Probabile infezione

Kurt69 · 05-05-2008, 00:50

Salve a tutti, spero di aver postato nella sezione giusta...ho un problemino. Nn so se sia un virus vero e proprio ma è sicuramente fastidioso. Ho scaricato un film da emule, ho fatto per aprirlo ma niente, andando poi a leggere i commenti sul file ho scoperto essere un porno

e ho cercato di cestinarlo ma nn me lo fa fare dicendomi che lo sto utilizzando già cn un altro programma ecc ecc.... ovviamente nn è vero, inoltre ho notato che quando cerco di eliminarlo, pochi istanti dopo l'utilizzo della cpu sale di molto e controllando con il taskmanager la sezione processi ho visto che il processo explorer.exe aumenta a sua volta di molto il suo utilizzo rendendo dopo un po' il pc inutilizzabile... qualcuno mi può aiutare???Nn so come liberarmene!!!

Grazie mille

wjmat · 05-05-2008, 01:04

Potrebbe non essere un virus ma semplicemente un bug di windows
VAi su Start -> Esegui -> digita regedit (invio)
Sulla parte sinistra naviga fino alla chiave:
HKEY_CLASSES_ROOT\SystemFileAssociations\.avi \shellex\PropertyHandler
Poi nella finestra di destra click destro su Predefinito -> Elimina -> Riavvia
Ora i file .avi dovrebbero essere più facili da cancellare
Nel caso ci siano ancora ploblemi facci sapere
Ciao

Kurt69 · 05-05-2008, 01:20

Sarò imbranato ma la voce di cui parli "SystemFileAssociations" io nn l'ho proprio trovata

xcdegasp · 05-05-2008, 01:32

disattiva la funzione "carica anteprima in cache" e poi disabilita la chiave di registro per le anteprime sui file avi:
per la funziona carica anteprima -> vai in opzione cartella e cercala nell'elenco, quindi togli il segno di spunta su di essa;

apri regedit come indicato da wjmat e poi posizionati in:
HKEY_CLASSES_ROOT\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}

Per disabilitare il prelievo di informazioni dai file avi dobbiamo rinominare la chiave, anche posizionando un piccolo segno davanti.

Per esempio -{87D62D94-71B3-4b9a-9489-5FE6850DC73E}. Per ripristinare la situazione precedente, dovremo togliere il segno. Poi riavviamo il pc ed abbiamo finito.

Kurt69 · 05-05-2008, 14:41

Ragazzi il problema è molto più grave di quanto sembri, (vi sto parlando dal pc di mio fratello) oggi accendo il pc e la connessione nn va perchè limitata (cosa piuttosto strana perchè cm vedete con il pc di mio fratello che è attaccato alla stessa linea va perfettamente) ho provato più volte a disabilitarla e riattivarla ma niente, inoltre ho di nuovo notato che quando faccio per eliminare il file improvvisamnte l'utilizzo della cpu riguardo al processo explorer.exe schizza alle stelle, di conseguenza il pc rallenta visibilmente e alla lunga diventa inservibile!!! Praticamente ha isolato il mio pc e me lo sta distruggendo!!! Nn posso stare senza internet!! Aiutatemi vi prego nn so proprio cm fare!!

Grazie a tutti

PS
Anche facendo la scansione del singolo file e del pc nn è venuto fuori niente di strano

wjmat · 05-05-2008, 14:54

Segui bene la GUIDA alla DISINFEZIONE per INFETTI ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner

Scarica da qui la versione slim di CCleaner.
Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
Scarica da qui ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected

CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis

Una volta che avrai postato i log potremmo fare delle analisi su come sei messo.
Ciao

Kurt69 · 05-05-2008, 15:07

Grazie per la risposta, nn essendo tanto pratico di queste cose ci metterò un po' sia a capirle che a farle, cmq cm prima cosa direi che posso fare quindi le scansioni con ccleaner e aft cleaner (è necessario farle cn tutti e due i programmi?).... l'unica cosa è che tutte queste operazioni sn un po' difficili per me poichè nel mio pc nn ho internet e devo quindi fare molti trasferimenti con la chiavetta usb.

Nelle cose che devo fare devo per caso utilizzare il file infetto? (nn posso perchè cm ho già detto mi impedisce di fargli qualsiasi cosa)

Grazie mille per le risposte

xcdegasp · 05-05-2008, 15:16

quando la connessione fa così è perchè non riesce a contattare correttamente il router..
quindi puoi inserire nel campo DNS Server l'ip del router e idem per il campo "gateway"...
ovviamente a questo punto puoi impostare nel tuo pc l'uso di un ip fisso impostandoti un indirizzo non in uso..
esempio:
IP: 192.168.1.2

DNS: 192.168.1.1

Gateway: 192.168.1.1

Kurt69 · 05-05-2008, 18:01

Mi sa che cmq ha coinvolto la cartella dove sta e cioè la cartella Incoming di Emule perchè quando ci entro inizia a fare casino.

xcdegasp · 05-05-2008, 18:16

inizia a fare casino perchè hai probabilmente file avi dentro lì o immagini...

Kurt69 · 05-05-2008, 18:17

Dopo un po' di peripezie ho fatto le pulizie cn i due programmi e adesso mi appresto a fare le scansioni, il link per quella con ADS Scanner 2.0 nn mi funge fa lo stesso??? Se è facoltativo.... parto con la seconda...

xcdegasp · 05-05-2008, 18:18

ai provato il metodo alternativo a ADS Scanner ?

Kurt69 · 05-05-2008, 18:27

emmm no, stupidamente nn avevo notato

, allora mi scarico HiJackThis e provvedo, intanto sto già facendo la seconda, va bene lo stesso?

Kurt69 · 05-05-2008, 18:34

Domanda forse stupida...le scansioni si possono fare tutte contemporaneamente? (sempre che il pc regga)

Kurt69 · 05-05-2008, 18:38

Ecco il primo log :

adsspy.txt

Kurt69 · 05-05-2008, 19:15

Ecco il secondo:

a2scan_080505-182425.txt

Vado con la terza!

Kurt69 · 05-05-2008, 20:06

Quote:

Originariamente inviato da Kurt69

Domanda forse stupida...le scansioni si possono fare tutte contemporaneamente? (sempre che il pc regga)

Qualcuno può rispondere a questa domanda, scusate l'insistenza ma se potessi risparmierei moltissimo tempo....

Kurt69 · 05-05-2008, 20:17

Ecco il terzo:

C:\Documents and Settings\Edoardo\Impostazioni locali\Temp\OnlineScanner\ols_report.html

wjmat · 05-05-2008, 20:19

meglio se le fai una alla volta nell'ordine della guida
l'ultimo allegato non c'è...

Kurt69 · 05-05-2008, 20:21

Eccolo scusatemi ma nn sapevo cm metterlo...

Scanning Report
Monday, May 05, 2008 19:19:34 - 20:15:56
Computer name: WELLCOME
Scanning type: Scan system for malware, rootkits
Target: C:\

--------------------------------------------------------------------------------

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 40712
System: 3496
Not scanned: 8
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{A6CB2192-5EA3-4053-A17A-A3EAD15960D5}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-05-05
F-Secure AVP: 7.0.171, 2008-05-05
F-Secure Pegasus: 1.20.0, 2008-02-28
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

05-05-2008, 00:50	#1
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Davvero un bel casino Salve a tutti, spero di aver postato nella sezione giusta...ho un problemino. Nn so se sia un virus vero e proprio ma è sicuramente fastidioso. Ho scaricato un film da emule, ho fatto per aprirlo ma niente, andando poi a leggere i commenti sul file ho scoperto essere un porno e ho cercato di cestinarlo ma nn me lo fa fare dicendomi che lo sto utilizzando già cn un altro programma ecc ecc.... ovviamente nn è vero, inoltre ho notato che quando cerco di eliminarlo, pochi istanti dopo l'utilizzo della cpu sale di molto e controllando con il taskmanager la sezione processi ho visto che il processo explorer.exe aumenta a sua volta di molto il suo utilizzo rendendo dopo un po' il pc inutilizzabile... qualcuno mi può aiutare???Nn so come liberarmene!!! Grazie mille __________________ Storia della musica rock Ultima modifica di Kurt69 : 05-05-2008 alle 14:49. Motivo: Problema assai più grave

05-05-2008, 01:20	#3
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Sarò imbranato ma la voce di cui parli "SystemFileAssociations" io nn l'ho proprio trovata __________________ Storia della musica rock

05-05-2008, 01:32	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	disattiva la funzione "carica anteprima in cache" e poi disabilita la chiave di registro per le anteprime sui file avi: per la funziona carica anteprima -> vai in opzione cartella e cercala nell'elenco, quindi togli il segno di spunta su di essa; apri regedit come indicato da wjmat e poi posizionati in: HKEY_CLASSES_ROOT\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E} Per disabilitare il prelievo di informazioni dai file avi dobbiamo rinominare la chiave, anche posizionando un piccolo segno davanti. Per esempio -{87D62D94-71B3-4b9a-9489-5FE6850DC73E}. Per ripristinare la situazione precedente, dovremo togliere il segno. Poi riavviamo il pc ed abbiamo finito. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-05-2008, 14:41	#5
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Ragazzi il problema è molto più grave di quanto sembri, (vi sto parlando dal pc di mio fratello) oggi accendo il pc e la connessione nn va perchè limitata (cosa piuttosto strana perchè cm vedete con il pc di mio fratello che è attaccato alla stessa linea va perfettamente) ho provato più volte a disabilitarla e riattivarla ma niente, inoltre ho di nuovo notato che quando faccio per eliminare il file improvvisamnte l'utilizzo della cpu riguardo al processo explorer.exe schizza alle stelle, di conseguenza il pc rallenta visibilmente e alla lunga diventa inservibile!!! Praticamente ha isolato il mio pc e me lo sta distruggendo!!! Nn posso stare senza internet!! Aiutatemi vi prego nn so proprio cm fare!! Grazie a tutti PS Anche facendo la scansione del singolo file e del pc nn è venuto fuori niente di strano __________________ Storia della musica rock

05-05-2008, 14:54	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Segui bene la GUIDA alla DISINFEZIONE per INFETTI ed esegui tutte le scansioni nell'ordine indicato. Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner Scarica da qui la versione slim di CCleaner. Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia Scarica da qui ATF Cleaner per una velocissima pulizia complementare. Nella prima schermata -> Select All -> Empty Selected Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive Clicca su Gestisci allegati -> Sfoglia -> Carica Altrimenti caricali su [wikisend.com] o su [mediafire.com]. Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione. Ricapitolando vogliamo in ordine: -log HiJackThis (facoltativo) -log A-squared -log Prevx v.1.6 -log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi -log Gmer -log HiJackThis Una volta che avrai postato i log potremmo fare delle analisi su come sei messo. Ciao

05-05-2008, 01:04	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Potrebbe non essere un virus ma semplicemente un bug di windows VAi su Start -> Esegui -> digita regedit (invio) Sulla parte sinistra naviga fino alla chiave: HKEY_CLASSES_ROOT\SystemFileAssociations\.avi \shellex\PropertyHandler Poi nella finestra di destra click destro su Predefinito -> Elimina -> Riavvia Ora i file .avi dovrebbero essere più facili da cancellare Nel caso ci siano ancora ploblemi facci sapere Ciao

05-05-2008, 15:07	#7
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Grazie per la risposta, nn essendo tanto pratico di queste cose ci metterò un po' sia a capirle che a farle, cmq cm prima cosa direi che posso fare quindi le scansioni con ccleaner e aft cleaner (è necessario farle cn tutti e due i programmi?).... l'unica cosa è che tutte queste operazioni sn un po' difficili per me poichè nel mio pc nn ho internet e devo quindi fare molti trasferimenti con la chiavetta usb. Nelle cose che devo fare devo per caso utilizzare il file infetto? (nn posso perchè cm ho già detto mi impedisce di fargli qualsiasi cosa) Grazie mille per le risposte __________________ Storia della musica rock

05-05-2008, 15:16	#8
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	quando la connessione fa così è perchè non riesce a contattare correttamente il router.. quindi puoi inserire nel campo DNS Server l'ip del router e idem per il campo "gateway"... ovviamente a questo punto puoi impostare nel tuo pc l'uso di un ip fisso impostandoti un indirizzo non in uso.. esempio: IP: 192.168.1.2 DNS: 192.168.1.1 Gateway: 192.168.1.1 __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-05-2008, 18:01	#9
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Mi sa che cmq ha coinvolto la cartella dove sta e cioè la cartella Incoming di Emule perchè quando ci entro inizia a fare casino. __________________ Storia della musica rock

05-05-2008, 18:16	#10
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	inizia a fare casino perchè hai probabilmente file avi dentro lì o immagini... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-05-2008, 18:17	#11
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Dopo un po' di peripezie ho fatto le pulizie cn i due programmi e adesso mi appresto a fare le scansioni, il link per quella con ADS Scanner 2.0 nn mi funge fa lo stesso??? Se è facoltativo.... parto con la seconda... __________________ Storia della musica rock

05-05-2008, 18:18	#12
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ai provato il metodo alternativo a ADS Scanner ? __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-05-2008, 18:27	#13
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	emmm no, stupidamente nn avevo notato , allora mi scarico HiJackThis e provvedo, intanto sto già facendo la seconda, va bene lo stesso? __________________ Storia della musica rock

05-05-2008, 18:34	#14
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Domanda forse stupida...le scansioni si possono fare tutte contemporaneamente? (sempre che il pc regga) __________________ Storia della musica rock

05-05-2008, 18:38	#15
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Ecco il primo log : adsspy.txt __________________ Storia della musica rock

05-05-2008, 19:15	#16
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Ecco il secondo: a2scan_080505-182425.txt Vado con la terza! __________________ Storia della musica rock

05-05-2008, 20:17	#18
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Ecco il terzo: C:\Documents and Settings\Edoardo\Impostazioni locali\Temp\OnlineScanner\ols_report.html __________________ Storia della musica rock

05-05-2008, 20:19	#19
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	meglio se le fai una alla volta nell'ordine della guida l'ultimo allegato non c'è...

05-05-2008, 20:21	#20
Kurt69 Member Iscritto dal: Mar 2007 Messaggi: 288	Eccolo scusatemi ma nn sapevo cm metterlo... Scanning Report Monday, May 05, 2008 19:19:34 - 20:15:56 Computer name: WELLCOME Scanning type: Scan system for malware, rootkits Target: C:\ -------------------------------------------------------------------------------- Result: 1 malware found Tracking Cookie (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 40712 System: 3496 Not scanned: 8 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 1 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{A6CB2192-5EA3-4053-A17A-A3EAD15960D5}.BIN -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-05-05 F-Secure AVP: 7.0.171, 2008-05-05 F-Secure Pegasus: 1.20.0, 2008-02-28 F-Secure Blacklight: 1.0.68 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics __________________ Storia della musica rock

Strumenti
Mostra una versione stampabile Invia questa pagina per email