k0s
16-03-2010, 00:57
ho xp sp3 aggiornato, avira free, OA free. un paio di giorni fa devo aver scaricato un trojan o non so, già scrissi che avira aveva taciuto miseramente mentre OA aveva rilevato il tentato collegamento a internet da parte di un programma dal nome bizzarro. malwarebytes trovò un trojan che eliminai, il resto delle scansioni da voi indicate, che ho seguito pedissequamente, non hanno rilevato granché, almeno a mio avviso. salvai comunque i log, peccato che tra i vari smanettamenti improvvisamente mi scomparevero tutti i file dal desktop esclusi i collegamenti! ho continuato a fare scansioni su scansioni per accertarmi che tutto fosse ok e così parve: tutto taceva da parte di tutti i software, ma intanto la navigazione era lentissima più altri vari problemucci di sistema che non sto ad elencare (cito solo il riavvio del sistema automatico alla disconnessione utente). pensavo che fosse colpa di nuove installazioni/disinstallazioni più vari smanettamenti nei servizi e nel registro. e invece per caso loggo da un altro account utente (magicamente diventato admin), lancio una scansione di avira e.. ta da! trova questo
Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001085.exe
[0] Tipo di archivio: RAR SFX (self extracting)
[NOTA] È stato creato un backup con nome '4bceb820.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
--> SmitfraudFix\Reboot.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001104.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
[NOTA] È stato creato un backup con nome '48556641.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001105.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
[NOTA] È stato creato un backup con nome '43d1df71.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
un po' in ritardo, ma avira c'è arrivato. e il tanto osannato prevx, intanto, taceva fra le sue varie scansioni impostate con la massima euristica.
N.B. il ripristino configurazione sistema lo avevo disattivato subito prima del mare di scansioni precedenti e riattivato solo in un secondo tempo quando pensavo di essere pulito, ormai... questo vuol dire che l'infezione vagava fantasma fra i vari software di sicurezza in attesa di andare a riannidarsi in un restore point? questo vuol per caso dire che nonostante io abbia eliminato quei punti di ripristino, se riavvio il suddetto servizio mi si ricrea il virus?!?!?
ditemi che non devo formattare...
grazie
p.s. alter anomalie riscontrate che mi vengono in mente: Explorer.exe (percorso corretto) che si crea delle regole in uscita su OA, iexplorer.exe che in uscita si apre TUTTE le porte!! tutte quante. meno male che ho controllato xD
Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001085.exe
[0] Tipo di archivio: RAR SFX (self extracting)
[NOTA] È stato creato un backup con nome '4bceb820.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
--> SmitfraudFix\Reboot.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001104.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
[NOTA] È stato creato un backup con nome '48556641.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001105.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
[NOTA] È stato creato un backup con nome '43d1df71.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
un po' in ritardo, ma avira c'è arrivato. e il tanto osannato prevx, intanto, taceva fra le sue varie scansioni impostate con la massima euristica.
N.B. il ripristino configurazione sistema lo avevo disattivato subito prima del mare di scansioni precedenti e riattivato solo in un secondo tempo quando pensavo di essere pulito, ormai... questo vuol dire che l'infezione vagava fantasma fra i vari software di sicurezza in attesa di andare a riannidarsi in un restore point? questo vuol per caso dire che nonostante io abbia eliminato quei punti di ripristino, se riavvio il suddetto servizio mi si ricrea il virus?!?!?
ditemi che non devo formattare...
grazie
p.s. alter anomalie riscontrate che mi vengono in mente: Explorer.exe (percorso corretto) che si crea delle regole in uscita su OA, iexplorer.exe che in uscita si apre TUTTE le porte!! tutte quante. meno male che ho controllato xD