La sintassi del nome del file..... è incorretta

[xcdegasp]

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll

per il resto il log è ok son contento che intanto hai risolto i problemi

[paoladamiano]

Aggiornamento Java, e tutto il resto.... riuscito!!!! Ho aggiornato anche Vuze, C-cleaner e VLC che non venivano sagnalati come da aggiornare. Quindi ottimo!

Attendo istruzioni per i file rinominati in simil giapponese!
Arigatò

[paoladamiano]

Quote:

Originariamente inviato da xcdegasp

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll

per il resto il log è ok son contento che intanto hai risolto i problemi

Scusa Gasp, ma non ho capito se devo cancellare qualcosa (tipo: c:\windows\system32\appmgmts.dll)?
Inoltre l'autorun.inf continua ad essere bloccato da Avira sia su I che su H, e le cartelle in simil giapponese, che cosa ci faccio?
La situazione vi sembra risolvibile? o devo amputarle? Non ci sarebbe qualche antivirus specifico per Hard disk esterni e/o chiavette?

[paoladamiano]

Quote:

Originariamente inviato da xcdegasp

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll
........

Scusami xcdegasp, ho cercato questo file per analizzarlo con Visus Scan e VirusTotal, ma non lo trovo! Dove/come lo cerco? Come immaginerai non sono praticissima (anzi sono una "praticante scarsa"). Attendo un chiarimento

[paoladamiano]

.... nell'attesa, ho pensato di fare una scansione con HijachThis e lo allego
http://wikisend.com/download/452912/...ackthisTER.log

Non abbiamo la Yahoo tool bar quindi potrei eliminare 02 BHO (no name) ....eccecc ? e cos'altro?

[paoladamiano]

Aiuto!...... nell'attesa prendo coscienza di una situazione ormai peggiorata oltre misura: IE gira gira gira….!!! Navigazione quasi paralizzata.
Ho IE8 (anche Google Crome –appena istallato- ma non gira in contemporanea), la linea oscilla tra 18 e 24 Mbps, dal Task Manager vedo 11 processi iexplore.exe aperti su un totale di 76, tanti svchost.exe, la navigazione è lenta allo sfinimento... a volte infinita, CPU basso. Chiudo internet del tutto e ne rimangono in pista 6. Passo ATF e C-cleaner, il totale scende a 72 e gli iexplore.exe restano 6. Per scrivervi ho dovuto riavviare il pc xché la pagina non si apriva proprio.
Vi prego fatevi vivi!

[xcdegasp]

quel file ovviamente non c'è più nel tuo pc perchè è stato giustamente rimosso, dicevo di fare questa cosa:
start -> esegui..: -> services.msc
nella finestra che si apri cerchi se c'è questo servizio che ti ho indicato dal nome "gestione applicazione" e controlli in che stato sia, deve essere su arrestato.

mi spieghi perchè usi InternetExplorer? usa firefox con adblock plus, noscript e wot

[paoladamiano]

Quote:

Originariamente inviato da xcdegasp

quel file ovviamente non c'è più nel tuo pc perchè è stato giustamente rimosso, dicevo di fare questa cosa:
start -> esegui..: -> services.msc
nella finestra che si apri cerchi se c'è questo servizio che ti ho indicato dal nome "gestione applicazione" e controlli in che stato sia, deve essere su arrestato.

mi spieghi perchè usi InternetExplorer? usa firefox con adblock plus, noscript e wot

"gestione applicazione" era su Manuale. Ho messo Disabilitato.

Per Firefox (con adblock plus, noscript e wot) ci penserò seriamente non appena prenderò atto di non poter fare più niente per questo hd WD.
Magari sottoporrò alla procedura disinfezione infetti anche il vecchio pc dei bambini prima di chiudere la partita (se troverò schifezze, aprirò un altro 3D).
Oggi ho scansionato l'hd WD con McAfee da un altro pc: la scansione si è svolta senza blocchi. Non ho il log, ma nessuna schifezza è stata rilevata.
Se non avete altri suggerimenti, ho pensato che comprerò un altro hd nei prossimi giorni (non ho abbastanza spazio per un transito momentaneo), ci travaso i file ancora sani, e formatto l'hd WD.
Certo mi sarebbe piaciuto capire il perché di questo strano fenomeno e soprattutto perché Avira blocca l’autorun.inf se non ci sono virus (?).

Io però ho notato che l’autorun.inf in questo hd WD, non è solo nella cartella WDsync che vi ho indicato all’inizio (l'unica che viene fuori con il "cerca"), ma si trova anche altrove (palese o nascosto), probabilmente con scritte diverse all’interno.
Può essere significativa una ricerca in tal senso?
A presto

[xcdegasp]

per il nome delle cartelle che ora compaiono in caratteri asiatici non saprei che dirti..

mi sembra strano che non ci sia l'autorun.. ma non è che quando lo vedi è perchè prima sto hdd esterno lo hai collegato ad un pc diverso rispetto a quello dove stai facendo le scansioni?

[paoladamiano]

Io però ho notato che l’autorun.inf in questo hd WD, non è solo nella cartella WDsync che vi ho indicato all’inizio (l'unica che viene fuori con il "cerca"), ma si trova anche altrove (palese o nascosto), probabilmente con scritte diverse all’interno.
Può essere significativa una ricerca in tal senso?
***
Per curiosità, io la ricerchina l'ho fatta. Ho trovato 4 autorun.inf:

A-in My Passport (I)
1 File nascostoDoppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto

B-in cartella WDsync
2[autorun]
open=wdsync.exe
ICON=AUTORUN\WDLOGO.ICO

C-DENTRO LA NOSTRA CARTELLA DATI
3-in Cartella autorun
[autorun]
ICON=AUTORUN\WDLOGO.ICO
è insieme ad un autorun.run e un autorun.bat, nonché un wdlogo.ico
---
4-file nascosto nella nostra cartella dati
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO

Vedete qualcosa di significativo?
Che ne direste di cancellare l'autorun.inf A-1?

[xcdegasp]

dipende da cosa contiene come stringhe, probabilmente lo mostra vuoto perchè ne viene bloccata anche la visualizzazione/modifica del contenuto..
prova a scansionare su virustotal i due file autorun.run e autorun.bat e autorun.bat

[paoladamiano]

Il pc principale è quello da cui scansiono. L'hard disk è stato usato sia qui che altrove, ma questo è il principale.
L'autorun.inf c'è nel WD, anzi, come detto, ne ho trovati 4 (uno con la funzione "cerca" e gli altri 3 a mano).

Li ho scansionati tutti e 4 con VirusTotal e VirusScan, ecco i risultati:

A-in My Passport (I), che sarebbe il WD
1 File nascosto
Doppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto
Risultato:
Su Virus Total non si fa scansionare: una finestra avvisa di non chiudere il pc poiché l’operazione potrebbe richiedere del tempo in relazione alla dimensione del file e alla velocità della linea. Dopo pochissimo ricompare la pg di Virus Total senza più il percorso del file. Si può ricominciare all’infinito.
Su VirusScan lo carica all’infinito e non lo scansiona.
Questo è quello che dicevo di cancellare!

B-in cartella WDsync SUL WD
2[autorun]
open=wdsync.exe
ICON=AUTORUN\WDLOGO.ICO
Risultato:
Già analizzato nei giorni scorsi: pulito per entrambi, tranne “ McAfee dice Generic!atr.b”
Ieri, come detto, ho però scansionato con McAfee, da un altro pc, tutto il WD e non ha trovato niente.

C-DENTRO LA NOSTRA CARTELLA DATI SUL WD
3-in Cartella autorun
[autorun]
ICON=AUTORUN\WDLOGO.ICO
è insieme ad un autorun.run e un autorun.bat, nonché un wdlogo.ico
Risultati:
autorun.bat: -VirusTotal - pulito
-VirusScan - pulito
autorun.run: -VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
-VirusScan - pulito
---
4-file nascosto nella nostra cartella dati del WD
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO
Risultato:
VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
VirusScan – pulito (in base a scansioni già fatte, mi sa che per oggi ne ha analizzati troppi).

Non sono troppi questi autorun? quale cancellereste, se ne cancellereste qualcuno? Io cancellerei l'A1.
Attendo-vi

[xcdegasp]

il problema sicuramente è sicuramente quell'altrove visto che nel tuo pc non ci sono tracce di infezione in corso.. c'era qualche segno ma ora è pulito.
quello che mi chiedo e che devo capire bene è se avira ogni volta incondizionatamente che colleghi il WD ti segnala quel file nascoosto, se sì puoi mmetterlo nella exclusion list del guard e finalmente aprirlo con "tasto destro -> modifica" non fare semplice doppio click.
una volta aperto dovresti visualizzarne il contenuto.

se invece è stato già messo in quarantena da avira non avresti ogni volta la segnalazione se questo WD non lo hai più collegato in altri pc..

rimango comunque dell'idea che non stiamo scansionando il pc artefice di questo disastro del WD, il pc è un altro forse anche estraneo al tuo appartamento..

[paoladamiano]

Allora... una piccola novità.

avevo detto
"A-in My Passport (I), che sarebbe il WD
1 File nascosto
Doppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto
Risultato:
Su Virus Total non si fa scansionare: una finestra avvisa di non chiudere il pc poiché l’operazione potrebbe richiedere del tempo in relazione alla dimensione del file e alla velocità della linea. Dopo pochissimo ricompare la pg di Virus Total senza più il percorso del file. Si può ricominciare all’infinito.
Su VirusScan lo carica all’infinito e non lo scansiona.
Questo è quello che dicevo di cancellare!"
Non potevo metterlo tra le eccezioni della Guard di Avira, perché nel menu sfoglia delle eccezioni Guard, quel file non mi compariva, e i nomi che gli davo, me li dichiarava non corretti.
Allora l'ho rinominato "autorunno.inf" e l'ho aperto; dentro c'è scritto:
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO
L'ho potuto anche scansionare con il seguente risultato:
-VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
-VirusScan - pulito
Ho collegato l'hard disk più di una volta e non mi compare più l'avviso di Avira per il blocco dell'autorun.inf, ma l'autoplay parte normalmente. Direi buono, a meno che voi non la vediate diversamente........

[paoladamiano]

Altra cosuccia che ci fa capire che non abbiamo lavorato per niente.
La stampante multifunzione HP ink 364 wireless, comprata a settembre (?) con piccole cartucce balorde dotate di microcip e difficilmente ricaricabili, stampava 1 volta su 10, anche dopo la ricarica dell'inchiostro (sembrava non amasse le ricariche!); dopo lo zoccolo duro della disinfezione infetti è ripartita seriamente e ora stampa ogni volta che le viene richiesto.
Quindi lode alla procedura disinfezione infetti e grazie a voi!

Se non avete altro da dirmi, chiudo qui con questo portatile e anche con l'hd WS (come detto, nei prossimi giorni, travaserò i file superstiti e lo fomatto).

Ma da domani procedo con la disinfezione sul vecchio pc dei bambini, ancora ben sfruttato e a volte collegato all'hd WD: potrebbe essere lui l'origine del malanno dell'hd WD, come da indizi forniti da Gasp.

Per ora buona notte

[xcdegasp]

ok a questo punto si potrebbe inviare quel file al laboratorio di avira per ccorreggere la falsa segnalazione.
sì direi che questo pc sia stato ripulito, dovrai pensare però ad auumentarne la sicurezza tipo installando per lo meno un firewall di terze parti come OnlineArmor-free o Comodo-Firewall o PrivateFirewall (tutti e tre free).

Procedi pure con il baby-pc però non ci collegare il WD fino a che non è ripulito, attendo qui i soliti log

[paoladamiano]

Quote:

Originariamente inviato da xcdegasp

ok a questo punto si potrebbe inviare quel file al laboratorio di avira per ccorreggere la falsa segnalazione.
sì direi che questo pc sia stato ripulito, dovrai pensare però ad auumentarne la sicurezza tipo installando per lo meno un firewall di terze parti come OnlineArmor-free o Comodo-Firewall o PrivateFirewall (tutti e tre free).

Procedi pure con il baby-pc però non ci collegare il WD fino a che non è ripulito, attendo qui i soliti log

On Line Armor ce l'abbiamo su questo portatile genitori (anche sul pc fisso dei bambini, non sul portatile dei bambini*): strano che non l'abbiate visto dai log (magari è giusto che non si veda!). E' attivo solo il Firewall e non la Protezione programmi, xché con quest'ultima non si viveva più.
In realtà ho provato a comunicare con Avira, non ci sono riuscita, non ricordo il xché e il percome, ma ci riproverò. Se avete una mail da indicarmi faccio prima.

PS sembra che i nostri figli siano degli espertoni informatici, ma non è assolutamente così! è che lo scorso giugno abbiamo avuto la fortuna di vincere un portatile con windows 7 alla lotteria della scuola; su quest'ultimo portatile non ricordo se ho istallato On-Line Armor.....

[xcdegasp]

devi mandare l'email in inglese e con l'allegato zippato e protetto da password al seguente indirizzo: virus_malware@avira.com
ovviamente nel corpo email devi indicare quale sia la password.

sì lo avevo visto ma non lo ricordavo.. la protezione programmi è indispensabbile che sia attiva nel firewall altrimenti perde di efficacia, se il problema sono gli avvisi puoi sostituire OA con PrivateFirewall (sempre gratuito) raggiungendo un livello ottimale di protezione senza continui avvisi.

comunque per avere le email dei vari laboratori basta che fai riferimento a questo thread: http://www.hwupgrade.it/forum/showthread.php?p=21663909
è linkato nel "thread importanti" della sezione "av e sicurezza in generale".

[paoladamiano]

Carissimi sono di nuovo qui. Il travaso dei files superstiti su un nuovo hd è stato laboriosissimo (oltre che moderatamente costoso), poiché di cartelle geroglifiche non ce ne era solo una grossa, ma anche diverse più piccole di tanto in tanto, e quando ne incontrava una, la copiatura andava fallita; quindi ho dovuto fare un lavoretto di fino ben più lungo. Su 232 G ne ho salvati circa 150. Direi che la memoria familiare è comunque salvaguardata. Il vecchio hd è stato ora formattato.
Passiamo quindi al trattamento del vecchio pc fisso dei bambini Windows XP Home SP3, ram pochina e la scheda grafica indicata di seguito (ultima cartella disinfezione log è di febbraio 2009: quindi direi che ci si difende). Questo pc, se lasciato acceso a lungo, a volte si spegne da solo. Più di una volta in questi giorni, mi è capito di riaccenderlo dopo uno di questi eventi e in un caso windows mi ha dato delle indicazioni sulle cause possibili del crash che potevano essere: aggiornamento drivers della scheda video (che è una Radeon HD 3650 512M Sapphire Ati Agp installata per permettere di giocare con Madagascar2 (!)). Ho provato a studiare un po’ la faccenda, ma mi risulta decisamente ostica, quindi al momento l’ho accantonata, nella speranza che tale disturbo sia dovuto ad una schifezza che la preziosa guida DI eliminerà (come successo per la stampante).
Veniamo ai log. Non ho tenuto un diario perfetto di tutto quello che è successo durante le scansioni: errori e spegnimenti mentre gli antivirus giravano…. con Emisoft mi pare si fosse spento, ma ho potuto salvare il primo log per questo ne applodo 2. Ecco:

1 Malwarebytes - http://wikisend.com/download/496756/...log-2011-01-27 (21-00-33).txt
2 Emisoft prima parte - http://wikisend.com/download/616616/...8-073000-A.txt
2 Emisoft seconda parte - http://wikisend.com/download/534882/...8-080409-B.txt
3 F-secure - http://wikisend.com/download/471990/...cureOnLine.txt
4 DrWebCureit filtrato - http://wikisend.com/download/886010/04-cureit filtrato.txt
5 ESET SysInspector - http://wikisend.com/download/442382/...10129-1208.xml
6 Hijackthis - http://wikisend.com/download/938806/06-hijackthis.log
7 Gmer - http://wikisend.com/download/596366/07-gmer.log
8 Prevx - http://wikisend.com/download/567350/08-prevxcsi.log

Questa rilevazione di DrWebCureIt C:\SDFix\apps\Process.exe (che vedrete nel log) non è stata curata né niente xchè il programma non ha chiesto nulla ed è andato avanti da solo. Credevo fosse un errore nostro e ho rifatto la scansione, ma su quel file si è comportato allo stesso modo, mentre non ha più segnalato gli altri 3 che erano stati curati. Mentre facevo la seconda scansione, su un vecchio 3D del forum mi pare di aver capito che si tratta di un falso positivo.

Attendo vostre istruzioni, se ne avete e davvero tanta gratitudine in anticipo.


PS: la segnalazione ad Avira ero riuscita poi a farla, non ricordo più come e sicuramente non bene come da Gasp indicato. Per l’On Line Armor senza analisi programmi, hai ragione, ma bisogna pur vivere un sereno quotidiano senza essere chiamati in continuazione per le finestrelle che si aprono….. che francamente anche io faccio fatica a decifrare, figuriamoci per telefono (ancora lotto affinché gli utilizzatori dei pc azionino C-cleaner e ATF!). Comunque vedrò per OA.

[paoladamiano]

Toc toc ..... la situazione è grave? ...... si sono un po' in ambasce...... attendo di leggervi