| Autore |
 Discussione  |
|
paola.carullo
New Member
49 Messaggi |
 Inserito il - 29/09/2009 : 09:25:31
|
salve a tutti
ho un problema con questo virus, avast non riesce ad eliminarlo, l'unica azione che mi permette di fare è "premere OK per non attivarlo". compare solo quando sono collegata alla rete dell'università e si posiziona nella cartella condivisa(che è vuota) ogni volta che cancello il file (khu-file di sistema) da lì ricompare l'avviso di avast. qualcuno sa dirmi cosa succede e come posso risolvere? grazie a tutti
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/09/2009 : 09:42:53
|
| Buon giorno e benvenuta su Notrace, AutoIT è un linguaggio/software di programmazione e automazione per alcune operazioni di windows tra le quali anche le reti, presumo si tratti di uno svarione di avast, il cosidetto falso positivo, sarebbe opportuno facessi una verifica con i tuoi compagni di corso, controlla se anche loro hanno il file nella cartella condivisa. Appena hai notizie torna a postare, non vorrei farti fare una serie di operazioni inutili se poi appena ti riconnetti alla rete della facoltà il "problema" torna. |
 |
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 29/09/2009 : 12:23:11
|
Citazione:
Messaggio inserito da death
Buon giorno e benvenuta su Notrace, AutoIT è un linguaggio/software di programmazione e automazione per alcune operazioni di windows tra le quali anche le reti, presumo si tratti di uno svarione di avast, il cosidetto falso positivo, sarebbe opportuno facessi una verifica con i tuoi compagni di corso, controlla se anche loro hanno il file nella cartella condivisa. Appena hai notizie torna a postare, non vorrei farti fare una serie di operazioni inutili se poi appena ti riconnetti alla rete della facoltà il "problema" torna.
|
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 29/09/2009 : 12:36:34
|
| ho controllato gli altri PC ma solo io ho questa cartella gli altri hanno solo i documenti condivisi in C, posso cancellarla tanto è vuota e non metto niente in condivisione??. un'altra cosa ogni volta che compare di nuovo il virus in C:\ mi escono 3 file : "ntuser.dat.LOG" "NTUSER.DAT" ed "ntuser.ini" ed non me li fa aprire perchè"il file è utilizzato da un altro processo" che succede?? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/09/2009 : 13:21:53
|
Buon giorno, facciamo un controllo anche se sono convinto che non ci sia nulla di anomalo, segui la procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
h) oppure utilizza questo servizio:htt*://[www].megaupload[.com]/
|
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 29/09/2009 : 14:59:54
|
ho fatto tutto ecco i link (htt*://[www].savefile[.com]/ non funziona)
htt*://wikisend[.com]/download/586840/hijackthis.log
htt*://wikisend[.com]/download/498874/mbam-log-2009-09-29 (14-47-18).txt
htt*://wikisend[.com]/download/516248/LopR_1.txt
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/09/2009 : 15:24:03
|
Buona sera, ci sono delle tracce di infezione da Navipromo, vediamo di rimuoverlo, segui le istruzioni:
Scarica Navilog da qui
scarica Navilog
scaricalo sul sul desktop e installalo.
1) riavvia il computer in modalità provvisoria
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
2) esegui Navilog1
3) scegli l'opzione 1, farà la ricerca sul pc, quando ha terminato rilancia Navilog1
4) scegli l'opzione 2 (Automatic Cleaning) e dai l'ok (eseguirà la pulizia dei files infetti trovati)
5) Riavvia il pc in modalità normale esegui navilog, scegli la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
nota: lo trovi anche in c:\ con il nome cleannavi.txt
6) Posta il log della scansione.
Riesegui malwarebytes ed elimina tutto quello che viene trovato, poi esegui le pulizie con questo tool:
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni) |
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 30/09/2009 : 11:39:00
|
ho fatto tutto, ecco il link
htt*://wikisend[.com]/download/497860/cleannavi.txt |
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 30/09/2009 : 14:39:00
|
| grazie per l'aiuto ma il problema ritorna.. cosa posso fare ancora?? è un falso positivo? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/09/2009 : 19:58:44
|
| Buona sera, mi riesegui una scansione con Lopsd per cortesia, in relazione al tuo problema principale mi copi qui il nome esatto del file con la sua estensione così verifico, presumo sia un falso positivo solo per il fatto che il problema viene riscontrato solo quando ti connetti alla rete dell'università. |
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 01/10/2009 : 11:17:15
|
queto è il link htt*://wikisend[.com]/download/920978/lopR.txt
il registro di avast mi dice:
1/10/2009 11.12.55 SYSTEM 1796 Sign of "AutoIt:Balero-A [Wrm]" has been found in "C:\Documents and Settings\Eldo\Desktop\Cartella Condivisa\djjbvo.exe\AutoIt.script" file.
ho premuto ok per non attivare il virus (l'unica azione che mi consente di fare) e nella cartella condivisa sono rimasti questi file : khu e khv, attributi RHSA, tipo file di sistema, dimensione 0 KB, non c'è l'estensione. se li cancello mi ricompare l'avviso di avast |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/10/2009 : 11:44:48
|
| Buon giorno, vediamo se è effettivamente un virus o un falso positivo, non si trova nulla sul web, solo un altro utente avast negli stati uniti con problemi di riconoscimento, scarica questo tool htt*://[www].protectorplus[.com]/download/cleanautoit.exe ed eseguilo, clicca su scan e lascia che esegua la scansione, vedi se rilascia un report o se ti rimuove i files, non l'ho mai usato e non trovo info utili. |
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 02/10/2009 : 07:47:04
|
l'ho fatto, non ha lasciato nessun report e non ha trovato niente!!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/10/2009 : 08:00:35
|
Buon giorno, comincio a pensare che il tuo avast veda i fantasmi, quello era un tool specifico per il tipo di infezione, tentiamo un'ultima cosa e vediamo cosa esce
scarica ComboFix
scaricalo in c:\ dove sia facilmente raggiungibile con qualunque user del pc.
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio dopo i vari passaggi se richiesto
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE TASTIERA E MOUSE MENTRE COMBOFIX LAVORA
|
|
|
|
paola.carullo
New Member
49 Messaggi |
Inserito il - 02/10/2009 : 09:32:14
|
ho fatto!!
htt*://wikisend[.com]/download/569598/ComboFix.txt
non mi ha chiesto di rimuovere nessun drivers, mi ha creato la cartella C:\QooBox ma non ho trovato il file Hiv-backup
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/10/2009 : 10:09:52
|
Buon giorno, come immaginavo non è stato trovato nulla di riconducibile al tuo problema, segui questa procedura per rimuovere combofix
da start >>> esegui >>> digita ComboFix /u (c'e' uno spazio vuoto dopo combofix) per rimuovere combofix
poi verifica che sia stata rimossa la cartella C:\QooBox
A questo punto continuo a pensare che sia un problema di falso positivo, vorrei solo capire come mai solo tu hai quel file che si crea quando ti connetti e non i tuoi colleghi. Vorrei solo verificare una cosa se ti va di perdere ancora 5 minuti, eseguimi questa scansione sul tuo pc
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Non so dirti quando potrò esaminarlo visto che sarò fuori per lavoro per qualche giorno. |
|
|
|
Discussione |
|
AutoIt:Baler-A[Wrm]
Forum Bloccato
