PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] Tornato un malware defense... vi posto il

(Topic Chiuso Topic Chiuso)




Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 96.323 - Postato: 20/Ottobre/2010 alle 20:14


Buonasera a tutti, come faccio spesso ricorro a voi nei momenti informaticamente difficili... mi è tornato un virus che avevo un anno fa, Malware defense... l'altra volta mi avete dato un aiuto indispendabile, quindi torno a ricorrere a voi. Il virus dopo al ripristino di configurazione di sistema sembra essere scomparso, tuttavia ci sono ancora molte sue icone sul desktop e ho paura che rispunti fuori... ho bisogno urgente di poter usare il pc per la scuola ed è necessaria l'affidabilità assoluta; vi chiedo inoltre se è possibile che questo maledetto virus si sia spedito ai miei colleghi che hanno la mail e con i quali ho scritto nei giorni precedenti e oggi.... grazie! Nicola

X


Modificato da Dallolio - 20/Ottobre/2010 alle 23:00


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.324 - Postato: 20/Ottobre/2010 alle 22:09


Ciao, contro questo malware è utilissimo Malwarebytes free... (come lo è contro tante altre applicazioni del genere) installato, aggiornalo ed avvia una scansione completa. Elimina le minacce rilevate e posta il risultato.
Il log che hai postato nn presenta le chiavi che avviano il malware... ma non è detto che nn ci siano residui, per questo fai comunque la scansione con malwarebytes.
Dopo aver usato malwarebytes, fai una pulizia dei temporanei come indicato in questa discussione:

REGOLA : LEGGERE Prima di postare un LOG

(c'è il link per ccleaner e come vanno eliminati i temporanei)

Andrebbe eliminato anche il ripristino configurazione di sistema... (perchè potrebbe essersi salvato anche la...) sempre nella discussione indicata trovi indicazioni a riguardo.. (...per xp, se il tuo sistema non è xp e nn sai come disattivare il ripristino, allora facci sapere) Dopo averlo disattivato, se il pc risulta pulito, riattivalo e salva un nuovo punto di ripristino pulito.
Ciao

PS: rispetto l'evenienza che si sia potuto inviare, a me non risulta essere nelle peculiarità del malware in questione... a meno che non sia stato esso stesso inviato da qualche altro malware... e quindi ci sia qualche altra cosa... Fai la scansione con malwarebytes e dopo se ne parla.


Modificato da prgn - 20/Ottobre/2010 alle 22:11



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 96.325 - Postato: 20/Ottobre/2010 alle 23:03


Ciao!
Ho cancellato il Log del post precedente così la discussione non si appesantisce... ho scansionato con Malwarebytes. Alla prima scansione ha rilevato 12 virus, poi puliti, alla seconda :
 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Versione database: 4895

** Log editato, nessun oggetto infetto **

Mi resta solo un dubbio... non trovo la cartella dei log, infatti non ho potuto postare la prima scansione. Per il resto ho annullato i punti di ripristino e scansionato con Ccleaner... ora il virus tace, pare non esserci più Clap

Grazie!!!


Modificato da prgn - 21/Ottobre/2010 alle 00:30


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.326 - Postato: 21/Ottobre/2010 alle 00:29


Ciao, a me interessava vedere il primo log, comunque è sul pc.. Prova ad incollare la seguente stringa nella casellina di Esegui  (Start -> Esegui) e dai ok:
Segue del testo riportato...

%userprofile%\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Fine testo riportato...
Nella cartella Logs dovresti trovare i vari prodotti dal programma...
Posta il log con gli oggetti rilevati
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 96.327 - Postato: 21/Ottobre/2010 alle 00:58


Malwarebytes' Anti-Malware 1.46
Versione database: 4895
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
20/10/2010 22.45.57
mbam-log-2010-10-20 (22-45-57).txt
Tipo di scansione: Scansione veloce
Elementi esaminati: 128948
Tempo trascorso: 5 minuti, 50 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 8
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 1
File infetti: 13
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
HKEY_CLASSES_ROOT\funwebproductsinstaller.start (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproductsinstaller.start.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d1-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d3-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{1d4db7d0-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
C:\WINDOWS\PRAGMAchwhevbrnf (Trojan.DNSChanger) -> Quarantined and deleted successfully.
File infetti:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\asd14.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\eapp32hst.dll (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\WINDOWS\PRAGMAchwhevbrnf\pragmabbr.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\PRAGMAchwhevbrnf\PRAGMAcfg.ini (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\PRAGMAchwhevbrnf\pragmaserf.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\PRAGMAchwhevbrnf\PRAGMAsrcr.dat (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Dati applicazioni\pragmamfeklnmal.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Preferiti\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Dati applicazioni\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\PRAGMA65d1.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\pragmamainqt.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
 
Ecco fatto...commenti?

 


Modificato da prgn - 21/Ottobre/2010 alle 11:52


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.328 - Postato: 21/Ottobre/2010 alle 10:52


C'era un rootkit e un trojan backdoor a farti compagnia sul pc... LOL
ma pare che malwarebytes nn se li sia fatti scappare.

Comunque sia, fai una passata con questo tool:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

nn si sa mai con i rootkit... e vedi se trova ancora il rootkit.

Poi c'è da fare una ricerca di file, i file infetti del trojan hanno la prima parte del nome uguale (pragma) e la restante casuale... Dovresti cercare ed eliminare eventuali file che iniziano con pragma (le cartelle che devi scandagliare alla ricerca dei file infetti sono C:\Windows\System32   e  C:\Windows\Temp, prima della ricerca ti conviene attivare la  visualizzazione dei file nascosti e di sistema, per farlo... apri una qualsiasi cartella, vai in Strumenti -> Opzioni Cartella  e in Visualizzazione metti la spunta in "Visualizza Cartelle e File nascosti" e togli la spunta da "Nascondi i file protetti di sistema (consigliato)")
Facci sapere
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 96.333 - Postato: 21/Ottobre/2010 alle 21:45


Ho fatto una bella passata eil risultato è "no threats found"! In effetti non ho trovato rimasugli "pragmatici" Big%20smile e ora il pc sembra che vada bene... ti ringrazio molto Thumbs%20Up
Grazie!!!
Nicola


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.334 - Postato: 21/Ottobre/2010 alle 23:05


Ok, allora, pragmaticamente parlando, come direbbero gli antichi romani, lo abbiamo "sderenato" LOL (latinismo dialettale Big%20smile).
Problema risolto e come da regolamento chiudo, se vuoi aggiungere facci sapere che si riapre
E' sempre un piacere, ciao.



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...







Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,065 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni