| Autore |
 Discussione  |
|
drexel
Junior Member
Città: torino
67 Messaggi |
 Inserito il - 12/09/2008 : 15:20:31
|
Salve a tutti!
E'da un pò di giorni che scansiono il pc con avira antintivir e mi da sempre lo stesso responso:
C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP22\A0005049.exe
[DETECTION] Contains recognition pattern of the WORM/Autorun.cxl worm
[NOTE] A backup was created as '48f2adbc.qua' ( QUARANTINE )
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] A backup was created as '4ac6f515.qua' ( QUARANTINE )
C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP39\A0012272.exe
[DETECTION] Contains recognition pattern of the WORM/Autorun.cxl worm
[NOTE] A backup was created as '48f2ade0.qua' ( QUARANTINE )
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] A backup was created as '4ac6f549.qua' ( QUARANTINE )
Se però scansiono in modalità provvisoria non mi risulta nessuna traccia di questo virus.Ho anche fatto una scansione online con Kaspersky e mi dice che il computer è pulito.Ho dato anche un'occhiata sul sito di avira e ho trovato questo:
Worm/Autorun.cxl - Duplica file “maligni”
Modifica del registro.
Non ho capito se devo preoccuparmi o stare tranquillo!Vi posto il log di HiJackthis.Mi scuso per il disturbo arrecatovi e comincio a ringraziarvi.
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 12/09/2008 : 19:09:25
|
ciao
dovresti postare di nuovo il log di hijackthis in quanto non si legge
intanto fai cosi':
scarica questo programma htt*://siri.geekstogo[.com]/SmitfraudFix.exe
avvia il PC in modalità provvisoria ed eseguilo. Seleziona l'opzione 2 e premi invio. Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio. Il computer si riavviera' per completare il processo di pulizia. Sul desktop verra' visualizzato il file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).
|
 |
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 19:35:37
|
Ciao Shang!
Innanzitutto,grazie della risposta.Ho provato a cliccare sul link che mi hai postato ma,prima l'antivirus non mi fa aprire il file e poi,se clicco di nuovo non mi trova più l'indirizzo.Intanto cerco di postare di nuovo il log di HiJackthis e la nuova scansione in provvisoria di Antivir.
htt*://[www].sendmefile[.com]/00647877
Avira AntiVir Personal
Report file date: venerdì 12 settembre 2008 18:05
Scanning for 1612438 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Save mode
Username: Administrator
Computer name: DEFAULT-04EB976
Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 12:36:36
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:53:28
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12/09/2008 15:30:05
ANTIVIR3.VDF : 7.0.6.154 2048 Bytes 12/09/2008 15:30:05
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 02/04/2008 12:36:34
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 03/09/2008 14:22:34
AESCN.DLL : 8.1.0.23 119156 Bytes 15/07/2008 13:58:46
AERDL.DLL : 8.1.1.1 397683 Bytes 03/09/2008 14:22:34
AEPACK.DLL : 8.1.2.1 364917 Bytes 15/07/2008 13:58:46
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 03/09/2008 14:22:34
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 03/09/2008 14:22:34
AEHELP.DLL : 8.1.0.15 115063 Bytes 29/05/2008 12:08:42
AEGEN.DLL : 8.1.0.36 315764 Bytes 18/08/2008 16:05:36
AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 12:02:16
AECORE.DLL : 8.1.1.11 172406 Bytes 03/09/2008 14:22:32
AEBB.DLL : 8.1.0.1 53617 Bytes 18/07/2008 09:20:50
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 30/08/2008 13:23:18
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: repair
Secondary action.................: delete
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Start of the scan: venerdì 12 settembre 2008 18:05
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '46' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
End of the scan: venerdì 12 settembre 2008 18:32
Used time: 27:36 Minute(s)
The scan has been done completely.
2862 Scanning directories
197141 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
197140 Files not concerned
1496 Archives were scanned
1 Warnings
0 Notes
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 12/09/2008 : 19:39:02
|
stai attento SmitfraudFix e' riconosciuto dagli antivirus come minaccia ma non lo e'
disattiva l'antivirus e gli altri programmi di protezione quando lo scarichi
Citazione:
ntanto cerco di postare di nuovo il log di HiJackthis e la nuova scansione in provvisoria di Antivir.
ti pregherei di seguire le mie indicazioni altrimenti non posso procedere |
Modificato da - shang in data 12/09/2008 19:41:08 |
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 19:58:29
|
Ho disattivato l'antivirus ma non riesco lo stesso ad accedere al link!
Finalmente ci son riuscito,ho salvato il file in C:/,sono andato in modalità provvisoria,l'ho eseguito e ho selezionato 2 come mi hai detto ma subito dopo mi si blocca e appare la scritta:
Impossibile identificare il percorso scelto.Ho provato diverse volte ma il risultato è lo stesso.Sbaglio qualcosa? |
Modificato da - drexel in data 12/09/2008 20:37:37 |
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 21:48:47
|
Credo di esser finalmente riuscito a fare ciò che mi dicevi.Ti posto il il log di Smitfraud.
htt*://[www].sendmefile[.com]/00647896. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 12/09/2008 : 22:13:46
|
qui non si legge ===> htt*://[www].sendmefile[.com]/00647896.
prova ad inviarlo qui
htt*://wikisend[.com]/
|
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 22:25:18
|
Ok,fatto.Ecco il link e ti ringrazio per la pazienza.
[URL=htt*://wikisend[.com]/download/892466/rapport.txt]rapport.txt[/URL]
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 12/09/2008 : 22:48:45
|
| posta un log di hjt per il confronto |
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 22:57:55
|
Ecco qua!
[URL=htt*://wikisend[.com]/download/493078/hijackthis.log]hijackthis.log[/URL] |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 12/09/2008 : 23:11:19
|
ora vorrei sapere se rispetto a prima il pc e' cambiato nell'aprire le pagine
|
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 12/09/2008 : 23:38:13
|
No,almeno non mi sembra.
Ho aperto firefox e non riscontro problemi.Sto lavorando con Photoshop e gira bene.L'unica cosa è che ho fatto una nuova scansione con l'antivirus e continua a darmi Worm/Autorun.cxl e SPR/Tool.Hardoff.A,ma da quello che ho capito è come dicevi
prima :
"stai attento SmitfraudFix e' riconosciuto dagli antivirus come minaccia ma non lo e'".
Vuoi che ti posti il nuovo log di avira?
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 13/09/2008 : 20:07:13
|
scarica questo programma
ftp://ftp.drweb[.com]/pub/drweb/cureit/launch.exe
Una volta lanciato, il tool farà immediatamente una scansione dei processi attivi nel sistema. Finita la scansione, doevi selezionare quali hard disk vuoi controllare e cliccare sul tasto di avvio della scansione.
Scegli la scansione completa
|
Modificato da - shang in data 13/09/2008 20:08:44 |
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 13/09/2008 : 21:45:56
|
Buonasera a tutti e grazie ancora Shang per l'aiuto!
Allora,ho fatto come mi hai detto.Durante la scansione con Dr.Web sono apparsi un pò di pop up di avira che segnalavano il maledetto Worm/Autorun.cxl -
Virus or unwanted program 'WORM/Autorun.cxl [worm]'
detected in file 'C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP22\A0005049.exe.
Action performed: Deny access -
ma il Dr.Web non me lo segnalava.Mi ha segnalato invece queste cose -
A0018378.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44\A0018378.exe;Tool.Prockill;;
A0018378.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44\A0018378.exe;Tool.ShutDown.11;;
A0018378.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44;l'Archivio contiene oggetti infetti;Spostato.;
A0018379.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44\A0018379.exe;Tool.Prockill;;
A0018379.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44\A0018379.exe;Tool.ShutDown.11;;
A0018379.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44;l'Archivio contiene oggetti infetti;Spostato.;
A0018392.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44;Tool.Prockill;;
A0018394.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP44;Tool.ShutDown.11;;
A0018425.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP45\A0018425.exe;Tool.Prockill;;
A0018425.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP45\A0018425.exe;Tool.ShutDown.11;;
A0018425.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP45;l'Archivio contiene oggetti infetti;;
A0019459.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP45;Tool.Prockill;;
A0019461.exe;C:\System Volume Information\_restore{E72CD947-5639-49B3-90DA-9FA72A807118}\RP45;Tool.ShutDown.11;;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;; -
che credo si riferiscano allo SmitfraudFix.Mi chiedeva di spostarle e così ho fatto,anche se,per la mia ignoranza non ho capito dove.Posso eliminarle?
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 13/09/2008 : 21:54:23
|
si elimina tutto tanto smitfraud , almeno pe ora non ti serve
disattiva anche il riprisino e poi riattivalo
fai anche una scansione con kaspersky online cosi' puliamo bene tutto
scegli la voce my computer e la voce extended |
|
|
|
drexel
Junior Member
Città: torino
67 Messaggi |
Inserito il - 13/09/2008 : 22:46:50
|
Stavo per fare come mi hai suggerito ma ad un certo punto mi si è chiuso tutto!!
Ora sto facendo la scansione online con kaspersky solo che l'opzione - Extended - non c'è,solo - Critical areas - e - File -.
Faccio - my computer -,spero vada bene lo stesso e provo ad eliminare le voci di prima. |
|
|
|
Discussione |
|
Worm/Autorun.cxl
Forum Bloccato
