Trasferimento Dati attivo anche quando la connessione non è usata!? o.o

djmatrix619 · 28-09-2008, 11:53

Salve a tutti,
da un paio di giorni mi accade una cosa alquanto strana.
In pratica ho scaricato un archivio, e quando ho estratto il contenuto, e avviato l'applicazione che pensavo fosse quella, in realtà era un virus.

NOD32, che è il mio antivirus, subito mi ha lanciato 3 o 4 messaggi, che mi informava della presenza di esso, e l'unica cosa che ricordo, è che era un cavallo di troia, comunque sia, dai messaggi che dava pensavo l'avesse eliminato tranquillamente.. ma dal funzionamento della rete che sto avendo ultimamente.. non è poi tanto normale la cosa!!

In pratica.. anche se non ho niente attivo che sfrutti la rete, l'icona in basso a destra accanto all'orologio, è sempre accesa, e se clicco 2 volte sull'icona, vedo diversi byte che entrano e escono continuamente, cosa che prima non mi era mai successa!! o.o

Possibile che sia ancora infetto?

Ah.. devo anche dire che questo non è l'unico effetto che ho avuto sul sistema. Firefox (come IE o Safari) non carica la pagina quasi mai subito. Ad esempio.. se lo apro e digito il sito di google.. le prime 2 o 3 volte, mi dice "FIREFOX non riesce a caricare la pagina, bla bla bla" e poi successivamente, me la carica, ma a volte molto lentamente e spesso neanche completamente, insomma.. un bel guaio.

Io ho NOD32 v2.7 come antivirus (ripeto), e fino ad adesso, ho fatto la scansione approfondita con esso, la scansione approfondita con l'anti malware di microsoft aggiornato a settembre v2.2.. e fatto ricerce antispyware con vari programmi (TUNEUP 2008 e ADVANCED WINDOWS CARE) e eseguito CCLEANER.. ma naturalmente.. ci ho guadagnato poco e niente.
Ho installato XP PROF. SP3, ho fastweb, con router. ( se serve altro ditemi pure.. )

Purtroppo non so la procedura delle varie cose che dovrei postare per voi per farmi dare una mano, è la prima volta che scrivo!

Grazie del vostro aiuto ragazzi!!

xcdegasp · 28-09-2008, 12:06

segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione

nel frattempo installa anche un firewall software optando tra OnlineArmor-free (solo per winXP) oppure per Comodo-Firewall entrambi gratuiti e ritenuti da moltissimi utenti come i migliori firewall in circolazione.
almeno potrai farti un idea seria di cio che avviene nel tuo pc, ripulito il tuo pc sarà da studiare una vera linea difensiva

djmatrix619 · 28-09-2008, 12:13

Quote:

Originariamente inviato da xcdegasp

segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione

nel frattempo installa anche un firewall software optando tra OnlineArmor-free (solo per winXP) oppure per Comodo-Firewall entrambi gratuiti e ritenuti da moltissimi utenti come i migliori firewall in circolazione.
almeno potrai farti un idea seria di cio che avviene nel tuo pc, ripulito il tuo pc sarà da studiare una vera linea difensiva

Ok farò quanto detto nella prima riga.

Grazie!

Per il firewall, se installo ad esempio il primo software, devo disabilitarlo quello di windows?

xcdegasp · 28-09-2008, 12:29

Quote:

Originariamente inviato da djmatrix619

Per il firewall, se installo ad esempio il primo software, devo disabilitarlo quello di windows?

viene disabilitato in automatico quello di windows

djmatrix619 · 28-09-2008, 15:19

ok perfetto.

Ho eseguito tutte le operazioni descritte nel topic, e ho ottenuto questo:

ATF CLEANER, mi ha rimosso tanta roba, ma non mi ha risolto nessun problema rilevante.

Online Armor Free 2.0, mi fà vedere, come unico processo sospetto, SERVICES.EXE, che va a circa 15-20kb/s di download costante. Non so se ciò è normale, visto che da quello che so, esso è un processo di sistema, ma può darsi che sia la causa della connessione sempre attiva anche quando non la si usa... ^^
Sempre tramite questo firewall, ho bloccato mDNSresponder, (fà parte del gruppo bonjour) che non ho assolutamente idea di cosa possa essere, e non capisco perché è attivo. L'ho notato a parecchie installazioni di windows, anche quando prima avevo il SP2. Se qualcuno sa cos'è.. mi farebbe davvero un grosso piacere.

Infine, la cosa più importante, Prevx CSI dopo una scansione del sistema, all'inizio non mi ha trovato un bel nulla, dicendomi che era tutto apposto. Poi dopo aver riavviato per tutte le operazioni che avevo fatto, ( e dopo 3 ore di caricamento di Windows..

) lasciandolo acceso mentre io ero a vedere il GP di FORMULA 1.. torno e trovo un "MALICIOUS SOFTWARE"..

Così ho pensato di uploaddare il log di prevx.. e di postarvelo.

Eccolo qui: http://wikisend.com/download/497192/prevx.log

xcdegasp · 28-09-2008, 17:51

da prevxCSI:

Codice:

D:\WINDOWS\system32\DNSAPI.dll	InMem: 1	Det [u]	PX5: AAB816C7003C4D3542E702845D4F1A00ADA0B52F


D:\WINDOWS\system32\DRIVERS\atksgt.sys	InMem: 0	Det [u]	PX5: 4959F7C4A04282F5442204545FFC2200705B5829

	REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\atksgt - ImagePath [D:\WINDOWS\system32\DRIVERS\atksgt.sys]


D:\WINDOWS\system32\DRIVERS\lirsgt.sys	InMem: 0	Det [u]	PX5: EFA1A29020CBD0C7654E00DBCADC01004796C9D4

	REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\lirsgt - ImagePath [D:\WINDOWS\system32\DRIVERS\lirsgt.sys]


D:\WINDOWS\ForceCore.exe	InMem: 0	Det [u]	PX5: 59DE6A6600333FE350D8009D861E78006482064C


D:\WINDOWS\system32\iwpsetup.exe	InMem: 0	Det [u]	PX5: 8420B1A7009125DBC616029FFA438400D512B292


D:\WINDOWS\TEMP\8F866171.exe	InMem: 0	Det [b]	PX5: A4D69AD600BACF03CE49000A06142100188C6A6A	Malware Group: Malicious Software

	REGSESSMGR - \REGISTRY\Machine\System\CurrentControlSet\Control\Session Manager - PendingFileRenameOperations [\??\D:\WINDOWS\TEMP\8F866171.exe


D:\WINDOWS\System32\drivers\7bdbc467.sys - [4] >> Hidden Service: 7bdbc467 (PX5: 0000000000000000000000000000000000000000)


Summary:

D:\WINDOWS\System32\drivers\7bdbc467.sys - [4] >> Hidden Service: 7bdbc467 (PX5: 0000000000000000000000000000000000000000)

D:\WINDOWS\TEMP\8F866171.exe - [b] >> Malicious Software (PX5: A4D69AD600BACF03CE49000A06142100188C6A6A)

ATF-Cleaner doveva essere la prima scansione da fare..

djmatrix619 · 28-09-2008, 18:29

Si.. infatti io sono andato in ordine così come c'era scritto nel topic.. solo dopo aver pulito con ATF Cleaner, ho proseguito con la scansione di prevxCSI ^^.

Ora con quel codice cosa debbo fare?

wjmat · 28-09-2008, 18:38

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

D:\WINDOWS\System32\drivers\7bdbc467.sys

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Ricapitolando, dopo aver disabilitato il ripristino di sistema

, fatto la pulizia dei file inutili con ATFCleaner

, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi
log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
log di Dr.Web CureIT scaricato oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

djmatrix619 · 28-09-2008, 18:54

Ehm.. c'è 1 problema.

Mi è impossibile fare tutte quelle operazioni, perché mi blocco al primo passaggio, ovvero il file non vuole essere hostato su nessuno dei 2 siti da te citati. Devo proseguire ugualmente?

PS= Tanto per cambiare, non posso più inserire faccine o mettere tutti gli stili di formattazione in questa finestra.. andiamo bene.. più tempo passa, più danni fà questo file..... :S

wjmat · 28-09-2008, 19:17

cosa non vuole essere hostato??

djmatrix619 · 28-09-2008, 19:28

Quote:

Originariamente inviato da wjmat

cosa non vuole essere hostato??

D:\WINDOWS\System32\drivers\7bdbc467.sys

-----

EDIT: Rendo noto cmq che PrevxCSI segnala anche un altro file sospetto, ovvero "D:/Windows/Temp/8F866171.exe", solo che se vado a controllare la cartella, mi esce si un file exe da circa 50kb.... ma con un nome diverso! Ovvero: 99FE390A.exe.
Uff.. mi sa che diventa sempre più un casino!

wjmat · 29-09-2008, 09:13

Quote:

Originariamente inviato da djmatrix619

D:\WINDOWS\System32\drivers\7bdbc467.sys

-----

EDIT: Rendo noto cmq che PrevxCSI segnala anche un altro file sospetto, ovvero "D:/Windows/Temp/8F866171.exe", solo che se vado a controllare la cartella, mi esce si un file exe da circa 50kb.... ma con un nome diverso! Ovvero: 99FE390A.exe.
Uff.. mi sa che diventa sempre più un casino!

procedi con la guida, pensiamo dopo a quello

quello della cartella temp sicuramente è infetto e penso/spero venga spazzato dalla pulizia file inutili, o comunque nelle restanti scansioni

28-09-2008, 11:53	#1
djmatrix619 Senior Member Iscritto dal: Aug 2006 Città: The Zone Messaggi: 21881	Trasferimento Dati attivo anche quando la connessione non è usata!? o.o Salve a tutti, da un paio di giorni mi accade una cosa alquanto strana. In pratica ho scaricato un archivio, e quando ho estratto il contenuto, e avviato l'applicazione che pensavo fosse quella, in realtà era un virus. NOD32, che è il mio antivirus, subito mi ha lanciato 3 o 4 messaggi, che mi informava della presenza di esso, e l'unica cosa che ricordo, è che era un cavallo di troia, comunque sia, dai messaggi che dava pensavo l'avesse eliminato tranquillamente.. ma dal funzionamento della rete che sto avendo ultimamente.. non è poi tanto normale la cosa!! In pratica.. anche se non ho niente attivo che sfrutti la rete, l'icona in basso a destra accanto all'orologio, è sempre accesa, e se clicco 2 volte sull'icona, vedo diversi byte che entrano e escono continuamente, cosa che prima non mi era mai successa!! o.o Possibile che sia ancora infetto? Ah.. devo anche dire che questo non è l'unico effetto che ho avuto sul sistema. Firefox (come IE o Safari) non carica la pagina quasi mai subito. Ad esempio.. se lo apro e digito il sito di google.. le prime 2 o 3 volte, mi dice "FIREFOX non riesce a caricare la pagina, bla bla bla" e poi successivamente, me la carica, ma a volte molto lentamente e spesso neanche completamente, insomma.. un bel guaio. Io ho NOD32 v2.7 come antivirus (ripeto), e fino ad adesso, ho fatto la scansione approfondita con esso, la scansione approfondita con l'anti malware di microsoft aggiornato a settembre v2.2.. e fatto ricerce antispyware con vari programmi (TUNEUP 2008 e ADVANCED WINDOWS CARE) e eseguito CCLEANER.. ma naturalmente.. ci ho guadagnato poco e niente. Ho installato XP PROF. SP3, ho fastweb, con router. ( se serve altro ditemi pure.. ) Purtroppo non so la procedura delle varie cose che dovrei postare per voi per farmi dare una mano, è la prima volta che scrivo! Grazie del vostro aiuto ragazzi!! __________________ ● ( MyPC ) ● "RimWorld" ● S.T.A.L.K.E.R. 2 ● "The Indie Corner" ● ● "Starfield" ● ..ah nuuu chiiiiki briiiiki iv damke!! ● "Steam Deck" ● ● EA is the Devil... ● » ..victims of EA.. « ● ...ORIGIN is the Hell ●

28-09-2008, 12:06	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione nel frattempo installa anche un firewall software optando tra OnlineArmor-free (solo per winXP) oppure per Comodo-Firewall entrambi gratuiti e ritenuti da moltissimi utenti come i migliori firewall in circolazione. almeno potrai farti un idea seria di cio che avviene nel tuo pc, ripulito il tuo pc sarà da studiare una vera linea difensiva __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

28-09-2008, 15:19	#5
djmatrix619 Senior Member Iscritto dal: Aug 2006 Città: The Zone Messaggi: 21881	ok perfetto. Ho eseguito tutte le operazioni descritte nel topic, e ho ottenuto questo: ATF CLEANER, mi ha rimosso tanta roba, ma non mi ha risolto nessun problema rilevante. Online Armor Free 2.0, mi fà vedere, come unico processo sospetto, SERVICES.EXE, che va a circa 15-20kb/s di download costante. Non so se ciò è normale, visto che da quello che so, esso è un processo di sistema, ma può darsi che sia la causa della connessione sempre attiva anche quando non la si usa... ^^ Sempre tramite questo firewall, ho bloccato mDNSresponder, (fà parte del gruppo bonjour) che non ho assolutamente idea di cosa possa essere, e non capisco perché è attivo. L'ho notato a parecchie installazioni di windows, anche quando prima avevo il SP2. Se qualcuno sa cos'è.. mi farebbe davvero un grosso piacere. Infine, la cosa più importante, Prevx CSI dopo una scansione del sistema, all'inizio non mi ha trovato un bel nulla, dicendomi che era tutto apposto. Poi dopo aver riavviato per tutte le operazioni che avevo fatto, ( e dopo 3 ore di caricamento di Windows.. ) lasciandolo acceso mentre io ero a vedere il GP di FORMULA 1.. torno e trovo un "MALICIOUS SOFTWARE".. Così ho pensato di uploaddare il log di prevx.. e di postarvelo. Eccolo qui: http://wikisend.com/download/497192/prevx.log __________________ ● ( MyPC ) ● "RimWorld" ● S.T.A.L.K.E.R. 2 ● "The Indie Corner" ● ● "Starfield" ● ..ah nuuu chiiiiki briiiiki iv damke!! ● "Steam Deck" ● ● EA is the Devil... ● » ..victims of EA.. « ● ...ORIGIN is the Hell ●

28-09-2008, 18:29	#7
djmatrix619 Senior Member Iscritto dal: Aug 2006 Città: The Zone Messaggi: 21881	Si.. infatti io sono andato in ordine così come c'era scritto nel topic.. solo dopo aver pulito con ATF Cleaner, ho proseguito con la scansione di prevxCSI ^^. Ora con quel codice cosa debbo fare? __________________ ● ( MyPC ) ● "RimWorld" ● S.T.A.L.K.E.R. 2 ● "The Indie Corner" ● ● "Starfield" ● ..ah nuuu chiiiiki briiiiki iv damke!! ● "Steam Deck" ● ● EA is the Devil... ● » ..victims of EA.. « ● ...ORIGIN is the Hell ●

28-09-2008, 18:38	#8
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Fai controllare su www.virustotal.com e su http://virscan.org/ Codice: D:\WINDOWS\System32\drivers\7bdbc467.sys Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito. Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato) Alla fine della verifica rimetti le impostazioni originali Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli): log di Malwarebytes Anti-Malware aggiornato ad oggi log di A-squared scansione deep aggiornato ad oggi log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine log di Dr.Web CureIT scaricato oggi log di ESET SysInspector log di HiJackThis log di Gmer log di PrevxCSI Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi. Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc. Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... Questa è una brevissima guida alla pubblicazione dei log Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log link utili per il caricamento log ed immagini caricamento log fileqube.com, wikisend.com, mediafire.com caricamento immagini fileqube.com __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

28-09-2008, 18:54	#9
djmatrix619 Senior Member Iscritto dal: Aug 2006 Città: The Zone Messaggi: 21881	Ehm.. c'è 1 problema. Mi è impossibile fare tutte quelle operazioni, perché mi blocco al primo passaggio, ovvero il file non vuole essere hostato su nessuno dei 2 siti da te citati. Devo proseguire ugualmente? PS= Tanto per cambiare, non posso più inserire faccine o mettere tutti gli stili di formattazione in questa finestra.. andiamo bene.. più tempo passa, più danni fà questo file..... :S __________________ ● ( MyPC ) ● "RimWorld" ● S.T.A.L.K.E.R. 2 ● "The Indie Corner" ● ● "Starfield" ● ..ah nuuu chiiiiki briiiiki iv damke!! ● "Steam Deck" ● ● EA is the Devil... ● » ..victims of EA.. « ● ...ORIGIN is the Hell ●

28-09-2008, 19:17	#10
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	cosa non vuole essere hostato?? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

Strumenti
Mostra una versione stampabile Invia questa pagina per email