| Precedente :: Successivo |
| Autore |
Messaggio |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
 Inviato: 14 Ott 2010 17:43 Oggetto: |
 |
|
Ciao.
Metti la spunta nelle caselline di queste 2 voci:
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom (Trojan.Patched)
File infetti:
C:\Windows\System32\drivers\cdrom.sys (Trojan.Patched)
E poi clicca su "Ripristina" (NON ripristina tutto)
Conferma tutto.
Riavvia il pc (obligatorio) |
|
| Top |
|
 |
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 14 Ott 2010 21:49 Oggetto: |
|
|
| R16 ha scritto: | Ciao.
Metti la spunta nelle caselline di queste 2 voci:
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom (Trojan.Patched)
File infetti:
C:\Windows\System32\drivers\cdrom.sys (Trojan.Patched)
E poi clicca su "Ripristina" (NON ripristina tutto)
Conferma tutto.
Riavvia il pc (obligatorio) |
In realtà non c'erano caselline di spunta...ma solo un elenco...ho selezionato la chiave di registro ed il file infetto ed ho cliccato su ripristina...in questo modo sono scomparsi dall'elenco.
Ho riavviato ma alla riaccensione tutto come prima (purtroppo!) con l'unica novità che se vado in quarantena di mbam non c'è più nulla. 
Ho controllato nella cartella C:\Windows\System32\drivers\ ed in effetti il file cdrom.sys è di nuovo la, ma purtroppo continua a non riconoscere più il lettore CD/DVD  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 14 Ott 2010 22:06 Oggetto: |
|
|
Ciao.
Riguardando i post precedenti, ho visto che abbiamo fatto una scansione con Combofix.
Purtroppo, il link è scaduto, e non posso vedere se , o cosa ha eliminato.
Se hai conservato il log, me lo puoi postare?
Si trova in questo percorso:
C:\ComboFix.txt |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 14 Ott 2010 22:23 Oggetto: |
|
|
Ecco il log:
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 15 Ott 2010 01:16 Oggetto: |
|
|
Pulito, reinstallato ed eseguito un'altra volta Combofix...ecco il nuovo log.
ComboFix.txt
Se non sbaglio è stata segnalata di nuovo l'infezione del driver cdrom.sys |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 15 Ott 2010 09:12 Oggetto: |
|
|
| Phoenix75 ha scritto: | | del driver cdrom.sys |
Ma non l'avevi cancellato?
O alla fine l'avevi recuperato dalla quarantena? |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 15 Ott 2010 09:27 Oggetto: |
|
|
| chemicalbit ha scritto: | | Phoenix75 ha scritto: | | del driver cdrom.sys |
Ma non l'avevi cancellato?
O alla fine l'avevi recuperato dalla quarantena? |
Su consiglio di R16 l'ho ripristinato dalla quarantena (io ero convinto di averlo cancellato definitivamente, invece era in elenco nella quarantena di mbam)...ma per il momento non è cambiato nulla.  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Ott 2010 20:45 Oggetto: |
|
|
Trojan.Patched è un nome troppo generico (ne esistono diverse varianti), carica il file C:\Windows\System32\drivers\cdrom.sys su uno dei servizi di controllo online e posta i collegamenti che ti verranno forniti dopo i controlli.
Così abbiamo un'indea più precisa di quale bestiolina ti sta tediando.  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 15 Ott 2010 21:03 Oggetto: |
|
|
Ma ora non è stato (ri-)cancellato da Combofix?
Bisogna tirarlo fuori dalla sua quarantena. (Come si fa?) |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Ott 2010 21:14 Oggetto: |
|
|
E' presente nell'elenco dei files creati nell'ultimo mese:
| Citazione: | ((((((((((((((((((((((((( Files Creati Da 2010-09-14 al 2010-10-14 )))))))))))))))))))))))))))))))))))
.
2010-10-14 22:56 . 2010-10-14 22:56 -------- d-----w- c:\users\Guido\AppData\Local\temp
2010-10-14 22:56 . 2010-10-14 22:56 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-14 19:38 . 2010-10-14 19:38 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys |
@Phoenix75:
comincia a disattivare l'avvio automatico di BitTorrent. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 15 Ott 2010 22:34 Oggetto: |
|
|
| chemicalbit ha scritto: | Ma ora non è stato (ri-)cancellato da Combofix?
|
Combofix, non lo ha eliminato.
Si è limitato a segnalarlo come infetto.
E molto probabilmente i servizi di controllo, lo segnaleranno legittimo, in quanto anche il percorso è legittimo.
Forse, è la chiave, che il suo percorso non è legittimo.
Comunque vediamo, cosa dice il servizio di controllo. |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 15 Ott 2010 23:05 Oggetto: |
|
|
Li ho provati tutti (tranne quelli fuori servizio o che mi lasciavano per troppo tempo in coda) ma sembra che tutti non riescano a leggerlo come infetto.
Non sono riuscito a caricare il log di VirSCAN.org su Wikisend quindi lo posto direttamente qui:
VirSCAN.org Scanned Report :
Scanned time : 2010/10/15 21:44:31 (CEST)
Scanner results: Scanners did not find malware!
File Name : cdrom.sys
File Size : 67072 byte
File Type : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 : c1dbe56bd9218f60c1784e4f4243e890
SHA1 : d7d77b42f11f266cafbc3a7fdee3f845f0e482e8
Online report : http://virscan.org/report/bd54ff459b6b584a3ecae9a69e369077.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.20 20101016020822 2010-10-16 4.71 -
AhnLab V3 2010.10.16.00 2010.10.16 2010-10-16 1.73 -
AntiVir 8.2.4.82 7.10.12.229 2010-10-15 0.28 -
Antiy 2.0.18 20101016.5406519 2010-10-16 0.12 -
Authentium 5.1.1 201010151625 2010-10-15 1.48 -
AVAST! 4.7.4 101015-1 2010-10-15 0.01 -
AVG 8.5.850 271.1.1/3189 2010-10-11 0.28 -
BitDefender 7.90123.6334684 7.34281 2010-10-16 4.93 -
ClamAV 0.96.1 12141 2010-10-15 0.03 -
Comodo 4.0 6402 2010-10-15 1.71 -
CP Secure 1.3.0.5 2010.10.16 2010-10-16 0.06 -
Dr.Web 5.0.2.3300 2010.10.16 2010-10-16 9.67 -
F-Prot 4.4.4.56 20101015 2010-10-15 1.64 -
F-Secure 7.02.73807 2010.10.15.09 2010-10-15 11.31 -
Fortinet 4.2.249 12.457 2010-10-14 0.19 -
GData 21.976/21.406 20101015 2010-10-15 7.59 -
ViRobot 20101015 2010.10.15 2010-10-15 0.36 -
Ikarus T3.1.32.15.0 2010.10.15.76943 2010-10-15 4.91 -
JiangMin 13.0.900 2010.10.15 2010-10-15 1.33 -
Kaspersky 5.5.10 2010.09.28 2010-09-28 0.09 -
KingSoft 2009.2.5.15 2010.10.15.18 2010-10-15 0.68 -
McAfee 5400.1158 6137 2010-10-15 18.77 -
Microsoft 1.6201 2010.10.15 2010-10-15 5.44 -
Norman 6.05.11 6.05.00 2010-09-02 8.01 -
Panda 9.05.01 2010.10.14 2010-10-14 2.24 -
Trend Micro 9.120-1004 7.544.08 2010-10-15 0.03 -
Quick Heal 11.00 2010.10.15 2010-10-15 2.21 -
Rising 20.0 22.69.04.04 2010-10-15 1.66 -
Sophos 3.12.1 4.58 2010-10-16 4.18 -
Sunbelt 3.9.2455.2 7063 2010-10-14 13.24 -
Symantec 1.3.0.24 20101015.007 2010-10-15 0.17 -
nProtect 20101015.01 9142275 2010-10-15 9.26 -
The Hacker 6.7.0.1 v00058 2010-10-15 0.40 -
VBA32 3.12.14.1 20101015.1255 2010-10-15 3.39 -
VirusBuster 4.5.11.10 10.129.14/2025647 2010-10-14 2.41 -
Mentre questo è il link di Dr.Web, è l'unico di cui non ho ben capito qual è il responso, questo perchè mi da l'opzione clean, che mi ha fatto pensare che forse ha riconosciuto qualcosa
link
Eliminato dall'avvio BitTorrent.
Quando accendo il portatile all'avvio mi viene bloccato mbam (mi spunta l'icona dei programmi ad esecuzione automatici bloccati in basso a destra), forse va in conflitto con ad-aware? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 16 Ott 2010 09:01 Oggetto: |
|
|
Lavasoft Ad-Aware non è più molto affidabile, ti consiglio di disinstallarlo.
Per quanto riguarda il file cdrom.sys, possiamo tranquillamente dire che siamo di fronte a un falso positivo.
Rimane da capire perché non riesci più a leggere CD/DVD. 
Non so se l'hai già fatto, puoi provare a disinstallare il DVD da Gestione periferiche e riavviare il pc. Dovrebbe reinstallare automaticamente i drivers corretti.
Dimenticavo: il file CNMPP9W.DLL è riferito alla stampante Canon, dovrai reinstallarne i drivers. |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 17 Ott 2010 11:56 Oggetto: |
|
|
| bdoriano ha scritto: |
Rimane da capire perché non riesci più a leggere CD/DVD.
Non so se l'hai già fatto, puoi provare a disinstallare il DVD da Gestione periferiche e riavviare il pc. Dovrebbe reinstallare automaticamente i drivers corretti. |
Adesso funziona....grazie infinite 
SEMBRA che adesso il mio portatile sia pulito e funzionante in tutte le sue componenti e per questo ringrazio tutti quelli che mi hanno dato consigli...siete dei grandi!!! 
| bdoriano ha scritto: | | Lavasoft Ad-Aware non è più molto affidabile, ti consiglio di disinstallarlo. |
Disinstallato...prendo spunto da questa tua affermazione per chiederti: attualmente come antivirus ho AVG, mentre per proteggermi dai Malware avendo disattivato Windows Defender e disinstallato Ad-Aware ho lo stesso AVG.
Cosa mi consigli per proteggermi al meglio sia come antivirus che come antimalware, da fare partire all'avvio? Un mio amico mi ha consigliato ZoneAlarm dice che non ha mai avuto problemi. 
Grazie in anticipo |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 17 Ott 2010 12:09 Oggetto: |
 |
|
Ottimo! 
Personalmente, consiglio l'installazione di Avira come antivirus.
Nel caso di pc datati, problemi di processore lento o RAM ridotta, consiglio il buon VirIT Lite (ovviamente, lasciando attivo VirIT Monitor).
VirIT Lite può anche essere usato in coppia con un altro antivirus senza creare conflitti.
Come antispyware, vanno molto bene MBAM e SuperAntiSpyware Free in modalità scansione on-demand (nulla di attivo in memoria, ma scansione a richiesta quando serve).
nota: Kaspersky non gradisce molto la presenza di SuperAntiSpyware...
Poi, io installo e faccio tenere aggiornato anche SpywareBlaster.
Comunque, il miglior antivirus/antispyware/firewall... rimane l'utente che sta davanti al pc. Tutti i programmi di sicurezza di questo mondo non posso sostituire l'utente. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
