infezione dura a morire (prevx floppa!)

k0s · 16-03-2010, 00:57

ho xp sp3 aggiornato, avira free, OA free. un paio di giorni fa devo aver scaricato un trojan o non so, già scrissi che avira aveva taciuto miseramente mentre OA aveva rilevato il tentato collegamento a internet da parte di un programma dal nome bizzarro. malwarebytes trovò un trojan che eliminai, il resto delle scansioni da voi indicate, che ho seguito pedissequamente, non hanno rilevato granché, almeno a mio avviso. salvai comunque i log, peccato che tra i vari smanettamenti improvvisamente mi scomparevero tutti i file dal desktop esclusi i collegamenti! ho continuato a fare scansioni su scansioni per accertarmi che tutto fosse ok e così parve: tutto taceva da parte di tutti i software, ma intanto la navigazione era lentissima più altri vari problemucci di sistema che non sto ad elencare (cito solo il riavvio del sistema automatico alla disconnessione utente). pensavo che fosse colpa di nuove installazioni/disinstallazioni più vari smanettamenti nei servizi e nel registro. e invece per caso loggo da un altro account utente (magicamente diventato admin), lancio una scansione di avira e.. ta da! trova questo

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001085.exe
[0] Tipo di archivio: RAR SFX (self extracting)
[NOTA] È stato creato un backup con nome '4bceb820.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
--> SmitfraudFix\Reboot.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001104.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F
[NOTA] È stato creato un backup con nome '48556641.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001105.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A
[NOTA] È stato creato un backup con nome '43d1df71.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.

un po' in ritardo, ma avira c'è arrivato. e il tanto osannato prevx, intanto, taceva fra le sue varie scansioni impostate con la massima euristica.

N.B. il ripristino configurazione sistema lo avevo disattivato subito prima del mare di scansioni precedenti e riattivato solo in un secondo tempo quando pensavo di essere pulito, ormai... questo vuol dire che l'infezione vagava fantasma fra i vari software di sicurezza in attesa di andare a riannidarsi in un restore point? questo vuol per caso dire che nonostante io abbia eliminato quei punti di ripristino, se riavvio il suddetto servizio mi si ricrea il virus?!?!?

ditemi che non devo formattare...

grazie

p.s. alter anomalie riscontrate che mi vengono in mente: Explorer.exe (percorso corretto) che si crea delle regole in uscita su OA, iexplorer.exe che in uscita si apre TUTTE le porte!! tutte quante. meno male che ho controllato xD

**Chill-Out** · 16-03-2010, 09:04

Quote:

Originariamente inviato da k0s

allora... stavo scaricando un po' di cose da internet... a un certo punto online armor mi dice che il programma C:\windows\Hduhua.exe vuole connettersi a internet... bè google nn lo conosce proprio! un bel trojan? ho fatto la scansione con il mio avira free impoistato alla massima euristica, ma.. niente! idem malwarebytes. ho uppato il file su virus total, vi linko i risultati. giudicate voi esperti (spero che visualizziate il file) ma se è vero che è un trojan o simili... grossa delusione per avira

http://www.virustotal.com/it/analisi...3bc-1268432645

Quote:

Sei OT il 3D è intitolato Protezione del Computer: consigli e valutazioni nel tuo caso il 3D idoneo è il seguente http://www.hwupgrade.it/forum/showthread.php?t=1789446

Se eviti di postare dappertutto te ne saremo grati, chiudo.

16-03-2010, 00:57	#1
k0s Junior Member Iscritto dal: Mar 2010 Messaggi: 22	infezione dura a morire (prevx floppa!) ho xp sp3 aggiornato, avira free, OA free. un paio di giorni fa devo aver scaricato un trojan o non so, già scrissi che avira aveva taciuto miseramente mentre OA aveva rilevato il tentato collegamento a internet da parte di un programma dal nome bizzarro. malwarebytes trovò un trojan che eliminai, il resto delle scansioni da voi indicate, che ho seguito pedissequamente, non hanno rilevato granché, almeno a mio avviso. salvai comunque i log, peccato che tra i vari smanettamenti improvvisamente mi scomparevero tutti i file dal desktop esclusi i collegamenti! ho continuato a fare scansioni su scansioni per accertarmi che tutto fosse ok e così parve: tutto taceva da parte di tutti i software, ma intanto la navigazione era lentissima più altri vari problemucci di sistema che non sto ad elencare (cito solo il riavvio del sistema automatico alla disconnessione utente). pensavo che fosse colpa di nuove installazioni/disinstallazioni più vari smanettamenti nei servizi e nel registro. e invece per caso loggo da un altro account utente (magicamente diventato admin), lancio una scansione di avira e.. ta da! trova questo Inizia con la scansione di 'C:\' C:\pagefile.sys [AVVISO] Impossibile aprire il file! [NOTA] Questo è un file di sistema di Windows. [NOTA] Impossibile aprire questo file per la scansione. C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001085.exe [0] Tipo di archivio: RAR SFX (self extracting) [NOTA] È stato creato un backup con nome '4bceb820.qua' ( QUARANTENA ) [NOTA] Il file è stato eliminato. --> SmitfraudFix\Reboot.exe [RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F --> SmitfraudFix\restart.exe [RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001104.exe [RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Reboot.F [NOTA] È stato creato un backup con nome '48556641.qua' ( QUARANTENA ) [NOTA] Il file è stato eliminato. C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP2\A0001105.exe [RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Hardoff.A [NOTA] È stato creato un backup con nome '43d1df71.qua' ( QUARANTENA ) [NOTA] Il file è stato eliminato. un po' in ritardo, ma avira c'è arrivato. e il tanto osannato prevx, intanto, taceva fra le sue varie scansioni impostate con la massima euristica. N.B. il ripristino configurazione sistema lo avevo disattivato subito prima del mare di scansioni precedenti e riattivato solo in un secondo tempo quando pensavo di essere pulito, ormai... questo vuol dire che l'infezione vagava fantasma fra i vari software di sicurezza in attesa di andare a riannidarsi in un restore point? questo vuol per caso dire che nonostante io abbia eliminato quei punti di ripristino, se riavvio il suddetto servizio mi si ricrea il virus?!?!? ditemi che non devo formattare... grazie p.s. alter anomalie riscontrate che mi vengono in mente: Explorer.exe (percorso corretto) che si crea delle regole in uscita su OA, iexplorer.exe che in uscita si apre TUTTE le porte!! tutte quante. meno male che ho controllato xD Ultima modifica di k0s : 16-03-2010 alle 01:00.

Strumenti
Mostra una versione stampabile Invia questa pagina per email