| Autore |
 Discussione  |
|
donatello
Senior Member
.jpg)
Città: Napoli
158 Messaggi |
 Inserito il - 01/05/2007 : 16:19:01
|
Ciao ragazzi ci si ritrova come di consueto, ultimamente Avast ad ogni avvio del pc mi riscontra un trojan
Win32:Small-gen2[trj]
nel file infetto tmp1.tmp
il file si elimina tranquillamente ma al riavvio rieccoci!!
Ho provato con i miei mezzi ad eliminarlo facendo:
pulizia con CCleaner in provv.
risoluzione problemi con CCleaner
Scansione con Spybot aggiornato
Immunizzazione con Spybot
Scansione con Virit aggiornato (con tempo di prova scaduto, quindi se non sbaglio non controlla i file compressi) e ha trovato solo un file "_cleaned.tmp" infetto da trojan.Win32.rootkit.O che non ha eliminato automaticamente, ma che ho cancellato manualmente e non si è ricreato
Scansioni locali con AVG
Vi premetto che ho già combattuto Gromozon e Rustock poco fà con esiti positivi
Nulla da fare c'è ancora, vi posto un log di hijack intanto:
htt*://depositfiles[.com]/files/818289
Fatemi sapere qualcosa ok??
GRAZIE RAGA
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 01/05/2007 : 17:07:14
|
è frequente che quando si è infettati da un virus ci siano elementi maligni nei file temporanei, i quali vengono eseguiti dal virus per vari scopi a seconda dell'infezione.
Analizzando il log, risulta essere presente un trojan quindi fixa:
O4 - Global Startup: MS_update_0704_KB74073.exe
O9 - Extra button: Alice - {8A36EA4C-95CE-4C2A-94C2-46CE49202148} - htt*://gw.aliceadsl.it/alice (file missing) (HKCU)
Apri il pc in modalità provvisoria (premendo F8 nella fase di boot), esegui una normale ricerca di file cercando il file MS_update_0704_KB74073.exe ; Poi eliminalo.... Dopodichè fai una pulizia con CCleaner e se vuoi anke una scansioncina con Virit non farebbe male
Facci sapere |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 01/05/2007 : 20:38:45
|
effettua anche questa scansione on line e vedi cosa ti rileva htt*://[www].pandasoftware[.com]/activescan/it/activescan_principal.htm lo scanner online utilizza controlli ActiveX, per cui solo con Internet Explorer sarà possibile effettuare lo scan
ciao |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 05/05/2007 : 16:33:07
|
ho eliminato i file manualmete in provvisorio
ho effettuato la pulizia con CCleaner e la risoluzione problemi
ed andato tutto ok
Ma per quanto riguarda la scansione on-line:
mi è stato richiesto di installare un ActiveX (Panda)
ma durante l'istallazione o la scansione, non ho capito proprio bene, avast mi ha bloccato il procedimento con questo messaggio:
"Win32:CTX" has been found in: "htt*://acs.pandasoftware[.com]/activescan/as5free/motor .cab/pskavs.DLL" file
E in verità ti dico che se non me lo avessi chiesto tu (Aris), che da parte mia godi di un'ottima fiducia, non l'avrei mai fatta!! perchè nn mi fido affatto di queste scansioni on-line
Vi posto un altro log di Hijack:
htt*://depositfiles[.com]/files/829962
Un log di Gmer in Autostart:
htt*://depositfiles[.com]/files/829993
E in Rootkit:
htt*://depositfiles[.com]/files/829996
per quanto riguarda Virit una volta finito il periodo prova bisogna esclusivamente acquistarlo per fargli fare alcune funzioni importanti come controllare file compressi??
Thanks
Attendo vostre risposte |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 05/05/2007 : 19:06:41
|
Allora vorrei sapere se ill virus è stato eliminato...
Comuque Avast ti da il controllo active come nocivo forse perchè non compare nel suo database...a volte gli antivirus danno allarmi che non esistono...quindi fidati e installa pure il controllo
Per quanto riguarda virit, per la protezione in tempo reale bisogna acquistarlo, se invece non paghi niente rimane utile solo per le scansioni manuali... |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 07/05/2007 : 21:13:14
|
Il virus sembra debellato!! GRAZIE...
vorrei solo precisare alcune cose..
Avast non mi dava come nocivo il controllo active.. che infatti ho installato ma un preciso file .dll che probabilmente utilizzava panda per fare la scansione on-line.. quindi farei attenzione
Per Virit, è vero che la protezione permanente bisogna aquistarla, ma anche nella scansione manuale in preferenze non ti permette di mettere il segno di spunta su "controlla file compressi", ti limita dicendoti che devi acquistare la versione PRO per l'utilizzo della funzione.. e non mi sembra una cosa da niente non controllare i file compressi (spesso mi è capitato di trovare virus in file zip o rar)
se sbaglio correggetemi pure.. non mi reputo di certo un esperto!!
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/05/2007 : 22:23:41
|
Citazione:
Messaggio inserito da donatello
Avast non mi dava come nocivo il controllo active.. che infatti ho installato ma un preciso file .dll che probabilmente utilizzava panda per fare la scansione on-line.. quindi farei attenzione
donatello non c'é nulla da fare attenzione, in quanto alcuni AV riconoscono componenti di altri AV o di alcuni tool come nocivi per le caratteristiche che hanno, ma non é affatto così poi alla fine...
comunque la cosa importante é che tu abbia risolto
ciao |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
 Inserito il - 08/05/2007 : 21:08:43
|
| GRAZIE COMUNQUE A BURRITO e ARIS |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 08/05/2007 : 22:26:12
|
| é sempre un piacere e lo sai.. |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 13/05/2007 : 14:37:28
|
NOOOOOOOO!!!
è da qualche giorno che si è rifatto vivo:
Win32:Small-gen2[trj]
nel file infetto tmp1.tmp
e nonostante la cancellazione ad ogni riavvio riappare... com'è possibile eppure sembra un virus da niente!!!
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 13/05/2007 : 14:41:24
|
| ripsota un nuovo log di hijack |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
 Inserito il - 13/05/2007 : 19:04:38
|
eccolo avevo dimenticato di allegarlo
log hijack
htt*://depositfiles[.com]/files/861618 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 14/05/2007 : 01:26:31
|
Il link non mi funziona (depositfiles fa un po' di scherzi)
Così a occhio direi che non hai fatto una cosa... disabilitare il ripristino di configurazione.
E' vero che cancellando un file da provvisoria il sistema non crea punti di ripristino, ma magari era già inserito e si riforma ad ogni riavvio o connessione.
Domani, sempre se qualcuno non mi anticipa, controllo ancora il link e ti dico meglio cosa fare.
Ciao |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 14/05/2007 : 03:18:40
|
Se possibile usate questi siti per l'upload di file:
htt*://freefilehosting.net/
htt*://depositfiles[.com]/en/
htt*://[www].fast-files[.com]/
Sono i meno problematici, depositfiles crea più problemi degli altri (almeno a me..).
Ciao |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 14/05/2007 : 13:55:46
|
Sempre la stessa voce infetta...fixa:
O4 - Global Startup: MS_update_0704_KB74073.exe
Per prima cosa segui il consiglio di floatman disattivando la modalità provvisoria (fai destro su risorse del computer, proprietà, ripristino configurazione sistema e metti la spunta su "disattiva ecc ecc..."
Apri il pc in modalità provvisoria (premendo F8 nella fase di boot), esegui una normale ricerca di file cercando il file MS_update_0704_KB74073.exe ; Poi eliminalo.... Dopodichè fai una pulizia con CCleaner e Regseeker |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 18/05/2007 : 14:48:29
|
al max per eliminare i file anche in modalita' normale usa un tool della nod: AGVPFIX
lo si trova facilmente in rete, una volta veniva utilizzato i primi linkoptimizer.
|
|
|
|
Discussione |
|
Virus in alcuni file .tmp
Forum Bloccato
