| Precedente :: Successivo |
| Autore |
Messaggio |
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
 Inviato: 12 Mar 2011 16:02 Oggetto: * JAVA/OpenConnect.AI |
 |
|
Ciao, mi sa che ho bisogno di una mano per eliminare un virus...
Ma andiamo con ordine: ieri sera accendo il pc e tutto sembra andar bene, ma all'improvviso durante la navigazione con firefox avverto dei rallentamenti (ero su Facebook, per la cronaca): pensando a un qualcosa online che ha messo in crisi il browser, lo chiudo e lo riavvio ma stavolta i rallentamenti sono un po' in ogni pagina che apro, e contemporaneamente anche exploer.exe rallenta (stessi problemi nell'aprire le cartelle o il menù start).
Ho riavviato il pc (ero ancora convinto che un qualche processo di sistema avesse creato i problemi) e ho potuto subito constatare che la situazione era peggiore del previsto: al successivo riavvio il computer era lento, lento, lento.
All'inizio ho avuto paura di un problema hardware (non installo nulla da oltre una settimana, e ieri pomeriggio tutto funzionava perfettamente) ma ho comunque lanciato una scansione con Avira: è durata due ore e ha rilevato il Trojan JAVA/OpenConnect.AI che ho spostato in quarantena:
| Citazione: | | Trovato un virus o un programma indesiderato 'JAVA/OpenConnect.AI'[virus] nel file 'C:\Users\Massimiliano\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\512ac189-7bbbdf4b'. Azione eseguita: Il file è stato spostato in quarantena con il nome '485c625a.qua'! |
Online a tal proposito consigliavano di svuotare la chache di Java e già ch c'ero ho tentato, ma com'era prevedibile non ha risolto nulla.
Questo è ciò che è successo sinora, ecco le caratteristiche del pc:
Windows 7 64bit, Avira Antivir, Comodo Firewall & Defense +, Malwarebyte's Anti-Malware |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 12 Mar 2011 17:16 Oggetto: |
|
|
Ciao Squall 
Prima di andare sul "pesante" ti consiglio di disistallare TUTTE le versioni Java che hai sul pc.
Installa questa:
link
Vedi se ci sono miglioramenti.
Se non ci sono, o sono deboli, vediamo se Combofix, trova il troyan:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Hai fatto una scansione completa con Malwarebytes? |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 02:27 Oggetto: |
|
|
Purtroppo disinstallare Java non ha portato a miglioramenti definitivi: sul momento il pc aveva dato l'impressione di essere tornato veloce, ma appena ho aperto Firefox (meno di un minuto dopo aver disinstallato java) i rallentamenti sono ricomparsi...
Ecco il log di combofix:
link
| Citazione: | | Hai fatto una scansione completa con Malwarebytes? |
L'ho fatta dopo aver usato Combofix e risulta pulita, ma in realtà il pc continua a creare gli stessi problemi... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 15:47 Oggetto: |
|
|
Anche il log di Combofix, non presenta infezioni.
Prova un ripristino configurazione sistema, e porti il pc a una data antecedente il problema.
| Citazione: | | ma appena ho aperto Firefox (meno di un minuto dopo aver disinstallato java) i rallentamenti sono ricomparsi... |
Prova a disistallarlo, vedi se migliora .
Poi lo reistalli. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 16:15 Oggetto: |
|
|
Avevo già considerato il ripristino, ma non ci sono punti di ripristino antecedenti al problema (anche se dovrebbero esserci, ricordo di averne creati)...
E non è solo Firefox, è tutto lentissimo... Il pc è un i7 con 6 giga di ram, pochissimi programmi installati (ce l'ho da meno di tre mesi), fino all'altro ieri pomeriggio era una scheggia |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 16:27 Oggetto: |
|
|
Sono costretto a fare (con il tuo consenso) la cosa che odio: andare per tentativi.
Disistallare tutti i software in "tempo reale". (per primo il firewall).
E' possibile che il troyan abbia danneggiato Comodo.
Fare un controllo al MBR. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 17:05 Oggetto: |
|
|
Guarda, volendo sarei anche disposto a formattare visto che dentro ho pochissimi dati: finché si tratta di un problema software sono tranquillo, ma se è hardware la prospettiva di tornare in negozio e fare tutta l'infinita trafila per la sostituzione mi alletta ben poco (e purtroppo in caso di guasto hardware è anche l'unica cosa da fare finché è in garanzia)
Come dicevo il pc ce l'ho da tre mesi, e non ho idea dei tempi di norma impiegati dai difetti di fabbricazione per manifestarsi... Certo mi pare strano che succeda così all'improvviso, nel giro di poche ore...
Comunque appena adesso qualcosa ha deciso di disattivare sia firewall che antivirus: le problematiche hardware di solito non sono così "razionali", quindi speriamo sia un vairus (immagino sia una frase rara da queste parti  )
| R16 ha scritto: | | Fare un controllo al MBR. |
Come lo faccio? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 17:16 Oggetto: |
|
|
| Citazione: | | Comunque appena adesso qualcosa ha deciso di disattivare sia firewall che antivirus: le problematiche hardware di solito non sono così "razionali", |
Quello è un virus.
Mi sono ricordato, che alcuni rootkit, agiscono in quel modo.
Tenta questo:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se invece, è richiesto il riavvio, acconsenti.
Il log lo trovi in C:\
Postalo qui.
Per l'MBR:
| Citazione: | Ripristino del MBR (master boot record) utilizzando il Windows 7 Recovery Discs:
Effettuate il boot con il dvd Windows 7 Recovery disc 7, inserito nel vostro lettore DVD...
seguite le indicazioni a video, immettete la lingua, la tastiera, etc… fatto ciò andate su ripristina sistema e scegliete prompt dei comandi.
tramite i comandi dos, posizionatevi in questa cartella: (dove C: sta ad indicare la partizione primaria)
C:\Windows\system32
da qui effettuate il ripristino del MBR (master boot record) digitando il seguente comando:
bootrec.exe /fixmbr
date invio e poi digitate questo altro comando:
bootrec.exe /fixboot
date invio e riavviate il vostro pc…ricordatevi però, prima del riavvio, di togliere il DVD recovery disc dal vostro lettore dvd. |
L'ultima modifica di R16 il 13 Mar 2011 17:19, modificato 1 volta |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 17:19 Oggetto: |
|
|
| Prima di fare tutto ciò disinstallo comunque Comodo e Avira? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 17:22 Oggetto: |
|
|
Sì, tanto per adesso non servono.
Fai attenzione, sei senza difese.
Esegui prima di tutto il Tool di Kaspersky. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 18:10 Oggetto: |
|
|
Ho disinstallato Avira e Comodo, ed eseguito la scansione col tool di Kaspersky.
Pare che non abbia trovato nulla, comunque questo è il log... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 18:25 Oggetto: |
|
|
| Squall ha scritto: | Ho disinstallato Avira e Comodo, ed eseguito la scansione col tool di Kaspersky.
Pare che non abbia trovato nulla, comunque questo è il log... |
E, niente buone novità....
Ero mezzo convinto, che avevi qualche rootkit in memoria.
Controlliamo l'MBR:
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) ti appare nella finestra questa scritta:
Found non-standard or infected MBR.
Oppure:
Windows xp MBR code detected.
Dimmi quale della 2 ti compare.
Oppure posta uno screenshot. (rilascia anche un log sul desktop) |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 18:44 Oggetto: |
|
|
Mi è comparso Windows 7 MBR code detected, il che mi fa intuire non abbia trovato nulla...
Qui il log...
ps: una cosa che proprio non capisco è come mai ogni tanto ci siano momenti in cui il pc si comporta quasi normalmente per qualche minuto... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Mar 2011 18:51 Oggetto: |
|
|
Il tuo MBR, è a posto. 
Non occorre ripristinarlo da CD.
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
N.B:
Fammi una cortesia Squall, prima di caricare i 2 log su Wikysend, TOGLI la loro estensione .txt (non mettere nessuna estensione) |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 13 Mar 2011 19:11 Oggetto: |
|
|
Eccoli entrambi:
OTL
Extras |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 14 Mar 2011 18:46 Oggetto: |
|
|
Ciao Squall.
Nei log non ho trovato niente.
Se hai un pò di pazienza, ho chiesto un parere a bdoriano. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 14 Mar 2011 20:52 Oggetto: |
|
|
Ciao Squall,
Fai un controllo del disco fisso:
- Per Windows 2000/XP/Server 2003:
- Cliccare Start
- Cliccare Esegui...
- Digitare:
Cliccare su ok
Per Windows Vista/7:- Start
- Tutti i programmi
- Accessori
- Cliccare con il tasto dx del mouse su Prompt dei comandi e scegliere Esegui come amministratore
si apre la finestra DOS, digitare:
premere invio
Compare la dicitura:
| Citazione: | | Impossibile eseguire Chkdsk. Il volume è in uso a un altro processo. Programmare il controllo di questo volume al riavvio successivo del sistema? (S/N) |
Premere S e invio
Digitare:
premere invio
Riavviare il pc
Vediamo se vengono rilevati problemi logici. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 15 Mar 2011 01:31 Oggetto: |
|
|
Ciao bdoriano 
Ho fatto il controllo del disco fisso: alla fase 4di5 ha rilevato due cluster danneggiati, poi però terminata la fase 5di5 è comparsa la videata finale secondo cui era tutto ok...
Dato che il pc sembra tornato normale, suppongo che il danno fosse logico e non fisico, e che quindi il chkdsk abbia sistemato la cosa. Queste però sono le mie elucubrazioni, che hanno sicuramente scarso valore di fronte al log... Purtroppo però non so come recuperarlo (ho scarsissima dimestichezza col visualizzatore di eventi)  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 15 Mar 2011 18:35 Oggetto: |
|
|
Ciao Squall.
| Citazione: | | Dato che il pc sembra tornato normale, suppongo che il danno fosse logico e non fisico, e che quindi il chkdsk abbia sistemato la cosa. |
Esatto.
I due cluster danneggiati, erano il problema.
Mi sono intestardito, che c'era un virus, e volevo trovare, un qualcosa che non c'era.
I log sono puliti.
Segui le istruzioni di questo topic per rimuovere combofix :
http://forum.zeusnews.com/viewtopic.php?t=47670
Disattiva il ripristino configurazione di sistema, spegni il pc, e riattivalo, creando un punto di ripristino.
Un grazie a bdoriano.  |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 15 Mar 2011 19:59 Oggetto: |
 |
|
No, mille grazie a tutti e due 
Ma c'è un modo per visionare i log del chkdsk ed essere certi che sia stato risolto proprio tutto? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
