Pagina 1 di 2

Spyware/Malware su Hotmail...

MessaggioInviato: mer lug 23, 2008 7:10 pm
da Jim.x
Salve ragazzi,
vi chiedo aiuto visto che stasera la mia ragazza mi ha fatto presente di aver ricevuto una strana mail dal mio indirizzo @hotmail.com.
La mia riguarda ha per oggetto "ebay" e recita qualcosa tipo "non ti sei aggiudicato questi oggetti" e di seguito una serie di oggetti riguardanti il sito.
In realtà questa stessa mail è stata inviata a tutti i miei contatti in rubrica (io scarico la posta di hotmail in locale con thunderbird e l'estensione webmail), il che mi fa pensare a qualche malware o roba simile.
Mi sono fatto rimandare indietro la mail ed effettivamente Thunderbird la segnala come tentativo di frode.
In questo momento sto facendo un'analisi del PC con Kaspersky Online Scanner (sul PC uso KIS 2009).
A qualcuno è capitato qualcosa di simile ultimamente?
Eventualmente con quali programmi potrei provare ad individuare eventuali trojan/spyware/malware etc?

Ah... non ho installato nessun addon per messenger (mi pare se non vado errato che qualche tempo fa si parlava di un programma che avrebbe dovuto aggiungere faccine ma che in realtà nascondeva qualche schifezza...). Beh comunque non ho installato nulla di sospetto ultimamente.

Riporto intanto il log di Hijackthis:

Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.15.06, on 23/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\National Instruments\MAX\nimxs.exe
C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\nipalsm.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\VisualTaskTips\VisualTaskTips.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Loris\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programmi\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198507115813
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://loris82.spaces.live.com/PhotoUpload/MsnPUpld.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programmi\National Instruments\MAX\nimxs.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI PXI Resource Manager (nipxirmu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe


EDIT: Impossibile eseguire Kaspersky Online Scanner: durante il download del database con le definizioni dei virus il PC crasha con schermata blu e si riavvia...

MessaggioInviato: mer lug 23, 2008 8:28 pm
da Edain
Allora, questo è sicuramente da eliminare:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Forse eliminando questo si risolve..

[La prossima volta posta il log caricandolo su Mediafire o qualcosa del genere, rende più leggibile il topic]


ciao! [ciao]

MessaggioInviato: mer lug 23, 2008 8:45 pm
da Jim.x
Edain ha scritto:[La prossima volta posta il log caricandolo su Mediafire o qualcosa del genere, rende più leggibile il topic]


Pardon... [prego] ... e grazie, proverò ad eliminare quella voce

MessaggioInviato: ven lug 25, 2008 6:35 am
da Jim.x
Aggiungo che mi sono accorto di non riuscire ad accedere alle pagine di alcuni antivirus online: come detto Kaspersky Online Scanner inizia il download del database poi manda in crash il PC... ho provato ad accedere ad HouseCall di TrendMicro e mi è impossibile accedere alla pagina (da alotri pc si accede tranquillamente), ho provato anche BitDefender Online Scanner ma fallisce il download dell'engine e della definizione virus e non fa partire la scansione.
Lo stesso capita se avvio il PC da MegalabCD... inoltre in questo caso la scansione eseguita con Ad-Aware, McCafee Scan GUI, etc non rilevato nulla di sospetto...

Mi indicate perfavore qualche altra possibile soluzione prima che formatti tutto?

MessaggioInviato: ven lug 25, 2008 9:16 am
da Edain
Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

MessaggioInviato: ven lug 25, 2008 9:18 am
da Jim.x
Grazie... provvederò appena torno a casa da lavoro.
Grazie mille in anticipo per l'aiuto intanto...

MessaggioInviato: ven lug 25, 2008 1:42 pm
da Edain
Jim.x ha scritto:Grazie... provvederò appena torno a casa da lavoro.
Grazie mille in anticipo per l'aiuto intanto...


Figurati! [^] [;)]

[ciao]

MessaggioInviato: sab lug 26, 2008 2:03 pm
da Jim.x
UPDATE: L'accesso alle pagine di antivirus online è tornato disponibile. Sto iniziando la scansione con HouseCall di TrendMicro.
In ogni caso sto anche eseguendo le scansioni indicate usando Gmer... a breve posto i risultati nella speranza che possiate indicarmi l'eventuale presenza di qualche schifezza...

Risultati scansione Gmer:

1. Autostart Scan

2. Rootkit/Malware Scan

P.S.: Ho notato che Gmer, nella scansione per i rootkit, ha trovato qualcosa nella cartella "D:\Documenti\Musica\[DA ELIMINARE]-Checco Zalone\Se ce l'ho fatta io... [e il seguito del path]": ecco quella cartella sono mesi che tento inutilmente di cancellarla. In fase di creazione mi aveva dato un errore che non ricordo e ora è diventata ineliminabile, nemmeno in modalità provvisoria, nemmeno con programmi tipo "RevoUninstaller".
Ricordo la regola "Un post una segnalazione"... ma inj questo caso visto che la segnala anche Gmer vi chiedo se sapete indicarmi una maniera per sbarazzarmi definitivamente di quella cartella (che comunque è vuota)

Grazie a tutti in anticipo

MessaggioInviato: sab lug 26, 2008 4:43 pm
da Edain
Se è stata segnalata quella cartella, potrebbe anche essere la causa del problema: scarica Unlocker e vedi se riesci a cancellarla [^]

da un primo sguardo mi pare che i log siano puliti, adesso guardo meglio..

[ciao]

MessaggioInviato: sab lug 26, 2008 5:37 pm
da Jim.x
Edain ha scritto:scarica Unlocker e vedi se riesci a cancellarla [^]

Negativo... con Unlocker ho già provato tante volte ma niente, resta sempre li.
(provando a cancellarla manualmente mi dice: Impossibile eliminare File: Impossibile leggere dal file o dal disco di origine)

Edain ha scritto:da un primo sguardo mi pare che i log siano puliti, adesso guardo meglio..

Grazie, fammi sapere se vedi qualcosa di strano...

MessaggioInviato: sab lug 26, 2008 7:54 pm
da Edain
per il momento, con hijackthis hai eliminato quella voce che ti dicevo, vero?

MessaggioInviato: sab lug 26, 2008 8:24 pm
da Jim.x
Edain ha scritto:per il momento, con hijackthis hai eliminato quella voce che ti dicevo, vero?


Si quella voce è stata eliminata... comunque dalle scansioni con HouseCall e BitDefender Online Scanner non è risultato nulla di particolare... a parte un paio di adware (che ho eliminato) e alcuni "falsi positivi" (ad esempio mi segnala un keyfinder per la visualizzazione del codice con il quale è stato attivato Windows, etc)

MessaggioInviato: dom lug 27, 2008 10:50 am
da Edain
Il log mi sembra pulito. Fai la scansione online con Kaspersky (usando non Firefox ma IE, altrimenti non riesce a farla) e posta le voci infette che trova (se le trova!)

MessaggioInviato: lun lug 28, 2008 7:51 am
da Jim.x
Edain ha scritto:Il log mi sembra pulito. Fai la scansione online con Kaspersky (usando non Firefox ma IE, altrimenti non riesce a farla) e posta le voci infette che trova (se le trova!)


Impossibile eseguire Kaspersky Online Scanner, il PC continua a crashare anche usando IE.
Quasi al termine del download della definizione virus, Kaspersky (in locale) mi avvisa che Kaspersky Online Scanner sta tentando di ottenere privilegi:; a quel punto sia che consenta sia che neghi il PC crasha (schermata blu).
Analogamente se disattivo KIS in locale, ovviamente non mi viene posta nessuna domanda ma il PC crasha lo stesso.

Morale: Impossibile eseguire Kaspersky Online Scanner sul mio PC

MessaggioInviato: lun lug 28, 2008 9:56 am
da Edain
Jim.x ha scritto:P.S.: Ho notato che Gmer, nella scansione per i rootkit, ha trovato qualcosa nella cartella "D:\Documenti\Musica\[DA ELIMINARE]-Checco Zalone\Se ce l'ho fatta io... [e il seguito del path]": ecco quella cartella sono mesi che tento inutilmente di cancellarla. In fase di creazione mi aveva dato un errore che non ricordo e ora è diventata ineliminabile, nemmeno in modalità provvisoria, nemmeno con programmi tipo "RevoUninstaller".


Se gmer l'ha trovato nella scansione Rootkit, allora vuol dire che là c'è un rootkit, la cui principale occupazione è quella di incasinare il sistema.
puoi postare cosa dice gmer della voce infetta, cioè quello sotto le colonne "Name" e "Value"?

MessaggioInviato: lun lug 28, 2008 10:11 am
da gio!
Hai provato con avenger?
Scaricalo da qui http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca copia/incolla:

Folders to delete:
D:\Documenti\Musica\[DA ELIMINARE]-Checco Zalone



Controlla bene se è quella la cartella da eliminare e non ho capito io male

Al riavvio posta il log che comparirà.

MessaggioInviato: lun lug 28, 2008 10:17 am
da Edain
gio! ha scritto:Hai provato con avenger?
Scaricalo da qui http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca copia/incolla:

Folders to delete:
D:\Documenti\Musica\[DA ELIMINARE]-Checco Zalone



Controlla bene se è quella la cartella da eliminare e non ho capito io male

Al riavvio posta il log che comparirà.


[^] [^] Esattamente! era proprio quello che volevo fare, ma prima volevo controllare che quella cartella fosse realmente infetta (ma non credo ci siano dubbi!)

[ciao]

MessaggioInviato: lun lug 28, 2008 7:49 pm
da Jim.x
Ho eseguito lo script su Avenger... la cartella in realtà è stata solo spostata sotto D:\Avenger.
Il log è il seguente (scusate se lo posto direttamente ma è tutt'altro che lungo..)

Codice: Seleziona tutto
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "D:\Documenti\Musica\[DA ELIMINARE]-Checco Zalone" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Per quanto riguarda la precedente domanda di Edain invece... se quello che mi chiedi non è riportato nel log (che ho postato qualche post sopra) dovrei rieseguire la scansione con Gmer per poter postare quello che mi chiedi...

MessaggioInviato: lun lug 28, 2008 9:52 pm
da Edain
Ho eseguito lo script su Avenger... la cartella in realtà è stata solo spostata sotto D:\Avenger.


il programma fa una copia di backup nella cartella Avenger, così se il file eliminato è importante e/o non infetto si può ripristinare. Comunque, nel caso sia infetto non dovrebbe nuocere.

Il log è il seguente (scusate se lo posto direttamente ma è tutt'altro che lungo..)


[^] tutto ok, il problema sono i log lunghi, che rendono più difficile la lettura del topic.


Per quanto riguarda la precedente domanda di Edain invece... se quello che mi chiedi non è riportato nel log (che ho postato qualche post sopra) dovrei rieseguire la scansione con Gmer per poter postare quello che mi chiedi...


[acc2] [:D] in effetti è vero... comunque la mia intenzione era di eliminare quella cartella, quindi è sistemato.


Il problema si presenta ancora?

MessaggioInviato: mar lug 29, 2008 7:33 am
da Jim.x
Edain ha scritto:Il problema si presenta ancora?


Beh, dpende da cosa intendi: per ora nessuno mi ha più avvisato di aver ricevuto strane mail dal mio indirizzo... tuttavia Kaspersky Online Scanner ad esempio è sempre inutilizzabile.

Per quanto riguarda quella cartella di cui parlavamo... ben felice di averla eliminata, ma non so se davvero fosse infetta. Se riprendi il log di Gmer relativo alla scansione rootkit infatti vedrai che c'è ANCHE quella cartella, ma non solo. Ci sono segnalate un mare di cose ma sinceramente non so se siano tutte infette. Se cosi non è (cioè se il log di Gmer riporta NON SOLO i file/cartelle infetti) allora potrebbe darsi che non fosse infetta neppure quella cartella, capisci cosa voglio dire?
Purtroppo non ci ho capito molto (quasi niente a dire il vero) di quel log... in ogni caso sono ben lieto di aver eliminato la cartella, cosa che volevo fare indipendentemente dal fatto che fosse infetta o meno.

Grazie ancora...