gdavid
22-05-2007, 22:48
Ciao a tutti, oggi sono passato da un mio amico che pochi giorni fa
pare sia stato infettato.
Lui usa AVG (afferma di averlo sempre tenuto
aggiornato) e l'antivirus è riuscito ad avvisarlo di un Trojan Generic4, ma
non è riuscito a rimuoverlo, e sono iniziati i casini...
Oggi il computer era in questo stato (mi ha detto che i peggioramenti gli
sono sembrati graduali):
- tutti i programmi *.exe non possono essere lanciati, tranne la strana
eccezione di IExplore.exe (quindi su Internet riesce ad andare), e forse
qualcos'altro ma non ho controllato tutto.
Il risultato è che non può essere lanciata
nessuna applicazione, sia che si tratti di Anrivirus, giochi, guida in linea,
regedit...
Cliccando su di un *.exe, si apre un messaggio di Windows che
chiede con quale applicazione deve essere aperto il file. Come se si
trattasse di un documento che Windows vuole aprire ma non sa attraverso
quale applicazione aprirlo. Non riconosce più che si tratta di un
eseguibile insomma.
La cosa strana è che cambiando l'estensione in ".bat" sono riuscito a lanciare
qualcosa, come ad esempio regedit. L'antivirus non sono riuscito a
lanciarlo, anche perchè AVG non lo conosco e ci sono vari .exe
- la cartella di Windows è stata trasformata in nascosta, così come alcune
altre cose, fra le quali pure regedit.
Per quanto sia stato attento, mi è sembrato che:
- in Hijackthis non compare nulla di sospetto
- nell'utility per gli ADS (di Hijackthis) non è stato trovato alcun ADS
- nella lista dei servizi Windows non ci sono servizi sospetti, anomali
o intestati a utenti strani
- non ci sono utenti nascosti strani in Documents and Settings
- con ProcessExplorer non ho visto alcun processo sospetto
- dal registro di Windows non c'è nulla nelle varie sezioni "Run" che indichi
il caricamento di qualche cosa all'avvio di Windows
Ma che virus è? come è possibile che non lasci tracce di dove si annida??
Ho avuto un paio di rootkit, ma roba così ben nascosta non l'avevo
mai vista.
pare sia stato infettato.
Lui usa AVG (afferma di averlo sempre tenuto
aggiornato) e l'antivirus è riuscito ad avvisarlo di un Trojan Generic4, ma
non è riuscito a rimuoverlo, e sono iniziati i casini...
Oggi il computer era in questo stato (mi ha detto che i peggioramenti gli
sono sembrati graduali):
- tutti i programmi *.exe non possono essere lanciati, tranne la strana
eccezione di IExplore.exe (quindi su Internet riesce ad andare), e forse
qualcos'altro ma non ho controllato tutto.
Il risultato è che non può essere lanciata
nessuna applicazione, sia che si tratti di Anrivirus, giochi, guida in linea,
regedit...
Cliccando su di un *.exe, si apre un messaggio di Windows che
chiede con quale applicazione deve essere aperto il file. Come se si
trattasse di un documento che Windows vuole aprire ma non sa attraverso
quale applicazione aprirlo. Non riconosce più che si tratta di un
eseguibile insomma.
La cosa strana è che cambiando l'estensione in ".bat" sono riuscito a lanciare
qualcosa, come ad esempio regedit. L'antivirus non sono riuscito a
lanciarlo, anche perchè AVG non lo conosco e ci sono vari .exe
- la cartella di Windows è stata trasformata in nascosta, così come alcune
altre cose, fra le quali pure regedit.
Per quanto sia stato attento, mi è sembrato che:
- in Hijackthis non compare nulla di sospetto
- nell'utility per gli ADS (di Hijackthis) non è stato trovato alcun ADS
- nella lista dei servizi Windows non ci sono servizi sospetti, anomali
o intestati a utenti strani
- non ci sono utenti nascosti strani in Documents and Settings
- con ProcessExplorer non ho visto alcun processo sospetto
- dal registro di Windows non c'è nulla nelle varie sezioni "Run" che indichi
il caricamento di qualche cosa all'avvio di Windows
Ma che virus è? come è possibile che non lasci tracce di dove si annida??
Ho avuto un paio di rootkit, ma roba così ben nascosta non l'avevo
mai vista.