| Autore |
 Discussione  |
|
superdavid
Average Member
.jpg)
75 Messaggi |
Inserito il - 31/03/2008 : 19:35:53
|
|
ecco i risultati:Trojan.Proxy.2804 e poi mi ha segnalato come arkivio contenente file infetti una cartella di mIRC.se è il p2p ke mi ha procurato il virus lo elimino subito!!!il trojan è stato eliminato ma vorrei sapere se adesso nn sono piu infetto o magari c'è una kiave di registro ancora infetta(nn sono esperto di queste cose quindi kiedo un consiglio). |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 31/03/2008 : 19:55:07
|
Citazione:
Messaggio inserito da superdavid
ecco i risultati:Trojan.Proxy.2804 e poi mi ha segnalato come arkivio contenente file infetti una cartella di mIRC
io direi di lasciarlo stare, probabilmente è stesso il programma che viene individuato come infetto. Direi più di fare un altro controllo con systemscan tra qualche giorno, così mi rendo conto se è cambiato qualcosa tra i files ;)
Ad ogni modo, ora esegui nuovamente systemscan, stavolta devi fare 1 scansione completa, così controllo anche il resto delle sezioni analizzate. Caricalo sempre su freefilehosting. |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 31/03/2008 : 22:20:13
|
la scansione penso duri piu di 1 ora xke è lunghissima,allora provo domani.il problema sembra peggiorato: il pc mi si riavvia spessissimo e anke quando nn lo uso!!ho l'impressione di provare sempre invano le soluzioni uffi
edit:la scansione cn dr.web mi ha rilevato il trojan di prima,ma questa volta è doppio.se serve scrivo anke la collocazione e il nome:
C:\Documents and Settings\Utente\Impostazioni locali\Temp 1 finisce per nshF.tmp ,l'altro x nsz11.tmp si kiamano entrambi uuoywfrygn.exe |
Modificato da - superdavid in data 31/03/2008 22:47:16 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 31/03/2008 : 23:19:36
|
Citazione:
Messaggio inserito da superdavid
la collocazione e il nome:
C:\Documents and Settings\Utente\Impostazioni locali\Temp 1 finisce per nshF.tmp ,l'altro x nsz11.tmp si kiamano entrambi uuoywfrygn.exe
no no.. :) quelli sono di systemscan.. sono ok.. precedentemente era:
C:\DOCUME~1\Utente\IMPOST~1\Temp\nskE.tmp\uuoywfrygn.exe
(l'ho perso dal log che hai postato - variano le lettere in rosso).
Ora fammi capire.. ma cosa hai rilevato ed eliminato con queste scansioni, a parte prendervela con systemscan?? :)
Ah, la scansione con systemscan dura poco... non ho mai visto scansioni di 1 ora, anzi, variano tra i 7-10 minuti e 30' al massimo. Poi dipende anche dal pc. Se la stavi eseguendo, controlla piuttosto che non si sia bloccato. Ricordati di disattivare l'antivirus. |
Modificato da - Sibilla in data 31/03/2008 23:24:48 |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 01/04/2008 : 15:31:21
|
| dr.web mi ha rilevato quei 2 file come infetti dal trojan e me li ha eliminati lui direttamente.riguardo a sistemscan mi sn dimenticato di disattivare l'antivirus.è possiblike ke il virus rinasca cambiando la parte finale del nome??? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/04/2008 : 15:36:33
|
o non mi sono spiegata bene o hai frainteso: quello che hai segnalato qui:
Citazione:
la scansione cn dr.web mi ha rilevato il trojan di prima,ma questa volta è doppio.se serve scrivo anke la collocazione e il nome: C:\Documents and Settings\Utente\Impostazioni locali\Temp 1 finisce per nshF.tmp ,l'altro x nsz11.tmp si kiamano entrambi uuoywfrygn.exe
altro non sono che i files generati da systemscan nel momento in cui fai la scansione.. puoi stare tranquillo, ci metto la mano sul fuoco :) |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 01/04/2008 : 15:44:31
|
effettivamente nn avevo capito ma ora sì,anke se ho grandi vuoti ...quei file ormai sn stati eliminati e nn ci posso fare niente[.com]e è possiblie ke l'antivirus li rilevi nn come file sospetti ma addirittura come trojan cn tanto di nome!il prima possiblile posto sistemscan |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/04/2008 : 16:01:35
|
Ogni volta che eseguirai systemscan verra' creata una cartella il cui nome inizia per "ns".. quindi tipo nsGJ, nsTY ecc ecc.
Molti programmi di scansione vengono rilevati come infetti, ad esempio msnfix e SmitfraudFix... il norton 360 lo blocca addirtura (systemscan) e non e' possibile nemmeno aprire la finestra di scansione..
Ecco perche' viene consigliato di disattivare l'antivirus... |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 01/04/2008 : 16:17:55
|
ok ora ho capito tt!
questo è il log di systemscan:htt*://[www].freefilehosting.net/download/3ef3k
edit:1 novita finalmente il task mi sta funzionando e nn so il xke cmq ho disattivato il ripristino config di sistema dato ke prima nn riuscivo ad accedere al pannello di controll.devo fare altro ora ke penso di poter fare tt??? |
Modificato da - superdavid in data 01/04/2008 16:48:28 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/04/2008 : 00:55:48
|
puoi analizzare su Virustotal
C:\cace2423dfb97c58fe7dd9f120557063KRN_DATA
C:\WINDOWS\system32\drivers\catchme.sys
C:\WINDOWS\system32\drivers\ALG.sys
C:\WINDOWS\system32\drivers\APPFLTR.CFG ?
Le cartelle FOUND stanno tutte nuovamente li'.. E' uscito un problema ma dobbiamo capire cosa lo genera.. Alle 16 sono stati creati dei sys con i nomi dei drivers (qualcuno l'ho controllato, tipo IALM, che deve essere una dll in system32, oppure C:\WINDOWS\System32\alg.exe che non è alg.sys).. ma posso fartelo sapere domani pomeriggio perchè devo comunque controllarli tutti e farteli eliminare in tronco non se ne parla..
Citazione:
01/04/2008 16.00.30 - 10880 byte - 0 days old -- pxark.sys
01/04/2008 16.00.44 - 91 byte - 0 days old -- ContentFilter.sys
01/04/2008 16.00.44 - 132 byte - 0 days old -- ASP.NET_2.0.50727.sys
01/04/2008 16.00.44 - 157 byte - 0 days old -- catchme.sys
01/04/2008 16.00.44 - 134 byte - 0 days old -- ALG.sys
01/04/2008 16.00.46 - 71 byte - 0 days old -- ialm.sys
01/04/2008 16.00.46 - 98 byte - 0 days old -- Fax.sys
01/04/2008 16.00.46 - 119 byte - 0 days old -- Irmon.sys
01/04/2008 16.00.46 - 84 byte - 0 days old -- IntcAzAudAddService.sys
01/04/2008 16.00.46 - 178 byte - 0 days old -- MSIServer.sys
01/04/2008 16.00.46 - 76 byte - 0 days old -- ISAPISearch.sys
01/04/2008 16.00.48 - 127 byte - 0 days old -- PolicyAgent.sys
01/04/2008 16.00.48 - 51 byte - 0 days old -- Nla.sys
01/04/2008 16.00.48 - 210 byte - 0 days old -- PDRFRAME.sys
01/04/2008 16.00.48 - 196 byte - 0 days old -- PDFRAME.sys
01/04/2008 16.00.50 - 21 byte - 0 days old -- RegSrvc.sys
01/04/2008 16.00.50 - 33 byte - 0 days old -- VSS.sys
01/04/2008 16.00.50 - 217 byte - 0 days old -- Simbad.sys
01/04/2008 16.00.50 - 165 byte - 0 days old -- SwPrv.sys
01/04/2008 16.00.50 - 38 byte - 0 days old -- RemoteRegistry.sys
01/04/2008 16.00.50 - 92 byte - 0 days old -- upnphost.sys
01/04/2008 16.00.52 - 279 byte - 0 days old -- Winsock.sys
01/04/2008 16.00.52 - 213 byte - 0 days old -- WMPNetworkSvc.sys
01/04/2008 16.00.52 - 64 byte - 0 days old -- WmiApRpl.sys
01/04/2008 16.00.52 - 145 byte - 0 days old -- winmgmt.sys
01/04/2008 16.08.24 - 345060 byte - 0 days old -- APPFCONT.DAT
01/04/2008 16.08.24 - 345060 byte - 0 days old -- APPFCONT.DAT.bck
01/04/2008 16.09.06 - 1224 byte - 0 days old -- APPFLTR.CFG
01/04/2008 16.09.06 - 1224 byte - 0 days old -- APPFLTR.CFG.bck
Quelli in rosso già c'erano. Non ho capito cosa sia successo. Cosa facevi alle 16?? (l'orario in cui hai postato)
|
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 02/04/2008 : 14:04:54
|
attualmente sto facendo la scansione di quegli elementi cmq se ti puo essere utile quando sn riuscito ad aprire il task il 1° processo ke ho visto era ALG.exe e se nn mi sbaglio nn l'ho mai visto.alle 16??niente di particolare!o ero qui sul forum o facevo qualke scansione ma altri programmi nn ne ho aperti!
edit:l'ultimo file cosi come l'hai scritto tu nn c'è, ce n'è 1 ke finisce x .bck e lo sta analizzando.sono tt puliti.cmq ho letto su un forum ke le cartelle FOUND sono gli scandisk di windows
edit2:mi puoi dire vagamente se hai individuato il virus??avrei bisogno ke il pc sia a posto il piu presto possibile e se ci vuole ancora molto forse faccio prima se lo porto da 1 tecnico cosi ti faccio perdere anke meno tempo... |
Modificato da - superdavid in data 02/04/2008 17:05:59 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/04/2008 : 20:35:54
|
come infetto non li trovo.. (continuo dopo)
Citazione:
01/04/2008 16.00.30 - 10880 byte - 0 days old -- pxark.sys
01/04/2008 16.00.48 - 210 byte - 0 days old -- PDRFRAME.sys
01/04/2008 16.00.48 - 196 byte - 0 days old -- PDFRAME.sys
01/04/2008 16.08.24 - 345060 byte - 0 days old -- APPFCONT.DAT
01/04/2008 16.08.24 - 345060 byte - 0 days old -- APPFCONT.DAT.bck
01/04/2008 16.09.06 - 1224 byte - 0 days old -- APPFLTR.CFG
01/04/2008 16.09.06 - 1224 byte - 0 days old -- APPFLTR.CFG.bck
questi puoi eliminarli (quelli tra parentesi sono i files legittimi associati ai servizi, che ovviamente non devi eliminare). Per sicurezza, crea una cartella in c:\ e spostaceli dentro. Sposta anche quelli indicati sopra.
Citazione:
01/04/2008 16.00.44 - 91 byte - 0 days old -- ContentFilter.sys ok
01/04/2008 16.00.44 - 132 byte - 0 days old -- ASP.NET_2.0.50727.sys ok
01/04/2008 16.00.44 - 157 byte - 0 days old -- catchme.sys ok ....(C:\DOCUME~1\Utente\IMPOST~1\Temp\catchme.sys)
01/04/2008 16.00.44 - 134 byte - 0 days old -- ALG.sys ok ....(C:\WINDOWS\System32\alg.exe)
01/04/2008 16.00.46 - 71 byte - 0 days old -- ialm.sys ok .... (system32\DRIVERS\ialmnt5.sys)
01/04/2008 16.00.46 - 98 byte - 0 days old -- Fax.sys ok .... (C:\WINDOWS\system32\fxssvc.exe)
01/04/2008 16.00.46 - 119 byte - 0 days old -- Irmon.sys ok (CWINDOWSsystem32svchost.exe)
01/04/2008 16.00.46 - 84 byte - 0 days old -- IntcAzAudAddService.sys ok .... (system32\drivers\RtkHDAud.sys)
01/04/2008 16.00.46 - 178 byte - 0 days old -- MSIServer.sys ok .... (C:\WINDOWS\system32\msiexec.exe)
01/04/2008 16.00.46 - 76 byte - 0 days old -- ISAPISearch.sys ok
01/04/2008 16.00.48 - 127 byte - 0 days old -- PolicyAgent.sys ok .... (C:\WINDOWS\system32\lsass.exe)
01/04/2008 16.00.48 - 51 byte - 0 days old -- Nla.sys ok .... (C:\WINDOWS\system32\svchost.exe)
01/04/2008 16.00.50 - 21 byte - 0 days old -- RegSrvc.sys ok .... (C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe)
01/04/2008 16.00.50 - 33 byte - 0 days old -- VSS.sys ok
01/04/2008 16.00.50 - 217 byte - 0 days old -- Simbad.sys ok
01/04/2008 16.00.50 - 165 byte - 0 days old -- SwPrv.sys ok .... (C:\WINDOWS\system32\dllhost.exe)
01/04/2008 16.00.50 - 38 byte - 0 days old -- RemoteRegistry.sys ok .... (C:\WINDOWS\system32\svchost.exe)
01/04/2008 16.00.50 - 92 byte - 0 days old -- upnphost.sys ok .... C:\WINDOWS\system32\svchost.exe
01/04/2008 16.00.52 - 279 byte - 0 days old -- Winsock.sys ok
01/04/2008 16.00.52 - 213 byte - 0 days old -- WMPNetworkSvc.sys ok .... (C:\Programmi\Windows Media Player\WMPNetwk.exe)
01/04/2008 16.00.52 - 64 byte - 0 days old -- WmiApRpl.sys ok
01/04/2008 16.00.52 - 145 byte - 0 days old -- winmgmt.sys ok .... (C:\WINDOWS\system32\svchost.exe)
se hai dei dubbi su quali spostare, torno più tardi e modifico il post..
|
Modificato da - Sibilla in data 02/04/2008 20:37:25 |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 02/04/2008 : 21:48:51
|
ciao sibilla,ti ringrazio moltissimo x la tua grande disponibilità ma gg ho portato il pc ad aggiustare xke ho bisogno di averlo a completa disposizione il + presto possibile x lo studio.cmq se riesco postero il nome del virus e qualke dettaglio come aiuto x i futuri infetti.ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/04/2008 : 22:06:14
|
ok. Il nome non lo so, nel senso che ne ho trovato qualcosa ma non so se alla fine si tratta dello stesso problema...
Mi dispiace essere arrivata tardi ma ieri sera non ci avevo proprio fatto caso inizialmente..
Fammi sapere,
ciao |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 08/04/2008 : 19:52:41
|
eccomi!finalmente ho risolto tt i problemi.ora capisco xke era diff trovare il virus...xke nn c'era!!!era solo la marea di programmi ke avevo ke mi faceva questi skerzi(parola di esperto ).se lo avessi saputo nn ti avrei fatto perdere tt quel tempo cmq grazie lo stesso |
|
|
|
Discussione |
|
virus
Forum Bloccato
