www.MegaLab.it

[taddeos]

Zonaallarm mi dice che un file di nome "bla.exe"cerca di collegarsi ad internet;mi hanno detto che è un trojan? coem faccio a toglierlo?ho provato ancceh manualmente, togliendo il ripristino di configurazione di sistema, ma nulla ogni volta che accendo ricompare

ps o trovato anche questo file "BLA.EXE-06EA102B.pf" centra qualcosa?

[yeah782000]

E' un trojan ... l'ho preso anch'io qualche tempo fa ... Son riuscito ad eliminarlo con NOD-32.

Tu che Antivirus hai ?

[taddeos]

kaspersky aggiornato al 25/5/05

[yeah782000]

kaspersky aggiornato al 25/5/05

e se lo fai girare non riesce ad eliminarlo ???

PS: comunque tranquillo ..vedrai che tra un po' arriva crazy e risolvi !!!!!!!

[taddeos]

"bla.exe" nn si ricrea +
ma nn riesco a cancellare "BLA.EXE-06EA102B.pf" questo file;ne sai qualcosa?grazie

[crazy.cat]

cerca se hai questi due file c:\winamp.exe o c:\winampa.exe e cancellali dalla modalità provvisoria.
sempre dalla provvisoria fai una scansione con questo sw
http://www.MegaLab.it/2333

Vediamo se basta così.

bla.exe è usato da molti virus.

[taddeos]

si si è colpa di winamp l'hpo cancellato ma nn riesco a fare partite la conessione in modalità provvisoria;anche con i comandi di rete

[crazy.cat]

Per la modalità provvisoria devi premere F8 all'avvio, non ti servono comandi di rete o cose strane.
Se proprio non riesci ad avviare in provvisoria fai lo stesso la scansione con scangui e vedi cosa ne esce.

[taddeos]

ho fatto la scansione mi ha dato questo risultato; è buono o malamente? Grazie

cAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004
Scan engine v4.4.00 for Win32.
Virus data file v4500 created May 26 2005
Scanning for 128539 viruses, trojans and variants.

05/27/2005 15:08:44

Options:
/AD /ADL /CLEAN /DEL /RPTCOR /RPTERR /REPORT C:\DOCUME~1\MATTEO\IMPOST~1\TEMP\SCAN.TXT

Scanning C: []
Scanning C:\*.*
C:\Documents and Settings\Matteo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\1D9TRPIL\showcase[1].ashx\showcase[1] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\CTEZ8TIN\showcase[1].ashx\showcase[1] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\INIFML27\showcase[1].ashx\showcase[1] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\INIFML27\showcase[2].ashx\showcase[2] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\O1YJWPEF\showcase[1].ashx\showcase[1] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\O1YJWPEF\showcase[2].ashx\showcase[2] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\ZK60L58Y\Cobranding[1].srf\Cobranding[1] ... file could not be opened.
C:\Documents and Settings\Matteo\Impostazioni locali\Temporary Internet Files\Content.IE5\ZK60L58Y\showcase[1].ashx\showcase[1] ... file could not be opened.
C:\Documents and Settings\Matteo\NTUSER.DAT ... file could not be opened.
C:\Documents and Settings\Matteo\ntuser.dat.LOG ... file could not be opened.
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG ... file could not be opened.
C:\Documents and Settings\NetworkService\NTUSER.DAT ... file could not be opened.
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ... file could not be opened.
C:\pagefile.sys ... file could not be opened.
C:\WINDOWS\system32\config\default ... file could not be opened.
C:\WINDOWS\system32\config\default.LOG ... file could not be opened.
C:\WINDOWS\system32\config\SAM ... file could not be opened.
C:\WINDOWS\system32\config\SAM.LOG ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY.LOG ... file could not be opened.
C:\WINDOWS\system32\config\software ... file could not be opened.
C:\WINDOWS\system32\config\software.LOG ... file could not be opened.
C:\WINDOWS\system32\config\system ... file could not be opened.
C:\WINDOWS\system32\config\system.LOG ... file could not be opened.

Summary report on C:\*.*
File(s)
Total files: ........... 57206
Clean: ................. 57179
Not scanned: ........... 0
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0

Time: 00:38.54

[crazy.cat]

No è buono.
Lo hai fatto dalla provvisoria?
Bla e l'altro file sono ricomparsi?

[taddeos]

si l'ho fatta dalla provvisoria; ed anche i file sembrano scomparsi! quindi è tutto ok
garzie mille

[taddeos]

cantato vittoria troppo presto kaspersky mi a appena ritrovato bla.exe cosa faccio ora???

[crazy.cat]

Come si chiama il virus che ti trova, almeno per capire cosa bisogna combattere.

[taddeos]

hai rag scusa; ecco cosa mi dice kaspersky :

[crazy.cat]

Disabilita di nuovo il ripristino della configurazione e riavviia il pc.
Rifai le scansioni dalla modalità provvisoria, questa volta usiamo questo sw
http://www.MegaLab.it/2349
è un poco più lento, ma è segnalato come in grado di rimuovere quel virus.

[taddeos]

inizio scansione ore 18:02 fine ora 21:55azzz
comunque il risultato è questo :

2005-05-27, 18:22:38, Auto-clean mode specified.
2005-05-27, 18:22:38, Running scanner "C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\TSC.BIN"...
2005-05-27, 18:26:09, Scanner "C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\TSC.BIN" has finished running.
2005-05-27, 18:26:09, TSC Log:

Damage Cleanup Engine (DCE) 3.9(Build 1020)
Windows XP(Build 2600: Service Pack 2)

Start time : ven mag 27 2005 18:22:39

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\tsc.ptn" (version 600) [success]

Complete time : ven mag 27 2005 18:26:09
Execute pattern count(3668), Virus found count(0), Virus clean count(0), Clean failed count(0)

2005-05-27, 18:26:55, An error occurred while scanning file "C:\Documents and Settings\Matteo\NTUSER.DAT": Accesso negato.
2005-05-27, 18:26:55, An error occurred while scanning file "C:\Documents and Settings\Matteo\ntuser.dat.LOG": Accesso negato.
2005-05-27, 18:31:24, An error occurred while scanning file "C:\Documents and Settings\Matteo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat": Accesso negato.
2005-05-27, 18:31:24, An error occurred while scanning file "C:\Documents and Settings\Matteo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG": Accesso negato.
2005-05-27, 18:34:31, An error occurred while scanning file "C:\Documents and Settings\NetworkService\NTUSER.DAT": Accesso negato.
2005-05-27, 18:34:31, An error occurred while scanning file "C:\Documents and Settings\NetworkService\ntuser.dat.LOG": Accesso negato.
2005-05-27, 18:34:31, An error occurred while scanning file "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat": Accesso negato.
2005-05-27, 18:34:31, An error occurred while scanning file "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG": Accesso negato.
2005-05-27, 20:56:40, An error was detected on "C:\System Volume Information\*.*": Accesso negato.
2005-05-27, 21:05:27, Could not set file for reading on "C:\WINDOWS\PCHealth\ErrorRep\UserDumps\svchost.exe.20050414-194947-00.hdmp": Accesso negato.
2005-05-27, 21:05:27, Could not set file for reading on "C:\WINDOWS\PCHealth\ErrorRep\UserDumps\svchost.exe.20050527-161928-00.hdmp": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WINWORD.EXE-2798733C.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WMPLAYER.EXE-3717B9A9.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WMPLAYER.EXE-3717B9AB.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WMPLAYER.EXE-3717B9AC.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\YPAGER.EXE-01859DC2.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\YUPDATER.EXE-2CAC9F66.pf": Accesso negato.
2005-05-27, 21:05:47, Could not set file for reading on "C:\WINDOWS\Prefetch\~E5D141.TMP-279CDCC1.pf": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\default": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\default.LOG": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM.LOG": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\software": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\software.LOG": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\system": Accesso negato.
2005-05-27, 21:15:00, An error occurred while scanning file "C:\WINDOWS\system32\config\system.LOG": Accesso negato.
2005-05-27, 21:18:16, Running scanner "C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\VSCANTM.BIN"...
2005-05-27, 21:54:58, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 5/27/2005 21:18:17
VSAPI Engine Version : 7.000-1004
VSCANTM Version : 1.1-1001
Virus Pattern Version : 645 (102374 Patterns) (2005/05/26) (264500)
Command Line: C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645

49938 files have been read.
49938 files have been checked.
38662 files have been scanned.
63495 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 5/27/2005 21:54:58
---------*---------*---------*---------*---------*---------*---------*---------*
2005-05-27, 21:54:58, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 5/27/2005 21:18:17
VSAPI Engine Version : 7.000-1004
VSCANTM Version : 1.1-1001
Virus Pattern Version : 645 (102374 Patterns) (2005/05/26) (264500)
Command Line: C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645

49938 files have been read.
49938 files have been checked.
38662 files have been scanned.
63495 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 5/27/2005 21:54:58 36 minutes 35 seconds (2194.86 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-05-27, 21:54:58, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 5/27/2005 21:18:17
VSAPI Engine Version : 7.000-1004
VSCANTM Version : 1.1-1001
Virus Pattern Version : 645 (102374 Patterns) (2005/05/26) (264500)
Command Line: C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645

49938 files have been read.
49938 files have been checked.
38662 files have been scanned.
63495 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 5/27/2005 21:54:58 36 minutes 35 seconds (2194.86 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-05-27, 21:54:58, Scanner "C:\Documents and Settings\Matteo\Desktop\Nuova cartella\lpt645\VSCANTM.BIN" has finished running.

[taddeos]

nn ci credo è riuscito

nn so quanto sia una coincidenza; ma la rilevazione del virus(maè un virus mica l'ho capito?) da parete di kaspersky, avviene sempre quando mi collego a katamail

[crazy.cat]

Ti avevo detto che era lento perché di solito ci metteva un 30 minuti a scansionare i pc quando mi è capitato di usarlo, non credevo andasse a 4 ore.

Il bla.exe è collegato a molti virus, però se mi dici che si manifesta solo quando ti colleghi alla posta è abbastanza strano.

Quando ti appare il messaggio cerca il file bla.exe e caricalo su questo sito in modo che faccia lui l'analisi.
http://www.MegaLab.it/2425

[taddeos]

il problema è che appena appare ilkaspersky lo elimina!!che faccio lo disattivo x un po??

ps: nn mi appre sulla posta in genere, ma appena mi collego a sito(senza nemmeno entrare nella mia mail) katamail.com; mentre nn succede nulla se mi collego, ad esempio a gmail e yahoo

[crazy.cat]

Nella seconda foto che mostri c'è rinomina oggetto e solo report, a quel punto il file è già stato eliminato?

Se riesci a rinominarlo, carica il file rinominato su quel sito che almeno vediamo se è un falso o un vero virus.

Non sò che dirti se il problema appare solo con quel sito è quanto meno molto strano.