| Autore |
 Discussione  |
|
|
lukas
Junior Member
61 Messaggi |
 Inserito il - 03/04/2009 : 12:54:56
|
Bgiorno a tutti, come dicevo all'amico Death speravo tnt di nn scrivere almeno x un pò di tempo in qsta sezione del forum, ma purtroppo il mio antivirus AVG 8.5 free edition ha appena rilevato un trojan horse agent2.CK sulla chiavetta usb e la path al file è la seguente G:\rbjhqf.exe!!! Ho fatto e rifatto scansioni con Bitdefender, avenger, malwarebytes, combofix, lpsd, systemscan etc. etc..nn so più ke fare x rimuovere sto maledetto virus..ke sembra essere latente nel pc e si risveglia appena inserisco le pen-drive!!! Cosa mi consigliate di fare x risolvere definitivamente?
p.s.nn vorrei proprio formattare tutto il pc
Grazie.
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/04/2009 : 13:03:56
|
Buon giorno, continui a infettarti con le pendrive, qui non ne usciamo vivi, vediamo se si è ricreato qualche file sul pc, tieni lontano quella pen drive da tutti i pc:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
 |
|
|
lukas
Junior Member
61 Messaggi |
Inserito il - 03/04/2009 : 14:46:42
|
Ecco il link del report...
htt*://wikisend[.com]/download/519564/report_Systemscan_03-04-09.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/04/2009 : 15:36:36
|
Buon giorno, ti sei di nuovo infettato anche il pc ci sono una serie di files exe senza riscontri, segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\CF21113.exe
C:\WINDOWS\system32\cmd.execf
C:\WINDOWS\system32\CF31538.exe
C:\WINDOWS\system32\CF31052.exe
C:\WINDOWS\system32\CF30882.exe
C:\WINDOWS\system32\CF26561.exe
C:\WINDOWS\system32\CF31624.exe
C:\WINDOWS\system32\CF31209.exe
C:\WINDOWS\system32\CF31000.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
al riavvio successivo:
apri il blocco note di windows copia/incolla il testo qui sotto riportato (ricordati di aggiungere la  qui sul forum è una immagine)
echo off
dir "g:\"
start C:\elenco.txt
lo salvi sul desktop come "tipo file - tutti i file" e lo chiami pippo.bat
poi inserisci la pen drive tenendo premuto il tasto shift (prima di inserirla e lo rilasci dopo qualche secondo dopo che hai inserito la pen drive)
visualizza i files nascosti su una cartella qualsiasi seguendo lo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
ora lancia il file pippo.bat ti si aprirà un file di testo, salvalo e postalo sul forum come gli altri report.
|
|
|
|
lukas
Junior Member
61 Messaggi |
Inserito il - 03/04/2009 : 17:19:47
|
Ho eseguito tutto..soltanto ke alla fine dopo aver lanciato pippo.bat...mi appare messaggio di errore "file non trovato" ed una finestra "impossibile trovare il file "C:\elenco.txt"
ke significa?
p.s.la pen drive stamattina l'avevo formattata cmq..è probabile ke dipenda da questo?
Grazie. |
Modificato da - lukas in data 03/04/2009 17:21:51 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/04/2009 : 22:16:47
|
Buona sera, beh..devo dire che se la pen drive l'hai formattata tutta la mia procedura era inutile... .. esegui una scansione con malwarebytes di controllo per assicurarci che non ci siano altri ospiti che da systemscan non vedo, se hai altre pen drive, sempre la procedura con il tasto shift, visualizzi i files nascosti e se trovi qualcosa di anomalo me lo posti, identica procedura per gli hard disk esterni. |
|
|
|
lukas
Junior Member
61 Messaggi |
Inserito il - 04/04/2009 : 13:40:34
|
Ok Death...preciso e cortese come sempre...granzie infinite!!!
Ti farò sapere....
Un buon fine settimana. |
|
|
|
lukas
Junior Member
61 Messaggi |
Inserito il - 04/04/2009 : 14:52:43
|
| Ah Death, dimenticavo una cosa...ma x evitare di prendere qsti ed altri virus pericolosi e scoccianti e fare continuamente qst procedure x eliminarli,ke antivirus mi consiglieresti x bloccarli alla radice ed evitare infezioni continue al pc?(io uso AVG 8.5 free vers.)Grazie. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/04/2009 : 17:48:33
|
| Buona sera, purtroppo questo tipo di infezioni che si moltiplicano con i file autorun.inf ho già visto che bypassano tutti gli antivirus, qui serve solo un poco di attenzione a cosa si scarica e a cosa si esegue, accertarsi sempre che i programmi arrivino da fonti sicure. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 04/04/2009 : 20:16:07
|
| avira 9 è il top... non è mai stato bypassato almeno per ora |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 05/04/2009 : 05:24:39
|
autorun.inf è un file "legittimo", non credo che un antivirus lo blocchi, ma l'autorun su un PC lo si può disattivare, se lo si fa si rischia meno di farsi impallinare di nuovo, certo è che poi si dovranno eseguire manualmente le operazioni di apertura dei media inseriti nei lettori/usb, ma il gioco (IMHO) vale la candela:
htt*://[www].giovy.it/2009/03/28/disabilitare-autoruninf-su-windows-stand-alone-e-active-directory/ |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 09:47:09
|
Buon giorno, come fatto notare in maniera tecnica da yves, i file autorun.inf che sono poi banalissimi file di istruzioni sono legittimi e ovviamente ce ne possono essere diversi presenti su un pc, questo è uno dei motivi per cui bypassano gli antivirus e li rimuoviamo a manina, resta ovvio che per rimuoverli bisogna saperne il contenuto  ..quindi anche avira viene bypassato allegramente. |
|
|
|
lukas
Junior Member
61 Messaggi |
Inserito il - 08/04/2009 : 09:57:41
|
Grazie delle preziose info in merito...vuol dire ke da ora in poi occhi aperti agli autorun.inf..darò un'occhiata magari alla procedura di disabilitazione..
Un caro saluto a voi tutti... |
|
|
| |
Discussione |
|
Trojan horse Agent2.CK su chiavetta usb!
Forum Bloccato
