Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

virus Opzioni
tersicore
Inviato: Wednesday, April 30, 2008 6:33:48 PM

Rank: AiutAmico

Iscritto dal : 1/7/2008
Posts: 1,839
Ciao a tutti

Stamani stavo navigando sul mio sito preferito in materia di faccine:
http://cieli.altervista.org/faccine/index.html

Quando inopinatamente è apparso questo messaggio di AVG 8 Free:




Io ho cliccato su Move to Vault

Ed ora eccolo qui:



Cosa devo fare?


E come è possibile che io abbia preso un virus solo navigando nella pagina?

Premetto che vado spessissimo in quel sito e non era mai accaduto.
Il fatto che l'antivirus l'abbia bloccato significa che non ha ancora infettato il PC...o sì?

Grazie!!
Sponsor
Inviato: Wednesday, April 30, 2008 6:33:48 PM

 
Rudewolf
Inviato: Wednesday, April 30, 2008 6:59:11 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Puo darsi che il sito sia stato hackerato con un codice java,comunque disattiva il ripristino di sistema e fai una scansione con AVG ed elimina il trojan,dopo metti un log di Hijak.Leggi queste due discussioni in merito al trojan rilevato..
http://forum.aiutamici.com/Default.aspx?g=posts&m=181276
http://forum.wintricks.it/showthread.php?t=132948
pidue
Inviato: Wednesday, April 30, 2008 9:07:25 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
C omunque AVG ha neutralizzato il vurus. Vedo che lo ha messo in quarantena



monsee
Inviato: Thursday, May 01, 2008 9:18:52 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Ti assicuro, Kore, che è possibilissimo "beccarsi" un malware anche semplicemente NAVIGANDO nel Web (serve ad evitare cose di codesto genere, l'usare SpywareBlaster o la funzione "immunizzante" di Spybot). Di fatto -per farti un solo esempio- il sordido LinkOptimizer lo si prende, di norma, semplicemente "visualizzando" un'immagine -posta sul Web- costruita apposta per propagare il rootkit (si prende solo se si usa Internet Explorer e solo se non si sono installati i necessari aggiornamenti alla Sicurezza, ovviamente!). Non serve fare niente: ti appere l'immagine in questione un solo istante e, tiè!, sei bell'e fritta!
Nel caso tuo, AVG -con la sua "protezione residente"- ha intercettato il trojan-downloader e t'ha avvisato. Cliccando su "Heal" avresti cercato di "riparare" (ma andare a "riparare" un trojan è cosa quantomeno un po' bizzarra!). Cliccando sul porre in Quarantena il trojan (la "Virus Vault" è la Quarantena), hai scelto la migliore soluzione. Ti suggerisco, ora, di eliminare il trojan in questione dalla Virus Vault (eliminandolo per sempre) in modo da poter stare tranquilla.
tersicore
Inviato: Friday, May 02, 2008 11:13:14 AM

Rank: AiutAmico

Iscritto dal : 1/7/2008
Posts: 1,839
Ciao a tutti
Principio ringraziandovi per le risposte e scusandomi per il ritardo.

Rudewolf ha scritto:
Puo darsi che il sito sia stato hackerato con un codice java,comunque disattiva il ripristino di sistema e fai una scansione con AVG ed elimina il trojan,dopo metti un log di Hijak.Leggi queste due discussioni in merito al trojan rilevato..
http://forum.aiutamici.com/Default.aspx?g=posts&m=181276
http://forum.wintricks.it/showthread.php?t=132948



pidue ha scritto:
C omunque AVG ha neutralizzato il vurus. Vedo che lo ha messo in quarantena



Ho effettuato una scansione in modalità normale con
-AVG 8
-Spybot
-Asquared

Ho eliminato i virus che AVG aveva messo in quarantena, ho riavviato (dopo aver disabilitato il ripristino).
Dopo aver letto il vostro suggerimento sono andata in Modalità provvisoria.
Ho lanciato
-Spybot
-Asquared

Mentre non ho potuto effettuare la scansione con AVG 8 dacché mi è apparsa questa finestra



e si pretendeva che io agissi da linea di comando.

Ma perché?

Come posso fare?


Questo è il log di HiJackThis
Commenta:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.07.49, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PGPsdkServ.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Omnia\HomeStore\MieProgrammi\Sicurezza\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203958165549
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINDOWS\system32\PGPsdkServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 6950 bytes


monsee ha scritto:
Ti assicuro, Kore, che è possibilissimo "beccarsi" un malware anche semplicemente NAVIGANDO nel Web (serve ad evitare cose di codesto genere, l'usare SpywareBlaster o la funzione "immunizzante" di Spybot). Di fatto -per farti un solo esempio- il sordido LinkOptimizer lo si prende, di norma, semplicemente "visualizzando" un'immagine -posta sul Web- costruita apposta per propagare il rootkit (si prende solo se si usa Internet Explorer e solo se non si sono installati i necessari aggiornamenti alla Sicurezza, ovviamente!). Non serve fare niente: ti appere l'immagine in questione un solo istante e, tiè!, sei bell'e fritta!
Nel caso tuo, AVG -con la sua "protezione residente"- ha intercettato il trojan-downloader e t'ha avvisato. Cliccando su "Heal" avresti cercato di "riparare" (ma andare a "riparare" un trojan è cosa quantomeno un po' bizzarra!). Cliccando sul porre in Quarantena il trojan (la "Virus Vault" è la Quarantena), hai scelto la migliore soluzione. Ti suggerisco, ora, di eliminare il trojan in questione dalla Virus Vault (eliminandolo per sempre) in modo da poter stare tranquilla.


Ciao Monsee
Ho letto il tuo consiglio solo dopo aver effettuato le operazioni di cui sopra.
Pertanto, sarebbe stato sufficiente solo cancellare dalla quarantena il trojan?
O è buona norma procedere in modo più approfondito?
Inoltre, desideravo chiederti questo.
E' consigliabile non navigare più nel sito in cui ho preso il virus, giusto?
Grazie e ciao!



monsee
Inviato: Friday, May 02, 2008 12:15:10 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Sì, Kore: sarebbe stato sufficiente cancellare dalla Virus Vault il trojan (proprio perché AVG l'aveva intercettato prima che riuscisse a rintanarsi bene nel computer, per cui non ti ha potuto fare danni). Ma non è che far qualche controllino più accurato faccia male, per cui diciamo che hai fatto bene anche così.
In quanto a quel che chiedi: sì, in linea generale è meglio non navigare più su qualsivoglia sito abbia dimostrato d'essere "pericoloso", ma... qualora si abbia a che fare con un sito che si conosce abbastanza bene (e che si reputi, comunque, davvero "degno di fiducia") sarebbe ingiusto trascurar l'ipotesi che NON il webmaster del sito, ma qualche "forza esterna" abbia inserito -chissà in quale modo- la minaccia in questione. Se pensi che il caso oggi in oggetto possa esser proprio questo, ti suggerisco di allertare (magari, inviandogli una email) il webmaster del sito in questione, fornendogli (com'è ovvio) i dovuti dettagli, in modo tale da consentirgli -se vuole- di porre rimedio all'invasione.
In quanto al lanciare AVG "da riga di comando" non c'è niente di male: in questo modo l'antivirus lavora al meglio delle sue possibilità anche quando è in Modalità Provvisoria e nessuna delle risorse disponibili (in Modalità Provvisoria, già son così poche!) gli viene sottratta per il solo gusto estetico di mantenere attiva l'interfaccia grafica. Non c'è nessunissima ragione di rifiutare "a priori" la "scansione da riga di comando" (si ottiene, in questo modo, perfino una scansione più veloce), specie perché AVG ti offre l'opportunità di regolare e d'impostar bene la cosa (con una sorta di "wizard" guidato) subito prima di lanciare la scansione.

PS... Oooops! Scusami, dimenticavo: il LOG che hai postato mi par sia davvero "pulito" (al massimo, si può chiosare che mettere lo scanner già in "avvio automatico" sia forse un po' superfluo... Ma non vedo nient'altro).
tersicore
Inviato: Friday, May 02, 2008 1:58:32 PM

Rank: AiutAmico

Iscritto dal : 1/7/2008
Posts: 1,839
monsee ha scritto:
Sì, Kore: sarebbe stato sufficiente cancellare dalla Virus Vault il trojan (proprio perché AVG l'aveva intercettato prima che riuscisse a rintanarsi bene nel computer, per cui non ti ha potuto fare danni). Ma non è che far qualche controllino più accurato faccia male, per cui diciamo che hai fatto bene anche così.


Bene!!


monsee ha scritto:
In quanto a quel che chiedi: sì, in linea generale è meglio non navigare più su qualsivoglia sito abbia dimostrato d'essere "pericoloso", ma... qualora si abbia a che fare con un sito che si conosce abbastanza bene (e che si reputi, comunque, davvero "degno di fiducia") sarebbe ingiusto trascurar l'ipotesi che NON il webmaster del sito, ma qualche "forza esterna" abbia inserito -chissà in quale modo- la minaccia in questione. Se pensi che il caso oggi in oggetto possa esser proprio questo, ti suggerisco di allertare (magari, inviandogli una email) il webmaster del sito in questione, fornendogli (com'è ovvio) i dovuti dettagli, in modo tale da consentirgli -se vuole- di porre rimedio all'invasione.

Non ci avevo pensato!
Allora farò senz'altro così : avvertirò il webmaster.


monsee ha scritto:
In quanto al lanciare AVG "da riga di comando" non c'è niente di male: in questo modo l'antivirus lavora al meglio delle sue possibilità anche quando è in Modalità Provvisoria e nessuna delle risorse disponibili (in Modalità Provvisoria, già son così poche!) gli viene sottratta per il solo gusto estetico di mantenere attiva l'interfaccia grafica. Non c'è nessunissima ragione di rifiutare "a priori" la "scansione da riga di comando" (si ottiene, in questo modo, perfino una scansione più veloce), specie perché AVG ti offre l'opportunità di regolare e d'impostar bene la cosa (con una sorta di "wizard" guidato) subito prima di lanciare la scansione.

Non metto in dubbio che la scansione da linea di comando possa risultare più efficace ma quando si apre la finestra di DOS io non so cosa fare.
Infatti, ho provato ad effettuare la scansione da linea di comando cliccando su "Yes" nella schermata che ho postato sopra, ma è apparsa la schermata nera di DOS.
Con AVG 7.5 non accadeva.
Almeno non mi sembra.

monsee ha scritto:
PS... Oooops! Scusami, dimenticavo: il LOG che hai postato mi par sia davvero "pulito" (al massimo, si può chiosare che mettere lo scanner già in "avvio automatico" sia forse un po' superfluo... Ma non vedo nient'altro).

Come sempre, hai ragione.

In effetti potrei eliminare l'esecuzione automatica dello scanner, ma l'ho lasciato per semplice pigrizia!!
Così ogni qualvolta collego lo scanner il programma parte in automatico!

Grazie per aver controllato il log!


Ciao!!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.