Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Virus

Notices

Rispondi
 
Strumenti discussione
Vecchio 11-07-2014, 21.50.41   #16
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Stai continuando ad usare il PC peggiorando la situazione, le scansioni non servono a nulla, i file non sono infetti ma criptati, nessun antivirus bloccherà questo ciclo, devi fermarti e fare quanto consigliato.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 11-07-2014, 21.51.25   #17
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Poi si apre di nuovo l'avviso di ZONEALARM
comportamento sospetto

fELcNaul.exe sta cercando di impostare 'RdslmJeE' in modo che venga eseguito all'avvio del computer

HO NEGATO, ma come la prima volta continua perennemente a riaprirsi tale avviso, anche se ho riavviato il pc.

Fra i malware c'era anche quello fra i programmi di avvio:
Esecuzione Automatica\JtvfEBGz.exe

L'ho disabilitato, ma al riavvio del computer è di nuovo abilitato. Però il computer si avvia perfettamente.

Ho provato ad allegare qui un file JPG criptato di soli 198 Kb, ma non lo legge, e se modifico l'estensione, il forum lo carica, ma poi appare questa finestra:
Request Entity Too Large
The requested resource
/newattachment.php
does not allow request data with POST requests, or the amount of data provided in the request exceeds the capacity limit.
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 22.16.14   #18
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho solo altri computer più vecchi tutti INTEL con XP prof e non saprei come fare; se ho capito bene devo solo installare un S.O. su un altro computer che non sia Microsoft e nemmeno windows di altro tipo, tipo AMD?
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 22.35.51   #19
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Questi sono i file messi in quarantena nella seconda scansione:

Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 22.39.41   #20
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Questi sono i file della terza scansione:

Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 22.44.14   #21
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Vedo che continui a fare scansioni inutili, .... e non hai ancora llegato un file .JPG come richiesto. Se non hai altri sistemi operartivi differenti da Windows installati, puoi usare "sul PC Infetto" un LiveCD basato Linux, e spostare "solo i file integri testati", su un hardisk esterno, fatto questo formatti tutto e installi exnovo il sistema operativo.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 11-07-2014, 22.51.17   #22
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Grazie dei consigli AMIGA, il problema è che il sistema del vostro forum non permette di allegare file JPG crittografati, come ho scritto sopra, se rinomino con estensione .jpg lo carica ma non lo pubblica ed appare la pagina che ho citato. Forse posso inviarlo via email, uso hotmail.
Linux l'ho sentito nominare tante volte ma non so come installarlo e usarlo, ma se dici che è utile posso provarci.
Il mio obiettivo è ripristinare questo Sistema operativo ed eliminare quei due malware di cui ho il nome. Dove mi consigli di cercarli?

fELcNaul.exe

JtvfEBGz.exe
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 23.23.39   #23
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

HO TROVATO I DUE malware!

C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\JtvfEBGz.exe
questo l'ho spostato nel cestino, e prima di eliminarlo ti chiedo se può servire inviartelo, invece il secondo non riesco a spostarlo nel cestino, anche se cerco di sbloccarlo con Unlocker non si sposta ed appar la finestrella che dice Impossibile eliminare ... accesso negato
C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe

Come posso eliminarlo?
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 23.40.04   #24
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Se tu immetti un nome file inesistente nella cartella dell'esecuzione automatica, Windows si avvierà comunque senza fornire alcun errore, pertanto il nome del file esegubile è del tutto fittizio e cambia in continuazione.
Quell'exe non è il virus, anzi, è un tentativo fuorviante.
Tu devi identificare i processi attivi, vedere se ad uno di essi è connesso il processo incriminato (di solito si tratta di injection, ossia iniezione di codice malevolo all'interno dello spazio destinato all'esecuzione di un altro processo), dare un'occhiata ai servizi in esecuzione ed ai componenti aggiuntivi in uso *. Si tratta di operazioni che devono avvenire a computer avviato e più lo tieni acceso, più il virus compromette i tuoi files.
Inoltre, il processo può cambiare il suo nome reale, cioè non essere identificato come ti induce a credere. L'esecuzione automatica è solo un modo tra i tanti e sicuramente ti induce a tenere acceso il pc a lungo, considerando che ti sei intestardito a cercare li.
Non accedere all'hd con Windows avviato, come te lo dobbiamo dire ?
Se l'algoritmo di cifratura in uso utilizza una password nota ed è reversibile, allora conoscendo l'algoritmo e la password, si può ripristinare il file, diversamente no.
Il fatto che si sia ridotto di dimensioni, fa pensare che oltre al metodo di cifratura ce ne sia un altro di compressione, ma quei kb a me sembrano troppo pochi per recuperare un file immagine già compresso di suo.
Lascia perdere, non intestardirti a cercare di eliminare il virus.
Copiati i files integri e reinstalla, dopodichè fai più attenzione la prossima volta: I files .scr dovrebbero essere screen saver, ma disgraziatamente vengono gestiti come eseguibili.

* nulla di tutto cio è possibile con i miseri mezzi messi a disposizione da Microsoft: Devi scaricare utilities apposite e poi devi conoscere come usarle.
Toglimi solo una curiosità: Stai lavorando su un sistema simulato, ossia su macchina virtuale ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 11-07-2014, 23.55.16   #25
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

I file che sono nei due HD sono tantissimi oltre 100.000 ed ormai sono stati crittografati quelli con le estensioni che ho citato, invece gli altri sono stati lasciati originali e si leggono: una cosa importante è che la dimensione dei file crittografati non è stata modificata e non è stato creata nessuna copia, almeno finora.

Ho trovato un altro fle.exe che è un processo attivo e non si può eliminare, ma l'ho spostato insieme all'altro attivo in una Nuova cartella, che però non si può cestinare! EwjdHPHfWO.exe

Non so cosa significa sistema simulato, ho detto che ho Windows XP professional con licenza ed aggiornato, installato un anno e mezzo fa.

Non posso permettermi di formattarlo, dobbiamo trovare il modo di eliminare altri file.exe attivi.. continuo a cercare. Se metto tali file in esecuzione dentro la cartella Quarantena possono essere bloccati?
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.03.42   #26
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Lo spostamento di un file eseguibile caricato in memoria in altra posizione non è possibile: Se ci sei riuscito, non era il virus che continua a prenderti in giro.
Ne troverai sempre nuovi di file .exe e non riuscirai a debellarlo: Lui è già attivo ancor prima che ti si presenti il desktop, inoltre si è assicurato un nuovo avvio ogni volta che aprirai i files con le estensioni non intaccate. Guarda caso, una sua logica ce l'ha...
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.12.29   #27
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Questa è l'unica finestra di avviso di ZONEALARM che appare e non sparisce cliccando NEGA, e c'è scritto:

fELcNauI.exe sta cercando di modificare un driver o un servizio esistente: WUAUSERV

se NEGO, riappare la stessa finestra ma con la parte finale cambiata:

fELcNauI.exe sta cercando di modificare un driver o un servizio esistente: WSCSVC

IL FILE fELcNauI.exe l'ho trovato e l'ho spostato nella nuova cartella, ma non posso spostarlo nel cestino

DEVO trovare dov'è WUAUSERV e anche WSCSVC

sai dove posso cercarli?
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.22.51   #28
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quei file anche se tu li cancelli saranno ricreati, ci sono delle copie nascoste che vanno a rimpiazzarli. Il file ".JPG" lo devi comprimere postare su un "Free File Hosting Upload" e poi allegarlo qui sul forum. Non necessita conoscere o saper installare Linux, devi usare solo un LiveCD o una LivePendrive, si tratta di sistemi preinstallati, per la creazione, basta solo scaricare la ISO e nasterizzarla su CD o su Pendriver (con particolari software), una volta generato il CD o scritto la Penrive, avviare con uno di questi il PC; QUI trovi centinaia di ISO (Distro Linux). Esistono comunque anche dei LiveCd basati Windows, ma in questo caso sono da costruire.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.25.36   #29
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Non è l' .exe il virus e ZONEALARM è fuorviato da un altro processo.
L'unica certezza è il tentativo di fare accesso al servizio segnalato preso in gestione dall' AV.
Hai mai sentito parlare di dipendenze tra servizi e process (o dll) injection ?
Qui, tu devi identificare il processo del malware ed eliminarlo non dalla memoria, bensì all'avvio del S.O.: devi impedirgli di essere riavvato col S.O e questo comporta tenere traccia dei processi attivi e delle interazioni con i servizi (che non tutti rimangono in ascolto su una determinata porta e protocollo, ma sono servizi) e le chiamate API di sistema alle quali fa accesso il S.O., bloccando quelle alle quali il virus vorrebbe fare accesso ogni volta che ne identifichi una e procedi a sanare...
Solo dopo il riavvio e la procedura di pulizia del superfluo, tu potrai procedere a cercare di recuperare i files corrotti...forse.
Io sto semplicemente dando una mano al virus, come fai tu, ma non è mia intenzione, come non è quella di borgata ed AMIGA.
Più il PC rimane acceso e sotto Windows e tu non fai quel che dovresti, più il malware t'infetta...non so se è chiaro.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.28.49   #30
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho Nero 11, ma escluderei la Penna USB perchè mi ispira poco.
L'elenco che mi hai inviato è vastissimo, AMIGA, quale scegliere?

Grazie del tuo tentativo di aiutarmi LoryOne, ma non posso capire se scrivi con sigle che non conosco, pensando che io sappia tutto. AV. ? (o dll) injection??
Andrea60 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
avrei bisogno di aiuto.....grazie delfinaxx Sicurezza&Privacy 2 27-06-2013 16.02.21
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 booty island Windows 9x/Me/NT4/2000 1 27-11-2012 01.08.51
Imaging e Win Xp Cico2000 Windows 7/Vista/XP/ 2003 6 15-04-2005 20.01.01
Windows file protection:guida Deuced Windows 9x/Me/NT4/2000 7 16-03-2004 09.25.28

Orario GMT +2. Ora sono le: 22.22.47.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.