• B
    Super User

    Scusa Giorgio potresti dirci che Virus e soprattutto con quale antivirus si elimina o altre informazioni?

    Purtroppo il mio antivirus non è molto aggiornato e pertanto non so se sono stato infettato visto che mi diceva continuamente " la memoria è danneggiata " nell'uso di qualche giorno fa del forum.

    Lieto che il traffico sia diminuito solo del 40 %, ma sono più preoccupato se sono stato infetto dal virus , e chissà quanti altri PC.

    Grazie se vorrai darci informazioni maggiori.

    0
  • giorgiotave
    Community Manager

    Ciao Bluwebmaster,

    in effetti sono stato un pò insensibile, ma dovuto al fatto che proprio non sappiamo che virus è. Questo perchè ci siamo preoccupati di toglierlo il più presto possibile.

    Tuttavia domani faremo delle ricerche in rete per capire meglio il problema e segnalare una eventuale soluzione.

    Prenderemo un pc apposito così, nel caso dovesse succedere (spero di no), ci facciamo infettare apposta per capirne di più.

    🙂

    0
  • W
    Super User

    Ciao Giorgio, Bluemaster e tutti.

    Io sono stato infettato, ho studiato un po' il virus, l'ho rimosso quindi se volete posso darvi i dettagli.

    0
  • B
    Super User

    Si dacci qualche info in più.
    Come si fa a vedere se si è infettati?

    0
  • W
    Super User

    Ecco quanto.

    E' riuscito a superare i controlli di Explorer, dell'antivirus e del firewall, tutti aggiornatissimi, non credevo.

    Riguardo ad Internet Explorer, che fino a giovedì mi bloccava correttamente le pagine infette del forum, il cracker venerdì è riuscito a bypassare il blocco usando un nuovo sottodominio, che probabilmente era ancora senza segnalazioni, e quindi apparentemente pulito.

    Mi sono accorto del virus subito averlo preso, grazie ad un anti-...qualcosa che mi ha avvertito che due programmi stavano per mettersi in autostart.

    Con un refresh della pagina, ho visto che quell'iframe ha lanciato un applet java il quale poi ha lanciato un pdf in una minuscola finestra
    e, non so come ha fatto, però sono comparsi 2 eseguibili nella directory windows\temp che silenziosamente sono andati subito in esecuzione.

    Mi ha modificato le impostazioni di connessione a Internet, facendo usare un server proxy locale (del virus) con IP 127.0.0.1 e porta con numero alto, da cui poteva per esempio intercettare tutti i miei login e password, o modificare le pagine che visitavo ... ipotizzo ma non so perché li ho arrestati prima.

    Ho sottoposto i 2 file a virustotal.com e questi sono i risultati:

    File: 0.9156790090695502.exe

    Comodo TrojWare.Win32.Trojan.Agent.Gen
    DrWeb Trojan.Carberp.7
    Ikarus Trojan-Spy.Win32.Carberp
    Kaspersky Trojan-Spy.Win32.Carberp.vd
    Panda Suspicious file

    File: 0.932324196429655.exe

    DrWeb Trojan.DownLoader3.11565
    Kaspersky Backdoor.Win32.Gbot.hgc
    SUPERAntiSpyware Trojan.Agent/Gen-FraudSoft**
    TrendMicro BKDR_CYCBOT.SMIB

    Dei 42 antivirus che usa virustotal, solo 2 sono riusciti a scoprire entrambi i troiani: DrWeb e Kaspersky.

    Infine un antivirus mi ha eliminato un file "C:\windows\conhost.exe" ma non ho capito se è un falso positivo.

    Quindi io guarderei se in C:\windows\temp ed in Impostazioni LAN ci sono cose strane.

    Poi farei una scansione con uno di quei due programmi, DrWeb è disponibile anche in versione senza installazione e gratis.

    Riguardo a quest'ultimo punto aggiungo però che nulla esclude che tutto quel sistema possa aver veicolato troiani diversi da quelli che ho preso io, e quindi magari controllare anche con altri antivirus.
    Io sono giorni che scansiono con tutti gli antivirus possibili.

    0
  • V
    User Attivo

    Che S.O. usi?ho windows 7 ultimate è non è successo quasi niente(ho KIS 2011) ovvero qualcosa deve aver fatto perchè mi ha disabilitato la protezione di sistema,mi sono accorto per caso in quanto volevo controllare che tutto era a posto ed invece aveva anche disabilitato la
    copia shadow del volume.
    :fumato:

    0
  • V
    User Attivo

    Scusa, ma per le immagini che hai postato e non riesco a vederle è un problema solo mio?
    :fumato:

    0
  • W
    Super User

    Anch'io ho Win7 ultimate. Non so se abbia temporamente disabilitato il controllo account, certo è che durante l'infezione non mi ha chiesto alcuna conferma.

    0
  • giorgiotave
    Community Manager

    Grazie Webmaster70, faccio girare il tutto 🙂

    0
  • W
    Super User

    Prego Giorgio, figurati.

    0
  • B
    User Attivo

    Questo è il report del mio antivirus aziendale (G-Data AntiVirus), se non ricordo male il motore "B" è quello di Kaspersky.

    Risultato? Nessunissimo problema riscontrato :yuppi:

    E' andata di culo lo so 😄

    image

    Uploaded with ImageShack.us

    0
Effettua l'accesso per rispondere