Probabile virus nell'hard disk esterno Maxtor

[Nikybz]

Salve a tutti
Ho bisogno urgentissimo del vostro aiuto....
Allora mentre ero al pc questa sera... all'ìmprosvviso l'hard disk mi da un messaggio che non c'é spazio nell'unità dell'Hard disk.
Vado a guardare dentro l'unità e nn c'é null
faccio presente che qualce giorno prima sul pc superantyspyware mi ha chiesto se volevo cambiare la pagina predefinita di internet. io gli ho dato il blocco e poi proprio oggi mi era comparso un link sul mio pc che nn avevo attivato. Mi collegava al mio hard disk esterno. Il fatto che io nn visto nessun tipo di attacco né sul firewall e nell'antivirus.
Cmq ho provato a riavviare il pc e il disco fisso con tutti i 2 sistemi operativi funziona, ma l'hard disk nn lo riconosce neanche.......
Devo addire a tutto il materiale che ho li su???? nn ditemi di si.
Non c'é un modo per vedere se i dati del disco sono integri... o se sono recuperabili???
E cmq nn sò se sia un virus.....
L'Hard disk esterno é un Maxtor basic personal storage da 300Giga

Ragazzi aiutatemi, vi prego....se perdo quel disco sono alla ........

Attendo subito vostre info

[Nikybz]

Vi allego anche le scansioni che ho fatto, anche se il disco nn riesco a leggerlo. Da notare che nel file Gmer, ho messo alle voci ADS degli asterischi per nascondere il nome degli utenti.

Attendo notizie.... fatevi sentire

[Nikybz]

Ciao a tutti...
Ho urgente bisogno del vostro aiuto.
Allora visto che ho trovato un trojan sul mio pc (e nn sò come ha fatto ad entrarci) ho fatto la scansione antivirus con Avast. Una volta che me l'ha rilevato, ho provato a cancellarlo, ma nn sono riuscito. Quindi l'ho spostato e rinominato dentro la cartella moved. Le mie domande sono queste.....
1)Ma il file di log della scansione che ho fatto dove lo trovo??
2)Ma il file che ho spostato, per eliminarlo che devo fare?? Devo farlo controllare?? visto che adesso ha cambiato li nome, perché l'ho rinominato,
come faccio a sapere il suo nome originale?? (cioé quello che aveva prima, tanto per intenderci).
E poi scusate ma Avast che ha la protezione in real-time come fà a far passare un virus senza neanche segnalartelo??

Attendo al più presto vostre notizie.

[xcdegasp]

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

possibilmente evita di pubblicare messaggi ovunque quando hai bisogno di assistenza
(ho spostato qui ilmes che avevi scritto nel thread di Outpost Firewall)

[xcdegasp]

Trend Micro RootkitBuster non ha trovato nulla
McAfee(R) Rootkit Detective 1.1 scan report non ha trovato nulla

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Collegamento a ViStart.lnk = K:\PROGRAMMI AGGIORNATI\Personaliz_PC---[UPGRADE]\Progammi per vistamizer\vistart_2661_italian_skin_default\ViStart.exe

questo non lo conosco:
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe

possiedi comunque un firewall che è troppo vecchio per fare bene il suo lavoro percui puoi optare per Comodo-Firewall o Online Armor (semplicissimo e in italiano) che sono i firewall software migliori e tra le altre cose gratuiti

per proseguire attendo i log che ti ho richiesto

[Nikybz]

allora xcdegasp,
qui ci sono hli allegati e le immagini delle scansioni che ho fatto.
Non trovi solo il log degli ADS e della scansione on line di F-secure:
Cmq il risultato della scansione di F-secure ha dato questo esito:
Rilevati 4 file
1)Troian.Win32.dialer
2)Troian.Win32.dialer.ccy Jmjaiad.exe
3)Troian.Win32.dialer.ccy plhhvdft.exe
4)W32/Suspicious v.gen crack.exe Magic Iso

L'ultimo file dovrebbe essere un file c***k che riguarda quel software.
Ma scusa una domanda... se posso... nei casi in cui vengano rilevati i file crack di certe applicazioni, se li cancello o li pulisco i software nn funzionano più giusto???

Poi probabilmente nn é stato rilevato uno dei file che ho dentro la cartella moved di Avast, visto che li ci ho rinominato e spostato un file, che probabilmente era legato a questi, anche perchè l'avevo trovato con la scansione di Avast.
Quello lo posso cancellare?? che devo fare?? per controllare la quarantena dove devo andare?? che ci dò un occhio anche li.

Un'altra domanda però... io ho scaricato la versione gratuita di PrevxCSI e nn quella a pagamento, come faccio a rimuovere i file che ho trovato??
Dovevo scaricare quella a pagamento???

P.S. Le scansioni quando le faccio posso tenere internet aperto??
(naturlamente nn navigo, solo perché se mi servono aggiornamenti...)

Poi un'altra cosa il disco che ho interno é suddiviso in 3 parti di cui, 2 sono occupate da i sistemi operativi e programmi. Le scansioni che ho fatto al momento solo su la partizione C: operano su tutto il disco?? anche sulle altre partizioni???

Qui ti ho allegato solo la scansione di gmer, e di a-squared
nell'altro post ti inserisco il resto

Attendo una tua risposta.

[Nikybz]

Qui ti allego le immagini della scansione di Dr.Web e di PrevxCSI
e uno zip con la scansione di Hijackthis aggiornata.

http://img329.imageshack.us/img329/3630/drwebbc0.png

http://img511.imageshack.us/img511/4934/prevxcsiyw4.png


Mi manca solo il log della scansione di PrevxCSI e i lfile xml di ESET
Ma questi come te li invio??? Visto che gli allegati al max sono 24kb...
Come faccio???

Attendo tua risposta per inviarti anche questi ultimi 2.
Anche perché io ti avrei mandato tutto insieme.

[wjmat]

Questa è una brevissima guida alla pubblicazione dei log

cerca di ricaricare i log sotto forma di testo e non di immagine...
cure it mi sembra solo la scansione iniziale e non quella completa
per prevx ci serve solo il log non devi scaricare altro

meglio rimanere sconnessi e seguire l'ordine delle scansioni...

per i crack meglio cancellare tutto....

[Nikybz]

Allora...
questi sono gli ultimi due log PrevxCSI e ESET zippati.

Scansione 3.zip

Per Dr.Web devo fare la scansione completa???

Ma sul tipo di virus?? nn mi sapete dire di che tipo é?? che cosa danni comporta?? Che devo fare il per il virus rinominato con avast??
Cioé devo pensare che quel virus mi abbia danneggiato il disco esterno??
Ci sono probabilità?? Datemi qualche consiglio più mirato.

E se cancello un crack.... dopo nn rischio che nn mi funzioni più il software???
Se dopo nn mi deve funzionare il software perché dovrei cancellarlo??
Non é un falso positivo???

Nella guida alla disinfezione...cmq in certe parti ho letto che si doveva postare anche una immagine in jpeg oltre al log.

OT
P.S scusami xcdegasp per il post che nn era nella posizione corretta, nn era mia intenzione metterlo li. E' stato solo un errore.

E poi scusate, ma nn usate imageshack per l'upload delle immagini???

[xcdegasp]

con dr.web devi fare scansione profonda,come del resto scritto nella guida
i crack sono fonte di macelli e non critico di certo chi va a diffondere malware camuffato da crack piuttosto critico chi non vede le innumerevoli alternative al software commerciale.
di software libero (free e opensource/gnu/gpl) ce nè veramente a larga scala e la stragrande maggioranza non fa rimpiangere il corrispettivo software commerciale.
se invece si vuole proprio usare quel determinato software perchè ci si è innamorati è propriamente il caso di comprare tale licenza d'uso

dette queste premesse è possibile che quel exe una volta rimosso non faccia funzionare il programma come è assolutamente possibile che quel exe ti arrechi problemi al pc...

a te ogni scelta, considerando che mancano delle scansioni all'appello

[Nikybz]

Premesso che:
1) Sò benissimo l'esistenza di software gratuiti
2) Certi software uno li vuole solo testare
3) Che per avere i soldi per la licenza di certi software ci vogliono parecchi e dico... parecchi soldi!!!!

Non ti chiedevo espressamente se é un bene o male utilizzare licenze originali, ma bensi specifiche sul virus che ho pizzicato. Cmq eventualmente, preferivo avere magari, più chiarimenti di come si comporta un crack e che danno può recare. E poi scusami ma a parte la scansione completa di Dr.Web , cosa mancherebbe?? se guardi nello Zip, "Scansione 3" ti avevo messo il rimanente.
No???????

[xcdegasp]

per testare un programma esistono le versioni trial/demo nonserve di certo un crack/keygen inquanto questi ti darebbero una licenza fittizzia a tempo indeterminato che èben diverso.

un crack agisce in diversi modi e in base alprogramma per esempio winrar ha ilcodice di licenza inserito nel registro di windows (anche winzipmi sembra) quindi bisogna agire in modo abbastanza brusco anche a livello di sistema.. talvolta è richiesta la sostituzione dell'exe originario per portare a termine l'operazione...
non credo si debba avere altre spiegazioni di come agisca un crack per capire che quel exe che si va immettere ed estraneo al programma possa essere un virus,ma ognuno fa cio che vuoledel proprio pc e dei propri dati persnali sensibili

a me sembra che ne manchino altri ogni modo se non intendi fare le scansioni basta che lo dici,ma ti dico da subito che se intendi tenerti il crack non posso darti assistenza

[Nikybz]

Scusa....
ma mi puoi dire quali mancano????
Cosi te le aggiungo a quella del Dr.Web completa
hai visto bene i miei 3 zip???
E poi il virus che avevo nel pc é quello che trovi nel sesto post
che ho nella discussione. il trojan
Il discorso dei crack é un ulteriore chiarimento che volevo avere.
Niente di più, ma nn ha nulla a che fare con il virus.

[xcdegasp]

non li potevi pubblicare senza zipparli? così domanda che sorge sempre più marcata dentro me

Codice:

Summary:
C:\WINDOWS\system32\Hook.dll - [b] >> Malicious Software
C:\Programmi\Alcohol Soft\Alcohol 120\alcohol.exe - [b] >> Malicious Software

se ogni volta per tutti gli utenti dovessi scaricarmi degli zip divento nonno...

[Nikybz]

Allora.....
qui ti ho rifatto le scansioni che mi hai richiesto.
Ti ho fatto un zip, perché nn mi piace che molta gente sbirci i miei dati,
visto che su Eset Sysinspector compaiono.
Nella scansione con DR.web gli ultimi due file che trovi li ho cmq cancellati e spero di aver fatto bene. Per riguarda il file di magiciso (W32/Suspicious v.gen crack.exe Magic Iso) l'ho curato, va bene?? Ti chiedo solo se va bene curarlo o bisogna eliminarlo.
E poi per i due file che ho rilevato con la scansione di PrevxCSI nn li riesco a cancellare, perch é ho la versione free. Come devo intervenire??

Queste sono le scansioni:
Scansione24-07-08.zip

Ma questi file:
1)Troian.Win32.dialer
2)Troian.Win32.dialer.ccy Jmjaiad.exe
3)Troian.Win32.dialer.ccy plhhvdft.exe

A)Che tipi di virus sono???
B)che cosa fanno sul pc??
C)nn c'é un enciclopedia on-line dei virus che ti dice per ogni virus cosa accade al pc???
D)E cmq questi file nn sono più presenti vero?? mi confermi??

Finita questa scansione che devo fare?? Basta cosi o ci sono altre procedure da seguire, per la pulizia del mio pc???

Attendo tue risposte

[wjmat]

il ripristino conf. di sistema mi sembra attivato o sbaglio?

[Nikybz]

Si hai ragione.... quindi?? devo rifare tutto??
Mi ero dimenticato di disattivarlo.

[wjmat]

teoricamente disattivandolo dovrebbero sparire le schifezze che conteneva...

[xcdegasp]

è necessario sia disattivato il ripristino di sistema

dal log di prevxcsi:

Codice:

C:\WINDOWS\system32\IEDKCS32.DLL	InMem: 0	Det [u]	PX5: 987BF86200A76C9BDE4E058FD056670024D7C65E
	REGACTIVEX - \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF} - StubPath [RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP]
	REGACTIVEX - \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - StubPath [RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP]
	REGACTIVEX - \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF} - LocalizedName [@C:\WINDOWS\system32\iedkcs32.dll,-3052]
	REGGPOLICY - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3} - DllName [iedkcs32.dll]
	REGGPOLICY - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} - DllName [iedkcs32.dll]


C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe	InMem: 0	Det [u]	PX5: 1CBE4918F06BFDA1443F47BDD0C9C000D406B978


C:\Programmi\Video Convert Master\videoapp.exe	InMem: 0	Det [u]	PX5: D74B6D0D00CEEBA25C7E32D5E7DC0500E1687933


C:\Programmi\VirtualDJ\virtualdj.exe	InMem: 0	Det [u]	PX5: 820E38C87FEE81326294CCA85139B80082BAB640


C:\Programmi\Alcohol Soft\Alcohol 120\alcohol.exe	InMem: 0	Det [BP]	PX5: 691BEFECEEC9D4D263AA00BD2AC475000015C85A	Malware Group: Malicious Software


C:\WINDOWS\system32\Hook.dll	InMem: 1	Det [b]	PX5: BF8FFD820010C7D96039030AEAE7EE00F973F80A	Malware Group: Malicious Software

potresti verificare su www.virustotal.com (a fine di ogni scansione copia l'indirizzo mostrato nel browser qui nel thread) e su http://virusscan.jotti.org/ (a fine scansione copia la tabella e incollala in un file di testo txt e uppalo pubblicando il link al download) i seguenti file:
C:\WINDOWS\system32\IEDKCS32.DLL
C:\Programmi\Alcohol Soft\Alcohol 120\alcohol.exe
C:\WINDOWS\system32\Hook.dll


così vediamo se sono un falso positivo o meno

la java è da aggiornare come lo è openoffice quindi vai al link http://secunia.com/software_inspector/ e scansiona online il pc,a fine scanione timostreràtutto il software obsoleto.
tra questi c'è sicuramente la java quindi dopo averla aggiornata ricordati di disinstallare le precedenti versioni installate
inoltre avast è free solo per uso domestico mentre sygate è troppo vecchio per porsi comebarriera quindi puoi optare per OnlineArmor-free o Comodo-Firewall entrambi gratuiti anche in ambito commerciale/aziendale.

[Nikybz]

Ho fatto le scansioni dei 3 file indicati:
C:\WINDOWS\system32\IEDKCS32.DLL
C:\Programmi\Alcohol Soft\Alcohol 120\alcohol.exe
C:\WINDOWS\system32\Hook.dll

Questi sono i risultati si Virus Total:
iedkcs32.dll
http://www.virustotal.com/it/analisi...59cf6c2c0cb35f

Hook.dll
http://www.virustotal.com/it/analisi...2d4225d2cc865b

Alchool.exe
https://www.virustotal.com/vt/it/rec...5bd2f2cf4773f9
Alchool.exe_
http://www.virustotal.com/it/analisi...c73c07c0e94ba6

Questi sono i risultati su Virusscan:

Scansione Virusscan.txt

Io ho fatto solo le scansioni di questi. Va bene cosi??
Quel file che ti ho detto che ho curato (MagicIso.exe) posso considerarlo
nn infetto??? Poi é un problema se nn ho disattivato il ripristino?? c'é il rischio che mi sia rimasta della roba nn avendo disattivato il ripristino??

Questi file nn sono più presenti vero?? mi confermi??
Troian.Win32.dialer
Troian.Win32.dialer.ccy Jmjaiad.exe
Troian.Win32.dialer.ccy plhhvdft.exe

P.S.
1)Nn c'é un enciclopedia on-line dei virus che ti dice per ogni virus cosa accade al pc???
2)Ogni volta che faccio delle scansioni devo disattivare il ripristino di sistema??
3)nn c'é un modo per tenerlo disattivato sempre??
4)Quando installi i software, tieni disattivato il rispristino di sistema??
5)Le scansioni o le installazioni dei software o disinstallazioni, nn si posso fare in modalità provvisoria?? Nn é meglio?? chiedo

Attendo le tue risposte. Magari se riesci secondo l'ordine delle mie domande

Grazie e ciao