Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Virus

Notices

Rispondi
 
Strumenti discussione
Vecchio 12-07-2014, 00.30.58   #31
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

COSA NE DITE DI PROVARE anche con adwcleaner ???
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.35.30   #32
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Non devi provare più nulla adesso, prima recupera i file, come distro prova Puppy Linux
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.38.55   #33
xilo76
Forum supporter
Global Moderator
 
Registrato: 23-08-2007
Messaggi: 2.704
xilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tutti
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Qui http://www.removethisvirus.com/remov...kelihos-virus/ dice di usare anche adwcleaner, junk removal tool e hitman pro
xilo76 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.41.46   #34
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Conosco poco l'inglese ed il sito è tutt in inglese, ma so scaricare il file di Puppy Linux, solo che devo sapere se tale Linux è anche in italiano?
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.43.12   #35
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho anche installato Registry Cleaner!
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.44.48   #36
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
Grazie del tuo tentativo di aiutarmi LoryOne, ma non posso capire se scrivi con sigle che non conosco, pensando che io sappia tutto. AV. ? (o dll) injection??
Figurati.
Per rimuovere un malware bisogna conoscere come agisce e spesso si prova cio che non serve, magari pensando che provando una lista innumerevole di antimalware si raggiunga lo scopo: Tu hai commesso un errore madornale, pure con un AV (AntiVirus) installato...Non c'è tanto da ridere, però se ti serve per sdrammatizzare...Cio che mi preoccupa è che non so se tu segnalerai alla polizia o meno, perchè quel virus può creare danno anche ad altri nelle tue identiche condizioni.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.47.12   #37
xilo76
Forum supporter
Global Moderator
 
Registrato: 23-08-2007
Messaggi: 2.704
xilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tutti
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
Conosco poco l'inglese ed il sito è tutt in inglese
Dice semplicemente di scaricare e usare adwcleaner, junk removal tool e hitman pro.
Tutti e tre sono quasi del tutto automatici, nulla di difficile.
L'importante è scaricarli dai loro siti originali.
xilo76 non è collegato   Rispondi citando
Vecchio 12-07-2014, 00.50.49   #38
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Grazie Xilo, mi riferivo alla citazione di AMIGA nel sito che mi ha consigliato, e l'ho anche citato come Linux.
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 01.09.03   #39
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

PERFETTO, ho aggiornato adwcleaner e poi ho scansionato tutto e dopo avere riavviato non si apre più nessun avviso di Z.Alarm.
INOLTRE ho potuto cestinare anche i due file attivi, che fra l'altro non ricompaiono più nell'elenco di avvio:

ECCO L'ELENCO DI AdwCleaner v3.215:

Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 02.22.11   #40
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho anche scaricato e installato Junk Removal Tool e poi HitmanPro, e con diverse scansioni ho eliminato tantissimi altri file sospetti.
Grazie a tutti, in particolare a Xilo76.

Ora mi rimane solo da scoprire come ripristinare tutti i file nella loro estensione originale.

Ho cercato di allegare il file log di HitmanPro, ma è troppo lungo e non lo accetta come SPOILER; allego solo la prima parte, nel caso possa servire ad altri con lo stesso problema.
Codice:
HitmanPro 3.7.9.220
   Computer name . . . . : INTEL2013
   Windows . . . . . . . : 5.1.3.2600.X86/2
   User name . . . . . . : INTEL2013\INTEL-2013
   License . . . . . . . : Trial (29 days left)
   Scan date . . . . . . : 2014-07-12 00:47:36
   Scan mode . . . . . . : EWS
   Scan duration . . . . : 3m 55s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes
   Threats . . . . . . . : 8
   Traces  . . . . . . . : 279
   Objects scanned . . . : 866.976
   Files scanned . . . . : 45.858
   Remnants scanned  . . : 217.079 files / 604.039 keys

Malware _____________________________
   C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Creen eyes of little girls.scr -> Deleted
      Size . . . . . . . : 530.812 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : E969A6AC40A1C494C047F6057473A10308FCC4A5DDE695510D5DD9940D96273D
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.1s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\porno1.zip.enc.rtf
         -21.0s C:\Documents and Settings\INTEL-2013\Recent\porno1.zip.lnk
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.3s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Sweet oriental babe first time sex.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Teen and dog.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Perverted parents fuck his GF.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Young anal and ass to pussy.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Deep in crazy ass.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Creen eyes of little girls.scr

   C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Deep in crazy ass.scr -> Quarantined
      Size . . . . . . . : 433.508 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : B6B6680788B44F1027D1DCE43A313DE5AC6BB7BC8C407F623EB70A1F098B5082
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.1s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\porno1.zip.enc.rtf
         -21.0s C:\Documents and Settings\INTEL-2013\Recent\porno1.zip.lnk
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.3s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Sweet oriental babe first time sex.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Teen and dog.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Perverted parents fuck his GF.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Young anal and ass to pussy.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Deep in crazy ass.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Creen eyes of little girls.scr

   C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Perverted parents fuck his GF.scr -> Deleted
      Size . . . . . . . : 486.316 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : E28EAACCA6864C46ECD0200B777C5F5228CD461009865F8528C04CE1C33C8DF5
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\porno1.zip.enc.rtf
         -21.0s C:\Documents and Settings\INTEL-2013\Recent\porno1.zip.lnk
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.2s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Sweet oriental babe first time sex.scr
         -0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Teen and dog.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Perverted parents fuck his GF.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Young anal and ass to pussy.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Deep in crazy ass.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Creen eyes of little girls.scr

   C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Sweet oriental babe first time sex.scr -> Deleted
      Size . . . . . . . : 474.328 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : 44EDAEB8140180961346266BDC7E0BB3AE6690CF4D4966A7750B56025B6FD276
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\porno1.zip.enc.rtf
         -21.0s C:\Documents and Settings\INTEL-2013\Recent\porno1.zip.lnk
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.2s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Sweet oriental babe first time sex.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Teen and dog.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Perverted parents fuck his GF.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Young anal and ass to pussy.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Deep in crazy ass.scr
          0.0s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Creen eyes of little girls.scr

   C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\Teen and dog.scr -> Deleted
      Size . . . . . . . : 419.680 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : 3C3C3AC4DC91A4DC84384A1B8CA5FB6FF58D88A43428BDA0C2B5A090D0582AC4
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.2s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\
        
      Size . . . . . . . : 351.296 bytes
      Age  . . . . . . . : 2.0 days (2014-07-10 00:31:48)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : ADA2124DE42E3AF82D5107B6DCAB57378AFA4D23C4358C1853958BDB78FFB1D5
    > Bitdefender  . . . : Gen:Variant.Strictor.58931
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -21.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Cronologia\History.IE5\MSHist012014071020140711\index.dat
         -7.2s C:\Documents and Settings\INTEL-2013\Documenti\Immagini\VIRUS\


   C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\ViewPassword_1030-8002.exe -> Quarantined
      Size . . . . . . . : 1.627.956 bytes
      Age  . . . . . . . : 27.5 days (2014-06-14 13:54:29)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : C6BC856669E44AA8408C8D7863200538DF185105D671379E90DE0F26D5B3C1C8
    > Bitdefender  . . . : Gen:Variant.Adware.Graftor.144858
      Fuzzy  . . . . . . : 114.0
      Forensic Cluster
         -25.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\A0020011.lnk
         -2.7s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\GenesisInstaller.exe
          0.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\ViewPassword_1030-8002.exe
          0.8s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024977.exe
          0.9s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024975.dll
          0.9s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024980.exe
          0.9s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024978.exe
          0.9s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024982.exe
          0.9s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024979.dll
          3.4s C:\AdwCleaner\Quarantine\C\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.default-1385792483703\user.js.vir
          3.8s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024981.ini
         19.8s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\netlog.txt
         29.1s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\VOPackage.exe
         29.8s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\b
         32.1s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\speedupmypc_IT_1303-a710359c.exe
         36.2s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP112\A0020008.dll
         36.3s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP112\A0020009.dll
         36.3s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP112\A0020010.dll
         40.6s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\Setup Log 2014-06-14 #001.txt
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.2
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.3
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.4
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.1
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\rp.log
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.5
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\change.log.5
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\
         41.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_NTUSER_S-1-5-18
         41.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_NTUSER_S-1-5-19
         41.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-19
         41.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_NTUSER_S-1-5-20
         41.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-20
         41.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-1606980848-861567501-725345543-1003
         42.5s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-1606980848-861567501-725345543-1003
         42.5s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-1606980848-861567501-725345543-1008
         42.6s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-1606980848-861567501-725345543-1008
         42.6s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_USER_.DEFAULT
         42.6s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_MACHINE_SECURITY
         42.6s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_MACHINE_SOFTWARE
         42.6s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_MACHINE_SOFTWARE
         44.3s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_MACHINE_SYSTEM
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\_REGISTRY_MACHINE_SAM
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP112\drivetable.txt
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\ComDb.Dat
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\domain.txt
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\$WinMgmt.CFG
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\INDEX.BTR
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\INDEX.MAP
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\MAPPING.VER
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\MAPPING1.MAP
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\MAPPING2.MAP
         44.7s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\OBJECTS.DATA
         45.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\RestorePointSize
         45.1s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP113\snapshot\Repository\FS\OBJECTS.MAP
         47.1s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\LBubble Dock.txt
         47.1s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\LBubble Dock.txt
         49.5s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\Bubble Dock.txt
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\_1EA4DBF0_3C3B_11CF_810C_00AA00389B71_0_1_1.py
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\_00020430_0000_0000_C000_000000000046_0_2_0.py
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\_00020430_0000_0000_C000_000000000046_0_2_0.pyo
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\stdole.py
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\stdole.pyo
         49.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\_1EA4DBF0_3C3B_11CF_810C_00AA00389B71_0_1_1.pyo
         50.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\Accessibility.py
         50.0s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\comtypes_cache\sump-27\Accessibility.pyo
         57.9s C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\heu39T.nss
         63.0s C:\AdwCleaner\Quarantine\C\Documents and Settings\INTEL-2013\Dati applicazioni\VOPackage\Uninstall.exe.vir
         63.0s C:\AdwCleaner\Quarantine\C\Documents and Settings\INTEL-2013\Dati applicazioni\VOPackage\Uninstall.exe.vir
         63.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP136\A0024930.exe
         63.0s C:\AdwCleaner\Quarantine\C\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\VOPackage\Configure.lnk.vir

   C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024963.exe -> Deleted
      Size . . . . . . . : 351.604 bytes
      Age  . . . . . . . : 2.2 days (2014-07-09 20:13:34)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : CCAF74280220F3F8DEE72DDB1887C776BCDB0B3FC76686882BC93FEF9B387193
    > Bitdefender  . . . : Trojan.GenericKD.1751007
    > Kaspersky  . . . . : Trojan.Win32.Agent.icss
      Fuzzy  . . . . . . : 122.0
      Forensic Cluster
         -0.1s C:\WINDOWS\Prefetch\FELCNAUI.EXE-1ECD4D1C.pf
         
          0.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024963.exe
          0.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024963.exe
          0.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024963.exe
          0.0s C:\System Volume Information\_restore{E248C785-03B4-4A6F-B7B2-9CE2E3F5E86B}\RP137\A0024963.exe


Suspicious files _____________

   C:\Programmi\Decoz Numerology\Dcw.exe -> Quarantined
      Size . . . . . . . : 1.907.258 bytes
      Age  . . . . . . . : 421.4 days (2013-05-16 14:02:37)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 87A75AAC5FDC76E2B9E2A00C73B2DB25D660051086D522CC1C89CB588EA2B776
      Fuzzy  . . . . . . : 35.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         The Entry Point of this file lies in a resource section. This is an indication of malware infection.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
      References
         C:\Documents and Settings\INTEL-2013\Desktop\DECOZ.lnk

Ultima modifica di VincenzoGTA : 12-07-2014 alle ore 09.40.24
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 02.33.42   #41
xilo76
Forum supporter
Global Moderator
 
Registrato: 23-08-2007
Messaggi: 2.704
xilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tutti
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ottimo.
Hai eliminato decoz numerology?
E dove lo hai trovato?
xilo76 non è collegato   Rispondi citando
Vecchio 12-07-2014, 03.22.02   #42
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho tagliato le parti ripetitive inutili, vedi se ora lo SPOILER lo accetta altrimenti taglia altre fasi ripetitive del log.
Riguardo la pulizia degli ottimi strumenti come AdWare e Junk Removal Tool, al momento sono inutili perchè il danno è stato già fatto, e queste fasi di criptazione continua ad agire, oltre alle estensioni che tu credi siano state colpite, sicuramente ci saranno anche file del sistema corrotti, devi salvare il salvabile quanto prima e poi formattare tutto, a mio avviso quel sistema ormai è cotto.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 12-07-2014, 06.54.25   #43
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da xilo76 Visualizza messaggio
Ottimo.
Hai eliminato decoz numerology?
E dove lo hai trovato?

"Decoz nnumerology" non mi ero accorto che non è più fra i programmi installati, c'è però tutta la cartella con i suoi file integri e sono criptati solo i pochi file .pdf e .rtf; potrei installarlo di nuovo, ma non lo uso mai, dato che è tutto inglese ed inoltre ci sono programmi simili in italiano, come Numéyoga PRO 4.8 che è ancora installato, ma non si apre perchè è scaduto il periodo di prova.

Stanotte ho lasciato acceso il pc ed adesso ho fatto altre due scansioni con Malwarebytes Anti-Malware: Non sono stati rilevati elementi nocivi! Il file log è completamente vuoto.
Inoltre ho provato a scaricare un file .JPG e salvare un nuovo file .Doc di prova, e stavolta rimangono intatti, significa che il processo si è fermato!!
Ho provato ad aprire uno dei file JPG criptati, ed appare di nuovo la pagina con la scritta in 3 lingue del malware:



Ho provato anche a rinominare l'estensione di tale file JPG, che come tutti gli altri criptati è diventato di sola lettura, ed ora appare l'immagine come anteprima, ma se la clicco non si apre ed appare l'avviso "Non si conosce in che modo leggere......"

VADO AVANTI fino a quando non trovo il modo di ripristinare l'estensione originale dei file criptati.
POI andrò a presentare la querela dettagliata alla Polizia postale, che almeno serva per fermare questo pazzo delinquente che ha creato tale malware, sperando che si riesca a rintracciarlo, ma ho il link del sito dove proviene quel file con estensione .scr , che credevo fosse un nuovo tipo di video e ne avevo tenuto una copia in una "nuova cartella", ma ora la cartella è vuota, evidentemente è stato messo in quarantena oppure eliminato dai software che ho usato per ripulire tutto il sistema operativo.
Andrea60 non è collegato   Rispondi citando
Vecchio 12-07-2014, 08.31.58   #44
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
Stanotte ho lasciato acceso il pc ed adesso ho fatto altre due scansioni con Malwarebytes Anti-Malware: Non sono stati rilevati elementi nocivi! Il file log è completamente vuoto.
Continui a fare cose inutili
Quota:
Ho provato ad aprire uno dei file JPG criptati, ed appare di nuovo la pagina con la scritta in 3 lingue del malware:
Rimarranno così per sempre
Quota:
VADO AVANTI fino a quando non trovo il modo di ripristinare l'estensione originale dei file criptati.
Rassegnati non lo troverai mai perchè "non esiste" il decriptatore, l'autore non aveva nessun motivo per crearlo altrimenti non sarebbe stata più una truffa.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 12-07-2014, 10.58.23   #45
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Andrea60, noi non possiamo aiutarti se continui a fare di testa tua.

Secondo me non riuscirai a recuperare quei file, ma qualora fosse possibile quello che devi fare è individuare l'esatta versione del maleware che ti sei beccato e cercare in rete se è stata creata una soluzione ad hoc per recuperare i file (sempre che questi siano stati criptati e non semplicemente sostituiti).
Questo ovviamente nell'ipotesi che chi ha realizzato il maleware l'abbia fatto poco aggressivo (per esempio usando un algoritmo di cifratura semplice o superato, oppure abbia usato sempre la stessa chiave che è ormai nota, ecc...).
Come intuirai, tutto questo è poco probabile.

Non hai poi spiegato che problema ci sarebbe nel rinstallare un sistema pulito. Senza dubbio impiegheresti molto meno tempo rispetto al cercare di ripulire il sistema dal maleware, e otterresti un risultato molto più sicuro e pulito.

Per la prossima volta: immagini di sistema per il ripristino, backup dei dati in almeno due posizioni, non cliccare "permetti" quando non sei assolutamente sicuro di quel che stai facendo.
E con questo chiudo.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
avrei bisogno di aiuto.....grazie delfinaxx Sicurezza&Privacy 2 27-06-2013 16.02.21
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 booty island Windows 9x/Me/NT4/2000 1 27-11-2012 01.08.51
Imaging e Win Xp Cico2000 Windows 7/Vista/XP/ 2003 6 15-04-2005 20.01.01
Windows file protection:guida Deuced Windows 9x/Me/NT4/2000 7 16-03-2004 09.25.28

Orario GMT +2. Ora sono le: 22.20.04.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.