- 113
- 5
- CPU
- Intel Pentium E2200
- Scheda Madre
- ECS G31T-M7 - socket 775
- HDD
- Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
- RAM
- 2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
- GPU
- NVidia GeForce 8400 GS 512 MB
- Audio
- Via High Definition Audio
- Monitor
- Asus VW196
- PSU
- ?
- Case
- Midtower
- OS
- Windows XP Professional 32 bit
Ciao a tutti.
Ciao R16, scusami tanto, ti sarei grato se potessi aiutarmi di nuovo.
Ora sto scrivendo bootato col CD RESCUE di Kaspersky che ha anche un suo browser, mentre sta scansionando...
Premessa:
Dopo l`ultimo episodio il PC era pulitissimo.
E come se non bastasse pochi giorni fa ho aggiornato il MBAM e l`ho lanciato dalla modalita` provvisoria. Ha trovato ZERO infezioni.
PULITO!
Cosa è successo:
Oggi pomeriggio stavo navigando con firefox portable.
Avevo aperte 6 schede:
Gmail
4 pagine ebay
google
Stavo scrivendo una email con gmail, e mi serviva di trovare una citazione di Ovidio. L`ho cercata con la finestra di Google, e l'ho trovata subito: il primo sito che ho beccato l'ho aperto.
Dopo pochi secondi è successo quanto segue:
il pc e` diventato lentissimo
AVIRA mi ha fatto 2 rilevamenti, ogni volta annunciati dal consueto beep, entrambe le volte TR ATRAPS GEN
Ecco il report di tutti i rilevamenti di AVIRA ANTIVIR:
Mi si e` di nuovo aperta la finestrella gialla vicino all-orologio di Windows in basso a destra, con lo scudo rosso. Solo che stavolta anzichè dirmi che il firewall era disattivo, invitandomi a cliccare per riattivarlo, mi ha detto che l'antivirus non era aggiornato e che dovevo aggiornarlo (non e` vero, era aggiornato).
(L'altra volta ci cascai, cliccai sopra per riaprire il firewall e mi usci una finestra di windows che mi diceva di attivare un servizio e cliccai ok).
Stavolta non ci sono cascato e non ci ho cliccato sopra: ho ignorato la finestrella gialla.
Nel frattempo avira mi ha informato che era stato negato l'accesso ad entrambi gli elementi ritrovati, e stava facendo la solita sua barretta di scorrimento...
poi li ha messi in quarantena.
Come se niente fosse: anche se stavolta non ho cliccato, mi e` apparsa di nuovo la finestra di windows: solo che stavolta anziche` chiedermi di avviare un servizio, mi diceva tutto un altro messaggio in inglese circa virus pericolosi e che dovevo premere ok per fare pulizie varie....
NON HO PREMUTO NIENTE, NON HO CONFERMATO.
Ho premuto il tasto STAMP perchè volevo incollare in un file jpg da farti vedere lo screenshot... ho provato a lanciare PAINT piu volte, ma niente... non partiva....
All'improvviso si è chiusa la finestra di avviso suddetta COME SE AVESSI CLICCATO SU OK ed e` partito tutta una bella schermata di un FALSO antivirus: era fatto molto bene! bE ho notato che aveva creato un collegamento su desktop, con una bella icona con una sorta di scudo molto ben fatta! Tutto senza che io cliccassi mai nulla!!!
La falsa scansione è partita, ho fatto di nuovo PRINT per farvi lo screenshot, ma non c'era verso di far partire PAINT.
La falsa scansione avanzava e trovava una marea di virus di tutti i tipi (sicuramente dopo mi avrebbero invitato a comprare qualche antivirus fasullo).
Il FINTO antivirus si chiama:
Live Security Platinum
con uno scudo diviso in 4 aree. Fatto molto bene.
Pensavo potesse aiutarvi questo indizio.
Allora vedendo che non partiva PAINT ho fatto CTRL ALT CANC per riavviare il sistema in mod. provvisoria.
NIENTE! come appariva l'iconcina verde di Task Manager vicino all'orologio si richiudeva IMMEDIATAMENTE!
Questo bastardo non mi faceva partire nemmeno il task manager!
Cosa ho fatto per cercare di rimediare:
Allora ho pigiato fisicamente il tasto principale del CASE che nelle settings che è impostato per arrestare il sistema e spegnere.
Poi cosa ho fatto, ho ricliccato il pulsantone del CASE e appena ha ridato corente ho premuto il RESET fisico (pensavo che fosse in standby).
Avevo troppo timore di far partire windows, anche in modalità provvisoria, allora ho messo subito il CD RESCUE di BIT DEFENDER e ho avviato con quello.
Ha fatto l'aggiornamento e ha scansionato.
La cosa che mi preoccupa e che NON HA TROVATO NULLA!
Pensavo: perche` Avira li ha messi in quarantena.
Invece no! Perche` la volta precedente il CD di BIT DEFENDER mi ha trovato i virus nelle cartelle di quarantena di Combofix e ANCHE DI AVIRA!!!! IN quelle di avira era proprio l'ATRAPS GEN!!! Mentre stavolta non ha trovato nulla (né nell'hard disk né in quarantena).
La cosa mi ha preoccupato non poco, percio finita la scansione ho riavviato col CD RESCUE di Kaspersky (lo avevo preparato l'altra volta, ma mai usato).
Gli ho fatto scaricare gli aggiornamenti, ed eccomi qua: sta scansionando il PC, mentre scrivo col suo browser.
RILEVAMENTI DI KASPERSKY RESCUE CD:
Alla fine glieli ho fatti CANCELLARE tutti (niente quarantena, gli ho fatto eliminare tutto!!!!).
Altre operazioni che ho fatto:
1) Ora, approfittando che da questo Rescue CD posso anche navigare, ho appena scaricato ComboFix su desktop dell'hard disk direttamente rinominando il file exe
2) ho scaricato l'aggiornamento offline di MBAM.
3) Riavviato Windows in modalità provvisoria e fatto fare una scansione con MBAM (lanciando prima il file di aggiornamento, sempre offline dalla modalità provvisoria).
MBAM ha finito la scansione: Ammazza quanta roba ha trovato!
Il PC era pulitissimo, MBAM dava ZERO 2-3 giorni fa!
E' possibile che questo sito aperto oggi, IN POCHI SECONDI, mi ha messo tutta sta robaccia sul computer???
RILEVAMENTI DI MBAM:
Gli ho fatto eliminare tutto e riavviare subito il PC.
Premetto che fino ad ora ho riavviato solo con i Rescue CD ed ora con questa modalità provvisoria, mai in modalità normale.
Ulteriori operazioni fatte:
4) Riavviato in modalità NORMALE gli ho lanciato subito il combofix (scaricato prima dal browser del Kaspersky Rescue CD e salvato su desktop del PC direttamente con nome del file modificato).
Questo è il log del Combofix che ha appena finito:
log - 26 lug 2012 - ore 20_00.txt
Precisazione finale:
Stavolta il PC era pulito e il sito me lo ricordo molto bene. Quindi so anche quale sito e` che mi ha messo il virus. So esattamente la pagina del sito (raggiunta tramite google):
www . atma-o-jibon . org/italiano2/imitazione_di_cristo13 . htm
(ho reso l'url non cliccabile per evitare che qualche poveretto ci clicchi accidentalmente su e si rovini il PC)
Domande:
1) Che faccio ora?
GRAZIE A TUTTI!!!!
(domande meno importanti, solo per curiosità, quella che mi interessa di più è come procedere ora):
2) Possibile che senza aver mai cliccato sui messaggi del virus, senza aver mai confermato, con tutto che AVIRA ha rilevato, negato l'accesso e messo in quarantena, possibile che è riuscito ad avviarsi, ad installare quel falso antivirus, a creare il link su desktop, a farlo partire....
3) ma è possibile che riescono a fare il bello e il cattivo tempo nei pc protetti da antivirus SENZA CHE L'UTENTE CLICCHI SU NESSUNO DEI LORO TRABOCCHETTI????
4) Inoltre, se non c`è bisogno di cliccare, e partono ugualmente, allora che li fanno a fare i trabocchetti per farci cliccare sopra, tanto li fanno partire ugualmente!!!!
Ciao R16, scusami tanto, ti sarei grato se potessi aiutarmi di nuovo.
Ora sto scrivendo bootato col CD RESCUE di Kaspersky che ha anche un suo browser, mentre sta scansionando...
Premessa:
Dopo l`ultimo episodio il PC era pulitissimo.
E come se non bastasse pochi giorni fa ho aggiornato il MBAM e l`ho lanciato dalla modalita` provvisoria. Ha trovato ZERO infezioni.
PULITO!
Cosa è successo:
Oggi pomeriggio stavo navigando con firefox portable.
Avevo aperte 6 schede:
Gmail
4 pagine ebay
Stavo scrivendo una email con gmail, e mi serviva di trovare una citazione di Ovidio. L`ho cercata con la finestra di Google, e l'ho trovata subito: il primo sito che ho beccato l'ho aperto.
Dopo pochi secondi è successo quanto segue:
il pc e` diventato lentissimo
AVIRA mi ha fatto 2 rilevamenti, ogni volta annunciati dal consueto beep, entrambe le volte TR ATRAPS GEN
Ecco il report di tutti i rilevamenti di AVIRA ANTIVIR:
Codice:
Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Trasmissione allo scanner
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\80000000.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen' [trojan].
Azione eseguita: Nega accesso
Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Nega accesso
Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Nega accesso
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso
Trovato un virus o un programma indesiderato 'TR/ATRAPS.Gen2'[trojan] nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'. Azione eseguita: Il file è stato spostato in quarantena con il nome '52079f0d.qua'!
Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso
Mi si e` di nuovo aperta la finestrella gialla vicino all-orologio di Windows in basso a destra, con lo scudo rosso. Solo che stavolta anzichè dirmi che il firewall era disattivo, invitandomi a cliccare per riattivarlo, mi ha detto che l'antivirus non era aggiornato e che dovevo aggiornarlo (non e` vero, era aggiornato).
(L'altra volta ci cascai, cliccai sopra per riaprire il firewall e mi usci una finestra di windows che mi diceva di attivare un servizio e cliccai ok).
Stavolta non ci sono cascato e non ci ho cliccato sopra: ho ignorato la finestrella gialla.
Nel frattempo avira mi ha informato che era stato negato l'accesso ad entrambi gli elementi ritrovati, e stava facendo la solita sua barretta di scorrimento...
poi li ha messi in quarantena.
Come se niente fosse: anche se stavolta non ho cliccato, mi e` apparsa di nuovo la finestra di windows: solo che stavolta anziche` chiedermi di avviare un servizio, mi diceva tutto un altro messaggio in inglese circa virus pericolosi e che dovevo premere ok per fare pulizie varie....
NON HO PREMUTO NIENTE, NON HO CONFERMATO.
Ho premuto il tasto STAMP perchè volevo incollare in un file jpg da farti vedere lo screenshot... ho provato a lanciare PAINT piu volte, ma niente... non partiva....
All'improvviso si è chiusa la finestra di avviso suddetta COME SE AVESSI CLICCATO SU OK ed e` partito tutta una bella schermata di un FALSO antivirus: era fatto molto bene! bE ho notato che aveva creato un collegamento su desktop, con una bella icona con una sorta di scudo molto ben fatta! Tutto senza che io cliccassi mai nulla!!!
La falsa scansione è partita, ho fatto di nuovo PRINT per farvi lo screenshot, ma non c'era verso di far partire PAINT.
La falsa scansione avanzava e trovava una marea di virus di tutti i tipi (sicuramente dopo mi avrebbero invitato a comprare qualche antivirus fasullo).
Il FINTO antivirus si chiama:
Live Security Platinum
con uno scudo diviso in 4 aree. Fatto molto bene.
Pensavo potesse aiutarvi questo indizio.
Allora vedendo che non partiva PAINT ho fatto CTRL ALT CANC per riavviare il sistema in mod. provvisoria.
NIENTE! come appariva l'iconcina verde di Task Manager vicino all'orologio si richiudeva IMMEDIATAMENTE!
Questo bastardo non mi faceva partire nemmeno il task manager!
Cosa ho fatto per cercare di rimediare:
Allora ho pigiato fisicamente il tasto principale del CASE che nelle settings che è impostato per arrestare il sistema e spegnere.
Poi cosa ho fatto, ho ricliccato il pulsantone del CASE e appena ha ridato corente ho premuto il RESET fisico (pensavo che fosse in standby).
Avevo troppo timore di far partire windows, anche in modalità provvisoria, allora ho messo subito il CD RESCUE di BIT DEFENDER e ho avviato con quello.
Ha fatto l'aggiornamento e ha scansionato.
La cosa che mi preoccupa e che NON HA TROVATO NULLA!
Pensavo: perche` Avira li ha messi in quarantena.
Invece no! Perche` la volta precedente il CD di BIT DEFENDER mi ha trovato i virus nelle cartelle di quarantena di Combofix e ANCHE DI AVIRA!!!! IN quelle di avira era proprio l'ATRAPS GEN!!! Mentre stavolta non ha trovato nulla (né nell'hard disk né in quarantena).
La cosa mi ha preoccupato non poco, percio finita la scansione ho riavviato col CD RESCUE di Kaspersky (lo avevo preparato l'altra volta, ma mai usato).
Gli ho fatto scaricare gli aggiornamenti, ed eccomi qua: sta scansionando il PC, mentre scrivo col suo browser.
RILEVAMENTI DI KASPERSKY RESCUE CD:
Codice:
7/26/12 2:06 PM Detected Trojan program Exploit.Java.CVE-2012-0507.hl C:/Documents and Settings/pc_papa/Dati applicazioni/Sun/Java/Deployment/cache/6.0/18/61a3b452-213a04a0//ta/ta.class High
7/26/12 2:06 PM Detected Trojan program Exploit.Java.CVE-2012-0507.gk C:/Documents and Settings/pc_papa/Dati applicazioni/Sun/Java/Deployment/cache/6.0/18/61a3b452-213a04a0//ta/er.class High
7/26/12 2:49 PM Detected Trojan program Trojan-Dropper.Win32.Daws.atlz C:/Documents and Settings/pc_papa/Impostazioni locali/temp/c11343a0e0d11d01.exe High
7/26/12 3:04 PM Detected Trojan program Trojan.Win32.Dm.ase C:/WINDOWS/system32/Tools/Hide.exe High
7/26/12 3:07 PM Detected Trojan program Trojan.Win32.Small.bmrh C:/WINDOWS/Installer/{aab85f03-0712-ff1d-13bf-acc5ff22cc30}/U/80000000.@ High
7/26/12 3:07 PM Detected Trojan program Trojan.Win32.Zapchast.adge C:/WINDOWS/Installer/{aab85f03-0712-ff1d-13bf-acc5ff22cc30}/U/800000cb.@ High
Alla fine glieli ho fatti CANCELLARE tutti (niente quarantena, gli ho fatto eliminare tutto!!!!).
Altre operazioni che ho fatto:
1) Ora, approfittando che da questo Rescue CD posso anche navigare, ho appena scaricato ComboFix su desktop dell'hard disk direttamente rinominando il file exe
2) ho scaricato l'aggiornamento offline di MBAM.
3) Riavviato Windows in modalità provvisoria e fatto fare una scansione con MBAM (lanciando prima il file di aggiornamento, sempre offline dalla modalità provvisoria).
MBAM ha finito la scansione: Ammazza quanta roba ha trovato!
Il PC era pulitissimo, MBAM dava ZERO 2-3 giorni fa!
E' possibile che questo sito aperto oggi, IN POCHI SECONDI, mi ha messo tutta sta robaccia sul computer???
RILEVAMENTI DI MBAM:
Codice:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Versione database: v2012.07.23.08
Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria)
Internet Explorer 8.0.6001.18702
pc_papa :: PCPAPA [amministratore]
26/07/2012 16.28.35
mbam-log-2012-07-26 (18-12-15).txt
Tipo di scansione: Scansione completa (C:\|D:\|J:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 353551
Tempo impiegato: 1 ore, 42 minuti, 50 secondi
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Nessuna azione intrapresa.
Valori di registro rilevati: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|036DFF982372DD5C004FC5657B07D287 (Trojan.LameShield) -> Dati: C:\Documents and Settings\All Users\Dati applicazioni\036DFF982372DD5C004FC5657B07D287\036DFF982372DD5C004FC5657B07D287.exe -> Nessuna azione intrapresa.
Voci rilevate nei dati di registro: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Cattivo: (\\.\globalroot\systemroot\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n.) Buono: (wbemess.dll) -> Nessuna azione intrapresa.
Cartelle rilevate: 1
C:\Documents and Settings\pc_papa\Menu Avvio\Programmi\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Nessuna azione intrapresa.
File rilevati: 6
C:\Documents and Settings\All Users\Dati applicazioni\036DFF982372DD5C004FC5657B07D287\036DFF982372DD5C004FC5657B07D287.exe (Trojan.LameShield) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Impostazioni locali\Dati applicazioni\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n (RootKit.0Access) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Impostazioni locali\temp\857.tmp (Trojan.LameShield) -> Nessuna azione intrapresa.
C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n (RootKit.0Access) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Menu Avvio\Programmi\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Nessuna azione intrapresa.
(fine)
Gli ho fatto eliminare tutto e riavviare subito il PC.
Premetto che fino ad ora ho riavviato solo con i Rescue CD ed ora con questa modalità provvisoria, mai in modalità normale.
Ulteriori operazioni fatte:
4) Riavviato in modalità NORMALE gli ho lanciato subito il combofix (scaricato prima dal browser del Kaspersky Rescue CD e salvato su desktop del PC direttamente con nome del file modificato).
Questo è il log del Combofix che ha appena finito:
log - 26 lug 2012 - ore 20_00.txt
Precisazione finale:
Stavolta il PC era pulito e il sito me lo ricordo molto bene. Quindi so anche quale sito e` che mi ha messo il virus. So esattamente la pagina del sito (raggiunta tramite google):
www . atma-o-jibon . org/italiano2/imitazione_di_cristo13 . htm
(ho reso l'url non cliccabile per evitare che qualche poveretto ci clicchi accidentalmente su e si rovini il PC)
Domande:
1) Che faccio ora?
GRAZIE A TUTTI!!!!
(domande meno importanti, solo per curiosità, quella che mi interessa di più è come procedere ora):
2) Possibile che senza aver mai cliccato sui messaggi del virus, senza aver mai confermato, con tutto che AVIRA ha rilevato, negato l'accesso e messo in quarantena, possibile che è riuscito ad avviarsi, ad installare quel falso antivirus, a creare il link su desktop, a farlo partire....
3) ma è possibile che riescono a fare il bello e il cattivo tempo nei pc protetti da antivirus SENZA CHE L'UTENTE CLICCHI SU NESSUNO DEI LORO TRABOCCHETTI????
4) Inoltre, se non c`è bisogno di cliccare, e partono ugualmente, allora che li fanno a fare i trabocchetti per farci cliccare sopra, tanto li fanno partire ugualmente!!!!
Ultima modifica: