Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] ADWARE che NOD 32 non riesce ad eliminare

(

Topic Chiuso)

Altre pagine della discussione:

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.229 - Postato: 08/Ottobre/2009 alle 00:50

Salve ragazzi, HO UN RPOBLEMA, IL MIO PC A DIRE IL VERO A PARTE QUALCHE PICCOLO INTOPPO OGNI TANTO, CHE HO SEMPRE RISCONTRATO IN TUTTI I PC, NELL'ULTIMO SCANNER CON ANTIVIRUS, (scusate il maiuscolo) dicevo con l'ultima scansione mi da problemi ovvero mi identifica tre oggetti, tre adware, a fine scansione mi dice che due sono eliminati e due ancora attivi anche se in quarantena. Ho windows xp media center e nod 32 come antivirus.

Gli AdAware identificati sono i seguenti:

Variante di WIN32/ADAWARE.ADON APPLICATION

Variante di WIN32/ADAWARE.AGENT.NMZ APPLICATION.

Vi posto anche la stringa di Hijack:

*** log hijackthis editato.. rimangono solo le voci che interessanto ***

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O4 - HKCU\..\Run: [ecmkj] "c:\documents and settings\daniele\impostazioni locali\dati applicazioni\ecmkj.exe" ecmkj

Ragazzi mi avete sempre risolto tutti i problemi. Spero riusciate anche qui
Cmq vi ringrazio in anticipo.
Notte
Daniele/Mission

Modificato da prgn - 09/Ottobre/2009 alle 13:32

Daniele Alias Mission

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.230 - Postato: 08/Ottobre/2009 alle 01:16

Ciao
Purtoppo vedo lo stesso malware dell'altra volta.. (ricordo che non portammo
avanti la discussione...) Per toglierlo fai fare una pulizia con navilog

Puoi trovare una guida ed il link per scaricarlo a questo indirizzo:

http://www.steven.altervista.org/files/tools1.html

Ricorda che potrebbe essere scambiato per un malware... ma si tratta di un
falso positivo.
Ciao

PS: posta anche il log di navilog (insieme ad uno di hijackthis.. dopo la pulizia)

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.255 - Postato: 09/Ottobre/2009 alle 13:16

Allora ho scansionato come mi hai detto con Navilog, seguite le istruzioni (schermata un pò diversa e anche funzionamento, ma penso di avere fatto bene le cose.) detto cio' ti posto qui il rapporto e nel frattempo ora riscansiono in modalità provvisoria....nel frattempo ti ringrazio e ringrazio tutti voi.

Daniele/Mission

P.S.. Due cose, uno non mi è arrivata la notifica risposta tramite mail, non so se è un problema io, però la mia mail per il resto funziona regolarmente

2- nel disco rigido C ho trovato un file illeggibile creato il 25/07/09 chiamato delete.ME a me pare strano...poi ditemi voi...grazie ancora...vi faccio sapere

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.256 - Postato: 09/Ottobre/2009 alle 13:17

Log navilog:

C:\Programmi\WebMediaPlayer deleted !
C:\Documents and Settings\All Users\menuav~1\progra~1\WebMediaPlayer deleted !
C:\WINDOWS\prefetch\ecmkj*.pf deleted !
c:\docume~1\daniele\impost~1\datiap~1\ecmkj.exe deleted !
c:\docume~1\daniele\impost~1\datiap~1\ecmkj.dat deleted !
c:\docume~1\daniele\impost~1\datiap~1\ecmkj_nav.dat deleted !
c:\docume~1\daniele\impost~1\datiap~1\ecmkj_navps.dat deleted !

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Documents and Settings\Daniele\impost~1\Temp done !

Backing up Registry done !

Nettoyage Registre Ok

Modificato da prgn - 09/Ottobre/2009 alle 13:34

Daniele Alias Mission

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.257 - Postato: 09/Ottobre/2009 alle 13:30

Ciao.. ok.. l'ha eliminato!
Il file di cui mi dici non ti saprei dire che roba sia... comunque essendo in c:\
e chiamandosi a quel modo non mi sembra un file di sistema..
Tutto sommato già il nome dite "CANCELLAMI"... io lo cancellerei...
Rispetto la pagina iniziale di internet explorer... vedo che è settata ad about:blank
Penso si tratti di un'impostazione e non di un hijacker che te l'ha cambiata...
che mi dici a riguardo? Eri consapevole che all'apertura di Internet explorer
ti desse la pagina bianca?
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.258 - Postato: 09/Ottobre/2009 alle 13:53

Si..mi hanno consigliata di impostarlo così la pagina iniziale di internet explorer, che cmq non uso quasi mai. Cmq grazie per l'interesse.
Allora ho scansionato in modalità provvisoria in rete i dischi C e D... ma ti volevo segnalare alcune cose. La scansione è stata molto più veloce e mi ha scansionato 55988 file invece dei circa 222 mila che fa in modalità normale...poi ti volevo segnalare queste voci che il od 32 mi ha dato:

In blu è scritto all'inizio scansione queste tre cose:
Error occurred while scanning operating memory. System mememory cannot be scanned (The kernell service is not running or an error occurred while loading nod32.vxd)

Error occurred while scanning active boot sector of the 1. phisycal disk. Erroe reading sector

Error occurred while scanning MBR sector of 2. physical disk. Error reading sector

Poi poco prima della scansione in rosso mi ha scritto:

Anti-Stealth could not be fully scanned. The Anti-Stealth tecnology is working in limited mode.

Tutto normale? O qualcosa non va e mi consigli una scansione in modalità normale o cmq altri sugggerimenti?
Ti ringrazio

P.S. file delete.ME cancellato

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.259 - Postato: 09/Ottobre/2009 alle 14:08

Ah mi sembra doveroso rifarti presente che continua a non notificarmi la mail delle vostre risposte. Prima lo faceva regolarmente. Adesso oltre che la mia mail va regolarmente, ti faccio presente che qualunque sito frequenti in cui chiedo una risposta tramite mail mi arriva...cito esempio facebook....
Può essere anche un mio problema..cmq io te lo segnalo
ciao e grazie ancora. Attendo o notizie dei tuoi colleghi moderatori
Ciao a tutti

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 91.260 - Postato: 09/Ottobre/2009 alle 14:42

Ma la scansione falla in modalità normale... Fare una scansione in modalità provvisoria
non significa scansionare meglio... spesso in modalità provvisoria alcuni malware
sono meno protetti e quindi l'antivirus riesce ad intaccarli... solo per questo si fanno.

Rispetto la pagina iniziale di internet explorer... ti chiedevo perchè era sintomatica
di un tipo di infezione (anche se poteva essere un'impostazione.. come infatti era)

Per la questione dell'email di notifica ho segnalato all'amministratore

A questo punto penso tu debba eliminare tutti i punti di ripristino (eliminando
il ripristino da tutti i dischi)... questo per scongiurare la presenza delle infezioni
nei punti di ripristino... Dopo averli eliminati ti basta riattivarli ed il pc inizierà
a crearne di nuovi...
Inoltre sarebbe importate tu facessi una pulizia per eliminare i dati temporanei e superflui...
potresti usare CCleaner per farlo...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.267 - Postato: 09/Ottobre/2009 alle 17:05

Ok lo farò. Ma come faccio a disattivare i punti di ripristino da questi due dischi? La normale operazione di disattivare i punti di ripristino da utilità di sistema? o c'è una procedura precisa? Se si me la spieghi?
Ora io rieseguo scansione, se qualcosa non va ti riposto il tutto a te o altri moderatori insomma, riuso navilog e ventualmente ed una eventuale altra scansione (queste come dici tu in modalità normale. Se ritrovo a qualcosa di infetto chiaramente. Ora detto questo vorrei sapere di più su questo punto di ripristino e come procedere, se prima la scansione, o se dopo, inoltre se lasciare sempre disattivato oppure riattivarlo dopo....ripeto so disattivarlo da utilità di sistema, ma non so se è l'operazione medesima che tu mi chiedi di fare.
Grazie
Ciao
Daniele/Mission

Mission
Apprendista

Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245

Topic: Post n° 91.269 - Postato: 09/Ottobre/2009 alle 17:13

Ti dico già che dopo pochi minuti di scansione mi sta ritrovando gli stessi problemi, quindi o navilog ha fallito (ma tu mi hai detto di no) o per l'appunto si sono ripristinati, poi ti posto risultati finali e stringa, mi dici come procedere, anche con il discorso del fatto di disattivare il punto ripristino dai dischi

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] ADWARE che NOD 32 non riesce ad eliminare

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] ADWARE che NOD 32 non riesce ad eliminare

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !