Precedente :: Successivo |
Autore |
Messaggio |
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 28 Mar 2009 11:52 Oggetto: W32/Downloader.VOT |
|
|
Ciao ragazzi,
vi scrivo per chiedervi aiuto circa un problema che ho avuto ieri al lavoro.
I PC del nostro ufficio sono tutti in rete e abbiamo la suite di Sicurezza Panda montata sul server e naturalmente sui client.
Ieri, sul mio PC, all'improvviso ho cominciato a ricevere notifiche di presenza virus da Panda, e tali notifiche indicavano che oltre ad aver trovato un virus lo aveva automaticamente disinfettato.
Citava un virus di nome W32/Downloader.VOT
Tali messaggi comparivano ogni volta che aprivo una finsetra di Internet Explorer, oppure una volta aperto, ogni volta che aprivo una scheda e cambiavo siti.
Ho lanciato Spybot e mi ha trovato un pò di roba che mi ha ripulito....e poi ho lanciato la scansione di panda che mi ha trovato qualcosa come 2500 file infetti...tutti con lo stesso virus.
Secondo voi che accidenti ho beccato? |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 28 Mar 2009 12:16 Oggetto: |
|
|
Ciao Legatoalfuturo
Senza nessun log non abbiamo abbastanza informazioni, anche se sicuramente si tratta di virus generico che si moltiplica all'interno del/dei sistema/i.
Dovresti postare il log di Panda per capire meglio.
Inoltre, visto che i PC sono in rete, le stesse operazioni andrebbero fatte sugli altri sistemi.
Provo a indicarti ulteriori scansioni da fare, ma probabilmente avrai bisogno dell'accesso quale amministratore:
- Pulisci i files temporanei con
CCleaner
- Segui le istruzioni di questo topic per rimuovere gli ADS con Hijackthis.
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 28 Mar 2009 13:00 Oggetto: |
|
|
Ciao Sante
Infatti ti sto scrivendo da casa, stavo ripensando al problema avuto in ufficio ieri sera e mi è venuto in mente di scrivere sul vostro eccezionale forum.
Lunedì mattina, appena rientro in ufficio mi metto all'opera e posterò tutti i log che mi hai chiesto.
ti ringrazio infinitamente per l'aiuto, ci sentiamo
Ciao |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 28 Mar 2009 14:33 Oggetto: |
|
|
Ok, a risentirci.... |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 29 Mar 2009 08:00 Oggetto: |
|
|
Ciao Sante,
mi è venuto un dubbio. Per effettuare quelle scansioni che mi suggerisci, devo riavviare il PC in modalità provvisoria?
Tra l'altro, non posso momentaneamente disattivare l'antivirus al lavoro perchè la "copia" sul mio client è necessariamente legata al server....e non so come disattivarla momentaneamente per le analisi che mi suggerisci |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 29 Mar 2009 11:54 Oggetto: |
|
|
Legatoalfuturo ha scritto: |
mi è venuto un dubbio. Per effettuare quelle scansioni che mi suggerisci, devo riavviare il PC in modalità provvisoria? |
In genere, va bene anche dalla modalità normale.
Comunque solo Combofix puoi avviare in modalità provvisoria, le altre falle alla modalità normale.
Legatoalfuturo ha scritto: |
Tra l'altro, non posso momentaneamente disattivare l'antivirus al lavoro perchè la "copia" sul mio client è necessariamente legata al server....e non so come disattivarla momentaneamente per le analisi che mi suggerisci |
OK, però all'avvio delle scansioni, è probabile che ti siano inviati messaggi dall'antivirus e tu ignorali. |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 30 Mar 2009 09:58 Oggetto: |
|
|
Ciao Sante,
ecco di seguito i link ai log che mi hai chiesto
MBAM
mbam-log-2009-03-30 (10-11-12).txt
COMBOFIX
Combofix-log.txt
HIJACKTHIS
Log-hijackthis.txt
Volevo informarti che, ogni volta che apro Internet Explorer, anche una scheda all'interno della finestra principale, Panda mi segnala che ha neutralizzato il seguente Virus W32/DOWNLOADER.VOT...indicando un percorso lunghissimo nella cartella Documents and Settings.....che non fi fa vedere per esteso.
Attendo tue ulteriori istruzioni, grazioe mille |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 30 Mar 2009 10:01 Oggetto: |
|
|
Scusa Sante,
dimenticavo che appena ho riavviato il PC al termine delle scansioni dei programmi che mi hai indicato, Panda mi ha mandato un messaggio indicandomi che aveva neutralizzato il virus Trj/Papras.I nel file C:\Windows\System32\reader_s.exe
|
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 30 Mar 2009 12:12 Oggetto: |
|
|
Legatoalfuturo ha scritto: |
Volevo informarti che, ogni volta che apro Internet Explorer, anche una scheda all'interno della finestra principale, Panda mi segnala che ha neutralizzato il seguente Virus W32/DOWNLOADER.VOT...indicando un percorso lunghissimo nella cartella Documents and Settings.....che non fi fa vedere per esteso.
|
La cartella è probabilmente la stessa che ha scansionato Combofix, eliminando vari file infetti. Così come anche MBAM ha eliminato parecchio.
Per il resto, non ti preoccupare dei messaggi inviati dall'antivirus Panda.
Non essendo disattivato, interagisce contemporaneamente alla scansioni che effettui.
Adesso scarica e installa la versione Free di SuperAntispyware:;
la configuri come è stato spiegato a un'altro utente in
questa discussione;
Usa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
Installa KASPERSKY VIRUS REMOVAL TOOL:
verrà creata una apposta cartella sul Desktop
all?interno della cartella è presente la classica icona (una K) di Kaspersky
clicca sull?icona per lanciare il tool
imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 30 Mar 2009 14:38 Oggetto: |
|
|
Ciao Sante,
ho fatto la scansione con Superantispyware ma devo aver sbagliato qualcosa alla fine perchè non sono riuscito a recuperare il Log .
Mi dispiace.
Adesso è in scansione Kaspersky Virus Removal Tool e mi sta trovando una marea di Virus.Win32.Virut.ce...in pratica mi ha già trovato infettati 108 files (sono tutti EXE) e sono solo al 20% della scansione......
Prima avevo lanciato Spybot e mi aveva trovato i seguenti problemi:
Win32.Jolee.k
Win32.Delf.uc
in 3 vioci di registro.....ho pulito e ho riavviato lanciando Kaspersky.
|
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 30 Mar 2009 16:40 Oggetto: |
|
|
Ciao Sante,
ecco qua il log di Kaspersky Virus Removal Tool
Log Kaspersky.txt
Il log originale veniva quasi 50Mb!!! Quindo ho fatto copia e incolla "brutale" del risultato in un file di testo....spero sia sufficiente.
Comunque, come vedrai, si tratta a parte due casi di un solo virus, quello che ti ho indicato prima, che ha infettato una miriade di SOLo eseguibili.
Sono in trepidante attesa di tue successive istruzioni.....ciò che ho letto in giro su questo virus mi ha messo i brividi
Ciao e grazie |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 30 Mar 2009 18:39 Oggetto: |
|
|
A parte le difficoltà che ho adesso per collegarmi con questo sito....
disattiva il ripristino di sistema
Vedendo parte del log di Kasper, non ho capito come ancora riuscivi a navigare....e non ho neanche capito se è riuscito ad eliminare tutti quei file infetti, e dovresti riferirmi questo guardando il riepilogo del log dove riassume i file infetti trovati, quelli eliminati eccetera, se ancora ce l'hai memorizzato.
Tra l'altro Panda è un ottimo antivirus, eppure sei riuscito a infettarti in modo così abnorme...
comunque, lascia stare per adesso spybot, casomai lo usi per conto tuo quando abbiamo finito....per il log di superantispyware non preoccuparti.
Adesso, usa il tuo antivirus Panda e fai la scansione completa riportando quì il log con le modalità che conosci.
Ora controlliamo che non ci sia dell'altro...
Fai la scansione con Systemscan e posta il log generato come
indicato quì
In questo caso, Panda potrebbe ritenere sospetto il tool di Systemscan, ma non farci caso, sperando che ti faccia fare la scansione. |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 30 Mar 2009 18:45 Oggetto: |
|
|
Sante,
non sgridarmi .... ma......ho volutamente evitato che Kaspersky provasse a disinfettare quella miriade di eseguibili, molti dei quali di sistema..... preferivo aspettare di avere il tuo benestare.....temevo che l'antivirus mettesse in pericolo la stabilità del SO agendo sugli eseguibili della kernel....che dovrei fare?
La scansione completa con Panda la feci venerdì sera e mi trovo una miriade di file infetti da un virus chiamato Win32/Downloader.VOT....ho fatto la pulizia ma sembra non sia servito a molto...domattina la rilancerò.
Dopodichè farò la scansione con Systemscan come mi chiedi.... |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 30 Mar 2009 20:34 Oggetto: |
|
|
Allora fai solo la scansione con Systemscan, e lascia stare Panda per adesso.... |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 31 Mar 2009 17:55 Oggetto: |
|
|
Ciao Sante,
stamani ho acceso il PC ed il disastro era davanti ai miei occhi.
Stampanti disinstallate e impossibile installarne alcuna....connessione ad Internet impossibile, programmi che non silanciavano più, con messaggi di errore su serrore....praticamente un PC inutilizzabile......ho deciso di farlo formattare e reinstallare SO + programmi
Sante, questa vicenda mi ha impensierito per il mio PC a casa.....se al lavoro, visitando siti assolutamente "urbani" e seri...con la protezione di Panda...e tre antispyware che ho montato sul mio client sono riuscito a prendere un visrus così distruttivo, cosa potrebbe succedere a quello di casa?
Secondo te, quali antimalware posso installare su Vista 64 bit? (A casa ho Nod32 3.0)
Grazie per l'aiuto |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 31 Mar 2009 18:22 Oggetto: |
|
|
Legatoalfuturo ha scritto: |
stamani ho acceso il PC ed il disastro era davanti ai miei occhi.
Stampanti disinstallate e impossibile installarne alcuna....connessione ad Internet impossibile, programmi che non silanciavano più, con messaggi di errore su serrore....praticamente un PC inutilizzabile......ho deciso di farlo formattare e reinstallare SO + programmi |
Stavo giusto pensando, che sarebbe stato un vero miracolo riuscire a salvare quel PC, per come era infetto.
Legatoalfuturo ha scritto: |
Sante, questa vicenda mi ha impensierito per il mio PC a casa.....se al lavoro, visitando siti assolutamente "urbani" e seri...con la protezione di Panda...e tre antispyware che ho montato sul mio client sono riuscito a prendere un visrus così distruttivo, cosa potrebbe succedere a quello di casa? |
Bhe, tieni presente, che l'attacco dei malware avviene in vari modi.
Magari tu inizialmente hai ignorato gli avvisi dell'antivirus Panda ed ecco il risultato. Il malware ha avuto il tempo di infettare tutto il PC. Sinceramente una cosa del genere ancora non l'avevo vista. Il codice maligno si può celare ovunque.
Legatoalfuturo ha scritto: |
Secondo te, quali antimalware posso installare su Vista 64 bit? (A casa ho Nod32 3.0)
|
Basta un buon antivirus, Nod32 è ottimo e un antispyware tipo Superantispyware. Puoi mettere anche Spybot. Inoltre, scegli un browser più sicuro per navigare es Firefox o Opera anzichè internet explorer. Fai le scansioni periodiche con questi programmi. Ovviamente vale anche per
il PC dell'ufficio. |
|
Top |
|
|
Legatoalfuturo Eroe in grazia degli dei
Registrato: 18/03/08 11:33 Messaggi: 130
|
Inviato: 31 Mar 2009 18:58 Oggetto: |
|
|
In effetti nemmeno a me era mai successo di prendere un Virus così tremendo. Mah....è questo che mi disarma.....uno stile di navigazione pressochè impeccabile.....e comunque Panda non mi dava avvisi, quando ha iniziato a farlo è stato venerdì sera.....e lì arriviamo al primo post che ho messo qui.
QUanto ai tuoi consigli dunque tra Firefox ed Opera quale ritieni il browser più sicuro ed adatto ad un sistema a 64 bit? |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 31 Mar 2009 20:16 Oggetto: Re: W32/Downloader.VOT |
|
|
Legatoalfuturo ha scritto: | I PC del nostro ufficio sono tutti in rete e abbiamo la suite di Sicurezza Panda montata sul server e naturalmente sui client. Secondo voi che accidenti ho beccato? |
Non credo sia importante stabilire quale virus ha beccato ma capire che, quando si tratta di computer aziendali, non si devono far girare tool di rimozione.
Si chiama l'Amministratore di Rete o, in alternativa, chi si occupa della Assistenza della Rete.
Non è la prima volta che pongo l'accento su questo aspetto e, purtroppo, temo, non sarà l'ultima. |
|
Top |
|
|
|