virus inattivo??

david82 · 23-09-2007, 16:05

ho scoperto oggi di aver un virus, forse da luglio.
io questo file eseguibile non l'ho mai visto nei processi attivi, non c'è nella lista dei programmi in avvio automatico ne in quella dei servizi.
e infatti l'ho potuto cancellare senza che mi dicesse che era in uso.

quindi non dovrebbe aver fatto niente? era li senza combinare guai?
posso stare abbastanza tranquillo?

**Chill-Out** · 23-09-2007, 16:34

Quote:

Originariamente inviato da david82

ho scoperto oggi di aver un virus, forse da luglio.
io questo file eseguibile non l'ho mai visto nei processi attivi, non c'è nella lista dei programmi in avvio automatico ne in quella dei servizi.
e infatti l'ho potuto cancellare senza che mi dicesse che era in uso.

quindi non dovrebbe aver fatto niente? era li senza combinare guai?
posso stare abbastanza tranquillo?

A parte che la sezione giusta è: Aiuto sono infetto! Cosa faccio?
Ma di quale file eseguibile parli? E come fai a dire che era un Virus preso forse a Luglio.

david82 · 23-09-2007, 16:49

per la sezione non credo di aver sbagliato, poi non so...
la mia domanda non è "cosa faccio", ma "possono aver fatto danni non essendo mai stati in esecuzione?".

virus: beagle
il file aveva un nome formato da numeri xxxxxx.exe nella cartella \windows\exefld\.
e un altro nella cartella documenti, dati applicazioni\hidires\hidr.exe.

dico da luglio perchè le due cartelle e i due files risultano essere stati creati a luglio. (o non c'entra niente?)

grazie.

**Chill-Out** · 23-09-2007, 17:00

Quote:

Originariamente inviato da david82

per la sezione non credo di aver sbagliato, poi non so...
la mia domanda non è "cosa faccio", ma "possono aver fatto danni non essendo mai stati in esecuzione?".

virus: beagle
il file aveva un nome formato da numeri xxxxxx.exe nella cartella \windows\exefld\.
e un altro nella cartella documenti, dati applicazioni\hidires\hidr.exe.

dico da luglio perchè le due cartelle e i due files risultano essere stati creati a luglio. (o non c'entra niente?)

grazie.

Solitamente un virus non chiede il permesso per andare in esecuzione, ma a questo punto la domanda sorge spontanea, avevi il Bagle ed stato rimosso dall'antivirus, se si quale?

david82 · 23-09-2007, 17:26

Quote:

Originariamente inviato da Chill-Out

Solitamente un virus non chiede il permesso per andare in esecuzione, ma a questo punto la domanda sorge spontanea, avevi il Bagle ed stato rimosso dall'antivirus, se si quale?

ma per andare in esecuzione non dovrebbe essere nella lista dei programmi in avvio automatico?
o in quella dei servizi?

e poi se si attiva dovrei vederlo nella lista dei processi.... o no?

infine, se avesse voluto comunicare attraverso internet, l'antivirus me l'avrebbe chiesto, e non è mai successo.

avevo beagle-wn, rimosso da avast.

tra l'altro se fosse stato in esecuzione non me l'avrebbe lasciato rimuovere... o no?

**Chill-Out** · 23-09-2007, 17:37

Quote:

Originariamente inviato da david82

ma per andare in esecuzione non dovrebbe essere nella lista dei programmi in avvio automatico?
o in quella dei servizi?

e poi se si attiva dovrei vederlo nella lista dei processi.... o no?

infine, se avesse voluto comunicare attraverso internet, l'antivirus me l'avrebbe chiesto, e non è mai successo.

avevo beagle-wn, rimosso da avast.

tra l'altro se fosse stato in esecuzione non me l'avrebbe lasciato rimuovere... o no?

Se fosse andato in esecuzione ti avrebbe segato Avast senza pietà, probabilmente sono solo residui leggi qui: http://www.megalab.it/articoli.php?id=948&pagina=4
per massima precauzione un controllo con Gmer lo farei.

david82 · 23-09-2007, 18:05

Quote:

Originariamente inviato da Chill-Out

Se fosse andato in esecuzione ti avrebbe segato Avast senza pietà, probabilmente sono solo residui leggi qui: http://www.megalab.it/articoli.php?id=948&pagina=4
per massima precauzione un controllo con Gmer lo farei.

grazie.
l'unica cosa che avevo era questa HKEY_CURRENT_USER\Software\FirstRRRun.

**Chill-Out** · 23-09-2007, 18:07

Quote:

Originariamente inviato da david82

grazie.
l'unica cosa che avevo era questa HKEY_CURRENT_USER\Software\FirstRRRun.

prego, per scrupolo fai un controllo con Gmer come detto nel precedente post, vedi se ti dà voci in rosso.

david82 · 23-09-2007, 18:16

ora lo cerco e provo.
ma cosa può aver fatto? ora che ci penso ho avuto problemi col firewall (kerio) e controllando l'ho reinstallato proprio quel giorno.

a parte questo problema non ho mai avuto niente, e quei 2 file non sono mai partiti all'avvio del computer. è possibile?

**Chill-Out** · 23-09-2007, 18:19

Quote:

Originariamente inviato da david82

ora lo cerco e provo.
ma cosa può aver fatto? ora che ci penso ho avuto problemi col firewall (kerio) e controllando l'ho reinstallato proprio quel giorno.

a parte questo problema non ho mai avuto niente, e quei 2 file non sono mai partiti all'avvio del computer. è possibile?

Perchè Avast l'ha beccato almeno in parte, Gmer lo trovi qui: http://www.majorgeeks.com/GMER_d5198.html

david82 · 23-09-2007, 18:33

Quote:

Originariamente inviato da Chill-Out

Perchè Avast l'ha beccato almeno in parte, Gmer lo trovi qui: http://www.majorgeeks.com/GMER_d5198.html

ah ok!
in pratica è riuscito a installarsi (sicuramente da qualche pagina web) però gli mancavano le istruzioni per avviarsi in automatico? in parole povere potrebbe essere successo questo?
e mi ritrovo col virus sul computer, ma che non si avvia in automatico....

cmq con gmer, nulla di rosso....

juninho85 · 23-09-2007, 18:52

il file hidr.exe ce lo avevi dunque è impossibile che almeno questo non andasse in esecuzione...semmai non ve ne siete mai accorti ne te ne avast

juninho85 · 23-09-2007, 18:59

vediamo se avenger riesce a rimuoverti almeno una di queste stringhe...

Codice:

Files to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\rosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\srosa.sys

folders to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

david82 · 23-09-2007, 19:04

Quote:

Originariamente inviato da juninho85

il file hidr.exe ce lo avevi dunque è impossibile che almeno questo non andasse in esecuzione...semmai non ve ne siete mai accorti ne te ne avast

io me ne sarei accordo.
mai visto ne nei processi, ne nei programmi in avvio automatici.
(potrei non accorgermene per qualche giorno, per 2 mesi e mezzo non credo).

avast ce l'ha nella definizione dei virus da un mese, se avesse tentato di partire penso che se ne sarebbe accorto (magari non a luglio, ma a settembre si).

inoltre qui:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
e qui:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
non c'era traccia di quei file...

juninho85 · 23-09-2007, 19:07

Quote:

Originariamente inviato da david82

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
e qui:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
non c'era traccia di quei file...

come vedi soltanto una chiave eventualmente si sarebbe potuta copiare li,questa

Codice:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

eseguiti quello script e ti togli il dubbio no?!

david82 · 23-09-2007, 19:09

Quote:

Originariamente inviato da juninho85

come vedi soltanto una chiave eventualmente si sarebbe potuta copiare li,questa

Codice:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

eseguiti quello script e ti togli il dubbio no?!

e infatti non c'era....

ora cerco avenger (mai sentito) e vedo che devo fare....

juninho85 · 23-09-2007, 19:12

Quote:

Originariamente inviato da david82

e infatti non c'era....

ora cerco avenger (mai sentito) e vedo che devo fare....

infatti...ma come vedi ti potrebbe esser sfuggito qualcosa che si carica all'avvio pur non essendo in quelle chiavi di registro
per avenger leggi qui

xcdegasp · 23-09-2007, 19:14

a me sembra da area "aiuto sono infetto..."
se è questa la linea che vorreste adottare sicuramente non cisiamo per nulla

juninho85 · 23-09-2007, 19:15

m'ha fregato

david82 · 23-09-2007, 19:26

Quote:

Originariamente inviato da xcdegasp

a me sembra da area "aiuto sono infetto..."
se è questa la linea che vorreste adottare sicuramente non cisiamo per nulla

scusa per l'errore.
anche se non mi sembra da "aiuto sono infetto che faccio" visto che non sono infetto e la mia domanda iniziale era di tipo generale.
cmq ok.

23-09-2007, 16:05	#1
david82 Senior Member Iscritto dal: Aug 2005 Messaggi: 2518	virus inattivo?? ho scoperto oggi di aver un virus, forse da luglio. io questo file eseguibile non l'ho mai visto nei processi attivi, non c'è nella lista dei programmi in avvio automatico ne in quella dei servizi. e infatti l'ho potuto cancellare senza che mi dicesse che era in uso. quindi non dovrebbe aver fatto niente? era li senza combinare guai? posso stare abbastanza tranquillo?

23-09-2007, 19:14	#18
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	a me sembra da area "aiuto sono infetto..." se è questa la linea che vorreste adottare sicuramente non cisiamo per nulla __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

23-09-2007, 16:49	#3
david82 Senior Member Iscritto dal: Aug 2005 Messaggi: 2518	per la sezione non credo di aver sbagliato, poi non so... la mia domanda non è "cosa faccio", ma "possono aver fatto danni non essendo mai stati in esecuzione?". virus: beagle il file aveva un nome formato da numeri xxxxxx.exe nella cartella \windows\exefld\. e un altro nella cartella documenti, dati applicazioni\hidires\hidr.exe. dico da luglio perchè le due cartelle e i due files risultano essere stati creati a luglio. (o non c'entra niente?) grazie.

23-09-2007, 18:16	#9
david82 Senior Member Iscritto dal: Aug 2005 Messaggi: 2518	ora lo cerco e provo. ma cosa può aver fatto? ora che ci penso ho avuto problemi col firewall (kerio) e controllando l'ho reinstallato proprio quel giorno. a parte questo problema non ho mai avuto niente, e quei 2 file non sono mai partiti all'avvio del computer. è possibile?

23-09-2007, 18:52	#12
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	il file hidr.exe ce lo avevi dunque è impossibile che almeno questo non andasse in esecuzione...semmai non ve ne siete mai accorti ne te ne avast

23-09-2007, 19:15	#19
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	m'ha fregato

Strumenti
Mostra una versione stampabile Invia questa pagina per email