trojan, e poi...?

melody · 19-06-2010, 20:34

Non ho la più pallida idea di cosa stia succedendo quindi scusate il titolo vago.
Antivir giorni fa ha bloccato l'accesso a due file, trojan, che erano in un .exe del nokia pc suite (installato da una vita e funzionante). ho rifatto una scansione completa anche con panda antivirus e ha trovato due file sospetti (non ricordo dove però) messi in quarantena. poi oggi scopro che mia sorella ha disinstallato panda...i file in quarantena che fine hanno fatto?
cmq, da stamattina sto seguendo la vostra guida, fin'ora niente di strano rilevato dai programmi. fino a gmer.
devo dire però che all'avvio di winxp il firewall mi chiedeva il consenso/blocco per una serie di programmi anche di hp, cioè di per sé non sospetti ma questo non era mai successo e non avevo modificato le impostazioni quindi nel dubbio alcuni li ho bloccati (se serve vi scrivo quali)

insomma arrivata alla scansione con gmer, per due volte, lo schermo si è spento. non so bene come definire la cosa, nel senso che non si è spento il laptop e neanche lampeggiava, le lucine erano tutte accese ma lo schermo non ripartiva neanche abbassando il coperchio in standby, e quindi ho premuto lo start e win si è riavviato (non spento e riacceso, di solito se riavvio si spengono un attimo le luci invece lì no). sono andata a vedere che errore fosse riportato negli avvisi di sistema, e c'era quello di W32 Time... che non so cosa cavolo c'entrasse con quello che stava facendo.
Insomma prima di provare gmer una terza volta vorrei un vostro parere...

ps: cure it l'ho lanciato alla versione 6 ma non sono riuscita ad aggiornarlo prima, cmq non ha rilevato nulla (scansione completa)

logs: Edit A-Squared
Edit ESET e HiJackThis

grazie

**Chill-Out** · 19-06-2010, 20:58

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

melody · 20-06-2010, 10:40

scusate!

prima di ricaricare tutti log vorrei chiedervi...

poiché da ieri online armor mi avvisa che programmi che conosco tentano di accedere all'hard disc usando "physicaldrive0" ... vuol dire che è meglio che seguo la guida per il mbr rootkit?

melody · 20-06-2010, 18:22

2.mbam
3.a-squared
4.kaspersky
5.cure it
6.sys
7.HiJackThis
8.gmer
9.prevx3

sembra relativamente pulito...ma ci sono ancora questi avvisi di "physicaldrive0"

grazie

**Chill-Out** · 20-06-2010, 20:07

Quote:

Originariamente inviato da melody

2.mbam
3.a-squared
4.kaspersky
5.cure it
6.sys
7.HiJackThis
8.gmer
9.prevx3

sembra relativamente pulito...ma ci sono ancora questi avvisi di "physicaldrive0"

grazie

Dai log non emerge nulla, mentre per quanto concerne OA trattasi del modulo HIPS che ti informa a mezzo PopUp che un determinato file accede direttamente al disco.

melody · 20-06-2010, 21:31

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge nulla, mentre per quanto concerne OA trattasi del modulo HIPS che ti informa a mezzo PopUp che un determinato file accede direttamente al disco.

si ma non è strano che questo accada di colpo con programmi di ogni sorta che erano già presenti sul laptop da anni? e che magari non ho neanche aperto? dato che oa mi consiglia di bloccare a meno che non stia facendo qualcosa che lo richiede, io blocco... però boh credevo fosse per quel trojan

**Chill-Out** · 21-06-2010, 09:43

Quote:

Originariamente inviato da melody

si ma non è strano che questo accada di colpo con programmi di ogni sorta che erano già presenti sul laptop da anni? e che magari non ho neanche aperto?

La risposta al quesito è proprio nella domanda.

Quote:

Originariamente inviato da melody

però boh credevo fosse per quel trojan

3 dei tool dedicati alla rimozione del MBR Rootkit non rilevano nulla.

melody · 26-06-2010, 10:47

di nuovo io... da un paio di giorni la connessione non caricava bene e dopo aver controllato il modem ho pensato di rifare una scansione con malwarebytes... e ha trovato un trojan redondu

http://wikisend.com/download/453364/...(00-35-12).txt

sto riseguendo tutte le scansioni in fila, ma potete spiegarmi come agisce questo virus? perché come vedete prima il laptop sembrava pulito, era rimasto o l'ho preso dopo? perché l'antivirus e simili non mi hanno avvisato di nulla. grazie

**Chill-Out** · 26-06-2010, 11:14

Quote:

Originariamente inviato da melody

di nuovo io... da un paio di giorni la connessione non caricava bene e dopo aver controllato il modem ho pensato di rifare una scansione con malwarebytes... e ha trovato un trojan redondu

http://wikisend.com/download/453364/...(00-35-12).txt

sto riseguendo tutte le scansioni in fila, ma potete spiegarmi come agisce questo virus? perché come vedete prima il laptop sembrava pulito, era rimasto o l'ho preso dopo? perché l'antivirus e simili non mi hanno avvisato di nulla. grazie

Quote:

C:\Documents and Settings\Elena\Documenti\my doc\pc\PandaCloudAntivirus.exe (Trojan.Redosdru) -> Quarantined and deleted successfully.

Falso positivo, trattasi del file di installazione di Panda Cloud.

19-06-2010, 20:34	#1
melody Member Iscritto dal: Jun 2006 Messaggi: 293	trojan, e poi...? Non ho la più pallida idea di cosa stia succedendo quindi scusate il titolo vago. Antivir giorni fa ha bloccato l'accesso a due file, trojan, che erano in un .exe del nokia pc suite (installato da una vita e funzionante). ho rifatto una scansione completa anche con panda antivirus e ha trovato due file sospetti (non ricordo dove però) messi in quarantena. poi oggi scopro che mia sorella ha disinstallato panda...i file in quarantena che fine hanno fatto? cmq, da stamattina sto seguendo la vostra guida, fin'ora niente di strano rilevato dai programmi. fino a gmer. devo dire però che all'avvio di winxp il firewall mi chiedeva il consenso/blocco per una serie di programmi anche di hp, cioè di per sé non sospetti ma questo non era mai successo e non avevo modificato le impostazioni quindi nel dubbio alcuni li ho bloccati (se serve vi scrivo quali) insomma arrivata alla scansione con gmer, per due volte, lo schermo si è spento. non so bene come definire la cosa, nel senso che non si è spento il laptop e neanche lampeggiava, le lucine erano tutte accese ma lo schermo non ripartiva neanche abbassando il coperchio in standby, e quindi ho premuto lo start e win si è riavviato (non spento e riacceso, di solito se riavvio si spengono un attimo le luci invece lì no). sono andata a vedere che errore fosse riportato negli avvisi di sistema, e c'era quello di W32 Time... che non so cosa cavolo c'entrasse con quello che stava facendo. Insomma prima di provare gmer una terza volta vorrei un vostro parere... ps: cure it l'ho lanciato alla versione 6 ma non sono riuscita ad aggiornarlo prima, cmq non ha rilevato nulla (scansione completa) logs: Edit A-Squared Edit ESET e HiJackThis grazie Ultima modifica di Chill-Out : 19-06-2010 alle 20:56. Motivo: Editati liks

19-06-2010, 20:58	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

20-06-2010, 10:40	#3
melody Member Iscritto dal: Jun 2006 Messaggi: 293	scusate! prima di ricaricare tutti log vorrei chiedervi... poiché da ieri online armor mi avvisa che programmi che conosco tentano di accedere all'hard disc usando "physicaldrive0" ... vuol dire che è meglio che seguo la guida per il mbr rootkit?

20-06-2010, 18:22	#4
melody Member Iscritto dal: Jun 2006 Messaggi: 293	2.mbam 3.a-squared 4.kaspersky 5.cure it 6.sys 7.HiJackThis 8.gmer 9.prevx3 sembra relativamente pulito...ma ci sono ancora questi avvisi di "physicaldrive0" grazie

26-06-2010, 10:47	#8
melody Member Iscritto dal: Jun 2006 Messaggi: 293	di nuovo io... da un paio di giorni la connessione non caricava bene e dopo aver controllato il modem ho pensato di rifare una scansione con malwarebytes... e ha trovato un trojan redondu http://wikisend.com/download/453364/...(00-35-12).txt sto riseguendo tutte le scansioni in fila, ma potete spiegarmi come agisce questo virus? perché come vedete prima il laptop sembrava pulito, era rimasto o l'ho preso dopo? perché l'antivirus e simili non mi hanno avvisato di nulla. grazie

Strumenti
Mostra una versione stampabile Invia questa pagina per email