File sospetto: "Accesso"

[holsen1982]

te l'ho mandato..non ho capito una cosa però..io ho messo la password sul file che è dentro l'archivio..come si fa a metterla sull'archivio,cioè non dare nemmeno la possibilità di aprire winrar?

[holsen1982]

...ti è arrivata la mail?

[holsen1982]

...qualcuno sa che fine ha fatto xcdegasp?

[xcdegasp]

ciao scusami se non ti ho più risposto ma non sono connesso dopo la notte del 27
ho appena preso il file e ho fatto due scansioni nuove:
http://virscan.org/report/57b1beb7f0...d09d83965.html
e
http://www.virustotal.com/it/analisi...e60d548d4b5424

ho scrittoi a ad avira, vediamo cosa mi dicono

[holsen1982]

..qualche novità da avira?..volevo chiederti una cosa..utilizzo il pc per tutto possiamo dire..banca,ricariche per il cellulare,pagamenti..posso azzardarmi a controllare o è meglio aspettare l'esito dei virus scansionati?

[xcdegasp]

non è un virus, lo ha confermato il laboratorio di avira

[holsen1982]

bene allora.. come procedo allora?l'icona acceso è ancora presente sul desktop..

[xcdegasp]

puoi eliminarlo tranquillamente non essendo un file di windows

poi magari rifai la scansione con malwarebytres, a-squared, hijackthis, gmer e prevxcsi

[holsen1982]

allora...eccoti di seguito i log e le relativi immagini salvate:

malwarebytes:http://www.fileqube.com/shared/vszsLWicp93199
a-squared:http://www.fileqube.com/shared/hdSeFgyH93200
hijackthis:http://www.fileqube.com/shared/aUleXXOof93201
gmer:http://www.fileqube.com/shared/YSKyOnn93202
http://www.fileqube.com/shared/AzowTnVxM93204
http://www.fileqube.com/shared/HOposc93206
prevx:http://www.fileqube.com/shared/lUzdvNf93207
http://www.fileqube.com/shared/PxFZYRLO93208

l'unica cosa che non riesco a spiegarmi è quel c/programmi/nvidia/hidden..etc
da domani spero di poter navigare pulito..grazie ancora

[holsen1982]

xcdegasp..potresti darmi l'ultima controllata e di conseguenza fornirmi le eventuali procedure da eseguire?son 2 settimane esatte domani che navigo "limitato" ...attendo tue risposte

[xcdegasp]

eccomi qua..
malwarebytes e a-squared puliti

per hijackthis fixa queste:

Codice:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

ninte di allarmante, sono solo per pulizia la prima e la seconda per evitare un inutile partenza all'avvio del pc

su gmer potrebbe essere un falso positivo ossia falsa segnalazione controlla in services.msc (strat->esegui:-> scrivi services.msc e batti invio) questo servizio "nTuneService" a che file punta così poi verifichiamo il file su http://virscan.org/ e http://www.virustotal.com/

comunque viagguare con account limitato non ti danneggia

[holsen1982]

allora..
hijackthis:fixate le 2 voci
gmer:dopo essere entrato con start-sevices.msc,ho cercato ntuneservice,doppio click e il percorso file eseguibile che risulta è questo:
C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe /StartService..
ieri,mentre aspettavo una tua risposta,ho fatto girare avira in modalità provvisoria..se vuoi darci un'occhiata,ecco il link per il log:
http://www.fileqube.com/shared/OitIVGG95079
fammi sapere..

[holsen1982]

..xcdegasp..ti sto cosi antipatico?

[xcdegasp]

Quote:

Originariamente inviato da holsen1982

..xcdegasp..ti sto cosi antipatico?

no, non mi stai mica antipatico

non t'avevo proprio visto...
questo file C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe fallo analizzare su http://virscan.org/ e http://www.virustotal.com/ e pubblica il link che ti compare nel browser a fine di ogni scansione

[holsen1982]

ecco i risultati:
virscan:http://virscan.org/report/882e59ef97...e57dbfa2c.html
virustotal:http://www.virustotal.com/it/analisi...52583144e75239

[xcdegasp]

benissimo il pc è pulito

dai unaletta a questo thread: http://www.hwupgrade.it/forum/showthread.php?t=1726383

[holsen1982]

perfetto...semplice curiosità..come mai fortinet nei risultati di virscan mi dice che è sospetto?poi..l'icona accesso che è ancora presente sul desktop,posso eliminarla semplicemente?grazie ancora per il tuo aiuto..

[xcdegasp]

perchè è un falso positivo ossia un avvertimento sbagliato dell'antivirus
sì puoi eliminarla

[dtr.lecter]

Ciao a tutti, sono stato infettato da un dialer lo stesso del titolo del treadh, e ho risolto con questa spiegazione,

Quote:

Originariamente inviato da HyperTHRD

COSA FA QUESTO DIALER:
Quando ci si collega ad un sito internet, da questo parte una connessione a un sito tipo ...add-ppp.info che richiede di installare un programma java 'certificato' dalla 'Base Actvitied Limited' che ne è anche l'autore.
Se accetti, installa questo programma che poi, ogni volta che rientri nel sito incriminato, ricrea il DIALER.

Procedura per eliminarlo:
Pannello di controllo/Java/Generale, in basso a destra Visualizza e rimuovete tutti i file (basterebbero solo i Java.jar).
Fatto ciò, cliccate sul menu Protezione, Certificati ed eliminate il certicato della Base Actvitied Limited.
Non è ancora finita! Eliminate tutti Cookies del vostro browser e nella voce pop-up rimuovete fra i siti consentiti i siti che vi hanno installato il dialer.
Ultimo passaggio, eliminare il dialer sotto forma di file .exe che risiede nella cartella del vostro sistema operativo

in bocca al lupo, ciao

solo che non so come trovare il file .exe specificato nei programmi in quanto non è stato detto come si chiama, chi sa aiutarmi per favore?
Grazie a tutti