Da stasera la connessione come ho detto prima mi cade.esce un messaggio di errore winrduck.exe o una cosa del genere e mi dice qualcosa rigurdo al firewall (linea persa a causa del firewall) e poi si disconnette.

Mi sapete suggerire qualcosa?

Questo mi dice
STOP 0x80070725 (FatalSystEmerror)
System file "winrudisc.exe"
Connection lost or blocked by firewall.

AVG mi ha trovato 2 worm e dice virus detected, secondo voi sono stati resi innoqui?

"virus detected" significa ke l'av ha riconosciuto i virus in questione.
Di che worm si trattava???

Io credo che si tratti ancora ,poichè il problema c'è ancora.
E': I-Worm/Sober.F

qui c'è la descrizione di sober.F con la sua routine di infezione http://forum.gladiator-antivirus.com/index.php?showtopic=12618

prova stinger in mod provvisoria http://vil.nai.com/vil/stinger/


oppure qualke prog antitrojan tipo a2, trojanhunter o tds-3

Qui a destra in "preleva cleaner gratuiti" trovi il tool di rimozione x sober.F (usalo in mod provvisoria e dopo aver disattivato ripristino config. di sistema) http://www.nod32.it/home/home.htm

Originariamente inviato da MrOZ
Qui a destra in "preleva cleaner gratuiti" trovi il tool di rimozione x sober.F (usalo in mod provvisoria e dopo aver disattivato ripristino config. di sistema) http://www.nod32.it/home/home.htm
Sober.F non c'è, che fo?

scarica il programma HijackThis e posta il log del programma qui, così vediamo

Ciao

Eraser ;)

Come si fa a postare?

Vedi ti sta bene?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programmi\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [UninstallAbility] "C:\Programmi\UninstallAbility\uability.exe" /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Organizzatore ricerche (HKLM)
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\costabile\Impostazioni locali\Temp\EI40_1\msxml4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8232F89-4041-44B0-A277-AA05A53F8921}: NameServer = 80.21.163.20 151.99.125.1

Ho pensato: se vado in modalità provvisoria e cancello il worm?
che ne dici? cmq NON MI ABBANDONARE.
ciao

da quel log non sembri infetto :confused: (vabè che l'ho letto al volo)

cmq se hai sottomano il file secondo te sospetto mandamelo a fileanalysis@email.it che lo analizzo

Ciao

Eraser :)

Non te lo riesco a mandare perchè quando devo trovare il file da allegare non mi permette di andare + a fondo.Che fo?

Si trova
C:\Documents and Settings\costabile\Impostazioni locali\Temporary Internet Files\Content.IE5\WX6R056V\check_this[1].zip

Bilancino prima mi ha consigliato di svuotare il system restore ma che cosa è?a che serve? e come si fa?:cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry:

per mandarmi il file prova a disattivare momentaneamente AVG

Questo è il responso di AVG

Originariamente inviato da eraser
per mandarmi il file prova a disattivare momentaneamente AVG



Non va nemmeno disattivando.

fai una cosa, parti in modalità provvisoria e prendi quel file (me lo spedisci)

Poi prova un removal tool tipo questo http://securityresponse.symantec.com/avcenter/FixSober.exe

Ciao

Eraser :)

Se provo con questa procedura (http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823151930924) cosa succede? mi dice che si eliminano i punti di ripristino:è una cosa buona?

ma secondo me non sei infetto da niente :D hai solo il virus sull'hard disk ma non è attivo :) per questo ti dico di andare in modalità provvisoria, spedirmi quel file e sempre da lì lanciare il removal tool della symantec :) per un check :)

Unica cosa che non ho fatto è forse di mandarti il file. cmq non mi ha rivelato nulla (in mod. provvisoria) quel tool della symantec. O, per caso, una volta essere entrato in modalità provv. devo attivare/disattivare qualcosa?

e allora non sei infetto da niente :D Hai solo quel file Check_this.zip sull'hard disk che è stato bloccato da AVG, ma non è attivo nel sistema :)

Per cancellarlo o disattivi AVG e lo cancelli o riparti in modalità provvisoria e lo cancelli (per favore me lo puoi mandare?? :D )

Ciao

Eraser :)

Originariamente inviato da eraser
e allora non sei infetto da niente :D Hai solo quel file Check_this.zip sull'hard disk che è stato bloccato da AVG, ma non è attivo nel sistema :)

Per cancellarlo o disattivi AVG e lo cancelli o riparti in modalità provvisoria e lo cancelli (per favore me lo puoi mandare?? :D )

Ciao

Eraser :)
Tento. devo entrare in modalità provvisoria con rete, giusto?

modalità provvisoria semplice :)

Originariamente inviato da eraser
e allora non sei infetto da niente :D Hai solo quel file Check_this.zip sull'hard disk che è stato bloccato da AVG, ma non è attivo nel sistema :)

Per cancellarlo o disattivi AVG e lo cancelli o riparti in modalità provvisoria e lo cancelli (per favore me lo puoi mandare?? :D )

Ciao

Eraser :)


Ma scusa come posso non essere affetto se l'antivirus me lo indica?

l'antivirus ti dice che quel file contiene il virus, ma non per questo è necessario che il virus sia attivo :) Per attivare il virus dovresti cliccarci due volte ed eseguirlo, ma l'antivirus non te lo fa fare perché riconosce la pericolosità del file :)

Come faccio in modalità provvisoria a mandarti il file infetto?, visto che non mi si connette.

comprimilo ancora in un archivio compresso protetto da password :) poi quando ripartirai normalmente l'antivirus non te lo segnalerà perché protetto da password e te me lo potrai mandare tranquillamente :) ovviamente poi dimmi anche la password ;)

Ovviamente dimmi come si fa a mettere la password?

Aspetta, col tasto destro su quel file non mi esce Winzip.

cancella direttamente il file :D non fa niente se non me lo spedisci :)

Ciao

Eraser :)

No, te lo voglio mandare, ora è un obbligligo "morale" mi aiuti a mandartelo. Così mi insegni pure qualcosa.

allora, decomprimi quel file con winzip dentro una cartella che chiamerai "VIRUS".

Poi comprimi quella cartella di nuovo con Winzip, solo che nella schermata di Winzip che ti comparirà selezionerai "password" e ne scriverai una

Così l'archivio che ti si è venuto a creare sarà protetto da password.

ovviamente occhio a non lanciare i files estratti dallo zip visto che è il virus ;)

Credo di avertela inviata. aspetto con ansia una risposta.

sei stato bravissimo :)

É arrivato :)

Si il virus è il Sober.F

Se il tool della symantec nn ti dice niente (e in effetti controllando il log di HijackThis sembra che tu non sia infetto) l'ipotesi che avevo avanzato qualche post sopra è confermata: non sei infetto da niente :)

Il file era probabilmente arrivato via posta e avg te l'ha bloccato. Infatti era messo lì in uno zip innocuo :)

Ciao

Eraser :)

Ultime domande e poi ci salutiamo.

1)Come setto AVG in modo che si aggiorna automaticamente quando mi connetto?è possibile?

2)Avg lo uso perchè è leggerissimo.Tu in una discussione di pochi minuti fa hai detto che f port è migliore. ma come fai per il fatto che è sharawere? te lo riscarichi dopo aver finito il tempo?

3)posso rimanere con AVG? cioè è una valida alternativa sebbene - preciso di f-port?

Ciao e grazie per il tuo interessamento :mano:

1) non uso AVG, non mi ricordo sinceramente :D

2) Una volta acquistata la licenza puoi scaricare dal sito tutte le versioni aggiornate

3) si si AVG è comunque un buon antivirus, più che sufficiente :)

Ciao

Eraser :)