| Autore |
 Discussione  |
|
aleph
Average Member
73 Messaggi |
 Inserito il - 02/12/2008 : 17:50:15
|
Ciao a tutti,
un paio di giorno fa Comodo mi ha chiesto ripetutamente il permesso per far compiere diverse operazioni al processo "Rlvknlg". Dopo aver verificato su google che è un malware, ho provato ad eliminarlo, ma non sono sicura di esserci riuscita (sia Malwarebytes' Anti-Malware che SUPERAntiSpyware e AVG non l'avevano identificato).
Vi posto i risultati ottenuti oggi in modalità provvisoria di:
-Malwarebytes' Anti-Malware
mbam-log-2008-12-02 (13-31-57).txt
-SUPERAntiSpyware
SUPERAntiSpyware Scan Log - 12-02-2008 - 14-15-25.log
(che ha detto di averli rimossi completamente)
e per ultimo il log di HijackThis
hijackthis_1228236280155_4523.log
Ci dev'essere ancora qualcosa che non va perchè Mozilla non carica più tantissime pagine che prima visitavo e va lentissimo, ma la connessione, provando anche con uTorrent, sembra a posto come al solito.
Qualche consiglio?
Grazie 
|
Modificato da - death in Data 05/12/2008 12:33:14
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 02/12/2008 : 17:56:30
|
Buona sera, ho visto i report, sono puliti, a parte 2 infezioni nei punti di ripristino che puliremo alla fine, il tuo cliente è effettivamente un worm, trovo strano che malewarebytes non lo trovi, facciamo una procedura manuale, se poi non lo trovo neppure io, riproviamo con un altro programma, che preferirei non utilizzare se non in caso estremo, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
 |
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 02/12/2008 : 18:38:39
|
Ecco il report di Systemscan:
report_1228239090657_4528.txt
Citazione:
trovo strano che malewarebytes non lo trovi
e anche SUPERAntiSpyware lo ha visto solo facendo la scansione in modalità provvisoria, in modalità normale non rilevava niente anche prima che provassi a toglierlo.
PS anche il vostro forum è fra i siti ai quali non riesco quasi mai a connettermi, mi è possibile solo per pochi minuti effettuando il refresh del router (scoperta assolutamente casuale)
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/12/2008 : 19:33:03
|
| Buona sera, dammi il tempo di analizzare il report, non so se ci riesco in serata, faccio il prima possibile. |
|
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 02/12/2008 : 19:37:39
|
Grazie per l'aiuto!!!
E comunque tranquillo, fai quando ti è comodo, riesco a sopravvivere per una sera o due senza una connessione decente ;-)
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/12/2008 : 21:04:44
|
Buona sera, ho fatto prima che potevo, segui le istruzioni, un parte non è detto che venga rimossa subito, ma la rimuoviamo in seguito:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
c:\programmi\relevantknowledge\rlvknlg.exe
folders to delete:
c:\programmi\relevantknowledge\
registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications | c:\programmi\relevantknowledge\rlvknlg.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
Modificato da - death in data 02/12/2008 21:05:01 |
|
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 03/12/2008 : 23:04:57
|
Scusa per il ritardo , ma sono riuscita a tornare al computer solo adesso.
Ecco il report di Avenger:
avenger_1228341081616_4692.txt
... ma ci sono altre entusiasmanti novità!!!
Al riavvio, oltre al file di testo prodotto da Avenger, è comparsa una finestra minacciosa con il bollino rosso crociato con scritto:
Windows - Disco non presente
Exception Processing Message C0000013 Parameters 75b1bf7c 4 75b1bf7c 75b1bf7c
e le opzioni Annulla, Riprova e Continua.
Ho cliccato su Continua tre volte e poi è scomparsa
Anche internet sembrava totalmente fuori uso, ma il solito Restart del router ha ristabilito la connessione (o meglio, la connessione sembrava ci fosse anche prima ma non riuscivo a caricare le pagine)
Nel dubbio ho rifatto un log di HijackThis, casomai potesse servire:
hijackthis new.txt
Che sta succedendo???
Aggiornamento
stavo gironzolando sul forum e ho letto che ad un altro utente con problemi di schermate blu chiedevi se aveva segnalati errori Dcom nel registro eventi. Per curiosità sono andata a controllore nel mio e negli ultimi tre giorni compaiono una trentina di errori rossi "Dcom" e qualche "Service Control Manager" e un "sr" di stasera.
(scusa se magari ti do informazioni inutili, ma non sono molto pratica e non so bene cosa può servire a capire il problema e cosa non centra nulla... porta pazienza  ) |
Modificato da - aleph in data 03/12/2008 23:38:34 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/12/2008 : 07:52:30
|
| Buon giorno, deve essere il computer dei fantasmi, quell'errore in avvio è dovuto ad avenger che non ha trovato i files, ora per cortesia mi riesegui un nuovo systemscan e me lo posti, poi, in relaziona agli errori Dcom, molti sono normali e presenti su molti pc con windows, mi servirebbero i codici di errore riferiti alla voce Dcom, seleziona uno degli ultimi errori, poi tasto destro, proprietà, nella finestra che si apre vedrai un icona con 2 foglietti, cliccaci sopra e poi fai "incolla" in un file del blocco note di windows, lo salvi e me lo posti, fallo anche per gli altri errori diversi che rilevi. |
Modificato da - death in data 04/12/2008 21:29:26 |
|
|
|
aleph
Average Member
73 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/12/2008 : 22:03:18
|
Buona sera, ben ritrovata, del file, è rimasta solo una traccia nelle opzioni del firewall, non mi chiedo dove sia finito il file infetto, segui questa procedura:
Apri il blocco note e nella pagina copia/incolla:
Windows Registry Editor Version 5.00
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\programmi\relevantknowledge\rlvknlg.exe"=-
;
salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file, chiudi il file
doppio click per eseguirlo, accetta le modifiche al registro e riavvia il pc.
Postami un nuovo systemscan.
In relazione agli errori che mi hai postato in maniera perfetta  , dunque, uno dovuto al solito numero di connessioni troppo elevate, se hai emule o programmi p2p connessi, un altro dovuto all'aggiornamento di avg 7 (se vuoi mantenerlo come antivirus, rimuovilo e passa ad avg 8), altri errori che lamentano problemi su un dispositivo non trovato (immagino sia la scheda di rete).
Vedro' di controllare meglio domani, ma mi restano seri dubbi su una soluzione certa. |
|
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 04/12/2008 : 23:34:24
|
fatto tutto,
nuovo report di Systemscan in arrivo...
report_1228429661856_4907.txt
Citazione:
un altro dovuto all'aggiornamento di avg 7 (se vuoi mantenerlo come antivirus, rimuovilo e passa ad avg 8)
ho ricevuto in regalo una licenza per AVG 7,5 Anti-Virus Network Edition e quindi quella che vedi è la versione a pagamento. Mi suggerisci comunque di passare alla versione 8 free o comunque a qualsiasi altro antivirus free migliore di AVG? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 12:28:24
|
Buon giorno, come prevedevo non mi rimuove la chiave di registro dalle autorizzazione del firewall che immagino sia quello di avg, ora dovresti farlo a mano, cerchi nelle impostazioni del firewall di avg i programmi permessi e dovresti trovare una voce simile "c:\programmi\relevantknowledge\rlvknlg.exe"="c:\programmi\relevantknowledge\rlvknlg.exe:*:Enabled:rlvknlg.exe" nega l'accesso e poi rimuovila, nel mentre fammi sapere se avg ti rileva ancora la voce, dal report di systemscan l'unico riferimento che ho è questo del firewall.
In ultimo, se ti hanno regalato la licenza tienlo fino alla scadenza naturale, poi vedrai tu se passare ad avg 8, io ti consiglierei Avira, meno invasivo e con una maggiore prestazione come blocco delle minacce. Attendo tue notizie, ti chiedo scusa se non ho risposto ieri sera ma non riuscivo in nessun modo ad avere una connessione decente. |
|
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 05/12/2008 : 18:10:02
|
Il mio firewall è Comodo Firewall Pro 3 con Defense+ e non lo trovo facilissimo da configurare (per fortuna ho trovato delle buone guide), ma mi piace comunque parecchio.
Per essere sicura di aver messo le mani nel posto giusto ti faccio vedere tutto quello che ho trovato sul nostro amico rlvknlg...
nel riassunto dei "firewall events" compare questo
firewall log.htm
e questo
Defens+ Log.htm
mentre in Firewall Task --> Advenced --> Network Security Policy c'è questo:
comodo.bmp
ho provato sia con Remove che con Purge, la voce scompare ma se chiudo e riapro la cartella é sempre al suo posto tranquilla e beata 
un altro report di Systemscan dopo i vari tentativi, anche se dubito sia cambiato qualcosa...
report_1228496687010_5025.txt
Come faccio ad eliminare la voce dal firewall?
PS: bello il nuovo Avatar, così sembri molto più sobrio, elegante e professionale nel tuo ruolo di falciatore di innocenti |
Modificato da - aleph in data 05/12/2008 18:14:17 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 20:01:12
|
| Buona sera, qui ci divertiamo, ti ha infestato anche i dns, per prima cosa controlla da pannello di controllo in "rete e connessioni" di avere solo la tua connessione, poi scarica questo tool scarica Registry Search Tool(lo trovi circa a metà pagina) nella tendina inserisci rlvknlg.exe, il programma ti rilascerà un file di testo, salvalo e postamelo sul forum, e speriamo bene. |
|
|
|
aleph
Average Member
73 Messaggi |
Inserito il - 05/12/2008 : 20:45:49
|
Dsn? E' per questo che il Restart del router mi da un sollievo temporaneo su alcuni siti?
Su altri neanche questo funziona... come per esempio il sito per scaricare Registry Search Tool
Ci provo da 30 min ma non c'è modo, nemmeno googlando e cercando altri siti per il download...
Qualche idea su come o dove scaricarlo??? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 20:48:14
|
|
Basta chiedere, eccoti il file htt*://wikisend[.com]/download/109224/RegSrch.zip è ovvio che il router sta impazzendo e ti dà problemi. |
|
|
|
Discussione |
|
rlvknlg.exe
Forum Bloccato
