Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Cartelle improvvisamente illeggibili
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 31 Gen 2009 00:31    Oggetto: Cartelle improvvisamente illeggibili Rispondi citando

Chiedo cortesemente che qualcuno mi spieghi che cosa è accaduto alle cartelle di una penna USB che si sono riempite di sottocartelle con caratteri stranissimi, quadratini, tilde e altro ancora. Anche i file contenuti nelle sottocartelle hanno nomi illeggibili. Che cosa posso fare per recuperare i files? C'è rischio infezione?
Grazie in anticipo a chi mi vorrà aiutare
Caio
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 31 Gen 2009 13:08    Oggetto: Rispondi citando

Ciao caio Ciao

Iniziamo con un pò di pulizia:
  • Pulisci i files temporanei con ATF-Cleaner e/o
    CCleaner
  • Segui le istruzioni di questo topic per usare MBAM.
  • Segui le istruzioni di questo topic per eseguire combofix.
  • Segui le istruzioni di questo topic per postare il log di HiJackThis.
  • Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
  • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
  • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 31 Gen 2009 21:01    Oggetto: Rispondi citando

Ciao Sante62,
grazie per avermi inviato la lista dei passi da seguire.
La scansione di MBAM ha evidenziato un Troijan che ho eliminato (almeno spero) !!!
Ecco i log
mbam
http://wikisend.com/download/597646/mbam-log-2009-01-31 (17-56-28).txt

combofix
http://wikisend.com/download/560004/comboFixlog.txt

HJT
http://wikisend.com/download/959874/hijackthis.log

Grazie ancora per l'aiuto e spero che capiremo anche il perchè dello strano comportamento delle cartelle nella chiave USB Laughing
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 01 Feb 2009 03:35    Oggetto: Rispondi citando

Come sospettavo le chiavette sono infette.
quindi disattiva momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
Citazione:
Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.

Apri il blocco note e mettici queste scritte in rosso:
Citazione:
File::
c:\windows\system32\drivers\14146667.sys

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2c79b73-8ca3-11dd-9676-000bcd6e0192}]

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta i logs aggiornati di combofix e di hijackthis
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 01 Feb 2009 11:37    Oggetto: Rispondi citando

Devo aver combinato qualche pasticcio!!! Ho scaricato TweakUI e ho proceduto nella configurazione. Poi ho copiato con copia e incolla il testo che mi hai inviato (compreso le parole File:: e Registry:: con parentesi quadre) ma non ho disattivato l'antivirus (AntiVir PE). Quando ho trascinato il documento .TXT sull'icona di combofix è comparso un avviso di AntiVir di infezione in atto con il troyan xxxy. Ho spuntato, sul box comparso, tra le varie opzioni ignora e ho lasciato andare avanti combofix. Tuttavia combofix si è fermato alla videata di rettangolo blu senza nessuna attività. Ho provato a chiudere il programma e a rilanciarlo (questa volta chiudendo AntiVir) ma nessuna differenza sempre il rettangolo blu e nessun segno di attività.
Sante62 che faccio???
Ahimè anzichè semplificare temo di aver complicato la risoluzione!!!!
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 01 Feb 2009 11:57    Oggetto: Rispondi citando

La cosa si mette molto male !!!! Non ho più la connessione con la rete che fare???? Devo ritornare ad un precedente punto di ripristino? Grazie
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 01 Feb 2009 13:03    Oggetto: Rispondi citando

Calma...
Combofix, non lo devi fermare, ne toccare tasti eccetera, perchè rimane un pò sul box blu, altrimenti succedono cose come questa;

Cerca prima di ripristinare la rete, in base al tipo di connessione. Non ci sarebbe bisogno di attivare il ripristino, perchè il sistema in generale funziona. Poi ripeti l'operazione con Combofix.
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 01 Feb 2009 14:12    Oggetto: Rispondi citando

Grazie Sante62 !!! OK calma... ho ripristinato la rete. Sono però ricorso al ripristino del sistema perchè non sapevo come fare diversamente. Adesso procedo nuovamente con combofix (incrocio le dita) Grazie anche per la tua pazienza !!!
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 01 Feb 2009 15:37    Oggetto: Rispondi citando

ho rilanciato Combofix dopo aver trascinato il file .txt da te indicato. Nuovamente il programma si è congelato in un rettangolo blu per circa 90 minuti. Ho nuovamente chiuso il programma con le stesse sequele di prima. Ho quindi lanciato nuovamente l'antivirus AntiVir che mi ha trovato 2 trojans in Combofix (??!!???!!) e che ha messo in quarantena. Rimango immobile in attesa di suggerimenti. Grazie Rolling Eyes Confused
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 01 Feb 2009 23:15    Oggetto: Rispondi citando

Se hai fatto il ripristino del sistema, dovevi fare la normale scansione con Combofix, senza eseguire la procedura che ti avevo indicato io....

Comunque, devi caricare i log dei programmi che hai utilizzato...
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 01 Feb 2009 23:55    Oggetto: Rispondi citando

Dunque Sante ho rifatto la scansione con Combofix che allego. Desidero segnalare una cosa per me "strana". Shocked La penna usb che presentava in origine decine di sottocartelle con nomi strani e illeggibili è diventata ...leggibile!!! Anche i file hanno i vecchi nomi corretti.
Ti prego di non stufarti e di guidarmi fino alla fine del processo di disinfezione !!!! Grazie

Scan Avira
http://wikisend.com/download/550734/Report avira _ore 14-45.txt

Mbam
http://wikisend.com/download/601262/mbam-log-2009-01-31 (17-56-28).txt

ComboFix log
http://wikisend.com/download/924872/comboFixlog_new.txt
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 02 Feb 2009 01:47    Oggetto: Rispondi citando

Bene, adesso rifai questa procedura. Però tieni disattivato l'antivirus e quant'altro che può interferire, e non toccare nulla finche combofix lavora. Se le chiavette sono già disattivate, tralascia il relativo passaggio.

quindi disattiva momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
Citazione:
Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.

Apri il blocco note e mettici queste scritte in rosso:
Citazione:
File::
c:\windows\system32\drivers\14146667.sys

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2c79b73-8ca3-11dd-9676-000bcd6e0192}]

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta i logs aggiornati di combofix e di hijackthis
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 02 Feb 2009 10:04    Oggetto: Rispondi citando

Sante, ho fatto esattamente come mi hai detto. Prima sono andato a vedere i post che hai indicato nel post. Ho lanciato ComboFix trascinadogli sopra il foglio degli appunti con lo script da te inviato e copiato. Nuovamente ComboFix si è aperto mostrando un rettangolo blu ed è rimasto così per almeno 30 minuti. A questo punto ho chiuso il programma e ho attivato il punto di ripristino.
Non riesco a spiegarmi perchè non funziona la procedura che tu mi indichi. Forse perchè ho rinominato ComboFix in BomboFix (come è consigliato nel tutorial sui tools antivirus del nostro forum)??? Mi rendo conto che ti sto dando un sacco di problemi ma, spero, ci sarà pure una via d'uscita !!!!
Grazie!!!!
Caio
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 02 Feb 2009 21:42    Oggetto: Rispondi citando

In alcuni casi occorre si cambiare nome ai tool antivirus, però non lo fare se non ti viene richiesto.
The Avenger
Scompattalo in una sua cartella in c:\
Avvialo e clicca su OK
Togli la spunta da Scan for Rootkit
all'interno del box bianco
Inserisci queste righe:

Citazione:

registry keys to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2c79b73-8ca3-11dd-9676-000bcd6e0192}

drivers to unload:
14146667.sys

files to delete:
c:\windows\system32\drivers\14146667.sys


Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Attenzione a non lasciare interlinee inutili ad esempio:
files to delete:

xxxxxxxxxxx
Se dovesse emettere errori copia e incolla la prima riga delle istruzioni e riprova
Al termine dell'operazione, si dovrebbe aprire il blocco note con il risultato, altrimenti lo trovi su C:\Avenger.txt[/b]
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 02 Feb 2009 23:09    Oggetto: Rispondi citando

Grazie Sante per non avermi abbandonato "in mezzo al guado" !!!
Dunque ho seguito le istruzioni fino ad avviare Avanger dopo aver spuntato Scan for Rootkit. Ho copiato e incollato il tuo script ed è comparso un messaggio di errore che ho copiato:

Error: Invalid registry syntax in comand:
"HKEY_CURRENT_USER\software\microsoft\current version\explorer\,ountpoints2\{a2c79b73-8ca3-11dd-9676-000bcd6eo192}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)

Il programma si è interrotto in attesa di istruzioni. Ho dato il comando esci. Il programma ha chiesto conferma e si è quindi chiuso, mentre io .... sono nuovamente in attesa di istruzioni.

Scusami ma non me la sono sentita di andare avanti senza il tuo consenso.
Grazie ancora!!!!!!!
Caio


PS Forse dovevo andare avanti come mi dicevi in nota al tuo post ma preferisco prima avere la tua conferma
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 03 Feb 2009 00:12    Oggetto: Rispondi citando

Non so se si tratta di un errore ma questa:
Citazione:
,ountpoints2

dovrebbe essere:
Citazione:
mountpoints2

Se si è trattato di un errore ripeti l'operazione altrimenti dovrai procedere manualmente con l'eliminazione della chiave di registro.
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 03 Feb 2009 00:25    Oggetto: Rispondi citando

Scusa Sante ma sono certo è un errore di battitura.
Dici di procedere all'eliminazione della chiave di registro. Non sono esperto, tuttavia penso di saper andare a cercare la chiave che tu mi hai indicato nella citazione del precedete post. Dopodiché che faccio???? la cancello semplicemente con delete???
Ti prego di darmi ancora istruzioni .
Grazie !!!! Laughing
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 03 Feb 2009 00:35    Oggetto: Rispondi citando

Appena localizzi quella chiave, che è quella racchiusa tra le parentesi graffe, cliccaci sopra col destro->elimina;

La stessa cosa dovresti fare col file .sys, seguendone il percorso.
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 03 Feb 2009 01:16    Oggetto: Rispondi citando

OK Sante, procedo Evvai! e ti farò sapere. Grazie (io speriamo che me la cavo) Laughing
Top
Profilo Invia messaggio privato
caio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 11:58
Messaggi: 147

MessaggioInviato: 03 Feb 2009 01:45    Oggetto: Rispondi

Very Happy Fatto !!! Ho cercato la chiave di registro con il programma jv16 Power Tools che mi ha indicato 6 chiavi di registro che incominciavano con la lunga sequenza tra graffe e ho cancellato tutto. Poi con Risorse del computer ho cercato il percorso del file e l'ho cancellato. Ho poi svuotato il cestino... Rolling Eyes
Ah dimenticavo !!! ho fatto uno scan con HijackThis (allego il report).
Riamango in attesa di una tua ...dichiarazione
Grazie ancora
Caio d'oh!

HijackThis
http://wikisend.com/download/880942/HijackThis_1.txt
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi