Olimpo Informatico

[ioSOLOio]

oggi navigazione solo su questo forum, un sito della banca e il forum di html.it
all'improvviso AVG mi da l'alert che ha individuato su D un file infetto (wiinsvc.exe)...da dove arriva mi domando mentre me lo fa fuori...
dopo qualche minuto di nuovo...

allora vado off line e faccio una scansione completa con l'antivirus, poi passo al setaccio con ADAware....AVG ritrova di nuovo il medesimo file che evidentemente si ricrea...

attivo HiJackThis e trovo un WINAMP.exe in C:/ e poi anche un BHO collegato a SVCHOST.DLL: piallati entrambi

trovo nella cartella TEMP come file nascosto un SVCHOST.exe che faccio fuori...idem per una .DLL in C:Windows/


pare che sia a posto ora...pare dico...perchè ancora non capisco da dove possa essere arrivata l'infezione, la prima che mi capita..
e tra l'altro molte delle versioni di Gaobot non colpiscono Win ME che è il pc colpito..mentre un 2000 se ne sta li bello beato senza problemi..

..e odio non capire da dove arriva il problema !

[ioSOLOio]

ah..addenda:

ho anche SpyBot Search&Destroy con l'opzione "immunizza" attivata....


mah?
boh?
uhmf ?

ri-

[pincopallino]

woodoo?

[Gateo]

Non mi stupirei piu' di tanto, conosciamo WinMe e conosciamo IE (se ben ricordo devi usare quello), per cui le infezioni dal nulla sono una concreta possibilita'.
Se ti puo' consolare su una macchina similare, in piu' non abilitata alla posta elettronica, di virus ne ho trovati 400 e passa (l'utente si lamentava che la macchina era un po' lenta...)

[ioSOLOio]

con Windows non mi stupisco mai, certo..

però pur non essendo un guru, presto molta attenzione ed infatti non ho mai avuto problemi...
mi ha stupito l'infezione non tanto per averla presa, quanto perchè non so come....
..tralasciati allegati pericolosi che comunque non scarico e tanto meno aprirei, ieri non ho proprio navigato in nessun sito se non i tre citati che ritengo sufficientemente sicuri...
e d'improvviso sin son accese le lucette dell'antivirus...

[ioSOLOio]

ci risiamo....15.19 mi ritrovo un file BLA.exe scaricato in C...
non viene rilevat come virus da AVG, me ne accorgo perchè il firewall ne blocca l'accesso a internet e così lo vedo..
e di nuovo ero solo collegato alla banca, a questo sito e al sito di repubblica

l'unica cosa che mi viene in mente è che sia qualcosa che si scarica semplicemente restando connessi..ma con ME patchato non mi pareva ci fosse nulla di similare...
mentre il 2000 al suo fianco è tranquillo...

caspiterina !
(autocensura moderativa preventiva)

[pincopallino]

Io sospetterei la banca....

[Gateo]

Hai anche una piccola rete se ben ricordo; puoi estraniarti da essa e/o controllareche non siano infetti i pc in rete?
Oppure: puoi staccare il cavo di rete e controllare se l'infezione si ripresenta dopo un po' anche se non sei connesso?
Non risolverai il problema ma dovresti capire se sei infetto " a prescindere " o se lo e' qualcuno in rete o se qualcun'altro si sta divertendo col tuo router (password 1234 immagino... )
Altrimenti prova col metodo solito che consiglio io, ossia scansione in modalita' provvisoria con antivirus e antispyware neoinstallati sempre dalla modalita' provvisoria.

[SverX]

se usi HiJackThis vuol dire che ne capisci già di quel che succede sulla tua macchina... allora direi che una utility come RegProt fa al caso tuo Io la ho sempre che gira e appena in qualche modo mi arriva qualcosa* che tenta di scrivere sul registro... pop-up di RegProt e so già cosa succede

* = nonostante: Antivirus, Firewall, Win2K patchato full e browsing esclusivamente con Opera... eppure non basta neanche tutto questo...

[ioSOLOio]

[ioSOLOio]

olleee..
l'incazz....ehm, il mistero si infittisce...

oggi ho navigato con singolo pc (staccato i cavetti al resto), prestando attenzione a cosa facevo....
FF su due siti...tra cui questo...IE sul sito finanziario e su Italians...


et voilà....riecco il file BLA.exe (che non è un virus) che si materializza e chiede accesso a internet...

al che mi ricordo che anche ieri ho visitato Italians...allora guardo meglio e mi ritrovo sbirciando nell'elenco delle pagine presenti nel tasto <- Indietro un indirizzo che non doveva esserci e che a quanto pare si materializza proprio su Italians

il link è codesto: http:www.norad.fr/c/

visto che non è il North American Aereospace Defense ed io non sono il tipo di Wargames, non ho capito che fa ma è sicuramente lui il responsabile

qualche "temerario" con IE ha voglia di dare uno sguardo, accedendo a Italians ?
mi sa di qualcosa di pubblicitario visti i banner presenti..così giusto per sapere...


resterà da capire il virus del primo giorno, ma almeno ho "tanato" il file BLA


[ovviamente l'errore immane è stato quello di usare IE..ogni tanto mentre ho la finestra finanziaria aperta, mi scappa di navigare anche un sito differente.....e zac, subito punito!]

[Gateo]

Ho provato con IE 5.5 su w95 ma "purtroppo" non sono riuscito a prendere niente, nessun programma mi ha dato segnalazioni di intrusioni.
Sara' una feature esclusiva di Windows ME...

[Gateo]

Eccoti l'opinione di Symantec su quel virus: avevi disabilitato il system restore, vero?
E avevi provato una scansione con avg dalla modalita' provvisoria?
Perche' il dubbio e' che qualcosa sia rimasto, e che si attivi quando "accedi" al sito norad.
Concludendo, ti conviene usare l'Ie solo per i siti che ti costringono, e un opera/firefox per tutto il resto, non e' particolarmente pesante di solito per la macchina (il peso e' tutto di IE...)

[ioSOLOio]