| Precedente :: Successivo |
| Autore |
Messaggio |
webberm
Mortale devoto
Registrato: 15/03/12 02:25
Messaggi: 13
|
 Inviato: 30 Gen 2014 20:18 Oggetto: Virus VBinject su dispositivi esterni |
 |
|
Salve,
Ho riscontrato su 2 dispositivi esterni(una pendrive ed un HD esterno) delle cartelle che in realtà erano dei collegamenti a C:\windows\system32, inoltre sono presenti 2 cartelle RECYCLE e RECYCLE BIN mai viste in passato ho eseguito la scansione antivirus con avast trovando il virus VBjenct l'ho rimosso e ho rimosso anche i file .lnk che venivano indicati come fake folder
Dopodichè tutto sembrava normale salvo che le cartelle che erano preesistenti a tutto questo non comparivano +,ma se andavo a digitare il percorso le trovavo.Ho provato(col pennino che ha meno dati) a passare il tutto su HD e ho formattato,ho riversato il contenuto sul pennino,tutto sembrava normale fino a che non vado a creare una nuova cartella(l'ho fatto di proposito lasciandola vuota per vedere che accade),ebbene subito le cartelle ricopiate sono sparite e sono ricomparse come collegamento a C.\windows\system32 ecc ecc l'antivirus mi ha detto che ha rilevanto fake folder bloccandole ecc..
Ho provato con malwarebytes,stessa cosa,rileva il trojan le cartelle preesistenti sembrano sparite ma ci sono poi ne creo una e siamo punto daccapo....
Combofix non mi ha trovato nulla,non so come procedere,l'HD esterno non l'ho formattato perchè a questo punto sarebbe inutile riversare tutti quei dati(sono molto di +) per poi riavere lo stesso probl. del pennino.
Come fare? Grazie anticipate |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Gen 2014 22:01 Oggetto: |
|
|
Ciao.
| Citazione: | | Combofix non mi ha trovato nulla |
Se non ti dispiace vorrei vederlo quel log di Combofix.
Sai, non è per sfifucia, ma 4 occhi vedono meglio di 2. 
Poi fai queste 2 scansioni:
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui
Poi: (dopo RougeKiller)
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log con Wikisend o similari. |
|
| Top |
|
|
webberm
Mortale devoto
Registrato: 15/03/12 02:25
Messaggi: 13
|
| Inviato: 31 Gen 2014 00:32 Oggetto: |
|
|
cmq ho fatto un'ulteriore scansione con avast da avvio,quindi prima che parta widows e ha rimosso un file xfpipf.exe per ora..sembra andare ma non saprei...cmq il problema s'è sempre manifestato nei dispositivi esterni
Intanto leggi il combofix che avevo fatto in precedenza
link |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 31 Gen 2014 18:48 Oggetto: |
|
|
Ciao.
| Citazione: | | cmq il problema s'è sempre manifestato nei dispositivi esterni |
Per forza: se il pc è infetto (come lo è) non serve ripulire i dispositivi esterni, se prima non elimini il virus dal pc.
Questo perchè; quando inserisci le periferiche esterne, il virus residente nel pc si insedia anche nelle periferiche, per mezzo di un file chiamato Autorun.inf.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | ClearJavaCache::
KillAll::
File::
c:\documents and settings\User\Dati applicazioni\Xfpipf.exe
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5349:TCP"=-
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Xfpipf =-
RegNull::
[HKEY_USERS\S-1-5-21-1417001333-1035525444-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3A75B665-68F9-45C3-24D1-7C7B61CE716B}*]
Reboot:: |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Vorrei vedere anche il log di RougeKiller. |
|
| Top |
|
|
webberm
Mortale devoto
Registrato: 15/03/12 02:25
Messaggi: 13
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Feb 2014 21:25 Oggetto: |
|
|
Ciao.
| Citazione: | | ma Rogue Killer mi ha creato una cartella RK_Quarantine mettendovi due file DAT che debbo fare? |
Quello non è un problema.
Elimina Rogue Killer dal desktop insieme con la sua cartella RK_Quarantine.
Poi fai una pulizia con CCleaner. (registro compreso)
Apri OTL e clicca su CleanUP.
Si disinstallerà sia Combofix che lo stesso OTL.
Ti chiederà il riavvio del pc: acconsenti.
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".
N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.
Per ultimo:
Fai uno ScanDisk, e una deframmentazione del HD.
Se il pc funziona bene abbiamo concluso. |
|
| Top |
|
|
webberm
Mortale devoto
Registrato: 15/03/12 02:25
Messaggi: 13
|
| Inviato: 02 Feb 2014 00:09 Oggetto: |
|
|
Si,grazie mille si direbbe tutto ok,il tuo aiuto è stato molto prezioso!
Volevo farti 2 domande,io,da profano,ho sempe fatto molto affidamento su Combofix,come mai s'è limitato a rilevare quel processo nascosto ma non lo ha rimosso?In passato mi era capitato di prendere qualche virus(come capita a tutti) ma combofix aveva provveduto all'eliminazione.
L'altra domanda è questa : è possibile aver preso questo virus da pennino? Te lo chiedo perchè ho usato la pen drive per copiare dei file da un pc non mio fuori casa. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 02 Feb 2014 16:08 Oggetto: |
 |
|
| Citazione: | | da profano,ho sempe fatto molto affidamento su Combofix |
Sbagliato.
Questo programma và usato SOLO da esperti che ne conoscono le sue funzioni, e sappia analizzare il suo log.
| Citazione: | | come mai s'è limitato a rilevare quel processo nascosto ma non lo ha rimosso? |
Perchè tale virus NON rientrava nel suo database.
Quindi, è compito di chi sà analizzare il log che rilascia, e avere le competenze giuste per individuare il virus, e poi eliminarlo manualmente per mezzo di uno script apposito.
| Citazione: | | è possibile aver preso questo virus da pennino? Te lo chiedo perchè ho usato la pen drive per copiare dei file da un pc non mio fuori casa. |
E' possibile.
Specialmente se hai inserito una periferica NON tua. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
