| Autore |
 Discussione  |
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 14/09/2006 : 17:07:45
|
Ciao a tutti,
Ho un problema sul mio computer che ritengo abbastanza serio e per questo mi affido alla vostra competenza.
Da circa due settimane, a intervalli molto frequenti (circa 10-20 minuti), si aprono tre finestre, una di fila all'altra, con cui il mio Norton Antivirus 2005 mi avvisa che il file C\Programmi\WINDOWS\System32\lpt1.qbk è affetto da un trojan horse: mi avvisa però che è impossibile riparare il file, che è impossibile metterlo in quarantena e infine, nell'ultima di queste tre finestre, mi scrive "Accesso negato al file".
Per prima cosa sono andato alla ricerca del file senza riuscire a trovarlo; ho provato a visualizzare i file nascosti e a sfruttare la modalità di ricerca di windows ma...niente, il file sembra quasi che non esista o comunque io non riesco a trovarlo nella cartella indicatami dal Norton.
Oltre che con il mio Norton, ho eseguito numerose scansioni con i seguenti software:
- Ad-Aware SE Personal
- SpyBot Search & Destroy
- AVG 7.1 Professional (verione TRIAL)
Al termine della scansione, nessuno di questi programmi mi segnala che è stato rilevato il file infetto C\Programmi\WINDOWS\System32\lpt1.qbk
Solo avviando Windows in modalità diagnostica, il Norton (solamente quest'ultimo e non gli altri programmi sopra citati) mi segnala il file infetto al termine di una scansione completa del sistema: ma anche in questo caso mi avvisa che è impossibile ripararlo, metterlo in quarantena e ancora una volta mi dice "Accesso negato al file". Ho provato in modalità provvisoria e qui nenache il Norton mi rileva il file infetto al termine della scansione, proprio come quando avvio il sistema normalmente.
Da quando il Norton mi ha rilevato per la prima volta il file infetto, mi appaiono continuamente finestre che mi segnalano errori nelle applicazioni più varie; la più colpita è certamente Norton Antivirus 2005 che posso considerare ormai fuori uso a casa degli errori frequentissimi i quali, anche prima che due giorni fa mi scadesse l'abbonamento, mi impedivano molto spesso di eseguire scansioni e aggiornamenti.
La maggior parte di questi errori mi viene segnalata per le seguenti applicazioni:
- LuCallBackProxy Module
- Symantec Integrator
- Norton AntiVirus Scanner Module
- Symantec User Session
Uno di questi messaggi di errore mi segnala:
ccApp.exe - Errore di applicazione.
L'istruzione a "Oxc48deb7d" ha fatto riferimento alla memoria a "Oxc48deb7d". La memoria non poteva essere "read".
In un altro invece mi è comparso il messaggio che potrete leggere cliccando su questo link: htt*://[www].uploadtemple[.com]/view.php/1158245546.txt
NON SAPENDO COSA FARE MI AFFIDO A VOI, CERTO DI UN VOSTRO INTERESSAMENTO.
Qui potrete trovare il file log di HijackThis:
htt*://[www].uploadtemple[.com]/view.php/1158245928.txt
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/09/2006 : 17:17:23
|
hai tracce di link optimizer
fixa
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B06AABD4-9359-097A-815B-EAD04AA239FC} - C:\WINDOWS\qcjil1.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll (file missing)
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - htt*://filelodge.bolt[.com]/ImageUploader3 .cab
elimina
C:\WINDOWS\qcjil1.dll
scansiona con
htt*://[www].softpedia[.com]/get/Antivirus/BitDefender-RootkitUncover.shtml
htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html
htt*://[www].f-secure[.com]/blacklight
htt*://[www].prevx[.com]/gromozon.asp
con l'antivirus disattivato e disconnesso
riavvi e scansioni con virit aggiornato e disconnesso che trovi nella mia firma
e riposti il log |
 |
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 14/09/2006 : 17:34:00
|
Scusa aris73,
ma è la mia prima esperienza con un forum: come faccio ad aprire la tua firma e a prelevare il programma virit? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/09/2006 : 18:37:35
|
clicca sul link lista programmi....  |
|
|
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 14/09/2006 : 19:58:15
|
Gentile aris73,
ho fatto tutto quello che mi hai detto.
Ho fixato con HijackThis gli elementi che mi hai indicato; il file che mi hai detto di rimuovere non c'era, forse, ho pensato, perchè era già stato eliminato nel momento in cui ho premuto il pulsante FIX di HijackThis.
Poi ho eseguito la scansione con i programmi che mi hai consigliato, ora ti elenco cosa ho ottenuto (premetto di non aver scaricato Sophos Anti-Rootkit in quanto era necessario iscriversi, cosa che sinceramente avrei preferito evitare a meno che tu non mi dica che sia un programma veramente necessario):
- Bitdefender Antirootkit BETA 2 - non ha rilevato nessun file infetto
- F-Secure BlackLight - al momento dell'apertura del file eseguibile scaricato si apre una finestra con questo messaggio d'errore:
F-Secure BlackLight could not acquire necessary privileges (SeDebugPrivilege)
- Your computer settings may prevent acquiring these privileges
- A malicious program might have disavled these privileges
- Gromozon Rootkit Removal Tool - nell'URL c'è un file di testo con i risultati htt*://[www].uploadtemple[.com]/view.php/1158254982.txt
- VirIT - è l'unico programma che, mi sembra, abbia rilevato il file infetto C\WINDOWS\System32\lpt1.qbk e che sia riuscito a metterlo in quarantena, pur senza eliminarlo: infatti durante la scansione mi avvisa che non riesce ad accedere al file e a scansionarlo (non sono queste le esatte parole)e che quindi lo metterà in quarantena. NON SAREBBE MEGLIO ESEGUIRE LA SCANSIONE IN MODALITA' DIAGNOSTICA O PROVVISORIA PER VEDERE SE RIESCE AD ACCEDERE AL FILE? Ecco qui il file log di VirIT: htt*://[www].uploadtemple[.com]/view.php/1158255414.txt
Insomma in poche parole sono riuscito a mettere il file in quarantena con VirIT. Finchè è in quarantena può fare qualche danno? In altre parole compariranno più tutti quegli errori nelle varie applicazioni che t'ho detto? POSSO FARE QUALCOSA PER ELIMINARLO DEFINITIVAMENTE?
Poi c'è anche un altro aspetto: ora il Norton continua a segnalarmi il file, ma chiaramente mi segnala il file non più nella posizione di prima, ma nella cartella di quarantena di VirIT; nonostante questi continui avvisi siano molto fastidiosi volevo almeno essere rassicurato sul fatto che non avrò più problemi...
Tra l'altro mi piacerebbe anche sapere come devo fare per visualizzare la quarantena con VirIT e se devo lasciarlo sempre in esecuzione per avere garantita la protezione contro i file in quarantena.
Ti posto anche il file log di HijackThis dopo tutte le operazioni effettuate come mi avevi chiesto htt*://[www].uploadtemple[.com]/view.php/1158256067.txt
Nel frattempo ti ringrazio di cuore per la gentile collaborazione.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/09/2006 : 20:14:57
|
| mio caro king la vuoi avere una buona notizia... hai risolto tutto, effettua una nuva scansione con virit che ti rimuoverà anche il residuo in quarantena... e mi fai sapere... |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 14/09/2006 : 20:43:51
|
Gentile aris73,
per mettere il file in quarantena VirIt mi ha chiesto di riavviare; al nuovo avvio è partita la scansione automatica e quindi la seconda scansione lo già effettuata non volendo. Come faccio a sapere se il file è stato definitivamente eliminato dalla quarantena? (e soprattutto come faccio ad accedere alla quarantena in questo programma?) Devo eseguire un altra scansione?
Ti posto il log file della seconda scansione (quella partita in automatico): htt*://[www].uploadtemple[.com]/view.php/1158259383.txt |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 14/09/2006 : 21:01:47
|
Messaggio inserito da aris73
non c'é niente in quarantena senò te lo avrebbe rimosso..[.com]unque tanto per essere sicuri
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco, dopo aver scritto sul block notes
il percorso del file lo copi e lo incolli all'interno del box,clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente |
Modificato da - aris73 in data 14/09/2006 21:08:58 |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 15/09/2006 : 14:35:20
|
Gentile aris73,
Ho scaricato avenger.exe e ho fatto tutto quello che mi hai detto.
Nell'ultimo messaggio che mi hai mandato mi hai scritto: " All'interno del box bianco, dopo aver scritto sul block notes
il percorso del file lo copi e lo incolli all'interno del box,clicca sul pulsante Done". il percorso di quale file devo copiare nel box bianco? Quello del file infetto? Io comunque ho eseguito tutte le operazioni da te indicatemi inserendo nel box bianco il percorso del file infetto in questo modo: C:\WINDOWS\System32\lpt1.qbk solamente che una volta premuto "done" e poi il pulsante con rappresentato il semaforo verde mi appare questo messaggio di errore: "Error: selected files does not appear to be a valid script". HO FORSE SBAGLIATO A SCRIVERE IL PERCORSO DEL FILE?
In ogni caso il problema sembra ormai risolto dopo le scansioni con VirIT; il Norton infatti non mi segnala più il virus e non ho più avuto errori nelle applicazioni fino a questo momento. L'unica cosa per la quale nutro ancora qualche dubbio ma che certamente non costituisce un problema è la seguente: adesso, come quando il virus era ancora presente nel mio computer (prima della scansione con VirIT), nella sezione della quarantena di Norton Antivirus 2005 dedicata al backup dei file riparati e\o eliminati continua a comparire più volte il nome del file lpt1.qbk; io li elimino continuamente ma poi ricompaiono in gran numero senza che mi venga segnalato niente. VOLEVO SAPERE A COSA E' DOVUTO CI0', SE COSTITUISCE UN PROBLEMA E COME EVENTUALMENTE SI PU0' RISOLVERE.
Mi piacerebbe sapere anche un altra cosa.
Sia AVG 7.1 Professional che VirIT eseguono la scansione dell'intero sistema automaticamente all'avvio di Windows e non riesco a trovare l'opzione che mi permette di disattivare questa funzionalità. DOVE SI TROVA?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 15/09/2006 : 15:05:38
|
io l'ho disattivata da start, esegui, msconfig, avvio, non faccio caricare all'avvio il programma, ma non a tutti funge, ma se cerchi sul forum un'utente aveva trovato un opzione all'interno di virit, ma al momento non ricodo, se non sbaglio il percorso era opzioni, tool e non ricordo più
per quanto riguarda l'altro problema, l'errore di avenger é dovuto al fatto che non trova il file nel percorso specificato, fai una cosa
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log che gli dò un'occhiata |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 15/09/2006 : 18:44:47
|
Sono ancora io.
Ho fatto come mi hai detto.
Ecco qui i file log relarivi alle due scansioni con GMER:
- Rootkit: htt*://[www].uploadtemple[.com]/view.php/1158338246.txt
- Autostart: htt*://[www].uploadtemple[.com]/view.php/1158338354.txt
Inoltre volevo comunicarti che il file infetto lpt1.qbk si trova ancora nella quarantena di virIT (tra l'altro sono riuscito a trovarla: si trova nella cartella C:\QUARANTENA_VIRIT) tant'è vero che il Norton continua a rilevarmi il file in questa cartella. Provo a eliminarlo manualmente magari avviando Windows in modalità diagnostica o provvisoria? Tieni presente che le successive due scansioni con virIT (quelle che ho effettuato dopo che il file è stato messo in quarantena) sono state fatte con il Norton e AVG contemporaneamente attivi.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/09/2006 : 18:46:07
|
| quindi una domanda hai qualche programma della SAMSUNG..??? |
|
|
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 16/09/2006 : 18:58:58
|
Si. Ho da poco montato un nuovo masterizzatore DVD della Samsung. Perchè cosa c'entra?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/09/2006 : 19:13:14
|
| c'era una voce che non mi convinceva relativa a un prodotto della samsung, però anche da questo log non vedo nulla di anomalo, facciamo un ultima prova con virit, aggiornalo e fagli effettuare una nuova scansione, stavolta dovrebbe rimuoverlo del tutto...se no provvederemo manualmente |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 16/09/2006 : 19:17:50
|
| Devo precisare che non solo ho montato il masterizzatore DVD della Samsung, ma ho installato (il CD di installazione era presente nella confezione del masterizzatore) un programma che si avvia automaticamente all'avvio di Windows (nella barra d'avvio in basso a destra) e che serve per aggiornare il firmware del masterizzatore. Ma continuo a non capire cosa c'entra questo col mio problema. Fammi sapere al più presto. Ciao. |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 16/09/2006 : 19:21:23
|
|
Però mentre GMER eseguiva la scansione comparivano dei risultati in rosso. Sei sicuro che non siano file infetti o danneggiati? Un'altra cosa...la scansione con virIT la fa ad ogni avvio del sistema da 5 giorni a questa parte: e il file non è ancora stato eliminato. Solamente che il Norton e AVG sono stati sempre attivi. Ne eseguo un'altra disattivando il Norton? |
|
|
|
Discussione |
|
Trojan Horse
Forum Bloccato
