Precedente :: Successivo |
Autore |
Messaggio |
spaceoddity Mortale pio
Registrato: 14/04/05 18:36 Messaggi: 28
|
Inviato: 19 Giu 2005 20:53 Oggetto: Problemi con Virus: Trj/Downloader.CQW |
|
|
Facendo la scansione del PC con Norton Antivirus aggiornato quotidianamente, il programma non mi rileva alcuna intrusione delle diverse specie esistenti, vale a dire virus, malware, spyware, adaware e tutti gli altri che riconosce.
All'uso ed all'aggiornamento continuo del Norton aggiungo l'uso e l'aggiornamento continuo di programmi quali Ad-Aware, Spybot e Norton Internet Security, che come detto uso e aggiorno ogni giorno.
Nonostante questo, il pc non riesce a rimuovermi alcune tracce del Virus:
Virus:Trj/Downloader.CQW
che avrei ragione di credere il Norton aggiornato dovrebbe riconoscere. Dico avrei non per caso perchè solamente facendo la scansione on line dal sito del Panda Antivirus, questo mi rileva sistematicamente le suguenti parti infette:
Virus:Trj/Downloader.CQW Disinfettato C:\WINDOWS\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\my.class-dc825cc-6aa5de44.class
Virus:Trj/Downloader.CQW Disinfettato C:\WINDOWS\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\my.class-dc825cc-61b02017.class
Virus:Trj/Downloader.CQW Disinfettato C:\bla.exe
Il mio sistema operativo è Windows 98 SE e ho già provato alcune applicazioni per rimuvere questo virus, quali HyJackThis, CCCleaner e TheCleaner.
Se diversamente effettuo la scansione on Line dal sito Trend Micro del Pc Cillin antivirus, i file infetti non vengono rilevati.
Cosa posso fare?
Premetto che nell'uso del registro di windows e nella rimozione delle voci, le mie competenze sono limitate.
Anticipo i miei ringraziamenti per ogni risposta. |
|
Top |
|
|
spaceoddity Mortale pio
Registrato: 14/04/05 18:36 Messaggi: 28
|
Inviato: 19 Giu 2005 21:00 Oggetto: |
|
|
A quanto già sopra detto, aggiungo che numerose volte durante la giornata, mi accade che il Firewall del Norton Internet Security mi segnali un tentativo di intrusione utilizzando:
Regola "Blocca condivisione file di Windows" bloccata (213.213.230.44,netbios-ssn(139))
Connessione TCP in entrata
Indirizzo locale, servizio: ("NOMECOMPUTER"(213.213.61.191),netbios-ssn(139))
Indirizzo remoto, servizio: (213.213.230.44,4872)
Nome processo: "C:\WINDOWS\System32\svchost.exe"
Mi chiedo, è normale che mi accada visto e considerato che sono un semplice utente che usa privatamente il pc e che i tentativi durante una giornata normale sono almeno cinque? In alcuni casi il Firewall mi ha indicato che l'ipotetico attacco provenisse dalla California. |
|
Top |
|
|
fdd Dio maturo
Registrato: 22/04/05 00:33 Messaggi: 1734 Residenza: Giusto dietro l'angolo
|
Inviato: 19 Giu 2005 23:08 Oggetto: |
|
|
Relativamente all'svchost.exe se ne è già parlato qui.
Relativamente all'infezione, ti posso dire che anche a me in passato è capitato una volta o due che l'housecall non rilevasse nulla mentre il Panda si, che poi è la ragione che spinge ad utilizzare congiuntamente Ad-Aware e Spybot, quindi questa non è una cosa anomala o preoccupante in se.
Quando dici che non riesci ad eliminarlo, mi sembra di capire che pur venendo "disinfettato", questo trojan (ma il file bla.exe pare sia associato anche a dei virus) si ripresenta. Per caso hai rilevato rallentamenti o comportamenti anomali del browser (ad esempio dei ridirezionamenti)? Se cancelli il file bla.exe per caso ricompare quando ti connetti ad internet? |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 19 Giu 2005 23:35 Oggetto: |
|
|
Ti consiglio questa procedura:
1) entra in windows in modalità provvisoria (se hai XP devi prima disabilitare il ripristino di sistema)
2) esegui scansione completa con Antivirus aggiornato, Spybot e ADaware. Controlla eventualmente di non aver listato per errore qualche applicazione o qualche voce di registro tra quelle da ignorare (in Spybot si trovano in impostazioni). Un altro valido tool antispyware, è Counterspy . Puoi provarlo, ma è shareware.
3) Chiudi tutte le applicazioni e fai un log con Hijach This. Se vuoi posta il file di log, che gli diamo un'occhiata.
Per quanto riguarda i tentativi di accessi dall'esterno anche il mio firewall ne segnala in continuazione, in particolare dal brasile, ma anche dalla germania, india, UK, slovenia o belgio (come nel tuo caso). E' la dura legge di Internet: occorre difendersi ...
. |
|
Top |
|
|
fdd Dio maturo
Registrato: 22/04/05 00:33 Messaggi: 1734 Residenza: Giusto dietro l'angolo
|
Inviato: 20 Giu 2005 09:44 Oggetto: |
|
|
holifay ha scritto: | 1) entra in windows in modalità provvisoria
2) esegui scansione completa con Antivirus aggiornato |
Il problema è che in modalità provvisoria il computer non si connette ad internet e da quello che ha detto spaceoddity l'unico antivirus che gli rileva il problema è un antivirus online. |
|
Top |
|
|
Shannara Dio maturo
Registrato: 18/05/05 17:24 Messaggi: 1083 Residenza: In cerca di GRoANE
|
Inviato: 20 Giu 2005 12:14 Oggetto: |
|
|
Prova a controllare cosa viene avviato col sistema.
- |
|
Top |
|
|
Gateo Dio maturo
Registrato: 17/11/03 18:16 Messaggi: 12379
|
Inviato: 20 Giu 2005 17:11 Oggetto: |
|
|
Per la parte sotto java devi lanciare il Java tramite l'apposita icona , clicchi su cache e successivamente su cancella; per il resto ti conviene scaricarti l'ultimissimo AVGfree (in fondo alla pagina), installarlo, andare possibilmente in modalita provvisoria e lanciare una scansione su tutto il disco fisso. E' anche consigliabile cancellare, sempre da modalita' provvisoria, i file temporanei sia di windows che di internet, nonche il contenuto di Downloaded program files. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Giu 2005 17:12 Oggetto: |
|
|
fdd ha scritto: | Il problema è che in modalità provvisoria il computer non si connette ad internet e da quello che ha detto spaceoddity l'unico antivirus che gli rileva il problema è un antivirus online. |
la modalità provvisoria non è per la connessione ad internet, ma solo per essere sicuri che durante la scansione il malware non sia ragionevolmente in esecuzione. Seve anche per avere un file di log di HiJackThis il più "pulito" possibile e capire cosa occorre cancellare
. |
|
Top |
|
|
spaceoddity Mortale pio
Registrato: 14/04/05 18:36 Messaggi: 28
|
Inviato: 26 Giu 2005 20:50 Oggetto: |
|
|
Finalmente, ma non sò se posso dire così', il Norton pare rilevi il Virus che in realtà non è un virus degli ultimi giorni ma la sua nascita è già datata di qualche anno.
Mi domando quindi perchè non lo riconoscesse fino ad un paio di giorni fà.
Comunque, il fatto è che dalla prima volta che lo ha riconosciuto, avvenuta nel dopo cena circa alle 21.30 quando accendendo il pc mi sono connesso ad internet ed ho aperto il browser sulla pagina iniziale predefinita, vale a dire Virgilio, succede che, il virus viene eliminato ma tutte le sere alla stessa ora il problema si ripresenta.
Norton, con una finestra aperta automaticamente, mi informa che l'attività del virus è stata interrotta ed i files eliminati. Io me ne stò col pc pulito (ho fatto anche delle scansioni ad orari diversi) fino all'indomani, quando riaccendendo il pc dopo cena si ripresentano le due stesse identiche finestre che mi informano di aver bloccato ed eliminato il virus.
Dico riacceso non per caso, perchè comunque il pc era stato acceso e connesso ad internet sempre passando da Virgilio anche nelle ore precedenti alla cena. Ma alle 21.30 il problema da qualche giorno si ripresenta.
E' possibile che sia legato davvero all'orario? O c'è un qualcosa che non capisco? |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 26 Giu 2005 22:45 Oggetto: |
|
|
spaceoddity ha scritto: | E' possibile che sia legato davvero all'orario? O c'è un qualcosa che non capisco? |
potrebbe essere che Norton non abbia pulito a fondo il PC, oppure che il worm venga scaricato in automatico tutte le volte che ti connetti ad Internet. Per questo sarebbe utile un log di Hijack This...
. |
|
Top |
|
|
fdd Dio maturo
Registrato: 22/04/05 00:33 Messaggi: 1734 Residenza: Giusto dietro l'angolo
|
Inviato: 27 Giu 2005 01:24 Oggetto: |
|
|
Se il problema rilevatoti dal Norton è, come indicato nel tuo primo messaggio sempre relativo al file bla.exe presente sul root di C, allora potresti prova una cosa.
Da qualche parte ho letto, naturalmente non mi è dato verificare, che cancellando il file esistente e creandone uno (anche vuoto) dallo stesso nome, estensione e nella stessa collocazione si evita che all'atto della connessione ci si reinfetti.
Prova a vedere se funziona. |
|
Top |
|
|
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 27 Giu 2005 08:35 Oggetto: |
|
|
Shannara ha scritto: | Prova a controllare cosa viene avviato col sistema. |
fdd ha scritto: | che cancellando il file esistente e creandone uno (anche vuoto) dallo stesso nome, estensione e nella stessa collocazione si evita che all'atto della connessione ci si reinfetti. |
Mi piace di più l'idea di Shannara, per quanto anche quella di fdd sia percorribile. In caso di virus è sempre meglio rimuoverne tutte le tracce (anche dal registro) e non solo l'eseguibile (che potrebbe venire replicato in qualsiasi momento). |
|
Top |
|
|
Gateo Dio maturo
Registrato: 17/11/03 18:16 Messaggi: 12379
|
Inviato: 27 Giu 2005 08:37 Oggetto: |
|
|
Ma tu, Spaceoddity, hai provato ad applicare uno dei consigli che ti abbiamo dato? |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 27 Giu 2005 09:55 Oggetto: |
|
|
O addirittura potrebbe essere il Norton a scaricare il virus. Sul Symantec che avevo in ufficio (l'ho tolto in fretta poi...) tutte le volte che scaricava gli aggiornamenti si tirava dietro un trojan... non mi chiedere come facesse... |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 27 Giu 2005 11:27 Oggetto: |
|
|
SverX ha scritto: | O addirittura potrebbe essere il Norton a scaricare il virus. |
...querela in arrivo?
. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 27 Giu 2005 14:03 Oggetto: |
|
|
lol
NON perchè fosse previsto che lo facesse, sia ben chiaro. Solo che è un software e ha dei bachi e alcuni sono stati sfruttati... |
|
Top |
|
|
spaceoddity Mortale pio
Registrato: 14/04/05 18:36 Messaggi: 28
|
Inviato: 05 Lug 2005 20:53 Oggetto: |
|
|
Scusate ma non ho potuto connettermi per qualche giorno
Rispondo..
Si, ho provato alcuni dei consigli che mi avete dato, ma nessuno di questi pare proprio poter risolvere il problema. Però, c'è un però:
cambiando la pagina iniziale di explorer, prima impostata su quella principale di Virgilio, in Google il problema non si ripresenta ogni qualvolta apro internet explorer.
Ma la cosa comunque non puo' dirsi conclusa:
1. Anche prima il problema non si presentava se non nell'immediato dopocena aprendo explorer sulla pagina iniziale predefinita Virgilio. In altri momenti della giornata, pur connettendosi alla home page di Virgilio, non accadeva nulla.
2. Se comunque accedo ad uno dei siti annessi a Vigilio, quali Tin.it, quali RossoAlice ecc ecc.. ecco che puntualmente Norton Antivirus 2004 rileva gli stessi identici files infetti.
3. La stessa cosa avviene sui siti di supereva, ed è infatti su supereva che è accaduto la prima volta. Aprendo un sito della rete supereva, ora non piu' esistente, il browser fù dirottato sulla home page di Supereva e di lì arrivò per la prima volta il virus. Sottolineo però che comunque la pagina iniziale era Virgilio, e che quindi ho aperto il sito annesso a Supereva prima che si caricasse la pagina iniziale per intero, probabilmente quindi è stato sempre Virgilio a farlo comparire.
Comunque, tutte le diverse scansioni che mi avete indicato non hanno rivelato alcunchè, e pensandoci è giusto che sia così perchè i files sono infetti solamente nel lasso di tempo che intercorre tra l'apertura dei siti della rete Virgilio e il rilevamento di questi da parte del Norton. Altrimenti il pc pare pulito.
Grazie per i numerosi interventi e consigli. |
|
Top |
|
|
|