Non uno ma due virus ! - Sicurezza Informatica pagina 4 NoTrace Security Forum

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

Non uno ma due virus !

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Precedente | Pagina Successiva

Autore

Discussione

Pagina: di 5

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 10:45:10

Il file UFO.EXE è stato individuato ma non rimosso da Free Virus Scan (Kaspersky), ma non lo vedo con risorse del computer. Come faccio a rimuoverlo ?

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware

2059 Messaggi

Inserito il - 16/01/2008 : 12:42:39

a mano..

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 12:55:43

Scusa Sibilla, ma se non lo vedo con "risorse del computer" non lo posso neanche rimuovere... a meno che non ci sia qualche trucco che non conosco.

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 13:21:07

ehmmm ma hai capito che appartiene alla pen drive, si?
...e se la inserisci non vedi il file ufo.exe? Strano..

i link per scaricare i 2 files che abbiamo rimosso (legittimi): fsmgmt.zip e secpol.zip

Modificato da - Sibilla in data 16/01/2008 13:31:25

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 14:37:30

Dunque, ripeto, con la pen drive inserita, tramite risorse del computer dovrei vederne il contenuto, ma non vedo assolutamente niente (e in effetti non contiene niente, sia ora sia al momento della scansione con Kaspersky), non vedo nessuna cartella e nessun file, tantomeno UFO.EXE, ma se è per questo non vedo neppure AUTORUN.INF che, per quello che ne so, dovrebbe essere presente nella pen drive come in tutti i supporti esterni (CD, dischetti, ecc.), giusto ?
Del resto neanche all'inizio vedevo AUTORUN.INF all'interno della pen drive eppure l'antivirus me lo individuava e me lo cancellava (almeno apparentemente) e poi è venuto fuori che la causa era il Song911.
Adesso voglio provare a rilanciare la scansione con Kaspersky mirata a F: sia sulla pen drive incriminata sia su un'altra che ho per vedere cosa dice.
Ciao per ora

Modificato da - Silvan45 in data 16/01/2008 15:34:12

death
Moderatore

Impegno nella community e capacità notevoli in campo hardware e software

Città: Pinerolo e dintorni

7791 Messaggi

Inserito il - 16/01/2008 : 15:43:55

Buongiorno a tutti, solo un chiarimento per il futuro, nelle pen drive NON è presente nessun file di sistema per funzionare, ne *.inf, ne *.bat, nulla, appena le acquisti sono formattate e vuote, se vuoi eliminare ogni dubbio e non hai dati sulla pen drive, da gestione risosrse, clicchi sul destro sulla pen drive, fai formatta>formattazione completa con file di sistema FAT 32, così sei sicuro di ripulirla del tutto.

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 15:58:09

...oppure, se continui a non trovarlo, ti ricordo che ora hai installato spybot.. prova con quello.

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 17:26:30

Ringrazio Death per l'opportuna precisazione, e come suggerito ho provveduto a riformattare la pen drive.
In questo momento è in corso la scansione con Spybot (sto scrivendo da un altro computer); appena ho il risultato lo posterò, poi se non ci sono altre o diverse istruzioni da parte di Sibilla stanotte penso che farò una nuova scansione con Kaspersky e domattina vedremo i risultati.
Grazie per ora

Spybot ha finito ed ha trovato lo stesso problema che aveva trovato l'altra volta:
DRIVECLEANER 2006: [SBI $7E4FBD6E] ID di classe Chiave di registro HKEY_CLASSES_ROOT\CLSID\InprocServer32
che, come l'altra volta, ho fixato.
Più tardi rilancio Spybot, e poi, come già detto, Kaspersky, salve diverse istruzioni da parte tua, Sibilla.

Perbacco ! Mi stavo dimenticando che ho controllato anche il registro con Registry Search Tool con il quale ho cercato (e trovato)UFO.EXE. Questo è il log
sOutTmp155937.tmp
Questo cambia qualcosa nella sequenza delle cose da fare ?

Modificato da - Silvan45 in data 16/01/2008 17:47:17

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 18:10:22

Citazione:
Messaggio inserito da Silvan45

DRIVECLEANER 2006: [SBI $7E4FBD6E] ID di classe Chiave di registro HKEY_CLASSES_ROOT\CLSID\InprocServer32

hai provato a copiare qualcosa sulla pen drive? te lo fa fare?

Chissà se è lo stesso DRIVECLEANER...
Apri il registro, clicca su "modifica" e poi su "trova".
cerca DRIVECLEANER. Se c'è, visualizzerai un primo DRIVECLEANER. Controlla se il percorso è HKEY_CLASSES_ROOT\CLSID. Se lo è, vedi che e a sinistra c'è una cartellina aperta: cliccaci sopra e scegli esporta, salvandolo come file di TESTO (mi raccomando). Vediamo cosa contiene. Mandami un pm con il link.

Non dovesse essere quel percorso, invece, premi F3 per fargli cercare un altro DRIVECLEANER... e così via. Comunque te lo dovrebbe dare subito...

Poi cercalo un'altra volta DRIVECLEANER ma conRegistry Search Tool.

EDIT: DRIVECLEANER 2006.. è lui

tu hai queste 2 directory?
C:\Program Files\DriveCleaner 2006 Free\
C:\Program Files\Common Files\DriveCleaner 2006 Free\
se si, disinstallalo da installazione applicazioni (pannello di controllo) e cancella quelle directory.

EDIT 2: ho visto su hjt e su syastemscan.. nessuna traccia. Lo avevi già rimosso? Symantec. Se è lui, allora deve esserci qualche residuo che continua ad infettare..

Modificato da - Sibilla in data 16/01/2008 18:52:36

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 19:04:08

Ciao Sibilla.
Andiamo in ordine cronologico.
1) Di quanto indicatomi nel tuo post del 15/1-23:42:12 mi è rimasto da fare il
punto 5) C:\Documents and Settings\Family\Dati applicazioni\Sun\Java\Deployment\cache\6.0\60\348694fc-2bb160d6 <= contenuto
perchè non ho capito cosa fare
2) Circa il tuo post del 16/1-13:21:07, se ho capito bene devo reinstallare fsmgmt e secpol utilizzando i files che mi hai mandato, giusto ?
3) Circa il tuo post delle 18.10.22, la pen drive pare funzionare correttamente, DriveCleaner non si trova nè con "regedit" nè con "Registry Search Toool" salvo per i backup fatti l'altro giorno e oggi da Spybot. Io penso che Spybot lo avesse eliminato sia l'altro giorno che oggi, ma che ci sia qualcosa che lo fa riapparire.
Infine, non ho le directory c:\Program Files\... e neppure trovo DriveCleaner tramite la funzione "cerca"
4) Che mi dici di UFO.EXE trovato nel registro (vedi mio post delle 17:26:30) ?
Grazie

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 19:15:14

Citazione:
Messaggio inserito da Silvan45

1) Di quanto indicatomi nel tuo post del 15/1-23:42:12 mi è rimasto da fare il
punto 5) C:\Documents and Settings\Family\Dati applicazioni\Sun\Java\Deployment\cache\6.0\60\348694fc-2bb160d6 <= contenuto
perchè non ho capito cosa fare

svuotare quello che c'è nella cartella 348694fc-2bb160d6.

Citazione:
2) Circa il tuo post del 16/1-13:21:07, se ho capito bene devo reinstallare fsmgmt e secpol utilizzando i files che mi hai mandato, giusto ?

affatto. Ti avevo scritto di seguire un'altra discussione dove si sta affrontando il tuo stesso problema (credo ieri). Scaricali e riposizionali (zippati) in system32. Poi si vedrà.

Citazione:
3) Circa il tuo post delle 18.10.22, la pen drive pare funzionare correttamente, DriveCleaner non si trova nè con "regedit" nè con "Registry Search Toool" salvo per i backup fatti l'altro giorno e oggi da Spybot. Io penso che Spybot lo avesse eliminato sia l'altro giorno che oggi, ma che ci sia qualcosa che lo fa riapparire.
Infine, non ho le directory c:\Program Files\... e neppure trovo DriveCleaner tramite la funzione "cerca"

Hai per caso scaricato qualche volta quel programma? Se no, allora forse è solo un tentativo di installazione. Ovviamente non dare mai l'ok.

Citazione:
4) Che mi dici di UFO.EXE trovato nel registro (vedi mio post delle 17:26:30) ?

che se non riusciamo ad eliminare il file è inutile mettere le mani li'...
{f6c515bc-78c0-11dc-abc1-0011d862023a} e {0879d142-b3d8-11dc-ac77-0011d862023a} non esistono..

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 20:49:27

1) C:\Documents and Settings\Family\Dati applicazioni\Sun\Java\Deployment\cache\6.0\60\348694fc-2bb160d6 mi risulta un file e non una cartella, è per questo che avevo (ed ho) dei dubbi su cosa farne; tra l'altro nella cartella C:\...\60 c'è anche un file chiamato 348694fc-2bb160d6.idx.
2) fatto
3) non me lo ricordo
4) va bene

Una precisazione per quanto riguarda UFO.EXE: la prima volta che ho avuto a che fare con questo virus è stato un paio di settimane fa quando lo trovò mio cognato sul suo computer mentre stavamo lavorando a fianco ognuno con il proprio PC entrambi collegati a Internet (lui non ha il telefono quindi non si collega praticamente mai) per aggiornarlo; il suo antivirus (NOD32) lo individuò (non ricordo dove) ma fu eliminato solo successivamente; non mi ricordo se in quella occasione ci fu scambio di dati tra il suo e il mio computer, ma probabilmente si, e probabilmente con la sua pen drive.

Seguirò con maggiore attenzione l'altra discussione (quella con oggetto SONG911).
Salvo tua diversa indicazione, andrei avanti con la scansione prima con Spybot e poi con Kaspersky.
Ciao

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 21:06:42

scarica e aggiorna Virit. Vai in modalità provvisoria ed esegui una scansione.

Silvan45
Average Member

78 Messaggi

Inserito il - 16/01/2008 : 23:30:53

Scansione con Virit eseguita in modalità provvisoria sui dischi e sulla pen drive: tutto a posto.

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 16/01/2008 : 23:45:58

allora procedi con kaspersky. Prima stai collegato per un po', così si capisce se lo scarica..