ieri ho installato una rete wireless su cui mi appoggio con un portatile e mantengo connessione LAN con il fisso. In sntesi ho aggiunto un router a queo che avevo già.

Per la prima volta mi è successo che con il portatile tentandomi di collegare con un sito protetto mi ha riderizionato su un sito clone, io non ho abboccato però il sito protetto sdtamani mi ha bloccato per sicurezza l'accesso. Li ho contattati telefonicamente e mi hanno detto che l'accesso di ieri sera è stato oggetto di attaco virus e per precauzione mi hanno bloccato tutto. Lo risbloccheranno una volta che ho eliminato il virus, che mi hanno detto essere TORPIG/SINOWAL

Adesso sto facendo una scansione sul fisso (non è il PC con cui mi sono collegato ieri sera) per prudenza utilizzando l'AV che ho installato che è AVST. Finora non ha rilevato nulla.

Sto anche facendo girare quello del laptop (E-TRUST) ma non ha rilevato nulla.

Eppure qualcosa è successo. fino ad oggi non mi era mai capitato qualcosa di simile.

Domande:

sarà dovuto alla rete wireless che ho installato?

come faccio a trovare il virus che mi hanno detto di avere?

e proprio quello?


VI PREGO AIUTATEMI :help:

ciao leggi le regole di sezione e la guida alla disinfezione, link in firma :D

modalità di pubblicazione dei log:
-inferiori a 20kb e in formato txt: gestione allegati
-altro: www.fileup.itadib.com

leggi anche qua se può esserti utile: http://www.hwupgrade.it/forum/showthread.php?t=1667014&highlight=SINOWAL

IO HO DATO UNA LETTURA AI POST SUL TEMA MA NON HO TROVATO RISPOSTA E NON HO NULLA DA LEGGARE PERCHè I MIEI ANTIVIRUS NON HANNO TROVATO NULLA

scrivere maiuscolo significa urla, quindi ti pregherei di modificare il tuo post :cool:

inoltre, l'hai detto tu stesso, con i tuoi antivirus. (Spero che non ne hai piu di uno installato) Ma in quella guida sono specificati numerosi tool e programmi da utilizzare.

E dopo che li utilizzerai dovrei postare i log relativi, altrimenti per intuizioni non possiamo aiutarti, ci servono i log

Per maggiore chiarezza: questa è la guida che devi seguire http://www.hwupgrade.it/forum/showthread.php?t=1599737

il maiuscolo non era voluto. Pardon

come scrivevo nel primo post ho due Av su due PC diversi

ora ho fatto girare su questo PC fisso Hijackthis. come faccio a postare il filelog?

nn scrivere in maiuscolo, xchè equivale al gridare in un forum, grazie

segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta qui tutti i log richiesti secondo le modalità indicate piu in basso

il fatto che avast nn trovi nulla, vuol dire poco o nulla vista l'efficacia di questa sorta di antivirus

tieni presente poi che contro le minaccie che girano in rete, l'antivirus serve a ben poco...

quindi il nostro consiglio e seguire quella guida, rigorosamente in tutti i suoi punti....il che significa che nn devi incominciare dal log di hijackthis xchè è piu semplice e veloce, ma iniziare dal primo programma e fare la scansione in quella modalità indicata, cioè deep scan

la guida c consete di avere uno screen completo sul tuo pc....

a te la scelta

ciao :)

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

sto seguendo la procedura da te segnalata:

primo probl. non c'è la scheda di ripristino sulle proprietà esplora risorse

continuo con il secondo step e sto facendo girareAlternate Data Streams Revealer

cosa faccio? posto il risultato?

come no, deve esserci per forza la scheda di ripristino :confused:
controlla meglio

per quel programma non serve postare il log

sto seguendo la procedura da te segnalata:

primo probl. non c'è la scheda di ripristino sulle proprietà esplora risorse

continuo con il secondo step e sto facendo girareAlternate Data Streams Revealer

cosa faccio? posto il risultato?

che sistema operativo usi?

Win XP

scusa ma comincio a perdermi con tutti questi Sw e regole

il problema l'ho descritto con dovizia di particolari nel primo post e ora sto andando insieme


sul maiuscolo non era voluto, pardon... e che sto andando insieme:cry:

Hijackthis non rileva nulla del torpig

Win XP

scusa ma comincio a perdermi con tutti questi Sw e regole

il problema l'ho descritto con dovizia di particolari nel primo post e ora sto andando insieme


sul maiuscolo non era voluto, pardon... e che sto andando insieme:cry:

Hijackthis non rileva nulla del torpig

nessun problema, devi solo seguire quella guida indicata e postare tutti, e dico tutti, i log rchiesti... anche se a te sempre che nn c sia nulla di importante, x altri nn è cosi....


riguardo il ripristino è a dir poco sospetto che nn trovi come disattivarlo...hai account limitato o sei amministratore?

amministratore

ma come faccio a postare i log?

quello di HiJackthis sembra Ok. Secondo me il problema o è nel portatitile o nella rete wireless

il log di hijackthis non serve, serve quello di tutti gli altri programmi

e sopratutto serve che disattivi la console di ripristino

amministratore

ma come faccio a postare i log?

quello di HiJackthis sembra Ok. Secondo me il problema o è nel portatitile o nella rete wireless

guarda che x la disattivazione del ripristino, devi andare su proprietà di risorse del computer

clicca col pulsante destro sll'icona risorse del computer, cliccare su proprietà, scegliere il tab ripristino configurazione sistema e selezionare la casella disattiva ripristino configurazione sistema

continua con la guida e posta tutti i log

grazie

Il TORPIG/SINOWAL è MBR Rootkit

Esiste il Trojan.Mebroot Removal Tool della Symantec
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-020817-4716-99

o in alternativa

Dr.Web CureIt!
http://www.freedrweb.com/cureit/

Il TORPIG/SINOWAL è MBR Rootkit

Esiste il Trojan.Mebroot Removal Tool della Symantec
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-020817-4716-99

o in alternativa

Dr.Web CureIt!
http://www.freedrweb.com/cureit/

grazie della segnalazione :)

@ briscolone:

dopo aver disattivato il ripristino, utilizza uno dei due tool, poi continua con la guida

adesso ti scrivo dal laptop (che temo sia lui il colpevole) sto facendo girare a-square

ti ribadisco che nelle proprietà di questo PC non c'è la consolle ripristino

qui non sono amministratore

al fisso sono riuscito a disabilitare il ripristino

procedo con i toll di cui sopra

forse è meglio assicurarsi che i due pc nn comunichino fra di loro in nessun modo, disattivando scheda di rete

il laptop e collegato wireless al router mentre il fisoo via lan sempre al router. non so se comunicano?

il primo tool (symantech) sul fisso non rileva nulla e ha chiesto reboot

il laptop e collegato wireless al router mentre il fisoo via lan sempre al router. non so se comunicano?

lavoriamo con un pc alla volta....quindi stacca uno dei due, fisicamente dico, e c concentriamo con la pulizia ad uno ad uno

i due nn devono poter comunicare fino a quando entrambi siano puliti

quindi ad esempio possiamo concentrarci x il momento sul fisso, scollegando il notebook, e concentrarci su questo,

dopo aver pulito questo, stacchiamo il fisso dal ruoter e andiamo sul notebook

ok nel frattempo ti dico che anche il secondo tool ha dato esito negativo. Avevo in precedenza rimosso il ripristino (sono riuscito anche sul laptop)

cosa faccio ora?

ok nel frattempo ti dico che anche il secondo tool ha dato esito negativo. Avevo in precedenza rimosso il ripristino (sono riuscito anche sul laptop)

cosa faccio ora?

allora vediamo di riassumere la situazione:

1-su quale pc stiamo lavorando? notebook o fisso? concentriamoci su uno, lasciando stare l'altro....decidi tu quale, ma dobbiamo avere chiara l'idea su quale stiamo lavorando,ok?

2-una volta deciso quale pc, fai girare quei due tool indicati da GmG e dimmi se trovano qualkosa o meno....

3-dopo aver fatto girare quei tool, segui la guida alla disinfezione e posta tutti i log,

4-dopo esserci accertati che uno è pulito, possiamo concentrarci sul secondo

5-è importante che i due pc siano staccati x il momento

allora vediamo di riassumere la situazione:

1-su quale pc stiamo lavorando? notebook o fisso? concentriamoci su uno, lasciando stare l'altro....decidi tu quale, ma dobbiamo avere chiara l'idea su quale stiamo lavorando,ok?

2-una volta deciso quale pc, fai girare quei due tool indicati da GmG e dimmi se trovano qualkosa o meno....

3-dopo aver fatto girare quei tool, segui la guida alla disinfezione e posta tutti i log,

4-dopo esserci accertati che uno è pulito, possiamo concentrarci sul secondo

5-è importante che i due pc siano staccati x il momento


1. sto lavorando sul fisso (che non ha mai avuto problemi). A questo punto collego il laptop perchè credo sia quello infetto
2. girati entrambi sul fisso- esiti negativi (niente virus rilevati)
3. qui mi perdo, ma ci provo
4. ok
5. Il laptop è spento. Ora lo accendo lo attacco via lan rimuvendo il cavo dal fisso

ok, mi sembra di capire che è sul portatile che dobbiamo concentrarci

bene, visto che quei due tool hanno dato a quanto mi sembra di capire esito negativo, segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) sul portatile e posta tutti i log richiesti, nell'ordine della guida

impiegherà un po di tempo, sopratutto asquared, ma è necessario x avere uno screen completo sul tuo pc, nn avendo qui davanti ;)

buon lavoro, mi raccomando nn far comunicare il fisso con il notebook

a dopo

ciao

ok, mi sembra di capire che è sul portatile che dobbiamo concentrarci

bene, visto che quei due tool hanno dato a quanto mi sembra di capire esito negativo, segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) sul portatile e posta tutti i log richiesti, nell'ordine della guida

impiegherà un po di tempo, sopratutto asquared, ma è necessario x avere uno screen completo sul tuo pc, nn avendo qui davanti ;)

buon lavoro, mi raccomando nn far comunicare il fisso con il notebook

a dopo

ciao


ora sono con il portatile collegato via lan al router 2, che a sua volta si collega con il router datomi dall'ISP

con asquares avevo già fatto un giro deep e non mi dato virus, purtroppo il log non me lo ha fatto perchè si è impallato

lo rifaccio?

con asquared ripartita scansione deep

nel frattempo ne avvio un'altra?

nn ho cpt

sta girando asquared

devo intento scarcare qualcosa d'altro?

sta girando asquared

devo intento scarcare qualcosa d'altro?

no, attendi e mi raccomando salva il report e metti tutto ciò che trova in quarantena

d'accordo mentre cerca ti faccio una domanda

ma tu ritieni che i 2 PC possanocomunicare fra loro e quindi l'eventuale virus sul portatile si trasmetta sul fisso, per come li ho collegati io??

collegamnto:

Router primario (fornito da iSP) via lan su Router D-link acqusitato ieri che via lan va sul fisso e via etere sul laptop

d'accordo mentre cerca ti faccio una domanda

ma tu ritieni che i 2 PC possanocomunicare fra loro e quindi l'eventuale virus sul portatile si trasmetta sul fisso, per come li ho collegati io??

collegamnto:

Router primario (fornito da iSP) via lan su Router D-link acqusitato ieri che via lan va sul fisso e via etere sul laptop

credo di si...hai firewall installato in ciascun pc? se si, quale?

sul laptop non so: è aziendale con e-trust antivirus e penso firewall XP, però c'è anche rete novell al sistema ziandale, ma lavoro ora su una sezione mia dove sono anche amministratore

sul fisso ho avast e firewall XP

il primo giro con Asquared negativo

il report è però pieno di dati personali sui cookies come faccio postare?

con ADS non ha rilevato il famoso torpig e non produce report. Ho fatto clean (unica opzione)

lo scan con PREVX csi ha rilevato PSW.sinowal.C

forse ci siamo

salvo report

lo scan con PREVX csi ha rilevato PSW.sinowal.C

forse ci siamo

salvo report

ho provato a fare clean ma il programma mi chiede chiave licenza??????

posta i log di asquared e prevx csi.....

poi li potrai rimuovere

rimosso

rimosso

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli


modificare il post, eliminando i log incollati, grazie

sono chiari?

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli


modificare il post, eliminando i log incollati, grazie

ok ci provo e li rimuovo dal post

asquared

g

provase riesci ad eliminare manualmente questo file:

C:\WINDOWS\Temp\2D.tmp

se nn c riesci, nn ti preoccupare, continua con la guida e c pensiamo dopo.....eventualmente utilizziamo avenger

continua con la guida

fai la scansione online con bitdefender:
http://www.bitdefender.com/scan8/ie.html

e mi raccomando, salva il report in html

dopo la scansione con bitdefender, scansione gmer + hijackthis e posta i relativi log

file rimosso da temp di windows, ora svuoto cestino

stavo eseguendo online check con karpesky. Interrotto per iniziare Bid defender

posso rimuovere i log postati?

come faccio con quello in upload?

io fra un pò dovrei andare a prendere il figlio a scuola e ho visto che bid defender sta facendo una scansione con i contro....

dalle info che ti ho dato non ti senti di esprimere un giudizio?


ti allego anche il reporto di hijackthis

report bit defender

portato in TXT (no possibile HTML)

con questo completo la procedura

è pulito adesso il PC?

io devo scendere, c vediamo fra circa un ora, ok?

ciao

eh OK

io fra un po vado a prendere il bambino a scuola

tu quando rientri posta le tue analisi

poi troviamo il modo di confrontarci

grazie, amico

io di più nn riesco a fare

ok, pulito

fai una nuova scansione con prevx csi e controlliamo

x il resto hai problemi al pc?

ok, pulito

fai una nuova scansione con prevx csi e controlliamo

x il resto hai problemi al pc?
eccomi tornato. nuova scansione con prevx effettuata: risultato clean
prolemi non ho fiora avuti, salvo ieri sera appunto mi si impastava Explorer in navigazione

Domande:

1. quindi il virus è anzi era quello che ho eliminato prima cancellandolo dal temp di windows? e il problema risiedeva nel laptop solo?

2. non c'è più traccia, quindi ora vado tranquillo?

3. è una coincidenza il fatto che proprio ieri mi si è presentato, proprio quando ho installato la rete wireless. Quindi poteva essera già residente nel portatile? Infatti il laptop non lo usavo per connettermi al sito protetto, quindi poteva esserci anche prima

4. trattasi di un virus che si attiva solo quando ci si collega a questo tipo di siti protetti?

5. che garanzie ho che non passi nel fisso, che appunto lo uso per uesto tipo di operazioni (sito protetto)


mi sa che devo fare un salto a Palermo per stringerti la mano

x verificare che il fisso nn abbia infezioni, utilizza i programmi della guida anche li e vedi se rileva qualkosa

ricordati che prevx csi rileva solo, ma nn rimuove nulla, quindi se c'è qualkosa, posta il log

x me dovresti essere pulito, xò posta lo stesso il log di prevx csi x un analisi piu completa

per una + corretta valutazione dell'accaduto (soprattutto per la parte wireless) mi daresti le risposte alle mie domande?

grazie

per una + corretta valutazione dell'accaduto (soprattutto per la parte wireless) mi daresti le risposte alle mie domande?

grazie

mi rifai vedere il log di prevx csi? quello vecchio, dove era stato rilevato il malware

mi rifai vedere il log di prevx csi? quello vecchio, dove era stato rilevato il malware

yes sir eccolo

3. è una coincidenza il fatto che proprio ieri mi si è presentato, proprio quando ho installato la rete wireless. Quindi poteva essera già residente nel portatile? Infatti il laptop non lo usavo per connettermi al sito protetto, quindi poteva esserci anche prima

allora, potrebbe essere stato una coincidenza oppure essere già presente nel notebook....

il notebook ora è pulito, esegui gli stessi controlli sul fisso, incominciando proprio da prevx csi


4. trattasi di un virus che si attiva solo quando ci si collega a questo tipo di siti protetti?

nn credo

5. che garanzie ho che non passi nel fisso, che appunto lo uso per uesto tipo di operazioni (sito protetto)

nessuna garanzia che il fisso sia pulito, quindi fai le scansioni nel fisso

grazie. Sconnetto il laptop e faccio pulizia sul fisso


poi spero di tenerli collegati entrambi

ciao e visto che siete indietro qualche punto forza palermo

eseguito prevx csi sul fisso tutto OK. Questo tool è stato l'unico a trovare il malware sul laptop
ecco report

ha senso continuare col resto visto che il fisso non mi hai mai dato problemi?

in un altro post ho visto che hai sconsigliato avast, suggerendo avira. Io ho avst, stesso consiglio anche per me?

assolutamente si.....

ti consiglio avira, disinstalla avast, fai la pulizia con ccleaner, riavvia e installa avira (www.free-av.com)

posta il log di hijackthis x un controllo veloce del fisso, poi ti consiglio cmq di installarti asquared nel fisso...è un buon antispyware ;)

configura avira come indicato da questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

dopodicchè gli fai fare una scansione completa di controllo del sistema

x il resto, abbiamo concluso

assolutamente si.....

ti consiglio avira, disinstalla avast, fai la pulizia con ccleaner, riavvia e installa avira (www.free-av.com)

posta il log di hijackthis x un controllo veloce del fisso, poi ti consiglio cmq di installarti asquared nel fisso...è un buon antispyware ;)

configura avira come indicato da questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

dopodicchè gli fai fare una scansione completa di controllo del sistema

x il resto, abbiamo concluso

ecco il report Hijack

appena fatta la verifica in caso Ok ripristino il vaolre originale del ripristino sistema generale?

poi faro tutti i passi da te consigliati

...

il log è pulito

installati avira e fai una scansione, poi abbiamo concluso :)

ecco il report Hijack

appena fatta la verifica in caso Ok ripristino il vaolre originale del ripristino sistema generale?

poi faro tutti i passi da te consigliati

per quale motivo hai rimosso il log allegato?

mi sembrava di aver capito che non servisse +????

non è così?


rimuovevo gli allegati in quanto contenevano dati espliciti al sottoscritto

assolutamente no!
impedisce di ricostruire la storia della disinfezione, se preferisci tenere le cose private questa ovviamente non è a priori la sede corretta :)
impedisci inoltre agli agli utenti di partecipare magari sollevando l'attenzione su cose che potrebbero passare inosservate..

attualmente questo thread è inservibile.