| Precedente :: Successivo |
| Autore |
Messaggio |
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
 Inviato: 10 Mar 2011 16:21 Oggetto: TR/Dropper.Gen |
 |
|
Buongiorno a tutti!
Sono nuovo qui del forum e mi sono iscritto spinto dalla disperazione praticamente! xD
Ho avuto anche io a che fare con questo virus e, pur avendoci mastruzzato sopra per tre giorni interi, non ne riesco venire a capo!
Per questo ho deciso di rivolgermi a qualcuno più esperto di me...
Allora, il trojan in questione è il Dropper.gen.
Il mio antivirus (avira) lo ha rilevato la prima volta venerdì e da allora, ho cercato di rimuoverlo con i metodi "convenzionali" ma non è servito a nulla...
Quando dico metodi convenzionali, intendo, ovviamente:
- scansione completa del pc con Avira e successivo delete dei file infetti
- delete a "mano" dei file in questione (sia in modalità normale che in modalità provvisoria)
- apertura del registro e cancellazione delle chiavi "sospette"
- riparazione del registro attraverso CCleaner
- ripristino del sistema utilizzando un file di backup di circa 20 giorni fà (ebbene sì, ho provato anche questa soluzione!)
- etc etc etc.
Tutto questo, come ho detto, è servito a poco...
Comunque, leggendo sui vari topic mi è parso di capire che è proprio una bestiaccia tosta, per questo, alla fine, ho deciso di seguire le vostre guide e pubblicarvi qui i vari report-log.
Eccovi quello di hijackthis:
hijackthis.log
Poi quello di Mbam:
mbam-log
Poi quello di SuperAntiSpy:
superspy.txt
E, infine, quello di SistemScan:
10_03_2011_14_52_report.zip
Spero di non averne dimenticato nessuno...
Infine, specifico che possiedo Windows 7 professional come S.O., che utilizzo Google Chrome come browser e che possiedo 1.5gb di RAM. Inoltre, i problemi che ho riscontrato sul mio pc sono stati:
- PC rallentato;
- Connessione ballerina (spesso Chrome crasha presumo per ragioni di RAM insufficiente);
- Comparsa a video di messaggi di errore del tipo "memoria insufficiente per eseguire la seguente operazione";
- Non mi viene in mente altro...xD
Credo di aver detto davvero tutto e di aver postato (spero) tutto quello da voi richiesto.
Per info, contattatemi pure.
Attendo paziente l'aiuto di un esperto...:p |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 10 Mar 2011 19:07 Oggetto: |
|
|
Ciao ivox, e benvenuto. 
Purtroppo, 2 delle 3 scansioni che hai fatto, (hijackthis, e Systemscan) non sono molto attendibili, in quanto, sono applicazioni a 32 bit, mentre il tuo S.O è a 64 bit.
Ad ogni modo, prova a fare questa scansione:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mar 2011 21:02 Oggetto: |
|
|
Splittato! 
Buon lavoro di controllo/rimozione. |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 11 Mar 2011 10:10 Oggetto: |
|
|
Eccomi.
Innanzitutto vi ringrazio per la velocità con la quale mi avete risposto!
Cavolo, non mi immaginavo neanche, tant'è vero che avevo chiuso per andare a lavoro e ho riaperto solo stamattina!
Comunque ho scaricato e scansionato con ComboFix come da te richiesto R16.
Questo è il log:
ComboFix.txt
Attendo nuove istruzioni...:p |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 11 Mar 2011 18:40 Oggetto: |
|
|
Ciao ivox.
Combofix ha eliminato qualcosina.
Se il problema persiste, potresti dirmi con precisione, il percorso di questo virus, che rileva Avira?
Oppure posta il log. (di Avira) |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 11 Mar 2011 21:05 Oggetto: |
|
|
Il problema persiste e il file considerato infetto starebbe, secondo Avira, sarebbe il file
SimCity_3000.zip al percorso C:\Documents (mi pare).
Nonostante abbia impostato l'opzione per vedere i file nascosti, però, non riesco a risalire a questo file.... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 11 Mar 2011 23:31 Oggetto: |
|
|
| Citazione: | Il problema persiste e il file considerato infetto starebbe, secondo Avira, sarebbe il file
SimCity_3000.zip al percorso C:\Documents (mi pare). |
Nel tuo S.O non esiste la directory "C:\Documents "
Sicuro che all'interno di quella cartella .zip, non ci sia qualche crack, o keygen ?
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Ti chiedo una cortesia: prima di caricare i log su Wikisend, togli l'estensione .txt
Grazie. |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 12 Mar 2011 13:37 Oggetto: |
|
|
Sono andato a rivedere il report di Avira per scriverti il percorso esatto ed, effettivamente, ho notato una cosa a cui non avevo fatto caso.
A fine scansione, mi segnalava come infetto il file che avevo scritto prima (SimCity_3000.zip) ma guardando il report, il file che ha disinfestato risulta essere, invece, questo:
Inizia con la scansione di 'C:\Users\Ivan\AppData\Local\Temp\Rar$EX00.578\Setup.exe'
C:\Users\Ivan\AppData\Local\Temp\Rar$EX00.578\Setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
Avvio della disinfezione:
C:\Users\Ivan\AppData\Local\Temp\Rar$EX00.578\Setup.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dropper.Gen
[NOTA] Il file è stato eliminato.
Sono andato a ricercarlo a "mano" all'interno della cartella C:\Users\Ivan\AppData\Local\Temp\ non ho trovato alcun file con quel nome.
Nel frattempo stò preparando la scansione con OLT come richiesto... |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 12 Mar 2011 13:45 Oggetto: |
|
|
Ecco i report che mi hai chiesto:
Extras.Txt
OTL.Txt
Ormai sarà il sesto programma di scansione che scarico...xD
A fine avventura ti sarei grato se mi consigliassi qualche programma free valido da tenere per la rimozione "periodica" dei malware...insomma, qualcosa che mi permetta di fare un pò di pulizia ogni tanto e non solo in una volta!
CCleaner è un valido strumento, ma ha bisogno di qualche programma specializzato che lo affianchi!:p |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 12 Mar 2011 16:18 Oggetto: |
|
|
Ciao.
Scusa, ma non ho capito quasi nulla.
| Citazione: | ma guardando il report, il file che ha disinfestato risulta essere, invece, questo:
Inizia con la scansione di 'C:\Users\Ivan\AppData\Local\Temp\Rar$EX00.578\Setup.exe' |
E fin qui ci siamo.
| Citazione: | | Sono andato a ricercarlo a "mano" all'interno della cartella C:\Users\Ivan\AppData\Local\Temp\ non ho trovato alcun file con quel nome. |
Per forza, se Avira lo ha eliminato, non lo trovi più.
Se Avira continua a trovarlo, devi eliminare la voce in rosso: (che è una cartella)
'C:\Users\Ivan\AppData\Local\Temp\Rar$EX00.578\Setup.exe'
Vorrei sapere, se la conosci, tale cartella. (dai un'occhiata al suo interno, e visualizza i file, e le cartelle nascoste.)
| Citazione: | | A fine avventura ti sarei grato se mi consigliassi qualche programma free valido |
Li hai già installati i migliori.
Avira.
Malwarebytes.
Superantispyware.
Il pc, è ben protetto.
Chiaro che la protezione al 100% non esiste. |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 12 Mar 2011 23:33 Oggetto: |
|
|
Domani ti posterò anche il report (vecchio) di avira e lancerò una nuova scansione se serve.
Ora purtroppo non sono a casa.
Comunque, quella cartella non esiste.
Notte! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 00:50 Oggetto: |
|
|
| ivox ha scritto: | Domani ti posterò anche il report (vecchio) di avira e lancerò una nuova scansione se serve.
Comunque, quella cartella non esiste.
Notte! |
Non mi interessa il report vecchio.
Mi interessa un report nuovo. (di Avira)
E dopo la scansione dimmi i problemi che riscontri.
Sogni d'oro anche a te! |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 13 Mar 2011 20:32 Oggetto: |
|
|
Ecco qui:
AVSCAN-20110313-161024-7536DBA4.LOG
Come puoi vedere oggi non mi segnava più quel trojan ma me ne segnava altri...-.-"
I problemi ovviamente persistono e sono i medesimi, secondo me l'ha semplicemente "scambiato" per un altro.
Anche stasera sono un pò di fretta, devi perdonarmi, ci risentiamo domani!
Ciao e grazie! |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 14 Mar 2011 19:03 Oggetto: |
|
|
Avira, non è configurato bene.
Azione primaria.............................: interattivo.
Azione secondaria...........................: ignora.
Segui questa guida per configurarlo bene:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228 |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 15 Mar 2011 09:45 Oggetto: |
|
|
OK l'ho riconfigurato e ho lanciato una nuova scansione.
Tra qualche ora posterò il risultato... |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 15 Mar 2011 22:33 Oggetto: |
|
|
Perfetto.
I file che Avira trova "nascosti" sono legittimi.
Se non riscontri problemi, abbiamo concluso. |
|
| Top |
|
|
ivox
Mortale pio
Registrato: 10/03/11 09:29
Messaggi: 16
|
| Inviato: 16 Mar 2011 09:58 Oggetto: |
|
|
Anche questa mattina, all'accensione, mi è apparso il solito messaggio d'errore di memoria insufficiente.
Tra parentesi, i maggiori disturbi li ho proprio quando accendo il pc e/o esco dallo stand-by.
Mi appare questo messaggio di warning, poi, se provo ad aprire il browser (per esempio) iniziamo a comparirmi messaggi del tipo:
"Errore: impossibile trovare l'indirizzo di memoria (xblablabla) al quale si cerca di fare riferimento" e mi và in crash il programma aperto.
(ho scritto blablabla perchè ho notato che non è sempre lo stesso numero).
Per info, all'accensione sono queste le chiavi che CCleaner mi dà come eseguite all'avvio:
HKCU:Run BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe" (attivata)
HKCU:Run Google Update "C:\Users\Ivan\AppData\Local\Google\Update\GoogleUpdate.exe" /c (disattivata)
HKLM:Run avgnt "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min (attivata)
HKLM:Run Adobe Reader Speed Launcher "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" (attivata)
HKLM:Run SunJavaUpdateSched "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (attivata)
HKLM:Run HP Software Update C:\Program Files (x86)\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (disattivata)
Startup Common HP Digital Imaging Monitor.lnk C:\Program Files (x86)\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (attivata) |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 16 Mar 2011 21:24 Oggetto: |
 |
|
Vediamo se il disco rigido contiene degli errori:
Fai:
Start
Tutti i programmi
Accessori
Clicca con il tasto destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore .
si apre la finestra DOS, digita:
| Citazione: | | chkdsk c: /f /r |
premi invio
Compare la dicitura:
| Citazione: | | Impossibile eseguire Chkdsk. Il volume è in uso a un altro processo. Programmare il controllo di questo volume al riavvio successivo del sistema? (S/N) |
Premi S e invio
Digita:
premi invio
Riavvia il pc
Al riavvio, eseguirà una scansione del disco rigido, alla ricerca di eventuali errori, e, cercherà di ripararli. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
