Stampa la pagina | Close Window

virus in quarantena ma non lo elimina

Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni da Virus e Trojan
Descrizione del forum: Per chi č stato infettato o ha problemi con virus o cavalli di Troia
URL: http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=10159
Data di Stampa: 2014/Luglio/24 alle 01:48
Versione del Software : Web Wiz Forums 8.05a - http://www.webwizforums.com


Topic: virus in quarantena ma non lo elimina
Postato da: NooB
soggetto: virus in quarantena ma non lo elimina
Postato in data: 2008/Febbraio/04 alle 16:37
ho come antivirus avg free e spybot search and destroy aggiornati
facendo la scnasione con avg mi ha trovato molti trojan, li ha messi in quarantena ma non posso fare "heal" per levarli che devo fare?



Risposte:
Postato da: RAVEN
Postato in data: 2008/Febbraio/04 alle 20:12
Evidentemente l'antivirus non dispone di firme virali abbastanza aggiornate per eliminare il virus, pertanto l'ha confinato in quell'area di memoria conosciuta come quarantena dove viene reso inoffensivo, in attesa che si possa disporre di aggiornamenti dalla casa madre che ne consentano l'eliminazione.
 
Stai tranquillo...ai prossimi aggiornamenti torna sulla quarantena e prova a vedere se riesce a rimuovere le minacce trovate.


-------------
Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

http://www.pcprimipassi.it/donazioni.asp - SOSTIENICI !


Postato da: prisca85
Postato in data: 2008/Febbraio/04 alle 20:29
potresti provare ad indicarci i percorsi infetti che ti ha trovato. specialmente sarebbe utile sapere il nome del files infetti, e il nome del trojan se c'e'. se sono virus pericolosi si possono eliminare manualmente o con altre procedureWink.



-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else


Postato da: NooB
Postato in data: 2008/Febbraio/04 alle 20:56
i virus sono
 Trojan Horse Dialer.ONQ
Trojan Horse Generic8.YYJ
Virus Identified Exploit
 
erano tutti in C:\Documents and Settings\HP_Propietario\
 


Postato da: prisca85
Postato in data: 2008/Febbraio/04 alle 21:08
ciao noob ci mancano i nomi dei files infetti... (per indenderci quelli che hanno l'estensione, per esempio .exe) non e' che riesci a recuperarli con esattezza? cmq credo sia opportuno dare un'occhiata al log di hijackthis.

segui http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407 - questa discussione nella sezione "hijackthis" e postaci il log.  

-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else


Postato da: NooB
Postato in data: 2008/Febbraio/04 alle 21:31

ok         wn1001.exe       xl1001.exe            oovxohi[1].ani

swp.jpg-3807df16-39045468.jpg    


Postato da: NooB
Postato in data: 2008/Febbraio/04 alle 21:36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.35.53, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/ - http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop - http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietą di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8000 bytes



Postato da: NooB
Postato in data: 2008/Febbraio/06 alle 15:44
č questo??
che dice?


Postato da: prisca85
Postato in data: 2008/Febbraio/08 alle 01:45
ciao noob,
scusa per il ritardo nella risposta. allora il log e' pulito apparte due voci che puoi togliere. per farlo avvia il programma, clicca su "do a system scan only" e metti la spunta accanto a queste due voci:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

poi clicca su "fix checked" e chiudi il programma.

dei files che hai messo nel post precedente solo su uno sono riuscita a trovare qualcosa (wn1001.exe). se riesci cerca gli altri nel tuo sistema, e falli scansionare da questo sito: http://www.virustotal.com/

per capire se ci sono altri files infetti ti consiglio di fare una scansione online con http://www.avp.it/virusscanner.html - kaspersky . mettici poi il risultato della scansione. se non trova nulla poi ti faccio fare altre cose se c'e' bisognoWink






-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else


Postato da: NooB
Postato in data: 2008/Febbraio/08 alle 21:00
ok grazie ora faccio tutto


Postato da: NooB
Postato in data: 2008/Febbraio/19 alle 16:15
ciao ragazzi i virus sono ancora in quarantena! e non me li fa levare che devo fare??
please aiutatemi


Postato da: NooB
Postato in data: 2008/Febbraio/19 alle 16:17
ciao ragazzi i virus sono ancora in quarantena! e non me li fa levare che devo fare?? mi sapete consigliare un buon firewall?
please aiutatemi


Postato da: NooB
Postato in data: 2008/Febbraio/19 alle 16:19
scusate se non ho messo tutto su un topic
spybot search and destroy a volte mi dice di consentire o meno una modifica che devo fare consenti o nega?


Postato da: prgn
Postato in data: 2008/Febbraio/21 alle 22:13
Scusa... hai seguito tutte le indicazioni che ti ha dato Prisca85?
La scansione online?
Riguardo il firewall... nella discussione che ti ha indicato Prisca85... trovi una
classifica dei migliori firewall... scegli uno di quelli con licenza free...
Riguardo spybot... č una bella domanda... bisognerebbe distinguere da caso
a caso...  non  esiste una risposta generalizzata... In generale... ti posso dire
che se di punto in bianco ti viene chiesto il permesso per una modifica mentre
stai navigando... allora... potrebbe essere un malware... se in vece ti viene
chiesta mentre installi un programma legittimo... allora puoi accettare la
modifica...
Ma comunque č tutto relativo...



-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...


Postato da: NooB
Postato in data: 2008/Febbraio/22 alle 16:55
ho fatto tutto quello che mi ha dett oe vedendo le classifiche ho cambiato antivirus mettendo avast  e come firewall sygate configurato seguendo una guida che ho trovato su p2p pero avast con la scnsione profonda mi trova dei virus che mette nel su cestino credo si come la quarantena ma percheee? io non vado su nessun sito strano e uso utorrent che mi hanno detto che non e molto rischioso perche trova ancora virus come posso fare???


Postato da: prisca85
Postato in data: 2008/Febbraio/22 alle 21:02
ciao noob per i virus per capire cosa sono dovresti assolutamente indicarci il nome del file e se c'e' il nome del virus. penso che metterli nel cestino sia un'operazione di default per proteggerti in caso in cui eliminasse un file che in realta' ti serve. per trovare i files nel cestino comunque, credo tu possa entrarci tramite il programma, oppure cerca nelle varie cartelle nel tuo pc (per esempio in C:/programmi/avast cerca li' dentro una cartella con su scritto cestino/quarantine/o qualcosa di simile.)

la scansione online con kaspersky, panda o quant'altro ti ha rilevato qualcosa? se si postami il risultato

visto che molto probabilmente si tratta di un rootkit scarica http://www.gmer.net/gmer.zip - GMER e scompattalo in una cartella dedicata. esegui poi questi passaggi:

1) assicurati di chiudere tutti i programmi attivi  (come IE, firefox, emule, MSN, office, antispyware attivi, o roba simile) piu' programmi aperti hai e piu' lungo sara' il resoconto pieno zeppo di informazioni inutili. a fine scansione li puoi riavviare manualmente.

2) Avvia il programma. clicca su > > > poi su Autostart metti la spunta su Show All e poi clicca su Scan. alla fine della scansione clicca su Copy. Apri il blocco note e clicca su Modifica>Incolla o CTRL+V. a questo punto invece di incollare la scansione qui che sara' molto lunga, se puoi usa un sito di file hosting come sendmefile.com o freefilehosting.com. carica il file e poi incolla qui il link per scaricarlo.

3) sempre con GMER avviato, clicca sulla scheda Rootkit. clicca su Scan e a fine scansione su Copy. esegui i passaggi del punto 2 per poi mandarmi il link con il resoconto da guardare. dopo aver salvato e mandato il rapporto sul Rootkit ti consiglio comunque in caso trovasse delle voci rosse di cliccarci con il tasto destro e poi su elimina/delete.

appena individuo il problema poi ti diro' se ci sono altri files che devi eliminare.


-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else



Stampa la pagina | Close Window

Bulletin Board Software by Web Wiz Forums version 8.05a - http://www.webwizforums.com
Copyright ©2001-2006 Web Wiz Guide - http://www.webwizguide.info