|
|||||||
|
|
|
 |
|
|
Strumenti |
09-08-2002, 16:48
|
#1 |
|
Member
Iscritto dal: Oct 2001
Messaggi: 265
|
Possibile virus???
Ragazzi un mio amico ha il seguente problema: gli si apre da solo il browser explorer e si collega a vari siti tutti di natura pornografica come se qualcuno stesse usando il suo computer.
Tale pc è su di una lan aziendale. Può trattarsi di un accesso remoto non autorizzato da parte di qualcuno o si tratta di un virus? Potete aiutarmi? Grazie
__________________
i5 Quad Core 750 @ 2,66GHz|Gygabyte GA-P55A-UD4|OCZ Obsidian DDR3 4GB PC1600 CL9|Sapphire Radeon HD 5770 Vapor-X - 1GB PCI-E|Western Digital Caviar Black 1TB 32MB SATA WD1001FALS|Western Digital WD 1TB SATA WD10EADS 7200 32mb GreenPower| LG GH22LS50|CORSAIR 520W CMPSU-520HXEU|Cooler Master Sileo 500|Windows Seven x64 |
|
|
|
09-08-2002, 17:16
|
#2 |
|
Senior Member
Iscritto dal: Mar 2002
Messaggi: 1333
|
un troiano
__________________
GA-P35-DS4 rev (2.0)(in sostituzione) | Intel Core 2 Duo 6600 (in sostituzione) | RAM 2 GB Blackdragon (in sostituzione) | Case Cooler Master Mystique | Ali Seasonic M12 500W | MSI NVIDIA GeForce GTX560-Ti Twin Frozr II OC | Samsung 200 GB SSD + altro IDE| Master NEC 3540A | Dell U2515H ADZG Monitor UltraSharp, 25", IPS, 2.560 x 1.440 |
|
|
|
|
09-08-2002, 17:25
|
#3 |
|
Bannato
Iscritto dal: Sep 2001
Città: http://elbompr.splinder.it
Messaggi: 254
|
digli di provare swat it un antitrojano. elbompr
|
|
|
|
|
09-08-2002, 17:40
|
#4 | |
|
Senior Member
Iscritto dal: Apr 2002
Città: Sondrio
Messaggi: 701
|
Re: Possibile virus???
Quote:
 Scherzi a parte concordo con Beto ed elbompr. |
|
|
|
|
|
09-08-2002, 22:34
|
#5 |
|
Senior Member
Iscritto dal: Jan 2002
Messaggi: 1179
|
al 90% concordo anke io!!!!
prova dare un okkio sul registro di windows da esegui: comando--> regedit <-- se l os è un NT -->regedit32<-- e vai qui: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce o qui HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx e vedi se trovi qualche applicazione strana che non vi garba tanto!!!e fa elimina
__________________
Il mondo è dominato dall'informazione. I computer controllano l'informazione. Chi controlla i computer domina il mondo. |
|
|
|
|
09-08-2002, 23:10
|
#6 |
|
Senior Member
Iscritto dal: Nov 1999
Città: Pistoia
Messaggi: 37438
|
x nasitopo
Ti pregherei di ridurre la signature a tre righe (a 800x600) come previsto dal regolamento Grazie |
|
|
|
|
11-08-2002, 14:11
|
#7 |
|
Member
Iscritto dal: Oct 2001
Messaggi: 265
|
Scusa MM ora dovrei essere a posto...
Grazie ragazzi lunedì provo... Ma dove posso trovare swat it???? o qualsiasi altro strumento per rimuoverlo?
__________________
i5 Quad Core 750 @ 2,66GHz|Gygabyte GA-P55A-UD4|OCZ Obsidian DDR3 4GB PC1600 CL9|Sapphire Radeon HD 5770 Vapor-X - 1GB PCI-E|Western Digital Caviar Black 1TB 32MB SATA WD1001FALS|Western Digital WD 1TB SATA WD10EADS 7200 32mb GreenPower| LG GH22LS50|CORSAIR 520W CMPSU-520HXEU|Cooler Master Sileo 500|Windows Seven x64 |
|
|
|
|
11-08-2002, 15:00
|
#8 |
|
Senior Member
Iscritto dal: Jul 2002
Città: arezzo
Messaggi: 4817
|
puoi provare anche agnitum
tauscan, sul sito tausca è in prova 30 gg, quindi perfettamente funzionante.
cmq dove laroro io era successa la stessa cosa ad un collega, era solo un programma autoinstallato che appena acceso il pc dava questo problema! fai da esegui msconfig, e trovi quasi quasi un ip con un.exe, trova il percorso ed eliminalo. ciao mario
__________________
provare è il primo passo verso il fallimento. homer j. simpson Noi addestriamo dei giovani a scaricare napalm sulla gente, ma i loro comandanti non gli permettono di scrivere cazzo sui loro aerei perché è osceno Col. Kurtz |
|
|
|
|
11-08-2002, 15:40
|
#9 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
C'è qualcosa nel mio sito e ti sposto in sicurezza.
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
12-08-2002, 15:54
|
#10 |
|
Member
Iscritto dal: Oct 2001
Messaggi: 265
|
Ragazzi ho provato nell'ordine:
- a controllare il registro - swat it - cleaner 3 - tauscan (non mi funge) ma non ho trovato nulla di sospetto? cosa mi consigliate?
__________________
i5 Quad Core 750 @ 2,66GHz|Gygabyte GA-P55A-UD4|OCZ Obsidian DDR3 4GB PC1600 CL9|Sapphire Radeon HD 5770 Vapor-X - 1GB PCI-E|Western Digital Caviar Black 1TB 32MB SATA WD1001FALS|Western Digital WD 1TB SATA WD10EADS 7200 32mb GreenPower| LG GH22LS50|CORSAIR 520W CMPSU-520HXEU|Cooler Master Sileo 500|Windows Seven x64 |
|
|
|
|
12-08-2002, 16:02
|
#11 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
Scarica winpatrol:
http://digilander.libero.it/andreaing/winpatroll.htm quando partono queste finetre avvi winpatro e guard i task aperti (processi) cerca di riconoscere quello associato nella finestra. Trovato il nome cercalo a sua volta nel registro (Start----->Esegui---->Regedit). Se si è sicuri del processo trovato forse si trova nel registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run Se non c'è allora usa la ricerca nel registro. Deve poi essere rimossa la chiave associata al processo caricato all'avvio. Attenzione a cosa si rimuove ovviamente. Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
13-08-2002, 16:27
|
#12 |
|
Member
Iscritto dal: Oct 2001
Messaggi: 265
|
Ho provato winpatrol ma non funziona (può essere perchè il mio collega usa NT)
ho provato the cleaner dopo averlo aggiornato, ma nulla. Tra l'altro in questi giorni le visite dell'intruso sono meno frequenti... Cosa posso fare? E' possibile che sia dovuto al virus che arriva insieme al messaggio di posta intitolato Re:Your Password? (il mio collega leggendo sul forum si è ricordato di aver ricevuto una cosa del genere circa un mese fà). Grazie a tutti per l'aiuto che mi state dando.
__________________
i5 Quad Core 750 @ 2,66GHz|Gygabyte GA-P55A-UD4|OCZ Obsidian DDR3 4GB PC1600 CL9|Sapphire Radeon HD 5770 Vapor-X - 1GB PCI-E|Western Digital Caviar Black 1TB 32MB SATA WD1001FALS|Western Digital WD 1TB SATA WD10EADS 7200 32mb GreenPower| LG GH22LS50|CORSAIR 520W CMPSU-520HXEU|Cooler Master Sileo 500|Windows Seven x64 |
|
|
|
|
13-08-2002, 17:32
|
#13 | |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
Quote:
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
|
13-08-2002, 18:11
|
#14 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Non penso proprio ci possa essere correlazione fra quanto da te descritto nel tuo primo (apertura automatica siti porno) e la mail ricevuta dal tuo amico con Oggetto Re:Your Password, in quanto questo tipo di messaggio viene spedito dal worm W32/Frethem@MM. Concordo con quanto scritto dagli altri, e credo sia più un trojan, probabilmente JS/Seeker (con tutte le sue varianti) o JS/NoClose, questi trojan sfruttano il linguaggio JavaScript (JS) e entrano nelle macchine dove non è stata installata la patch contro le vulnerabilità della -Microsoft virtual machine- infatti con un controllo ActiveX è uno scherzo rimandare poi una qualsiasi macchina su un sito o su un altro. Dovresti dire al tuo amico di verificare la versione di IE installata sulla sua macchina (Apri IE, anche non connesso, ? vicino a Strumenti- Informazioni su Internet Explorer e vedere versione e soprattutto aggiornamento), ti ricordo che il problema in questione si riferisce fino alla 5.5 Service Pack1 con la SP2 il problema è stato risolto, mentre sulla versione IE6 questo problema non esiste più, peccato ve ne siano altri
. Tornando a JS/Seeker fai verificare se ha in Start/Avvio Programmi Esecuzione Automatica il file run.hta, nel caso digli di cancellarlo stessa cosa per il file BACKUP2.REG in C:/WINDOWS. Ricordati di fargli fare una scansione approfondita con un ativirus aggiornato, anche se JS/Seeker è vecchio come il cucù, per quanto riguarda JS/NoClose è sufficiente una scansione (anche qui approfondita, questo trojan è più recente quindi qui è obbligato ad avere l'antivirus aggiornato).Leggi poi al link per quanto riguarda la vulnerabilità della Microsoft virtual machine http://support.microsoft.com/default...S;Q275609& Marco(amvinfe) |
|
|
|
|
14-08-2002, 15:42
|
#15 |
|
Member
Iscritto dal: Oct 2001
Messaggi: 265
|
Ho cercato i file menzionati da amvinfe ma nulla, allora ho effettuato l'ultimo aggiornamento datato 13/08 e il norton mi ha rilevato il seguente virus:
W32.Frethem.Gen@mm Allora ho eliminato le voci nel registro relative al suo avvio ed ho eliminato il relativo file taskbar.exe. Per ora il problema non si è ancora manifestato, ma non ci metterei la mano sul fuoco in quanto tale virus non viene identificato come trojan.
__________________
i5 Quad Core 750 @ 2,66GHz|Gygabyte GA-P55A-UD4|OCZ Obsidian DDR3 4GB PC1600 CL9|Sapphire Radeon HD 5770 Vapor-X - 1GB PCI-E|Western Digital Caviar Black 1TB 32MB SATA WD1001FALS|Western Digital WD 1TB SATA WD10EADS 7200 32mb GreenPower| LG GH22LS50|CORSAIR 520W CMPSU-520HXEU|Cooler Master Sileo 500|Windows Seven x64 |
|
|
|
|
14-08-2002, 17:26
|
#16 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Prova a vedere se W32/Frethem@MM ha copiato il file Winstat.ini
in WINDOWS, ed il file setup.exe in Start,Avvio/Programmi/Esecuzione Automatica. Io cmq farei per un'ulteriore sicurezza una scansione con il fix_tool per la rimozione automatica: http://www.bitdefender.com/html/free_tools.php Marco(amvinfe) |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:29.
