|
|
|
|
Strumenti |
06-03-2008, 17:34 | #21 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
|
06-03-2008, 18:44 | #22 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Dunque, ho eseguito il tool ma ho avuto questo problemino
tempo fa aveva installato il Norton Antivirus... cmq cliccando su ignora mi ha generato il log: Quote:
|
|
06-03-2008, 18:51 | #23 | |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
penso che c'è ancora traccia di zonebac, quindi devi eseguire la funzione 2 e inserire nel file di testo che ti si apre come indicato in guida questo script:
Quote:
http://www.hwupgrade.it/forum/showpo...58&postcount=4 quindi posta qui il secondo log che verrà creato dopo penseremo alla completa rimozione di norton Ultima modifica di murack83pa : 06-03-2008 alle 18:53. |
|
06-03-2008, 19:12 | #24 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Ok, farò come dici e poi ti posterò l'altro log.
Thanks. |
07-03-2008, 10:44 | #25 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
In attesa di poter seguire i tuoi consigli ho provato ad eseguire Findawf 1.4 sul mio PC, curioso di vedere il log che mi genera per fare dei confronti (ti volevo chiedere infatti: dal log che ti ho postato, da dove deduci che ci siano tracce di Zonebac?), purtroppo non sono nemmeno riuscito a fare lo scan perchè il NOD32 mi rileva Process.exe come virus Win32/PrcView.
PS Danno fastidio gli screen così grandi al post precedente? Se vuoi li riduco. Ciao murak e grazie ancora. |
07-03-2008, 10:53 | #26 |
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
Vedendo il log si nota solo la presenza di cartelle bak, che sono create da questi tipi di malware. Però se si vedono le date degli eseguibili mi pare che si possa escludere che il trojan ci sia ancora, doveva esserci almeno un eseguibile con data 2008.
Ultima modifica di Nuz : 07-03-2008 alle 10:56. |
07-03-2008, 10:54 | #27 | |
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
ciao sirio
il zonebac e l'obfuscated hanno la capacità di sostituire gli eseguibili dei programmi che partono in avvio con file infetti, mettendo gli eseguibili legittimi in cartelle bak il fatto che dal tuo log compaiono cartelle bak con dentro gli eseguibili, vuol dire che hai avuto uno di questi trojan, probabilmente l'obfuscated, xchè lo zonebac ha anche altri effetti, sopratutto la disattivazione dell'antivirus, modifica le impostazioni del browser.... dal tuo log si evince xò questo: Quote:
facendo le operazioni che ti ho detto prima, dovresti aver eliminato l'obfuscated poichè questi trojan si trasmettono tramite navigazione web, forse è meglio controllare che tuo cugino utilizzi una versione aggiornata di internet explorer o firefox(in questo caso è necessario l'utilizzo di estensioni come noscript) e inoltre verifica che ha java aggiornato all'ultima versione in ogni caso, x un controlo generale, potresti seguire la guida alla disinfezione edit: ha ragione Nuz, nn avevo visto le date |
|
07-03-2008, 11:09 | #28 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo? |
07-03-2008, 11:32 | #29 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
sì lo devi ripristinare l'exe altrimenti rimani con quello infetto...
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
07-03-2008, 11:51 | #30 |
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:
C:\WINDOWS\system32\ctfmon.exe Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto. Ultima modifica di Nuz : 07-03-2008 alle 12:01. |
07-03-2008, 12:14 | #31 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Ciao xcdegasp ..non sono sicuro che siano infetti.
@ Nuz Si, volevo fare questa prova anch'io (visto che antivir a-squareed e SUPERantispyware non segnalano più niente), oggi pomeriggio passo a casa sua e faccio questa verifica. |
07-03-2008, 12:53 | #32 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Quindi penso che non ci sia bisogno di sostituire ctfmon.exe? Farò un controllo anche sugli altri. |
|
07-03-2008, 12:55 | #33 |
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
Allora puoi eliminare le cartelle bak e il loro contenuto.
|
07-03-2008, 13:04 | #34 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Grazie Nuz te e tutti i ri..gazzi
|
07-03-2008, 14:30 | #35 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
07-03-2008, 14:35 | #36 |
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
|
07-03-2008, 16:48 | #37 | ||
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Quote:
Quote:
Due cose: 1) questa è una Guida all'uso del programma, non una discussione ufficiale da utilizzare per risolvere il problema della eventuale infezione: per questo, c’è un thread apposito, sul forum; 2) per quale ragione la Guida in questione, non è, ancora, stata linkata nella apposita sottosezione: Guida all'uso dei programmi?? |
||
07-03-2008, 17:46 | #38 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Come siamo fiscali...la penso diversamente, mi sembra che con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf, inoltre sono emerse alcune incopatibilità con altri software di sicurezza. Perciò credo che sia più che attinente ciò che ho scritto e dove l'ho scritto.
Saluti. |
07-03-2008, 19:10 | #39 | |||
Bannato
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
|
Ciao Sirio; aprofitto del tuo reply per chiarire un paio di aspetti:
Quote:
Tu ora dirai: perchè sulla Guida non è stato scritto? La risposta è: quando ho scritto la Guida, ho dato per scontato che la cosa fosse risaputa; considerato che non è così, provvederemo ad integrare la Guida. Quote:
Quote:
quanto viene pubblicata una Guida all'uso di un software, questa dovrebbe: ● essere spostata nella apposita Sezione; ● depurata di tutti gli interventi che si sono susseguiti. ● il relativo thread andrebbe, dal Moderatore di sezione, chiuso per evitare che gli utenti vi possano postare; ● nel caso in cui si dovessero apportare delle modifiche alla Guida, chi la ha realizzata/postata, potrebbe, in PM, chiedere al Moderatore di sezione di riaprire la discussione per il tempo necessario alla esecuzione delle modifiche; ● se non esistesse sul Forum, una discussione attinente alla tematica trattata dalla Guida, questa andrebbe aperta da chi ha realizzato la Guida ed il relativo link dovrebbe essere indicato nella Guida stessa, in maniera che la discussone sia raggiungibile anche dalla Guida (cosa che, in questa Guida, è stata fatta). P.S.: Il post #1 della Guida è stata aggiornato Ultima modifica di Riverside : 07-03-2008 alle 19:47. |
|||
07-03-2008, 20:36 | #40 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Ciao Riverside, premetto che ho stima di te come di altri per il lavoro che svolgete continuamente.
Io non ho nulla da dire rispetto la guida anzi direi che è fatta e scritta molto bene, se ho fatto notare (come altri) a murack83pa che mancava una spiegazione sul tool era per migliorare la guida non per denigrarla (che è quello che avrei gradito anche io per la mia guida, ma nessuno ha fatto). Per il fatto delle incopatibilità mi sono espresso male. Ho scaricato tranquillamente Findawf, il Nod mi ha rilevato il virus quando ho tentato di fare la scansione, mi ha messo in quarantena Process.exe creato da Findawf e quindi non sono riuscito ad eseguire lo scan. Poi, per chi avesse avuto il Norton installato in precedenza la libreria in questione della Symantec (vedi screen sopra) non permette di proseguire il tool, cioè Findawf viene terminato. Il tuo pensiero sulle guide chiuse potrebbe essere una buona idea, però da quello che ho constatato personalmente tenendola aperta si offre un maggior aiuto a tutti gli utenti e comunque penso che il discuterne approfondisca la conoscenza del programma.. anche perchè la maggior parte di questi sono in continua evoluzione. Ultima cosa, io ho aspettato circa una settimana prima che xcdegasp mi spostasse la guida nell'apposita sezione, ma non credo che questo sia un problema. Dimenticavo... a te non li ho ancora fatti, complimenti per la guida. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:22.