| Precedente :: Successivo |
| Autore |
Messaggio |
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
 Inviato: 15 Set 2010 13:57 Oggetto: help me sistema infetto... non so a che livello!!! |
 |
|
Ciao a tutti, ho un pc con windows 7, protetto con avira personal 8, comodo firewall+ defense +, malwarebites, su firefox e chrome ho gmail notifier e flashblock attivati...
ieri pomeriggio ho visto un applicazione molto strana nell'elenco dei processi.
stupidamente ho solo terminato l'applicazione e bona.
tardo pomeriggio: il pc era acceso ma mi ero assentato una mezz'ora torno e non si caricano le pagine... penso sia il modem che ultimamente ogni tanto lo fa riavvio e invece di comparirmi il solito riquadro per riconnettermi il il riquadro compariva e scompariva a intermittenza senza farmi fare nulla...
riavvio... tutto appare normale... verso mezzanotte le finestre di di comodo si sono moltiplicate se avviavo dei programmi normalissimi tipo excell mi chiedeva conferma e mi diceva che volevano accedere a una interfaccia protetta o ai dns, alla tastiera e allo schermo...con la prima applicazione temo di aver accettato... alla seconda ho capito e ho bloccato tutto... e spento tutto....
in tutto questo da avira non mi era arrivato un solo avviso ovviamente e il sistema è settato al massimo direi (comodo a livello intermedio)
quando mi sono riconnesso con xp (in dual boot con seven) stamattina online armour mi ha bloccato un autorun.inf nella partizione HP_RECOVERY (D) che è la partizione di recupero del sistema operativo allo stato iniziale.
Ora ho fatto partire una scansione con avira da xp. Dite che anche xp potrebbe essere compromesso?
per ora non ha rilevato nulla ma è all'inizio...
lo so son stato stupido e me ne potevo accorgere prima, anzi subito, ma ieri è stata una giornataccia e il cervello era un po' sconnesso 
ora che faccio? a proteggermi me la son se4mpre cavata... questa è la prima volta che mi infetto un po' seriamente... e ovviamente non so che fare!
vi ringrazio in anticipo!!! |
|
| Top |
|
 |
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 13:59 Oggetto: Re: help me sistema infetto... non so a che livello!!! |
|
|
| fracama87 ha scritto: | | bladswanz |
io ho scritto
n o s c r i p t !!! senza spazi s'intende...
perchè vien fuori quella parola???
ah è stato avira a bloccare l'autorun.inf non online armour... l'ho stesso ha fatto ora quando è arrivata a scansionare la partizione D.
DIMENTICAVO UN DETTAGLIO IMPORTANTE:
abitualmente comodo mi da un avviso di un tentativo di accesso esterno a due servizi di sistema (ora non ricordo...ma sono sempre gli stessi 2 e li ho sempre avuti... anche quando anni fa avevo kaspersky) io li ho sempre bloccati, ma potrebbe essere accaduto ieri che ho selezionato l'azione sbagliata... e che sia partito tutto da lì...
quel che è certo è che non ho installato programmi strani eccetto un gadget che però pareva innocuo:
"HTC Home 1.6" e che comunque ho disinstallato perché non mi piaceva. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 15 Set 2010 14:29 Oggetto: Re: help me sistema infetto... non so a che livello!!! |
|
|
| fracama87 ha scritto: | | ieri pomeriggio ho visto un applicazione molto strana nell'elenco dei processi. |
Ti ricordi come si chiamasse? |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 14:37 Oggetto: |
|
|
-ovviamente mi son sbagliato, su seven ho avira 9 (ho aspettato a mettere la 10 perchè non c'è in italiano e ho letto di qualche problema)
avira 10 ce l'ho invece su windows xp! e infatti non si aggiorna mai da sola, ma questo è un discorso a parte...
-windows seven è a 64bit e lo UAC è attivato e dovrebbe essere al massimo livello (o forse il secondo dall'alto).
-ora devo uscire per stasera faccio le scansioni e posto i log.
ovviamente è meglio se rimango offline su seven mentre faccio le scansioni, giusto?
anche perchè finora mi sembra che non sono riusciti a rubare le password se non altro perchè non vedo accessi ne su facebook ne sulla mail...
appena trovo un pc "sicuro" da cui connettermi cambio tutte quelle importanti... dite che potrebbero essere riusciti a infettare anche xp da wista?
-non mi ricordo il nome, a rivederlo potrei riconoscerlo, comunque era strano, mi aveva dato l'impressione di essere un nome utente... sicuramente non l'avevo mai visto e non era il nome di un programma.
ps.: anche se l'username inganna molti sono un ragazzo.. 
grazie mille  |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 20:12 Oggetto: |
|
|
son tornato su seven... è da ieri sera che non c'ero tornato...
ho pulito con ccleaner e avviato la scansione con malwarebites che per ora non ha trovato nulla.
ieri sera prima di spegnere tutto ho installato gli ultimi aggiornamenti microsoft appena usciti fra cui c'era il tool di rimozione malware... forse ha agito anche quello... comunque non son comparsi avvisi strani per ora e se avvio anche excell o altri programmi non mi compare più nessun avviso di comodo defense+...
appena finisce mbam (sembra che ci vorrà molto!) avvio anche la scansione di HiJackThis e vi posto i log.
buona serata intanto |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 21:38 Oggetto: |
|
|
mbam ha finito e alla fine ha trovato 3 file infetti che dovrebbe rimuovere ora con il riavvio. ecco il log
mbam-log-2010-09-15 (21-25-36).txt
hoi trovato anche i log di comodo (sia firewall sia defense+) se li credete utili li posto. l'unica cosa sono in formato htm li posto uguale così? li copio in un file .txt? ditemi voi se serve grazie
ora dopo il riavvio eseguo anche HiJackThis.  |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 22:08 Oggetto: |
|
|
ecco il log anche di HiJackThis
hijackthis.log
dando un'occhiata veloce al log ho trovato un applicazione che potrebbe forse essere quella sospetta che ho terminato ieri pomeriggio:
mi riferisco a mctadmin.exe che si ripete due tre volte nell'elenco.
ora attendo le vostre indicazioni sul da farsi, grazie mille!!!  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Set 2010 22:40 Oggetto: |
|
|
Solo una curiosità:
hai avviato hijackthis con diritti amministrativi? (tasto dx del mouse e click su esegui come amministratore).  |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 15 Set 2010 22:47 Oggetto: |
|
|
| bdoriano ha scritto: | Solo una curiosità:
hai avviato hijackthis con diritti amministrativi? (tasto dx del mouse e click su esegui come amministratore). |
più o meno... da proprietà del file-->compatibilità-->livelli di privilegio: ho messo la spunta a "esegui questo programma come amministratore"
per essere sicuro di non sbagliare anche in futuro.
è uguale, no? |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 16 Set 2010 19:49 Oggetto: |
|
|
| qualcuno mi sa dire se è tutto a posto? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 16 Set 2010 21:34 Oggetto: |
|
|
| bdoriano ha scritto: | Solo una curiosità:
hai avviato hijackthis con diritti amministrativi? (tasto dx del mouse e click su esegui come amministratore). |
Ciao bdoriano.
Se ti riferisci a tutti quei file "missing", la spiegazione è che HJT non è perfettamente compatibile con S.O a 64 bit, essendo una applicazione a 32 bit.
Per cui, i risultati che sforna, non sono molto attendibili.
@fracama87:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
| Citazione: | O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) |
Pulisci i files temporanei con CCleaner .
Riscontri problemi? |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 16 Set 2010 22:09 Oggetto: |
|
|
| R16 ha scritto: | | bdoriano ha scritto: | Solo una curiosità:
hai avviato hijackthis con diritti amministrativi? (tasto dx del mouse e click su esegui come amministratore). |
Ciao bdoriano.
Se ti riferisci a tutti quei file "missing", la spiegazione è che HJT non è perfettamente compatibile con S.O a 64 bit, essendo una applicazione a 32 bit.
Per cui, i risultati che sforna, non sono molto attendibili.
@fracama87:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
| Citazione: | O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) |
Pulisci i files temporanei con CCleaner .
Riscontri problemi? |
no, ora sembra essere tornato tutto normale. Ho fixato le tre voci e pulito i file temporanei come mi hai detto
quello che temevo è che dietro le buone apparenze ci fosse qualcosa di nascosto e invisibile
per quanto uno possa essere maniacale (io sto cominciando a esserlo) se si becca il virus in alcuni casi si può "nascondere", nel senso non farsi trovare dagli antivirus, e continuare ad agire... è chiaro che ci vuole molta sfiga
grazie mille dell'aiuto!
ciao e a presto. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 16 Set 2010 23:09 Oggetto: |
|
|
Ciao.
| Citazione: | | nel senso non farsi trovare dagli antivirus, e continuare ad agire... è chiaro che ci vuole molta sfiga |
| Citazione: | | H:\Programmi\Programmi già installati Se7ven\UltraISO Premium Edition 9.3.2.2656\crack\UISOZWTkeygen.exe (Trojan.Agent.CK) |
Certo che se scarichi certi software "non originali", non ci vuole "molta sfiga ", per prendersi le infezioni. 8)
A presto.
Ciao. |
|
| Top |
|
|
fracama87
Eroe in grazia degli dei
Registrato: 11/07/08 20:07
Messaggi: 123
|
| Inviato: 17 Set 2010 03:49 Oggetto: |
 |
|
in realtà ora non scarico più nessuna crack da parecchio tempo...cioè da quando mi son stufato di beccarmi i virus ogni volta.
se ne può fare benissimo a meno... quella mi era rimasta fra i file scaricati (non so neanche se alla fine l'avevo installato o meno...).
a presto ciao. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
