Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Tutorial / How-To / F.A.Q.

Lenovo ThinkPad X12 Detachable: il 2-in-1 di grande qualità
Lenovo ThinkPad X12 Detachable: il 2-in-1 di grande qualità
Il nuovo 2-in-1 di Lenovo è un modello che abbina la capacità di trasformarsi da notebook a tablet e viceversa con estrema facilità, alla qualità tipica dei prodotti Lenovo della famiglia ThinkPad grazie allo chassis in lega di magnesio. Lo schermo con rapporto di 3:2 rende ThinkPad X12 Detachable particolarmente indicato per la produttività personale, forte di hardware potente e di una tastiera staccabile che brilla per precisione.
Revolut per il trading di criptovalute: una piattaforma sicura e affidabile
Revolut per il trading di criptovalute: una piattaforma sicura e affidabile
Una delle funzioni più particolari di Revolut è la possibilità di effettuare facilmente e in sicurezza il trading di criptovalute, che potranno anche essere cedute a parenti e amici. Sono supportati Bitcoin, Ethereum, Litecoin, Stellar, Dogecoin e altre "monete. Per ridurre i rischi, è possibile indicare alla piattaforma un prezzo per la vendita e l'acquisto, così da limitare i danni nel caso di brusche oscillazioni del valore
Chi è Jen-Hsun 'Jensen' Huang, una vita a fare Nvidia
Chi è Jen-Hsun 'Jensen' Huang, una vita a fare Nvidia
Scopriamo chi è Jen-Hsun 'Jensen' Huang, il CEO di Nvidia, in un racconto non solo della sua vita ma anche legato ai quasi 30 anni di attività ai vertici di un'azienda che ha costruito il mercato dei videogiochi come lo conosciamo per concretizzare una visione che nei primi anni '90 pochi riuscivano a capire.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 06-03-2008, 17:34   #21
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Quote:
Originariamente inviato da murack83pa Guarda i messaggi
ciao sirio

fai una scansione con findawf, solo scansione, quindi solo funzione 1 e posta qui il log e vediamo
Ok, me lo procuro e te lo posto.
Thanks.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 18:44   #22
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Dunque, ho eseguito il tool ma ho avuto questo problemino



tempo fa aveva installato il Norton Antivirus... cmq cliccando su ignora mi ha generato il log:


Quote:
Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\MESSEN~1\BAK

13/10/2004 17.24 1.694.208 msmsgs.exe
1 File 1.694.208 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 64.722.649.088 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\NVIDIA~1\NVMIXER\BAK

20/12/2004 17.12 131.072 NVMixerTray.exe
1 File 131.072 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\DOCUME~1\NADIA\DATIAP~1\RATORE~1\BAK

0 File 0 byte
2 Directory 64.722.644.992 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: ECDD-D1AB

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007 19.51 39.792 Reader_sl.exe
1 File 39.792 byte
2 Directory 64.722.644.992 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1667584 19 Aug 2004 "C:\WINDOWS\$NtUninstallKB887472$\msmsgs.exe"
1694208 13 Oct 2004 "C:\Programmi\Messenger\bak\msmsgs.exe"
1694208 13 Oct 2004 "C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
131072 20 Dec 2004 "C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"


end of report
Che ne pensi?
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 18:51   #23
murack83pa
Bannato
 
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
penso che c'è ancora traccia di zonebac, quindi devi eseguire la funzione 2 e inserire nel file di testo che ti si apre come indicato in guida questo script:

Quote:
"C:\Programmi\Messenger\bak\msmsgs.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"
"C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
"C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
esegui come indicato in questo post 4:
http://www.hwupgrade.it/forum/showpo...58&postcount=4

quindi posta qui il secondo log che verrà creato

dopo penseremo alla completa rimozione di norton

Ultima modifica di murack83pa : 06-03-2008 alle 18:53.
murack83pa è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2008, 19:12   #24
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ok, farò come dici e poi ti posterò l'altro log.
Thanks.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 10:44   #25
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
In attesa di poter seguire i tuoi consigli ho provato ad eseguire Findawf 1.4 sul mio PC, curioso di vedere il log che mi genera per fare dei confronti (ti volevo chiedere infatti: dal log che ti ho postato, da dove deduci che ci siano tracce di Zonebac?), purtroppo non sono nemmeno riuscito a fare lo scan perchè il NOD32 mi rileva Process.exe come virus Win32/PrcView.



PS Danno fastidio gli screen così grandi al post precedente? Se vuoi li riduco.
Ciao murak e grazie ancora.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 10:53   #26
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Vedendo il log si nota solo la presenza di cartelle bak, che sono create da questi tipi di malware. Però se si vedono le date degli eseguibili mi pare che si possa escludere che il trojan ci sia ancora, doveva esserci almeno un eseguibile con data 2008.

Ultima modifica di Nuz : 07-03-2008 alle 10:56.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 10:54   #27
murack83pa
Bannato
 
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
Quote:
Originariamente inviato da @Sirio@ Guarda i messaggi
..
ciao sirio

il zonebac e l'obfuscated hanno la capacità di sostituire gli eseguibili dei programmi che partono in avvio con file infetti, mettendo gli eseguibili legittimi in cartelle bak

il fatto che dal tuo log compaiono cartelle bak con dentro gli eseguibili, vuol dire che hai avuto uno di questi trojan, probabilmente l'obfuscated, xchè lo zonebac ha anche altri effetti, sopratutto la disattivazione dell'antivirus, modifica le impostazioni del browser....

dal tuo log si evince xò questo:
Quote:
"C:\WINDOWS\system32\ctfmon.exe"
"C:\WINDOWS\system32\bak\ctfmon.exe"
il primo è il file infetto, il secondo è quello legittimo....dal tuo log emerge quindi che hai ancora quest'ultima traccia di obfuscated... o x meglio dire tuo cugino

facendo le operazioni che ti ho detto prima, dovresti aver eliminato l'obfuscated

poichè questi trojan si trasmettono tramite navigazione web, forse è meglio controllare che tuo cugino utilizzi una versione aggiornata di internet explorer o firefox(in questo caso è necessario l'utilizzo di estensioni come noscript) e inoltre verifica che ha java aggiornato all'ultima versione

in ogni caso, x un controlo generale, potresti seguire la guida alla disinfezione

edit: ha ragione Nuz, nn avevo visto le date
murack83pa è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:09   #28
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:32   #29
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27449
Quote:
Originariamente inviato da @Sirio@ Guarda i messaggi
Grazie Nuz e anche a te murack ..adesso mi è più chiaro.
Quindi secondo voi non c'è più bisogno di ripristinare gli eseguibili in questione oppure è meglio farlo?
sì lo devi ripristinare l'exe altrimenti rimani con quello infetto...
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 11:51   #30
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.

Ultima modifica di Nuz : 07-03-2008 alle 12:01.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:14   #31
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ciao xcdegasp ..non sono sicuro che siano infetti.

@ Nuz
Si, volevo fare questa prova anch'io (visto che antivir a-squareed e SUPERantispyware non segnalano più niente), oggi pomeriggio passo a casa sua e faccio questa verifica.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:53   #32
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Quote:
Originariamente inviato da Nuz Guarda i messaggi
Puoi togliermi un dubbio? Prova prima a fare questa verifica: vai su www.virustotal.com e fai analizzare questo:

C:\WINDOWS\system32\ctfmon.exe

Te lo chiedo perchè in genere l'eseguibile infetto ha dimensioni e data differenti da quello corretto.
Allora, come supponevo virustotal.com me lo da pulito:



Quindi penso che non ci sia bisogno di sostituire ctfmon.exe? Farò un controllo anche sugli altri.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 12:55   #33
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Allora puoi eliminare le cartelle bak e il loro contenuto.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 13:04   #34
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Grazie Nuz te e tutti i ri..gazzi
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 14:30   #35
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27449
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 14:35   #36
Nuz
Senior Member
 
L'Avatar di Nuz
 
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
Quote:
Originariamente inviato da xcdegasp Guarda i messaggi
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.
Nuz è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 16:48   #37
Riverside
Bannato
 
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
Quote:
Originariamente inviato da xcdegasp Guarda i messaggi
ma quindi FindAWF quando lavora in modalità ripristono-BAK non svuota le cartelle bak ma si limita ad una semplice copia?
Quote:
Originariamente inviato da Nuz Guarda i messaggi
Si, infatti dopo bisogna ricontrollare il log e passare all'operazione di rimozione delle cartelle bak e del loro contenuto.
Mi sembra che la Guida, in questo senso sia chiara (come fa notare Nuz).
Due cose:
1) questa è una Guida all'uso del programma, non una discussione ufficiale da utilizzare per risolvere il problema della eventuale infezione: per questo, c’è un thread apposito, sul forum;
2) per quale ragione la Guida in questione, non è, ancora, stata linkata nella apposita sottosezione: Guida all'uso dei programmi??
Riverside è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 17:46   #38
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Come siamo fiscali...la penso diversamente, mi sembra che con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf, inoltre sono emerse alcune incopatibilità con altri software di sicurezza. Perciò credo che sia più che attinente ciò che ho scritto e dove l'ho scritto.

Saluti.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 19:10   #39
Riverside
Bannato
 
Iscritto dal: Jul 2007
Città: Riverside House
Messaggi: 3333
Ciao Sirio; aprofitto del tuo reply per chiarire un paio di aspetti:
Quote:
sono emerse alcune incompatibilità con altri software di sicurezza
non è esatto dire che il tool è incompatibile con altri software; è noto che tool come questo e, come diversi altri, possono essere riconosciuti pericolosi dagli antivirus; la conseguenza è che, una volta riconosciuti tali, l'antivirus ne impedisce il download.
Tu ora dirai: perchè sulla Guida non è stato scritto?
La risposta è: quando ho scritto la Guida, ho dato per scontato che la cosa fosse risaputa; considerato che non è così, provvederemo ad integrare la Guida.
Quote:
con la prova su strada e dai post precedenti si sia capito meglio il funzionamento di Findawf
D'accordo sul fatto della prova su strada; e sono contento che tu abbia risolto il problema che avevi esposto ma, lo avresti risolto comunque, indipendentemente da questa Guida.
Quote:
Come siamo fiscali...la penso diversamente
Personalmente (e sottolineo, personalmente), penso questo:
quanto viene pubblicata una Guida all'uso di un software, questa dovrebbe:
● essere spostata nella apposita Sezione;
● depurata di tutti gli interventi che si sono susseguiti.
● il relativo thread andrebbe, dal Moderatore di sezione, chiuso per evitare che gli utenti vi possano postare;
● nel caso in cui si dovessero apportare delle modifiche alla Guida, chi la ha realizzata/postata, potrebbe, in PM, chiedere al Moderatore di sezione di riaprire la discussione per il tempo necessario alla esecuzione delle modifiche;
● se non esistesse sul Forum, una discussione attinente alla tematica trattata dalla Guida, questa andrebbe aperta da chi ha realizzato la Guida ed il relativo link dovrebbe essere indicato nella Guida stessa, in maniera che la discussone sia raggiungibile anche dalla Guida (cosa che, in questa Guida, è stata fatta).

P.S.: Il post #1 della Guida è stata aggiornato

Ultima modifica di Riverside : 07-03-2008 alle 19:47.
Riverside è offline   Rispondi citando il messaggio o parte di esso
Old 07-03-2008, 20:36   #40
@Sirio@
Bannato
 
Iscritto dal: May 2007
Città: London
Messaggi: 3186
Ciao Riverside, premetto che ho stima di te come di altri per il lavoro che svolgete continuamente.
Io non ho nulla da dire rispetto la guida anzi direi che è fatta e scritta molto bene, se ho fatto notare (come altri) a murack83pa che mancava una spiegazione sul tool era per migliorare la guida non per denigrarla (che è quello che avrei gradito anche io per la mia guida, ma nessuno ha fatto).
Per il fatto delle incopatibilità mi sono espresso male. Ho scaricato tranquillamente Findawf, il Nod mi ha rilevato il virus quando ho tentato di fare la scansione, mi ha messo in quarantena Process.exe creato da Findawf e quindi non sono riuscito ad eseguire lo scan.
Poi, per chi avesse avuto il Norton installato in precedenza la libreria in questione della Symantec (vedi screen sopra) non permette di proseguire il tool, cioè Findawf viene terminato.

Il tuo pensiero sulle guide chiuse potrebbe essere una buona idea, però da quello che ho constatato personalmente tenendola aperta si offre un maggior aiuto a tutti gli utenti e comunque penso che il discuterne approfondisca la conoscenza del programma.. anche perchè la maggior parte di questi sono in continua evoluzione.

Ultima cosa, io ho aspettato circa una settimana prima che xcdegasp mi spostasse la guida nell'apposita sezione, ma non credo che questo sia un problema.

Dimenticavo... a te non li ho ancora fatti, complimenti per la guida.
@Sirio@ è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Lenovo ThinkPad X12 Detachable: il 2-in-1 di grande qualità Lenovo ThinkPad X12 Detachable: il 2-in-1 di gra...
Revolut per il trading di criptovalute: una piattaforma sicura e affidabile Revolut per il trading di criptovalute: una piat...
Chi è Jen-Hsun 'Jensen' Huang, una vita a fare Nvidia Chi è Jen-Hsun 'Jensen' Huang, una vita a...
Google Fuchsia usa un microkernel. Qual è la differenza e perché è rilevante Google Fuchsia usa un microkernel. Qual è...
Lenovo ThinkVision T34w, ultrawide 34 pollici per la produttività Lenovo ThinkVision T34w, ultrawide 34 pollici pe...
Offerte Amazon Prime Day: Xiaomi Mi 11 L...
Jeff Bezos dovrebbe comprare la Gioconda...
Cyberpunk 2077 di nuovo disponibile su P...
Questo smartwatch ha un doppio chipset e...
Pure ETCR, inzia da Vallelunga il campio...
OnePlus NORD 5G: ora a soli 297,99€ il m...
L'italiana Askoll presenta il motore per...
Windows 11 asfalta Windows 10 secondo i ...
Un wallbox automatico? ecco il progetto ...
Lanciarazzi a rete contro i droni: ecco ...
Amazon Prime Day 2021: le migliori offer...
Eset punta sui partner: le novità...
Amazon Prime Day 2021: i migliori videog...
Electronic Arts prepara un grosso annunc...
Omicidio in Grecia: colpevole incastrato...
VLC Media Player
Chromium
Google Chrome Portable
Dropbox
Opera Portable
Opera 77
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
Firefox Portable
CCleaner Portable
CCleaner Standard
SmartFTP
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 15:40.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www1v