Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] Kamsoft.exe

(

Topic Chiuso)

Altre pagine della discussione:

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.397 - Postato: 08/Dicembre/2008 alle 12:59

Ciao a tutti. Da un paio di giorni sono stato hakerato con perdita sensibile di dati(chiusura account wow, sigh).Attualmente sul mio pc ho ZoneAlarm, Avira, Spybot e con regrun5 Reanimator viene costantemente individuato il Trojan kamsoft. exe che si ricrea allo startup.Non essendo molto pratico di hijackthis e combofix non vorrei commettere errori di cancellazione nel registro.Inoltre volevo chiedere se anche le mie memorie usb esterne possono essere infette.Grazie in anticipo

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.398 - Postato: 08/Dicembre/2008 alle 14:41

Ciao Choppaz. Benvenuto nel Forum Smile

Per cominciare esegui le scansioni con il tuo antivirus aggiornato e un software antispyware aggiornato.
Visto che hai già installato AntiVIR + Spybot ... aggiornali semplicemente.

Puoi anche installare un altro "antispy" per un' ulteriore scansione, ad es. A-Squared free.

Dopo averli installati ed aggiornati devi seguire questo procedimento:

- Riavviare il computer in modalità provvisoria
- Visualizzare le estensioni dei file, i file nascosti e i file di sistema.
- Disattivare il "Ripristino di configurazione di sistema"
- Eseguire la scansione con il tuo antivirus (fancendo una scansione completa di tutti file)
Tutte le minacce trovate le metti in quarantena o, se non è possibile, le elimini.
Segnati tutti i malware trovati.
- Eseguire la scansione con l'antispyware
Tutte le minacce trovate le metti in quarantena o, se non è possibile, le elimini.
Segnati tutti i malware trovati.
- Fare una pulizia completa con "CCleaner"
- Riavviare il computer in modalità normale
- Eseguire HiJackThis e postare il LOG di quest'ultimo

Questi passaggi li trovi spiegati in questo Topic.

REGOLA : LEGGERE Prima di postare un LOG

Per qualsiasi dubbio ... chiedi pure.

Ciao.

PS
Per il momento evita di usare chiavette USB o altri dispositivi esterni ...

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.400 - Postato: 08/Dicembre/2008 alle 15:03

Grazie di avermi risposto, ora procedo e vi posto il log!!

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.401 - Postato: 08/Dicembre/2008 alle 15:30

file:///C:/Documents%20and%20Settings/utente/Desktop/hijackthis.log

Questo è il log di hijackthis.Una precisazione : con regrun 5 mi era stato consigliato di rinominare kamsoft.exe per terminarlo e io l ho fatto, con il nome cirillo.old.Spero di non crearvi problemi altrimenti lo riporto al vecchio valore.Il bello è che si ricrea anche con questo nome fittizio.
Gli spyware non mi segnalano presenze sospette, solo reanimator/regrun 5 le evidenzia ma non riesce a fixarle.

Aspetto con ansia gentile risposta

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.402 - Postato: 08/Dicembre/2008 alle 15:51

Riporto anche l'intero log poichè potrebbe non essere corretto postare un link come ho fatto in precedenza:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.21.49, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

**********************************
log editato.. ho rimasto solo la voce infetta
**********************************

End of file - 5837 bytes

Modificato da prgn - 03/Marzo/2009 alle 21:00

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.405 - Postato: 08/Dicembre/2008 alle 17:18

Ciao

Segui questi passaggi ...

- Riavvia il computer in modalità provvisoria
- Assicurati che sia disabilitato il "Ripristino di configurazione di sistema"
- Avvia HiJackThis, ma questa volta premi il pulsante "Do a system scan only"
- Dopo la scansione metti la spunta alla seguente riga:

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

- Premi il tasto "Fix checked"
- Apri Esplora risorse (Start->Risorse del computer)
- Entra nella cartella C:\Windows\System32
- Fai scorrere la lista finchè non individui il file: cirillo.old
- Selezionalo con il tasto sinistro del mouse (mi raccomando un solo clic...)
- Tieni premuto il tasto "Shift" e poi premi il tasto "Canc"
- Alla richiesta di Windows di cancellare il file definitivamente ... rispondi "Si"
- Esegui CCleaner, premi a sinistra la pagina "Registro" e fai una pulizia completa del registro (anche più volte ... finchè non trova più errori)
- Poi passi alla pagina Opzioni, clicca su "Avanzate" e assicurati che sia tolta la spunta su "Cancella file in Windows Temp solo se più vecchi di 48 ore"
-Passa quindi alla pagina "Pulizia" e metti la spunta sull'opzione "Vecchi dati Prefetch" sotto "avanzate".
Mi raccomando che sia spuntata solo quella, se si spuntano le altre opzioni ... toglile.
- Avvia la pulizia
- Riavvia il computer in modalità normale e posta nuovamente il LOG di HiJackThis.

Ciao

PS
Non riabilitare ancora il "Ripristino di configurazione di sistema" ...

Modificato da Spfx - 08/Dicembre/2008 alle 17:39

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.406 - Postato: 08/Dicembre/2008 alle 18:36

Ho fatto tutto quanto descritto, ma non ho trovato dirillo.old in system 32 purtroppo. Ecco il log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.33.00, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

**********************************
log editato.. ho rimasto solo la voce infetta
**********************************

End of file - 5618 bytes

Dimmi cosa ne pensi...

Modificato da prgn - 03/Marzo/2009 alle 21:01

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.407 - Postato: 08/Dicembre/2008 alle 18:46

Ciao.

La riga è ancora presente nel log ...

Mi raccomando ... il file non si chiama "dirillo.old" ma "cirillo.old"

- Hai visualizzato i file nascosti e di sistema ?
- Hai disabilitato il Ripristino di configurazione di sistema ?
- Hai usato HiJackThis in modalità provvisoria, spuntando la riga indicata e premendo il tasto "Fix Checked" ?
- hai pulito con CCleaner (Registro + Pulizia) ?

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.408 - Postato: 08/Dicembre/2008 alle 19:01

scusami era un errore di typing ho cercato proprio cirillo.old, quello da me rinominato e nn lo trovo anche se ho visualizzato tutti i file con tutte le estensioni. Sembra nascosto in qualche maniera. Come fare per beccarlo?

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.409 - Postato: 08/Dicembre/2008 alle 19:16

Nessun problema ... proviamo così ...
Da Risorse del computer tasto destro su C: e seleziona cerca dal menu a tendina
Assicurati che sotto "Altre opzioni avanzate" siano spuntate le prime tre opzioni:
- Cerca nelle cartelle di sistema
- Cerca nei file e nelle cartelle nascosti
- Cerca nelle sottocartelle
Scrivi nella prima cella "Nome del file": Cirillo.old
Avvia la ricerca

Dimmi solo se Windows riesce ad individuare il file.

Poi verifica un'altra cosa ...
Guarda se sotto C: vedi i seguenti file ...

0w.com
lky.exe
o1.com
whi.com

Scarica poi GMer

...decomprimi il file eseguibile su una cartella nel desktop e avvia il programma.
Senza toccare nulla clicca su "Scan"... (dovrebbe essere già impostato all'avvio sulla pagina per la scansione dei rootkits)

Facci sapere se ti ha dato avvisi di presenza rootkits... ed eventuali voci indicate in rosso...
Alla fine della scansione clicca sul tasto "Copy" di GMer e incolla il risultato sul Blocco Note di Windows
Poi postaci il LOG di GMer.

Dicci anche i risultati delle ricerche dei file che ho indicato e se la ricerca con Windows ha individuato il file cirillo.old.

Ti raccomando di mantenere sempre:
-Visualizzazione dei file e cartelle nascoste, visualizzazione file di sistema,visualizzazione estensione dei file
-Disabilitazione del "Ripristino di configurazione di sistema"

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Kamsoft.exe

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Kamsoft.exe

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !