzato la Guida ed il relativo link dovrebbe essere indicato nella Guida stessa, in maniera che la discussone sia raggiungibile anche dalla Guida (cosa che, in questa Guida, è stata fatta).

P.S.: Il post #1 della Guida è stata aggiornato

Ultima modifica di Riverside : 07-03-2008 alle 20:47.
Riverside è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 21:36   #40
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ciao Riverside, premetto che ho stima di te come di altri per il lavoro che svolgete continuamente.
Io non ho nulla da dire rispetto la guida anzi direi che è fatta e scritta molto bene, se ho fatto notare (come altri) a murack83pa che mancava una spiegazione sul tool era per migliorare la guida non per denigrarla (che è quello che avrei gradito anche io per la mia guida, ma nessuno ha fatto).
Per il fatto delle incopatibilità mi sono espresso male. Ho scaricato tranquillamente Findawf, il Nod mi ha rilevato il virus quando ho tentato di fare la scansione, mi ha messo in quarantena Process.exe creato da Findawf e quindi non sono riuscito ad eseguire lo scan.
Poi, per chi avesse avuto il Norton installato in precedenza la libreria in questione della Symantec (vedi screen sopra) non permette di proseguire il tool, cioè Findawf viene terminato.

Il tuo pensiero sulle guide chiuse potrebbe essere una buona idea, però da quello che ho constatato personalmente tenendola aperta si offre un maggior aiuto a tutti gli utenti e comunque penso che il discuterne approfondisca la conoscenza del programma.. anche perchè la maggior parte di questi sono in continua evoluzione.

Ultima cosa, io ho aspettato circa una settimana prima che xcdegasp mi spostasse la guida nell'apposita sezione, ma non credo che questo sia un problema.

Dimenticavo... a te non li ho ancora fatti, complimenti per la guida.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
RocketStar FireStar Drive: un propulsore...
Roscosmos: il lancio del razzo spaziale ...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Elgato Facecam MK2: come rendere ancora ...
2 iRobot Roomba al prezzo più sco...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 01:09.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v