Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
MiniLED di fascia media con local dimming a 192 zone, 144 Hz nativi e audio firmato Devialet. La prova strumentale riscontra colori affidabili e gaming reattivo, per un prodotto molto accessibile e convincente. Ma la soundbar aggiuntiva è quasi d'obbligo
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-12-2007, 15:11   #1
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
WinXP - probabile infezione

Salve gente. La situazione è questa:
Il computer problemi non ne da, ma facendo la scansione online di PandaActive Scan mi rileva un virus TROJAN.AGENT.GEN dicendo di averlo rimosso...ma il virus c'è ancora. Qui cè il suo log:

Codice:
Virus:Trj/Downloader.RKS
C:\WINDOWS\system32\~.exe

Common name: Downloader.RKS 
Technical name: Trj/Downloader.RKS 
Threat level: Medium 
Type: Trojan 
Effects:   It allows to get into the affected computer. It changes system permissions. It does not spread automatically using its own means.  
Affected platforms:  Windows 2003/XP/2000/NT/ME/98/95
 
First detected on: Dec. 1, 2007 
Detection updated on: Dec. 16, 2007 
In circulation? Yes 
Proactive protection: Yes, using TruPrevent Technologies
PrevXCSI mi rileva lo stesso virus nel file UPDATE_0712_KB141654.EXE con le seguenti informazioni:
Codice:
UPDATE_0712_KB141654.EXE

This executable program has a file size of 21,504 bytes, it is most frequently called UPDATE_0712_KB141654.EXE and is most frequently located in the %startmenu%\ folder.
This file is considered unsafe and is part of the malware group, TROJAN.AGENT.GEN. It was first seen on Saturday, Dec 15 2007. It has only been seen by one user in this section of the community. The file was first seen in ITALY but has been seen in other locations, including SPAIN.
UPDATE_0712_KB141654.EXE has been seen to perform the following behaviors:
- The Process is packed and/or encrypted using a software packing process
- This Process Deletes Other Processes From Disk
- Deletes Links in the Start Menu
- Executes a Process
- The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
UPDATE_0712_KB141654.EXE has been the subject of the following behaviors:
- Executed as a Process
- Deleted as a Link in the Start Menu
NOD32, SysClean, BitDefender online, A-Squared Free e Ad-Aware 2007 non mi rilevano nulla.
ESET ADS Revealer non vede nulla in c:\windows e trova alcuni file thumbs in C:\documens and settings che non riesce a correggere.
Gmer: diciture in rosso non ce ne sono.

Analizzando il log di HiJack online, risultano queste voci come sconosciute e consiglia di fixarle ma anche facendolo le voci si ripresentano.

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll

O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)

O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll

Il programma CCleaner non riesce a correggere una chiave di registro chiamata: Problema ActiveX/COM InProcServer32\c:\WINDOWS\system32\atitvo32w.dll

Ripristino configurazione di sistema è disattivato.
Inoltre fino a poco tempo fa mi compariva questo problema, che non so se sia legato al virus o meno: error.bmp - 0.46MB

Cosa dite, cè l'infezione?
Grazie in anticipo!
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2007, 15:51   #2
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
L'infezione ce' eccome, hosta su www.zshare.net i logs di Prevx CSI e HJT, ciao.
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2007, 18:37   #3
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
ecco i due log:

hijackthis.log - 0.01MB

prevx csi.log - 0.29MB
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2007, 19:24   #4
xcdegasp
Senior Member
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!

per il momento ringrazio per la collaborazione
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 08:47   #5
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Script
Quote:
Files to delete:
C:\WINDOWS\system32\~.exe
c:\windows\system32\clusapie.dll
C:\WINDOWS\SYSTEM32\clusapie.dll
C:\WINDOWS\system32\atitvo32w.dll
Riavvia il PC in modalità provvisoria F8 e fixa le voci sottoindicate:

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll
O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche!

Riavvia il PC in modalità normale scarica Dr.Web CureIt prelevabile a questo indirizzo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
N.B: una volta eseguito fà una scansione delle aree sensibili, cioè più a rischio di infezioni, una volta terminata questa prima fase, lancia una scansione di tutto il sistema

Riepilogo dei log da allegare:
Avenger
Nuovo log di HJT
CureIt

Ciao
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 29-12-2007 alle 09:17.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 10:22   #6
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Scusate ma almeno il primo post lo avete letto?
Quote:
Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/
Tutto questo l'ho gia fatto e nel primo post cè scritto

Quote:
si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!
L'ho letta la guida ed infatti mi sembra di aver abbastanza rispettato il procedimento...no?
Ora procedo con Avenger e Dr.Web poi vi dico i risultati, intanto grazie per l'aiuto.
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 10:39   #7
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/
il post l'ho letto e quello che leggo lo comprendo, ho preferito riepilogare i punti indicati per ulteriore scrupolo e per non vanificare l'intera procedura. Comunque la sequenza è la seguente Avenger - HijackThis - CureIt
Ciao attendiamo i log
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 29-12-2007 alle 10:46.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 12:34   #8
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Ho seguito i vostri consigli ed ecco i log richiesti:

avenger.txt - 0.00MB

cureit.log - 7.54MB

hijackthis.log - 0.01MB

prevxcsi.log - 0.28MB

Da quel che ho capito Avenger non è riuscito ad eliminare quei file e neppure HiJack da modalità provvisoria. Dr.Web non mi pare che trovi nulla, mentre PrevX rileva ancora il solito virus.
Però ho rifatto qualche passata con CCleaner e quella chiave di registro che trovava sempre ora è riuscito a fixarla.
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 19:32   #9
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Rilancia lo script di Avenger da modalità provvisoria, allega il log + un log degli Startup in questo modo:
Lancia HJT clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx

Ciao
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 29-12-2007 alle 19:59.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 20:39   #10
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Fatto:

avenger.txt - 0.00MB

startuplist.txt - 0.03MB
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 21:38   #11
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
http://www.hwupgrade.it/forum/showpo...7&postcount=32
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2007, 23:22   #12
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Fatto:

combofix.txt - 0.01MB

hijack log.log - 0.01MB

hijack startuplist.txt - 0.03MB

Come procedo?
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 11:02   #13
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

Log completo di Gmer bisogna trovare il componente che impedisce la cancellazione dei files + log di SDFix thx.
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 30-12-2007 alle 14:33.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 14:20   #14
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile...
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 14:32   #15
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Fabio_B Guarda i messaggi
Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile...
http://downloads.andymanchesta.com/R...ools/SDFix.exe
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 14:43   #16
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Ma tu riesci a scaricarlo da quell'indirizzo? hai provato? perche io ci ho provato in tutti i modi, il download parte ma si blocca verso la fine...

Edit: intanto allego due log di scansioni appena effettuate nel caso servissero. Ho notato ke prevx trova un file diverso infetto...

prevx csi.log - 0.29MB

gmer.log - 0.17MB

Intanto ti ringrazio vivamente per l'impegno che stai prestando

Ultima modifica di Fabio_B : 30-12-2007 alle 14:46.
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 14:50   #17
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
te l'ho messo qui:
http://www.zshare.net/download/6027447a134e1b/

Edit: c'è qualcosa che non mi quadra per quanto riguarda i log mi potresti allegare anche questo:
C:\qoobox\ComboFix-quarantined-files.txt
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 30-12-2007 alle 15:07.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 15:33   #18
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Era il Nod32 che mi bloccava il download del file... e faceva cosi anche con SmitFraudFix, perche li rileva come virus.
Eccoti i log: (ho rifatto anke quello di Gmer dopo aver lanciato SDFix)

report.txt - 0.09MB

gmer.log - 0.17MB

combofix-quarantined-files.txt - 0.00MB
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 15:38   #19
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
dovremmo essere in dirittura di arrivo, nuovo log di PrevX + HJT

Edit: prima dei log fai questo
Scarica sul Desktop SmitFraudfix e decomprimilo http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix e avvia smitfraudfix.cmd
Seleziona opzione 2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 30-12-2007 alle 15:48.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2007, 16:45   #20
Fabio_B
Member
 
Iscritto dal: Nov 2006
Messaggi: 150
Il log di PrevX l'ho dovuto fare in modalità provvisoria perche in normale mi si chiudeva improvvisamente durante la scansione... Inoltre rileva ancora quel virus.
Di seguito trovi tutti i log:

hijackthis.log - 0.01MB

startuplist.txt - 0.03MB

prevx.log - 0.24MB

smitfraudfix.txt - 0.00MB
Fabio_B è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint L'IA cambia tutte le regole della sicurezza tra ...
L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 L'Europa conta nella tecnologia e può ess...
Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete: i bracci si esten...
Blue Origin sta ricostruendo velocemente...
La sovranità digitale non è...
ESS obbligatorio da luglio: il rivoluzio...
Batterie Tesla rubate direttamente fuori...
Il Governo statunitense anticipa di 5 an...
Steam Machine costa troppo? Non per i ba...
AWS e Azure sono gatekeeper e vanno rego...
Huawei presenta una nuova infrastruttura...
Logitech G e Activision uniscono le forz...
Snapdragon Summit 2026: ecco quando sara...
Sardegna, debutta il primo treno a idrog...
CXMT non ci salverà dai prezzi de...
Tidal contro la musica creata con l'inte...
Videproiettore compatto XGIMI MoGo 2 Pro...
Narwal rilancia su Amazon per il post-Pr...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 01:06.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v