| Autore |
 Discussione  |
|
Silvan45
Average Member
78 Messaggi |
 Inserito il - 11/01/2008 : 22:28:47
|
Buonasera a tutti. Sono in difficoltà per via di due virus (a meno che non siano collegati uno con l'altro) sul mio portatile con sistema operativo XP Home Ed. SP2. Il primo riguarda il file SONG911.EXE che va a posizionarsi non so come in c:\Documents and settings\Family\Impostazioni locali\Temp, accompagnato da un file denominato SONG911.EXE-26C6EB2B.PF che va a posizionarsi in c:\Windows\Prefetch. Nessuno dei due mi è segnalato dal mio antivirus (AVAST 4.7) ma il primo, esaminato con Virustotal, viene individuato da ANTIVIR (Heur/Malware), ESAFE (Suspicious File), PANDA (Suspicious File) e WEBWASHER-GATEWAY (Heuristic Malware). Mi sono accorto della sua presenza perchè il computer mi da una segnalazione (è successo almeno tre o quattro volte) proprio per via di questo file SONG911.EXE. Ecco, proprio adesso, in diretta, mentre sto scrivendo è apparsa la scritta: "Si è verificato un errore in Song911.Exe. L'applicazione verrà chiusa. Potrebbe essersi verificata la perdita dei dati su cui si stava lavorando" e poi prosegue con il solito invito a segnalare il problema a Microsoft. Eppure sono sicuro, perchè ho controllato, che i file suddetti non c'erano quando ho acceso il computer.... Il secondo caso riguarda invece il virus inf:autorun-i [Trj] segnalato dal mio antivirus come presente nel file F:AUTORUN.INF tutte le volte che inserisco la mia pen-driver (si chiama così ?); in questo caso provvedo sempre a eliminarlo tramite Avast, ma la volta successiva si ripresenta lo stesso. Il problema è che sulla pennina non trovo nessun file che si chiami autorun.inf, e neppure sull'hard-disk.
Qualcuno sa aiutarmi ?
Grazie
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 22:56:52
|
Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now".
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su [www].sendmefile[.com] e posta il link ottenuto. Lascia inserita la pen drive, anche se non credo che la vedrà.
Se hai problemi con il SeDebug, scarica SeDebug-Restore.
esegui l'applicazione. Riavvia e riprova con SystemScan
PS: hai windows xp? ..o vista?
PSS: se lasci inserita la pen drive l'errore si presenta comunque? Fai questa verifica.. |
Modificato da - Sibilla in data 11/01/2008 23:01:28 |
 |
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 10:46:07
|
| Comincio subito male ! Non riesco neanche a scaricare SistemScan ! A parte la mia scarsa conoscenza sia dell'inglese sia di queste pratiche, mi pare di capire che ci potrebbero essere problemi per via del blocco popup, ma io l'ho disattivato il blocco popup, e ciò nonostante il download rimane impiombato ! Quindi, al momento niente SistemScan ! Mentre cerco di risolvere questo problema (nel problema), preciso che il sistema operativo è XP home edition SP2. Poi una domanda: il percorso suggerito è finalizzato a risolvere il problema del virus su AUTORUN.EXE legato alla pen drive o anche al file SONG911.EXE ? A proposito di quest'ultimo, pare che non sia provato che sia un virus, anche se stranamente me lo ritrovo installato nonostante che io lo abbia eliminato. Grazie per ora. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 11:04:41
|
hai provato ad attendere qualche secondo o hai subito chiuso la pagina? Neanche a me dà la possibilità di scaricarlo immediatamente..
Citazione:
SONG911.EXE ? A proposito di quest'ultimo, pare che non sia provato che sia un virus
songs911_prevx |
Modificato da - Sibilla in data 12/01/2008 11:29:21 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 12/01/2008 : 12:09:27
|
disattiva l'antivirus prima di scaricarlo, alcune volte può essere bloccato come maleware.
qualora systemscan non si avviasse per la mancanza di alcuni privilegi (il SeDebugPrivilege) scarica anche questo tool
htt*://download.bleepingcomputer[.com]/sUBs/SeDebug-Restore.exe
e usalo. poi riavvia il pc, dopo di che potrai usare systemscan
disattiva il tuo antivirus se blocca il programma. |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 13:10:13
|
A Sibilla: ho aspettato ben oltre il tempo limite di attesa dichiarato da lui (fai conto mezz'ora contro 13 secondi dichiarati), senza risultati.
A Michael: ma non è pericoloso disattivare l'antivirus nel mentre sono collegato a internet per scaricarlo ? |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 13:18:49
|
Aggiungo qualcosa circa SONG911.
Se io elimino il file c:/documents and settings/familiy/impostazioni locali/temp/song911.exe ed anche c;/windows/prefetch/song911.exe-26C6EB2B.pf e resto fermo in attesa, cioè nessuna attività salvo la connessione ADSL ma senza aprire il browser, e con l'antivirus attivo, dopo un'ora esatta da quando si era autoeseguito il file appare nella cartella temp, e dopo qualche minuto si autoesegue (andando però in errore), e a quel punto appare anche nella cartella prefecth. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 13:30:06
|
Ciao silvan,
te lo carico io e ti posto il link. scan.zip
Riguardo il file songXX che va in errore, non mi hai detto cosa succede se lasci la pen drive inserita. |
Modificato da - Sibilla in data 12/01/2008 13:34:54 |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 14:33:25
|
Dato che sono due i virus che mi ritrovo, pensavo di affrontarli separatamente, a meno che non siano collegati l'uno con l'altro. Comunque, se inserisco la pen drive si illumina la relativa spia (immagino che parta l'autorun) e dopo un secondo o due l'antivirus segnala la presenza di un virus nel file F:AUTORUN.INF (virus INF:AUTORUN-I [trj]); a questo punto tramite l'antirus (AVAST) lo elimino spostandolo nel suo cestino. Lasciando inserita la pennina, con "risorse del computer" riesco a vederne il contenuto (dopo un pò però, perchè tutto il funzionamento pare ritardato, ma non ne sono sicuro perchè sono momenti un pò concitati), e apparentemente sembra tutto regolare anche se con un pò du rallentamento. Un altro malfunzionamento, che non saprei in questo momento inquadrare in una situazione ben precisa, pare essere la mancata apertura di un file (ad esempio di excel) cliccando sopra la sua icona. Al momento comunque non saprei precisare se ci siano o meno relazioni tra i due attacchi. Mi riservavo di fare delle prove, ma sono ancora fermo sul
discorso di sistemscan (senza considerare poi che devo fare anche altre cose oltre che stare al computer).
Un aggiornamento su SONG911: continua ad autoeseguirsi più o meno ogni ora, e regolarmente va in errore; sulla schermata della segnalazione di errore sono possibili tre opzioni: "debug" (ho provato senza risultati apparenti, "invio a Microsft" (fatto più volte ma non avuto nessuna risposta) e "non inviare". |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 14:41:52
|
| Ho installato SystemScan. Sibilla: che faccio, seguo le istruzioni che mi avevi mandato ieri sera ? Oppure prima provo a reinserire la pen drive e aspetto che SONG911 tenti di autoeseguirsi per vedere che succede ? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 14:43:13
|
ok, mi interessava solo sapere se va in errore anche con la pen drive inserita e cosa cambiava (te l'ho chiesto perchè evevo trovato che erano collegate le due cose..).
Ok, fai quello che devi fare e quando hai tempo posti il rapporto di systemscan.
Ciao
EDIT: sarebbe importante capire cosa succede. é inutile ripulire il pc e ritrovarsi con un altro virus nella pen drive...
|
Modificato da - Sibilla in data 12/01/2008 14:44:47 |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 15:34:58
|
Ho eseguito SistemScan, il rapporto è stato caricato su c:\Suspectfile e inviato a [www].sendmefile[.com], e questo dovrebbe essere il link: htt*://[www].sendmefile[.com]/00606635
Umh, penso di non essere riuscito a incollare il link ma solo a scriverne l'indirizzo, va bene lo stesso ? Ma come cavolo si fa? Perdona la mia scarsa capacità in queste cose !
|
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 15:38:23
|
Ah!, Dopo avere postato, vedo invece che ho incollato il link !, Ma guarda un pò come sono stato bravo  
A parte le battute, adesso non ho capito cosa dovrei fare con il SeDebug.
Grazie per ora. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 16:19:47
|
ok silvan.. segui attentamente queste indicazioni. Meglio se stampi il post.
Scarica Registry Search Tool e cerca separatamente:
secpol
song
fsmgmt
ANDREUR
e posta i risultati.
Carica il file C:\WINDOWS\ANDREUR.INI su freefilehosting e mandami il link tramite pm.
scarica Avenger e CCleaner.
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
Apri il task manager e termina il processo C:\WINDOWS\system32\secpol.exe
Apri il registro (start => Esegui => digita: regedit e dai l'ok)
Esportane una copia: "file" - "esporta" - salva in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e, nella finestra di destra, fai doppio click su userinit.
Nella finestra che si aprirà troverai scritto:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,"
devi cancellare tutto quello che viene dopo la prima virgola e lasciare scritto solo: c:\windows\system32\userinit.exe, (virgola compresa)
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno del box bianco, copia/incolla questo script in rosso:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\fsmgmt
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Posta anche un nuovo log di hijackthis
|
Modificato da - Sibilla in data 12/01/2008 17:32:33 |
|
|
|
Silvan45
Average Member
78 Messaggi |
Inserito il - 12/01/2008 : 18:32:45
|
Allora, pochi passi alla volta. Ho scaricato Registry Search Tool e ho ottenuto i risultati per secpol, ecc.
Come te li mando i risultati ? Li allego al post ?
Per quanti riguarda l'invio di andreur.ini da caricare su freefilehosting, cosa intendi per "mandami il link tramite pm" (cosa vuol dire: pm ?). Scusa la mia arretratezza su queste cose, ma mi ci perdo un pò. Grazie |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 18:36:29
|
caricali su Freefilehosting e posta il link.
Per andreur: in alto ad un mio post c'è l'icona per inviare i messaggi privati. Aprine uno e incolla il link a freefilehosting. |
Modificato da - Sibilla in data 12/01/2008 18:36:58 |
|
|
|
Discussione |
|
Non uno ma due virus !
Forum Bloccato
