Precedente :: Successivo |
Autore |
Messaggio |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 11:15 Oggetto: Maledetto UKASH |
|
|
Buongiorno...
Come da titolo del topic, sono stato colpito da questo assurdo (è dir poco) virus, e leggendo nei vari forum, non riesco a trovare una soluzione adatta.
La Polizia Postale parla di un file DLL, visualizzabile in modalità provvisoria, all'interno di Start-->Tutti i Programmi-->Esecuzione Automatica, che è sufficiente eliminare ; ovviamente, seguendo tale procedura, non vedo alcun DLL, bensi un CFTMON.EXE, che, leggo, si tratta di un esecutivo legato ad Office, quindi innocuo.
E' il mio primo post, e mi scuso per non essermi presentato, ma ho alcuni file della tesi universitaria, che ho estremamente paura di perdere.
Attualmente, non riesco ad accedere in modalità normale ; dopo pochi secondi, appare la finta schermata bianca, che mi costringe a spegnere dal tasto d'accensione.
La modalità provvisoria con rete, non funziona particolarmente bene, forse un qualcosa che riguarda i privilegi di amministratore, o qualcosa di simile.
Posso quindi scaricare qualsiasi programma su chiavetta, e tentare di installarlo, tramite provvisoria, ma non garantisco riesca a portarlo a compimento.
Grazie in anticipo per il supporto
Alessandro |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Ago 2012 11:22 Oggetto: |
|
|
Ciao alexnet83,
Segui le istruzioni di questo topic per usare MBAM.
Le istruzioni per aggiornarlo in modalità off-line, le trovi qui. |
|
Top |
|
 |
menatwork Dio minore

Registrato: 07/10/11 16:58 Messaggi: 506
|
Inviato: 21 Ago 2012 11:23 Oggetto: |
|
|
ops scusa bdoriano non avevo visto la tua risposta |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 11:26 Oggetto: |
|
|
Ragazzi, siete grandiosi! grazie per le risposte cosi veloci!
Ok, bdoriano, provo con MBAM... potrò aggiornarlo solo offline...
Ci provo tra qualche minuto, e ti faccio sapere...  |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 11:29 Oggetto: |
|
|
bdoriano ha scritto: | Ciao alexnet83,
Segui le istruzioni di questo topic per usare MBAM.
Le istruzioni per aggiornarlo in modalità off-line, le trovi qui. |
doriano, scusami, devo fare tutto in modalità provvisoria, giusto? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 12:00 Oggetto: |
|
|
Citazione: | doriano, scusami, devo fare tutto in modalità provvisoria, giusto? |
Non hai alternative, visto che non entri in modalità normale.  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Ago 2012 12:07 Oggetto: |
|
|
@menatwork
nessun problema.
@alexnet83
come ti ha fatto notare R16, certo che si!
Restiamo in attesa di tue nuove.  |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 13:06 Oggetto: |
|
|
Sto effettuando la scansione tramite modalità provvisoria...
Dopo neanche 30 secondi, a circa 30.000 Elementi Esaminati, già rilevate 4 presenze infette...
Non appena terminato, per evitare di eliminare dalla quarantena elementi non necessari, vi posto l'elenco... |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 13:19 Oggetto: |
|
|
Citazione: | per evitare di eliminare dalla quarantena elementi non necessari, vi posto l'elenco... |
Tranquillo; li puoi eliminare tranquillamente, e riavviare il pc in modalità normale.
Citazione: | bensi un CFTMON.EXE, che, leggo, si tratta di un esecutivo legato ad Office, quindi innocuo. |
E invece è proprio quello il virus.
Travestito da CFTMON.EXE legittimo.
Comunque poi segui le indicazioni di bdoriano. |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 13:34 Oggetto: |
|
|
Avevo dei forti dubbi su CFTMON, infatti...
In teoria, Malware dovrebbe segnalarlo... grazie R16... vi tengo aggiornati, sto lavorando su due pc  |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 13:39 Oggetto: |
|
|
Citazione: | In teoria, Malware dovrebbe segnalarlo... |
Sì, in teoria dovrebbe rilevarlo.
Citazione: | vi tengo aggiornati, sto lavorando su due pc |
Niente paura, in un modo o nell'altro, il problema lo risolviamo. |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 14:30 Oggetto: |
|
|
Ok, trovato il benedetto
Trojan.Ramson.Gen
Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 448907
Tempo impiegato: 1 ore, 6 minuti, 32 secondi
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D7BE8ED1-B138-48FD-BB22-9779A39130B1} (Redir.GSearch) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{D7BE8ED1-B138-48FD-BB22-9779A39130B1} (Redir.GSearch) -> Spostato in quarantena ed eliminato con successo.
HKCU\Software\SkyMedia (Adware.SkyMedia) -> Spostato in quarantena ed eliminato con successo.
Valori di registro rilevati: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{D7BE8ED1-B138-48FD-BB22-9779A39130B1} (Redir.GSearch) -> Dati: -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{D7BE8ED1-B138-48FD-BB22-9779A39130B1} (Redir.GSearch) -> Dati: -> Spostato in quarantena ed eliminato con successo.
Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)
Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)
File rilevati: 3
C:\Users\XXXXX\Desktop\VSL_Beta\system\dll\nHTMLn_2.95.dll (Trojan.Agent) -> Spostato in quarantena ed eliminato con successo.
C:\Users\XXXXXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Spostato in quarantena ed eliminato con successo.
C:\Users\XXXXXX\AppData\Local\Temp\install_0_msi.exe (Trojan.Ransom) -> Spostato in quarantena ed eliminato con successo.
(fine)
Questi 8 file si trovano in quarantena. Posso eliminarli direttamente? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 14:34 Oggetto: |
|
|
Citazione: | Questi 5 file si trovano in quarantena. Posso eliminarli direttamente? |
Non possono più nuocere, ma se ti senti più tranquillo eliminandoli dalla quarantena, lo puoi fare.
Riscontri qualche problema? |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 14:39 Oggetto: |
|
|
Guarda, avendo visto, di persona, le caratteristiche di questo virus, mi sentirei più tranquillo ad eliminarli...
Per ora, tutto regolare...
Ieri la schermata si presentava al solo avvio del PC, neanche il tempo di poter spostare la freccia... ora, sempre perchè sono piuttosto premuroso, sto facendo un altra scansione, ma in modalità avvio normale...
Ragazzi, vi ringrazio infinitamente... mi avete risolto un problemone!!!  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Ago 2012 14:41 Oggetto: |
|
|
Ok.
Ora, per sicurezza, ti consiglio di fare questa scansione con OTL in modo tale da poter individuare e chiudere eventuali falle nel tuo sistema. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 14:45 Oggetto: |
|
|
Citazione: | mi sentirei più tranquillo ad eliminarli.. |
Bene.
Citazione: | Per ora, tutto regolare... |
Se dovessi riscontrare qualche problema, non farti problemi a comunicarcelo.
Citazione: | sto facendo un altra scansione, ma in modalità avvio normale... |
Scansione completa (non veloce) mi raccomando.
Citazione: | Ragazzi, vi ringrazio infinitamente... mi avete risolto un problemone!!! |
Figurati.....di niente.
@bdoriano:
Controllo sacrosanto.
Ma se hai notato il log di Mbam, l'utente non vuole far conoscere dati che riguardano la sua privacy:
Citazione: | C:\Users\XXXXXX\AppData\ |
Per cui una scansione con OTL (ripeto utilissima) perderebbe mezza giornata a eliminarli.
Inoltre non sarebbero possibili eventuali eliminazioni, in quanto l'eventuale script non troverebbe la directory giusta. (in quanto modificata dall'utente) |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 21 Ago 2012 15:03 Oggetto: |
|
|
Non preoccupatevi per la privacy..
Ho inserito le XXX, cosi', per abitudine...
Nell'eventualità, questa sera, quando avrò più tempo, farò questa scansione...
Grazie ancora, a tutti!!
A presto (magari per altri argomenti più "leggeri" )
Alessandro |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Ago 2012 15:08 Oggetto: |
|
|
Citazione: | Ho inserito le XXX, cosi', per abitudine... |
Ah quand'è così allora non ci sono problemi.
Io pensavo fosse un problema di privacy.
In ogni caso fai pure la scansone con OTL, ma NON modificare i log che posterai.
Per eventuali eliminazioni, servono i log originali.
Ciao!
Dimenticavo:
Per postare i log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
Top |
|
 |
alexnet83 Mortale devoto

Registrato: 21/08/12 11:07 Messaggi: 9
|
Inviato: 23 Ago 2012 21:58 Oggetto: |
|
|
Ragazzi, sempre io...
Si è ripresentato di nuovo...
Questa volta, però, ho avviato in Modalità Provvisoria, eliminando il file CTFMON.EXE dall'esecuzione automaatica...
Per ora, tutto ok, era solo per avvisarvi...  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 24 Ago 2012 12:26 Oggetto: |
|
|
bdoriano ha scritto: | Ora, per sicurezza, ti consiglio di fare questa scansione con OTL in modo tale da poter individuare e chiudere eventuali falle nel tuo sistema. |
 |
|
Top |
|
 |
|