|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
11-07-2014, 21.50.41 | #16 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
11-07-2014, 21.51.25 | #17 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Poi si apre di nuovo l'avviso di ZONEALARM
comportamento sospetto fELcNaul.exe sta cercando di impostare 'RdslmJeE' in modo che venga eseguito all'avvio del computer HO NEGATO, ma come la prima volta continua perennemente a riaprirsi tale avviso, anche se ho riavviato il pc. Fra i malware c'era anche quello fra i programmi di avvio: Esecuzione Automatica\JtvfEBGz.exe L'ho disabilitato, ma al riavvio del computer è di nuovo abilitato. Però il computer si avvia perfettamente. Ho provato ad allegare qui un file JPG criptato di soli 198 Kb, ma non lo legge, e se modifico l'estensione, il forum lo carica, ma poi appare questa finestra: Request Entity Too Large The requested resource /newattachment.php does not allow request data with POST requests, or the amount of data provided in the request exceeds the capacity limit. |
11-07-2014, 22.16.14 | #18 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Ho solo altri computer più vecchi tutti INTEL con XP prof e non saprei come fare; se ho capito bene devo solo installare un S.O. su un altro computer che non sia Microsoft e nemmeno windows di altro tipo, tipo AMD?
|
11-07-2014, 22.35.51 | #19 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Questi sono i file messi in quarantena nella seconda scansione:
|
11-07-2014, 22.39.41 | #20 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Questi sono i file della terza scansione:
|
11-07-2014, 22.44.14 | #21 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Vedo che continui a fare scansioni inutili, .... e non hai ancora llegato un file .JPG come richiesto. Se non hai altri sistemi operartivi differenti da Windows installati, puoi usare "sul PC Infetto" un LiveCD basato Linux, e spostare "solo i file integri testati", su un hardisk esterno, fatto questo formatti tutto e installi exnovo il sistema operativo.
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
11-07-2014, 22.51.17 | #22 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Grazie dei consigli AMIGA, il problema è che il sistema del vostro forum non permette di allegare file JPG crittografati, come ho scritto sopra, se rinomino con estensione .jpg lo carica ma non lo pubblica ed appare la pagina che ho citato. Forse posso inviarlo via email, uso hotmail.
Linux l'ho sentito nominare tante volte ma non so come installarlo e usarlo, ma se dici che è utile posso provarci. Il mio obiettivo è ripristinare questo Sistema operativo ed eliminare quei due malware di cui ho il nome. Dove mi consigli di cercarli? fELcNaul.exe JtvfEBGz.exe |
11-07-2014, 23.23.39 | #23 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
HO TROVATO I DUE malware!
C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\JtvfEBGz.exe questo l'ho spostato nel cestino, e prima di eliminarlo ti chiedo se può servire inviartelo, invece il secondo non riesco a spostarlo nel cestino, anche se cerco di sbloccarlo con Unlocker non si sposta ed appar la finestrella che dice Impossibile eliminare ... accesso negato C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe Come posso eliminarlo? |
11-07-2014, 23.40.04 | #24 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Se tu immetti un nome file inesistente nella cartella dell'esecuzione automatica, Windows si avvierà comunque senza fornire alcun errore, pertanto il nome del file esegubile è del tutto fittizio e cambia in continuazione.
Quell'exe non è il virus, anzi, è un tentativo fuorviante. Tu devi identificare i processi attivi, vedere se ad uno di essi è connesso il processo incriminato (di solito si tratta di injection, ossia iniezione di codice malevolo all'interno dello spazio destinato all'esecuzione di un altro processo), dare un'occhiata ai servizi in esecuzione ed ai componenti aggiuntivi in uso *. Si tratta di operazioni che devono avvenire a computer avviato e più lo tieni acceso, più il virus compromette i tuoi files. Inoltre, il processo può cambiare il suo nome reale, cioè non essere identificato come ti induce a credere. L'esecuzione automatica è solo un modo tra i tanti e sicuramente ti induce a tenere acceso il pc a lungo, considerando che ti sei intestardito a cercare li. Non accedere all'hd con Windows avviato, come te lo dobbiamo dire ? Se l'algoritmo di cifratura in uso utilizza una password nota ed è reversibile, allora conoscendo l'algoritmo e la password, si può ripristinare il file, diversamente no. Il fatto che si sia ridotto di dimensioni, fa pensare che oltre al metodo di cifratura ce ne sia un altro di compressione, ma quei kb a me sembrano troppo pochi per recuperare un file immagine già compresso di suo. Lascia perdere, non intestardirti a cercare di eliminare il virus. Copiati i files integri e reinstalla, dopodichè fai più attenzione la prossima volta: I files .scr dovrebbero essere screen saver, ma disgraziatamente vengono gestiti come eseguibili. * nulla di tutto cio è possibile con i miseri mezzi messi a disposizione da Microsoft: Devi scaricare utilities apposite e poi devi conoscere come usarle. Toglimi solo una curiosità: Stai lavorando su un sistema simulato, ossia su macchina virtuale ?
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
11-07-2014, 23.55.16 | #25 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
I file che sono nei due HD sono tantissimi oltre 100.000 ed ormai sono stati crittografati quelli con le estensioni che ho citato, invece gli altri sono stati lasciati originali e si leggono: una cosa importante è che la dimensione dei file crittografati non è stata modificata e non è stato creata nessuna copia, almeno finora.
Ho trovato un altro fle.exe che è un processo attivo e non si può eliminare, ma l'ho spostato insieme all'altro attivo in una Nuova cartella, che però non si può cestinare! EwjdHPHfWO.exe Non so cosa significa sistema simulato, ho detto che ho Windows XP professional con licenza ed aggiornato, installato un anno e mezzo fa. Non posso permettermi di formattarlo, dobbiamo trovare il modo di eliminare altri file.exe attivi.. continuo a cercare. Se metto tali file in esecuzione dentro la cartella Quarantena possono essere bloccati? |
12-07-2014, 00.03.42 | #26 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Lo spostamento di un file eseguibile caricato in memoria in altra posizione non è possibile: Se ci sei riuscito, non era il virus che continua a prenderti in giro.
Ne troverai sempre nuovi di file .exe e non riuscirai a debellarlo: Lui è già attivo ancor prima che ti si presenti il desktop, inoltre si è assicurato un nuovo avvio ogni volta che aprirai i files con le estensioni non intaccate. Guarda caso, una sua logica ce l'ha...
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
12-07-2014, 00.12.29 | #27 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Questa è l'unica finestra di avviso di ZONEALARM che appare e non sparisce cliccando NEGA, e c'è scritto:
fELcNauI.exe sta cercando di modificare un driver o un servizio esistente: WUAUSERV se NEGO, riappare la stessa finestra ma con la parte finale cambiata: fELcNauI.exe sta cercando di modificare un driver o un servizio esistente: WSCSVC IL FILE fELcNauI.exe l'ho trovato e l'ho spostato nella nuova cartella, ma non posso spostarlo nel cestino DEVO trovare dov'è WUAUSERV e anche WSCSVC sai dove posso cercarli? |
12-07-2014, 00.22.51 | #28 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quei file anche se tu li cancelli saranno ricreati, ci sono delle copie nascoste che vanno a rimpiazzarli. Il file ".JPG" lo devi comprimere postare su un "Free File Hosting Upload" e poi allegarlo qui sul forum. Non necessita conoscere o saper installare Linux, devi usare solo un LiveCD o una LivePendrive, si tratta di sistemi preinstallati, per la creazione, basta solo scaricare la ISO e nasterizzarla su CD o su Pendriver (con particolari software), una volta generato il CD o scritto la Penrive, avviare con uno di questi il PC; QUI trovi centinaia di ISO (Distro Linux). Esistono comunque anche dei LiveCd basati Windows, ma in questo caso sono da costruire.
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
12-07-2014, 00.25.36 | #29 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Non è l' .exe il virus e ZONEALARM è fuorviato da un altro processo.
L'unica certezza è il tentativo di fare accesso al servizio segnalato preso in gestione dall' AV. Hai mai sentito parlare di dipendenze tra servizi e process (o dll) injection ? Qui, tu devi identificare il processo del malware ed eliminarlo non dalla memoria, bensì all'avvio del S.O.: devi impedirgli di essere riavvato col S.O e questo comporta tenere traccia dei processi attivi e delle interazioni con i servizi (che non tutti rimangono in ascolto su una determinata porta e protocollo, ma sono servizi) e le chiamate API di sistema alle quali fa accesso il S.O., bloccando quelle alle quali il virus vorrebbe fare accesso ogni volta che ne identifichi una e procedi a sanare... Solo dopo il riavvio e la procedura di pulizia del superfluo, tu potrai procedere a cercare di recuperare i files corrotti...forse. Io sto semplicemente dando una mano al virus, come fai tu, ma non è mia intenzione, come non è quella di borgata ed AMIGA. Più il PC rimane acceso e sotto Windows e tu non fai quel che dovresti, più il malware t'infetta...non so se è chiaro.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
12-07-2014, 00.28.49 | #30 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Ho Nero 11, ma escluderei la Penna USB perchè mi ispira poco.
L'elenco che mi hai inviato è vastissimo, AMIGA, quale scegliere? Grazie del tuo tentativo di aiutarmi LoryOne, ma non posso capire se scrivi con sigle che non conosco, pensando che io sappia tutto. AV. ? (o dll) injection?? |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
avrei bisogno di aiuto.....grazie | delfinaxx | Sicurezza&Privacy | 2 | 27-06-2013 16.02.21 |
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 | booty island | Windows 9x/Me/NT4/2000 | 1 | 27-11-2012 01.08.51 |
Imaging e Win Xp | Cico2000 | Windows 7/Vista/XP/ 2003 | 6 | 15-04-2005 20.01.01 |
Windows file protection:guida | Deuced | Windows 9x/Me/NT4/2000 | 7 | 16-03-2004 09.25.28 |