[win 7 ultimate 64bit] Trojian TR/Drop.Cosmu.A problema.

Fisico73 · 23-06-2012, 13:46

Ciao a tutti, l'altro ieri la chiavetta di mia figlia mi ha infettato il PC con il trojian in oggetto. Avira l'ha "rimosso", ma è rimasto un brutto effetto collaterale.
TUTTE le cartelle (non le icone, solo le cartelle) del desktop sono "sparite".
Da notare che:

1) ogni cartella è stata sostituita dal trojian ed al suo posto vi era un file [nome cartella].exe
2) avira mi ha giustamente messo in quarantena tutti i suddetti file.
3) le cartelle NON sono visibili sul desktop ne nella lista di elementi che si ottiene dal prompt di comandi (c:\user\[username]\Desktop dir)
4) le cartelle sono PRESENTI sull'hd perchè se ci vado via testuale entro e leggo i file ad esempio
cd c:\user\[username]\Desktop\[nome cartella sparita]
dir
ottengo la lista dei file.
Ho provato a copiare il contenuto di una cartella sparita in una nuova creata sul desktop ed i file sono perfettamente leggibili (più che altro sono foto/disegni)

Ho provato a impostare la visualizzazione delle cartelle nascoste ma non è cambiato nulla.
Ho provato ad utilizzare programmi come unhide ma anche qui non è cambiato nulla.

ovviamente non è un problema di explorer, mi pare più un problema di qualche "chiave di registro"...

siccome le cartelle sono tantine, vorrei evitare di dover trasferire il loro contenuto in altrettante cartelle nuove (ci metterei una vita)

il trojian mi ha cancellato anche tutti i punti di ripristino prima della data di infezione.
Chi riesce a darmi una mano?

**Chill-Out** · 25-06-2012, 18:38

Ciao, allega il log di Avira su uno dei server remoti qui indicati http://www.hwupgrade.it/forum/showthread.php?t=1751598

Fisico73 · 25-06-2012, 22:23

ciao, ecco fatto

file di log

giovanniXD · 26-06-2012, 00:18

mi sembra che c'è un tool del kaspesky che (è basato su linux) lo avvii tramite cd boot e ti disinfetta lintero hd

Fisico73 · 26-06-2012, 06:44

ti ricordi il nome e magari hai anche il link?
comunque ORA l'hd è pulito... solo che non sono state ripristinate le cartelle

giovanniXD · 26-06-2012, 08:41

mi sembra che si chiama " Kaspersky Rescue Disk "

Fisico73 · 27-06-2012, 23:19

o sono particolarmente sfortunato o c'e' qualcosa che non va nel PC

ho provato a scaricarmi (più volte) l'utility Kaspersky MA mi dice sempre che il file è corrotto... domani provo dal lavoro (da un altro PC) e vediamo.
Per ora sono ancora in stallo!!

Fisico73 · 30-06-2012, 23:33

aggiornamento.
ho usato il Kaspersky Rescue Disk ma non ha trovato infezioni. in compenso con l'utility linux a riga di comando vedevo TUTTE le directory del desktop windows con diritti dwrxwrxwrx (proprietario root gruppo root).
Comunque ho fatto un micro script che mi crei una nuova directory <nome vecchia dir>_bk e mi sposti tutto il contenuto
mv <nome vecchia dir>/* <nome vecchia dir>_bk
così facendo da Windows vedo (sul desktop) le icone denominate <nome vecchia dir>_bk.
Ovviamente se provo da win a cambiare nome <nome vecchia dir>_bk in <nome vecchia dir> mi dice che "esiste già" e mi da le solito 3 opzioni (merge, overwrite e annulla), però se proseguo la directory <nome vecchia dir> non rimane visibile sul desktop.

Ho anche reinstallato Avira e rifatta la scansione (controllando tutto il possibile) del disco, trovando 16 virus o programmi indesiderati (spostati in quarantena)

questo l'ultimo log di Avira
http://www.filedropper.com/avscan-20...44614-a87987c7

fatta l'ultima scansione con AVIRA ho riavviato e rifatto partire un'ulteriore scansione...
Dopo qualche minuto mi esce il messaggio che sono stati trovati 64 oggetti nascosti e se volevo interrompere la scansione stessa.
Ho interrotto ed installato Malwarebytes (che è in promo versione FULL per 15 gg).
questi i file di log di Malwarebytes

http://www.filedropper.com/protection-log-2012-07-01
http://www.filedropper.com/mbam-log-2012-07-0111-41-23
http://www.filedropper.com/mbam-log-2012-07-0115-26-47

raga datemi una mano che comincio a rompermi con sto stamaledetto Trojian...
Beh magari non ORA, visto che mancano 30 min all'inizio

....

Fisico73 · 02-07-2012, 19:43

ciao, nessuno mi sa dare una manina

grazie

23-06-2012, 13:46	#1
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	[win 7 ultimate 64bit] Trojian TR/Drop.Cosmu.A problema. Ciao a tutti, l'altro ieri la chiavetta di mia figlia mi ha infettato il PC con il trojian in oggetto. Avira l'ha "rimosso", ma è rimasto un brutto effetto collaterale. TUTTE le cartelle (non le icone, solo le cartelle) del desktop sono "sparite". Da notare che: 1) ogni cartella è stata sostituita dal trojian ed al suo posto vi era un file [nome cartella].exe 2) avira mi ha giustamente messo in quarantena tutti i suddetti file. 3) le cartelle NON sono visibili sul desktop ne nella lista di elementi che si ottiene dal prompt di comandi (c:\user\[username]\Desktop dir) 4) le cartelle sono PRESENTI sull'hd perchè se ci vado via testuale entro e leggo i file ad esempio cd c:\user\[username]\Desktop\[nome cartella sparita] dir ottengo la lista dei file. Ho provato a copiare il contenuto di una cartella sparita in una nuova creata sul desktop ed i file sono perfettamente leggibili (più che altro sono foto/disegni) Ho provato a impostare la visualizzazione delle cartelle nascoste ma non è cambiato nulla. Ho provato ad utilizzare programmi come unhide ma anche qui non è cambiato nulla. ovviamente non è un problema di explorer, mi pare più un problema di qualche "chiave di registro"... siccome le cartelle sono tantine, vorrei evitare di dover trasferire il loro contenuto in altrettante cartelle nuove (ci metterei una vita) il trojian mi ha cancellato anche tutti i punti di ripristino prima della data di infezione. Chi riesce a darmi una mano? __________________ Fisico73

25-06-2012, 18:38	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao, allega il log di Avira su uno dei server remoti qui indicati http://www.hwupgrade.it/forum/showthread.php?t=1751598 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

25-06-2012, 22:23	#3
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	ciao, ecco fatto file di log __________________ Fisico73

26-06-2012, 06:44	#5
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	ti ricordi il nome e magari hai anche il link? comunque ORA l'hd è pulito... solo che non sono state ripristinate le cartelle __________________ Fisico73

27-06-2012, 23:19	#7
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	o sono particolarmente sfortunato o c'e' qualcosa che non va nel PC ho provato a scaricarmi (più volte) l'utility Kaspersky MA mi dice sempre che il file è corrotto... domani provo dal lavoro (da un altro PC) e vediamo. Per ora sono ancora in stallo!! __________________ Fisico73

26-06-2012, 00:18	#4
giovanniXD Bannato Iscritto dal: Jun 2012 Messaggi: 26	mi sembra che c'è un tool del kaspesky che (è basato su linux) lo avvii tramite cd boot e ti disinfetta lintero hd

26-06-2012, 08:41	#6
giovanniXD Bannato Iscritto dal: Jun 2012 Messaggi: 26	mi sembra che si chiama " Kaspersky Rescue Disk "

30-06-2012, 23:33	#8
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	aggiornamento. ho usato il Kaspersky Rescue Disk ma non ha trovato infezioni. in compenso con l'utility linux a riga di comando vedevo TUTTE le directory del desktop windows con diritti dwrxwrxwrx (proprietario root gruppo root). Comunque ho fatto un micro script che mi crei una nuova directory <nome vecchia dir>_bk e mi sposti tutto il contenuto mv <nome vecchia dir>/* <nome vecchia dir>_bk così facendo da Windows vedo (sul desktop) le icone denominate <nome vecchia dir>_bk. Ovviamente se provo da win a cambiare nome <nome vecchia dir>_bk in <nome vecchia dir> mi dice che "esiste già" e mi da le solito 3 opzioni (merge, overwrite e annulla), però se proseguo la directory <nome vecchia dir> non rimane visibile sul desktop. Ho anche reinstallato Avira e rifatta la scansione (controllando tutto il possibile) del disco, trovando 16 virus o programmi indesiderati (spostati in quarantena) questo l'ultimo log di Avira http://www.filedropper.com/avscan-20...44614-a87987c7 fatta l'ultima scansione con AVIRA ho riavviato e rifatto partire un'ulteriore scansione... Dopo qualche minuto mi esce il messaggio che sono stati trovati 64 oggetti nascosti e se volevo interrompere la scansione stessa. Ho interrotto ed installato Malwarebytes (che è in promo versione FULL per 15 gg). questi i file di log di Malwarebytes http://www.filedropper.com/protection-log-2012-07-01 http://www.filedropper.com/mbam-log-2012-07-0111-41-23 http://www.filedropper.com/mbam-log-2012-07-0115-26-47 raga datemi una mano che comincio a rompermi con sto stamaledetto Trojian... Beh magari non ORA, visto che mancano 30 min all'inizio .... __________________ Fisico73 Ultima modifica di Fisico73 : 01-07-2012 alle 20:03.

02-07-2012, 19:43	#9
Fisico73 Senior Member Iscritto dal: Jul 2000 Città: Trento - Verona Messaggi: 1004	ciao, nessuno mi sa dare una manina grazie __________________ Fisico73

Strumenti
Mostra una versione stampabile Invia questa pagina per email