| Autore |
 Discussione  |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
 Inserito il - 20/02/2009 : 18:23:38
|
Maledetto Windows  ...
Dopo aver insistito un buon periodo con mia mogli per formattargli il portatile (avevo tirato via una quantità di robacce da paura, ma sembrava si riproducessero autonomamente, visto che in più avevo creato una partizione dati e quindi non aveva problemi per il backup, accede alla richiesta, sin li tutto bene.
Formatto le partizioni C: e D: (sistema e swap) ed installo, cavo rete sgancito sino a quando non ho installato l'antivirus (antivir pe, scaricato con il mio..) e faccio una scansione completa del sistea, trova un pò di robe su E: e la faccio eliminare, installo driver ecc. tutto sembra perfetto, il PC sembra rinato, apro risorse del computer per accedere al disco "E:" che è quello con i suoi dati salvati, doppio clik 
Impossibile trovare il file "resycled\ntldr[.com]". Verificare che il percorso e il nome del file... bla, bla, bla..
Terrore, non sempre faceva il backup, click DX su di lui -> esplora, si apre normalmente, fiuuhh, ok, cerco in internet e, come immaginavo, è un rimasuglio di un virus, ora però non trovo tracce di lui, ho provato a cercare notizie ma non riesco a togliere un ragno dal buco, dovrebbe essere una chiave di registro sballata (e se si, perchè ancora dopo il reinstall?), ma non trovo tracce o info concludenti, se digito "explorer E:" si apre normalmente, ma come cavolo si è infilato di nuovo nel registro? questa è la mia domanda, e in particolare che chiave ha modificato il malnato...
Il log di HiJackThis è qui:
htt*://pastebin.ca/1343002
Ho fatto una scansione pure con "Malwarebytes' Anti-Malware" ed il log è qui:
htt*://pastebin.ca/1343005
I due file segnalati li ho sterminati, ma continua il suo balordo comportamento 
|
Modificato da - in Data
|
|
|
Shant
Advanced Member
880 Messaggi |
 Inserito il - 20/02/2009 : 18:32:42
|
| Ciao ho trovato notizie qui e qui |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/02/2009 : 20:28:36
|
Buona sera yves, segui la procedura e lo sistemiamo:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 21/02/2009 : 00:08:06
|
Ecco il report:
htt*://pastebin.ca/1343264
 Shant, uno dei due lo avevo visto, comunque ho controllato e non vedo nessuna della chiavi/file/cartelle indicate, è quello che non riesco a capire, molto probabilmente li ho levati durante la scansione prima di collegarmi ad internet, ma qualcosa è riuscito comunque passare  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/02/2009 : 17:00:35
|
Buona sera, scusa per il ritardo yves, mi metto all'opera ora. Appena ho fatto modifico questo post.
EDIT 1
Ho dato uno sguardo veloce mi dici che cosa è E:\ una partizione dell'hard disk o cosa altro?
Ho risolto per il report me l'ha fatto copiare.
EDIT 2
Con il tuo messaggio ho capito cosa è E:\ , segui questa procedura:
Lancia systemscan
clicca sul pulsante "Removal Script" nella finestra principale di Systemscan
Copia nel riquadro il testo in rosso:
files to delete:
E:\autorun.inf
e premi il pulsante "Proceed with removal" , il programma procederà ad una verifica dello script, se ci fosserò errori la procedura verrà interrotta, se la procedura è corretta ti verrà chiesto di procedere, il pc si riavverà da solo.
Al riavvio troverai aperta la finestra di systemscan e una segnalazione dell'avvenuta esecuzione dello script, puoi vedere anche la scritta in blu che ne conferma l'avvenuta esecuzione, se la procedura non fosse andata a buon fine troverai la segnalazione e la scritta rossa.
Posta il report rilasciato lo trovi in c:\avenger.
Se hai utilizzato pen drive o dischi esterni c'e' il rischio che si siano infettati, collegali al pc tenendo premuto il tasto SHIFT, poi visualizza i files nascosti seguendo queto specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
cerca su ogni supporto removibile il file autorun.inf, se lo trovi eliminalo.
|
Modificato da - death in data 21/02/2009 17:29:21 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 21/02/2009 : 17:49:43
|
Per file nascosti ed affini ho già provveduto appena installato, ho anche fatto la ricerca di file "autorun" sulle partizioni (e quello in E: è già stato fucilato, vedo se è riapparso ), per le periferiche USB ho usato Tweak UI ed ho tirato via il riconoscimento automatico / autorun, ma in ogni caso credo di sapere da dove arriva il problema, in radio carica il programma trasmesso su una pennetta, l'altro giorno l'ho usata io per trasferire un pò di file e ho visto un file "autorun.inf", tirato via senza problemi, ma mi sa che ad ogni uso in radio se lo ricarica, devo vedere se riesco a fargli capire a quello zuccone proprietario dell'emittente che ha un PC di produzione con due linee adsl connesse (una per la normale navigazione ed una seconda solo per lo streamer) completamente compromesso, ma ad ogni volta che gli cito la cosa dice che va benissimo cosi.. evvai a ....., avrete capito 
Dopo eseguo le altre procedure descritte, ti faccio sapere.
Grazie. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 22/02/2009 : 06:50:21
|
Una domanda (non ho ancora avuto modo di rimettere le mani sul suo portatile, sta preparando il lavoro per Lunedì e rischio di dovermi arrangiare con i pasti  , via rete però gli ho fucilato il maledetto autorun.inf su E:, c'era di nuovo..), la domanda, appunto, oltre a mettere il valore nella chiave di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
alla voce
NoDriveTypeAutorun
su
0x000000ff
(255 in decimale = escludi tutto) non dovrebbe più cercar di aprire niente (si spera..) da solo, ma il primo aggiornamento di non si sa cosa potrebbe ribaltare tutto di nuovo, visto che la cosa mi prudeva un poco son andato a caccia di un sistema per evitare che, se per caso quella chiave venisse modificata e ripartisse da solo quando meno me l sogno, non potesse fare danni immediati e forse ho trovato il sistema di fregarlo (..forse = per niente sicuro :P ):
Cartella Documenti (o un altro "window" di Explorer) -> Strumenti -> Opzioni cartella -> Tipi di file -> scendere sino ad "inf" -> Avanzate.
Ci sono tre voci, quella in alto (la predefinita) è "Installa", il suo comando per intero è:
C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
le altre due sono semplici "Open" C:\WINDOWS\System32\NOTEPAD.EXE %1 e "Print" C:\WINDOWS\System32\NOTEPAD.EXE /p %1, ambedue quindi con riferimento al Notepad, la seconda lo invia in stampa, quindi basterebbe rendere il comando "Open" come predefinito ed il nostro bel "autorun.inf" su chiavetta ci verrebbe segnalato in maniera molto efficace (e non farebbe danni..) ma nulla vieta di crearne una noi e renderla predefinita, (evitate format c, si sa mai che lo accetti ), a quel punto saremmo più che sicuri che il nostro trucchetto al registro è andato a farsi friggere e dobbiamo rimediare in fretta.
Sempre si spera che non restauri se due opzioni contemporaneamente (tipo una restaurazione di sistema), ma basta cancellare tutte le precedenti alla data e crearne una subito dopo.
Potrebbe funzionare? Ho la ruggine su Windows, ma non mi sembra troppo malvagia |
Modificato da - Yves in data 22/02/2009 06:54:51 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/02/2009 : 09:34:36
|
Buon giorno, che il file su E:\ fosse presente non avevo dubbi, visto che hai creato la chiave policies nessun aggiornamento può sbloccarla, è una chiave amministrativa e restrittiva quindi solo l'amministratore o l'utente con privilegi da amministratore può rimuoverla, quindi sei a posto così senza farti del male sulle altre chiavi, se metti una restrizione mettendo come predefinita la chiave del blocco note, vero che eviti agli inf di agire, però, non potrai più usare cd o dvd autopartenti, stessa cosa per le pendrive che hanno il loro programma di gestione interna per i dati. La soluzione migliore è sempre quella che faccio utilizzare in caso di infezione, qualsiasi supporto esterno inserisci sempre il tasto SHIFT premuto e l'autoplay è disattivato, su questo, anche se so che ti spiacerà devo dirti che su Vista hanno messo l'opzione "disabilita autoplay" e ti scegli tu le periferiche.
In ultimo, come hai già capito da solo, qualcuno che passa i dati a tua moglie ha una pendrive infetta e sta continuando a fare l'untore, se hanno la possibilità sarebbe opportuno per tutti eseguire una scansione on-line con bit defender con le pendrive inserite, se trova qualcosa lo rimuove e per questo tipo di infezione è molto affidabile. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 23/02/2009 : 22:00:47
|
Nu nu, io gli ho già detto un pò di volte che hanno il loro PC di produzione pieno di robacce infami, mi rispondono sempre che a loro va bene cosi, quindi che mi metto a fare? lasciali andare al macello da soli che in più non hanno backup (e pure questo gli ho detto ), già devo arrangiarmi per far funzionare un pò di robe per lo svolgimento del programma di mia moglie nel loro studio, non mi pagano per fargli assistenza e prendono molte cose troppo alla leggera (IMHO), evito il tema ultimamente perchè altrimenti mi incao...
In quanto alla modifica lo so, ma è l'unico sistema che ho potuto applicare per evitare che si ripeta, in ogni caso mia moglie è al corrente che deve andare a cercare le periferiche in "MyPC", e gli piaccia o no non gli abilito l'autorun nemmeno dall'HD di sistema , per i CD / DVD farà lo stesso, contento che su Vista lo abbiano implementato, spero solo che gli user siano al corrente che esiste  .
Comunque il mio non me lo infettano, quindi dormo tranquillo 
|
|
|
| |
Discussione |
|
|
|
errore resycled/ntldr[.com]
Forum Bloccato
