Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Programma GMER
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
AlfredoBenni
Mortale pio
Mortale pio


Registrato: 14/07/07 13:08
Messaggi: 15
Residenza: VENETO
MessaggioInviato: 16 Lug 2007 19:34    Oggetto: Programma GMER Rispondi citando
Salve ho scoperto il programma GMER e l'ho provato su un pc inspiegabilmente lnto (io credo ci sia qualche cosa che zampetta...)

Qualcuno potrebbe spiegarmi come si leggono i log ?

Premetto che su quel pc ho il kaspersky, sql2000 e 2005, Office 2003 e dot.net 2005 oltre a tutti i programmini che non servono a nulla della ACER (è un portatile).

Qui trovate i log:
per i processi:
dog-proc.txt

per i rootkit (ma ce ne sono ??) nel log sicuramente c'è qualche cosa...
dog-root.txt

Saluti

Alfredo
Top
Profilo Invia messaggio privato
AlfredoBenni
Mortale pio
Mortale pio


Registrato: 14/07/07 13:08
Messaggi: 15
Residenza: VENETO
MessaggioInviato: 16 Lug 2007 23:08    Oggetto: Non so se puo' aiutare Rispondi citando
Ho eseguito il controllo su start e ho rilevato molti processi ripetuti. Anche per stesse librerie. E' normale ?

link

Vengono lanciati anche processi che non dovrebbero essere lanciati come il questo: C:\DOCUME~1\Alfredo\IMPOST~1\Temp che al limite (se non è un trojan) dovrebbe essere un file temporaneo di installazione di un programma.

Qui c'è l'elenco dei miei processi:
link

Saluti

Alfredo
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 18 Lug 2007 16:37    Oggetto: Rispondi citando
Ciao AlfredoBenni,
l'autostart che hai inviato sembra ok. L'unica voce da sistemare è quella relativa al file ALCMTR.EXE (ma puoi farlo tranquillamente usando hijackthis).

L'interpretazione del file per la ricerca dei rootkit è già più complicata.
Sarebbe meglio, quando si fa questa scansione, chiudere tutte le applicazioni non strettamente necessarie. Per poter meglio identificare i processi sospetti.
Comunque, di processi nascosti (hidden), GMER non ne ha trovati.
Top
Profilo Invia messaggio privato
AlfredoBenni
Mortale pio
Mortale pio


Registrato: 14/07/07 13:08
Messaggi: 15
Residenza: VENETO
MessaggioInviato: 19 Lug 2007 00:40    Oggetto: Grazie Rispondi citando
Si visto è un file della realtec audio, ma invia informazioni alla casa madre.

Comunque ho lanciato il VundoFix della Symantec e dice di avere trovato un processo attivo che ha rimosso... ma si vedeva dai log ?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 19 Lug 2007 14:59    Oggetto: Rispondi citando
Citazione:
Si visto è un file della realtec audio, ma invia informazioni alla casa madre.

Quindi si può considerare uno spyware. Wink

Per i problemi con Vundo puoi procedere così:

Scarica VundoFix.exe sul desktop

- Esegui VundoFix.exe
- Clicca Scan for Vundo.
- al termine della scansione, clicca Remove Vundo.
- ti chiede se vuoi eliminare i files infetti, clicca YES
- il tuo video diventerà nero durante la rimozione di Vundo.
- al termine ti chiederà di riavviare il pc, clicca OK.
- Copia qui il contenuto del log C:\vundofix.txt e un nuovo log di hijackthis.

Nota: VundoFix potrebbe non riuscire ad eliminare qualche file. In questo caso, VundoFix si avvierà automaticamente al riavvio del pc, ripeti le operazioni indicate sopra partendo da "Clicca Scan for Vundo" quando VundoFix apparirà al riavvio.

oppure

Scarica questo e avvialo dalla modalità provvisoria.
Top
Profilo Invia messaggio privato
AlfredoBenni
Mortale pio
Mortale pio


Registrato: 14/07/07 13:08
Messaggi: 15
Residenza: VENETO
MessaggioInviato: 23 Lug 2007 12:00    Oggetto: Strano... Rispondi citando
Sono perplesso... Rolling Eyes
Il Nod32 mi segnala una contaminazione virale in uno dei file che mi fai scaricare...

Mi dice che il file è contaminato dal file Win32/PrcView e lo mette in quarantena

Perché ?

Alfredo
[/img]
Top
Profilo Invia messaggio privato
AlfredoBenni
Mortale pio
Mortale pio


Registrato: 14/07/07 13:08
Messaggi: 15
Residenza: VENETO
MessaggioInviato: 23 Lug 2007 12:19    Oggetto: Altre informazioni Rispondi citando
Aggiungo che il file mi è stato correttamente salvato su disco, mentre il virus è stato (secondo il nod32) messo in quarantena. Quindi presumo che dovrebbe essere stato agganciato al file. Ma questi files non dovrebbero essere sicuri ?

Qualcuno mi sa spiegare questo ?

Saluti

Alfredo
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 23 Lug 2007 18:50    Oggetto: Re: Strano... Rispondi
AlfredoBenni ha scritto:
Sono perplesso... Rolling Eyes
Il Nod32 mi segnala una contaminazione virale in uno dei file che mi fai scaricare...

Mi dice che il file è contaminato dal file Win32/PrcView e lo mette in quarantena

Perché ?


Perché il file che ti ho fatto scaricare usa dei metodi "poco convenzionali" per esaminare il sistema. Metodi tipicamente usati dai virus.
NOD32 lo identifica come virus in base al comportamento che analizza. Wink
Ti basta disabilitare temporaneamente l'antivirus, giusto il tempo di scaricare il file e di eseguire la scansione.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi