Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

rf2m08iqaw... questo sconosciuto Opzioni
juan78
Inviato: Thursday, March 01, 2012 4:02:09 PM
Rank: Newbie

Iscritto dal : 3/1/2012
Posts: 3
buongiorno a tutti, mi chiamo tobia e sono un nuovo iscritto :)
sono arrivato in questo forum cercando informazioni sul file citato nel titolo, un esecutivo che temo sia un malware o rootkit o virus di qualche tipo, e venendo rimandato al vostro topic http://forum.aiutamici.com/yaf_postsm442024_RIMOZIONE-VIRUS-SIREFEFBP1-AIUTO.aspx

in sostanza sto cercando di rimuoverlo o di scoprire qualche informazioni su tal novità; per ora spero di non aver subito grandi "danni" (usb, connessioni ec funzionano), riscontro che risulta come "non classificato" nei programmi ad esecuzione automatica, in doppia veste, una presente in c\program data ecc* e una nella mia cartella di user (dove peraltro il file compare accanto alle cartelle musica documenti ecc.). dai programmi ad esecuzione automatica non riesco né a rimuovere né a disabilitare l'esecuzione della versione presente in c\program data..., sì di quella nella cartella utente.
inoltre riscontro una certa agitazione nel centro sicurezza pc, dove windows defender non si attiva (devo farlo manualmente ogniqualvolta accendo il pc) e altre cose.

*Nome file: rf2m08iqaw.exe
Valore di avvio: C:\ProgramData\rf2m08iqaw.exe
Percorso file: C:\ProgramData\rf2m08iqaw.exe
Tipo di avvio: Registro di sistema: Local Machine
Percorso: Software\Microsoft\Windows\CurrentVersion\Run
Classificazione: Non ancora classificato
Voto SpyNet: Non disponibile

premetto che ho anche già fatto scansioni con Malwarebytes Anti-Malware, Tdsskiller (ero pieno di schifezzuole) e anche la procedura con combofix (anche se al riavvio mcafee mi chiedeva insistentemente di consentire a qualcosa affinché la cosa potesse continuare e contravvenendo ai consigli dell'altro topic di non far nulla, io ho cliccato consenti). ad ogni modo mentre nella scansione di lucky79 il file in questione veniva rilevato (C:\Users\Luca\rf2m08iqaw.exe (Trojan.Agent) -> Verrà eliminato al riavvio.), nel mio pc sembra che il file non venga individuato o non eliminato al riavvio... allo stesso percorso io posso or ora vederlo tranquillamente ma NON eleminarlo. mi si dice infatti che non ho l'autorizzazione. le proprietà del file, alla voce protezione riportano: "per continuare, è necessario essere un utente con privilegi amministrativi e autorizzazioni di visualizzazione delle proprietà di protezione dell'oggetto". quando vado nelle impostazioni avanzate di protezione vedo anche "Impossibile visualizzare il proprietario corrente.".

che faccio? la cosa pare grave? mi sono fissato su un'eliminazione inutile? finora ci ho convissuto tranquillamente...

saluti a tutti :)
Sponsor
Inviato: Thursday, March 01, 2012 4:02:09 PM

 
pidue
Inviato: Thursday, March 01, 2012 4:17:14 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Fallo analizzare su Virustotal.
Se è cattivo, prova ad eliminarlo in modalità provvisoria.

Se il tipo è tosto, ti sbarazzi di lui con Unlocker.
http://www.aiutamici.com/software?ID=11419



juan78
Inviato: Thursday, March 01, 2012 5:16:40 PM
Rank: Newbie

Iscritto dal : 3/1/2012
Posts: 3
ti ringrazio! con virustotal non riesco ad analizzarlo perché mi dice che non posso aprirlo.
ora provo a rimuoverlo con unlocker.
tra l'altro un'ulteriore scansione con malwarebytes mi ha dato come log il seguente

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Versione database: v2012.02.29.02
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Tobia :: PC-TOBIA [amministratore]
01/03/2012 15.51.07
mbam-log-2012-03-01 (15-51-07).txt
Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 339646
Tempo impiegato: 57 minuti, 1 secondi
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)
Valori di registro rilevati: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Dati: C:\Windows\system32\regedit.exe -> Spostato in quarantena ed eliminato con successo.
Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)
Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)
File rilevati: 0
(non sono stati rilevati elementi nocivi)
(fine)

non rileva quindi il suddetto, ma un altro. boh.
juan78
Inviato: Friday, March 02, 2012 11:14:32 AM
Rank: Newbie

Iscritto dal : 3/1/2012
Posts: 3
buondì:

niente di fatto: virus total non lo apre; unlocker una volta eseguito carica ma non entra in funzione (dopo aver consentito l'esecuzione NON mi compaiono le finestre con scritto sblocca ecc.).

ad ogni modo in 3 giorni da una pagina google dove se ne parlava, sono diventate 3... con discussioni in spagna (http://www.forospyware.com/t416592.html) e francia (http://forum.zebulon.fr/virus-trojan-et-abnow-1-t191850.html&st=20 ... qui da quel che ho capito l'esperto si dice desolato dopo tre pagine di consigli e tentativi*).

* con virus total non fa nulla e c'è il solito problema delle autorizzazioni, con Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français dopo il reboot c'è un errore.

in ogni caso il virus o quel che è deve essere in connessione con
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Dati: C:\Windows\system32\regedit.exe -> Spostato in quarantena ed eliminato con successo.
dal momento che alla scansione di stamane il file viene nuovamente rilevato e quindi non eliminato con successo.

se vi viene qualche idea :D
solfami
Inviato: Saturday, March 03, 2012 2:38:49 PM

Rank: AiutAmico

Iscritto dal : 11/14/2003
Posts: 2,270
Buondì
Prova questo prog, è un po' rompipalle ma a volte.......
http://www.aiutamici.com/software?ID=11418
ha una funzione di eradicamento.
Le scansioni le hai fatti di tutti gli HD collegati?
Perchè se spaccabiglie ha la tana da un'altra parte si ricrea.
provato con un ripristino di sistema?
Fai le scansioni disconnesso(si lo so ,ma a volte capita)
Saluti
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.