virus nel pc

[davidino85]

Bonjour!!!

è da ieri che il mio pc continua a dirmi "avg ha trovato un trojan"... si è infettato pure il mio pc che 2 balle!!!
faccio andare il signor avg e non risolve il problema... mi ricordo che mi era già capitato e leon mi aveva guarito pure da questo
c'era tipo 1 sito che faceva anche da antivirus possibile???
leon ti ricordi come mi avevi detto di fare per caso???
che poi stavolta lo segno nei preferiti e siamo a posto

grazieeeeeeeeeeeeeeeeeeeeeeee
bacini
D

ps: l'alternativa è cacciare del reyataz nelle porte usb?

[Leon]

Onestamente, non ricordo di aver mai aiutato, qui dentro, né te né nessun altro per una questione del genere (ma è assai probabile che questo dipenda dal virus che ho da decine d'anni anche nel cervello).

Comunque, un trojan nudo e crudo non è di solito particolarmente rognoso da togliere (ma se già comincia a essere un "dropper", il discorso cambia...). Quello di cui ho tassativo bisogno per tentare di darti una mano è che tu:
- apra l'interfaccia utente dell'AVG
- vada alla voce "Log cronologia eventi" (o anche "Quarantena virus", casomai qualche copia del trojan sia stata spostata lì dentro dall'AVG) del menù "Cronologia"
- mi riporti ALLA LETTERA le informazioni che trovi nella riga relativa al rilevamento di questo trojan (fai clic DESTRO/"Copia negli appunti" e poi incolla nel messaggio di risposta a questo.


P.S. A proposito di messaggi, cancella il doppione!

[davidino85]

ups... ho notato il doppione solo ora!!!
adesso mi tocca scappare a lavorare... stasera quando rientro provo a vedere quelle cose in avg (non sarà semplice ma farò del mio meglio )

grazie leeeeoooooon

cmq sono sicuro al 100% che qualche anno fa tu mi abbia dato un link che mi ha salvato il pc da un altro superattacco di virus!! ma xke ne prendo sempre?? ho il mio signor antivirus ma evidentemente non basta!!!!!

grazie infinite
baci

[Tarek]

Onestamente, non ricordo di aver mai aiutato, qui dentro, né te né nessun altro per una questione del genere (ma è assai probabile che questo dipenda dal virus che ho da decine d'anni anche nel cervello).

il tuo altruismo ti fa dimenticare quanto aiuto dai

[skydrake]

Finche il virus viene individuato i problemi non sono grossi. Quest'ultimi ci sono quando ci sono e hanno già fatto fuori il tuo antivirus e e tutto in apparenza sembra normale.
Consiglio: per essere sicuro di rimuovere rutto, disinstalla l'antivirus e, subito dopo SENZA RIAVVIARE IL PC, reinstalla l'antivirus, aggiornalo e fai una scansione completa. L'antivirus reinstallato di fresco dovrebbe essere esente da eventuali manomissioni dei virus (i virus peggiori lo fanno). Attenzione a non riavviare il PC senza un antivirus installato: se un pc è già parzialmente compromesso le cose peggiori capitano al riavvio

[Tarek]

Quest'ultimi ci sono quando ci sono e hanno già fatto fuori il tuo antivirus e e tutto in apparenza sembra normale.

m'hai fatto ricordare del virus hIv+ negli asintomatici, chissá perché!

[davidino85]

ok sono qui... nel log cronologia eventi ci sono solo gli update e quando ha fatto i controlli e quando l'ho bloccato xke mi rallentava il pc

nel virus vault c'è di ogni:
trojan horse Sheur4.ahus. di questi ce ne sono 6 in data di ieri
trojan horse generic6_c.brx 9 giugno
e poi ci sono 1 sacco di Found_tracking cookie in date precedenti...

[Leon]

nel virus vault c'è di ogni:
trojan horse Sheur4.ahus. di questi ce ne sono 6 in data di ieri
trojan horse generic6_c.brx 9 giugno
e poi ci sono 1 sacco di Found_tracking cookie in date precedenti...

L'imputato è pressoché sicuramente il trojan SHeur4.AHUS. Notavo però che l'AVG ha cominciato a rilevarlo SOLO con l'aggiornamento 5072, emesso venerdì scorso, 15 giugno, alle ore 23,15 (di chissà quale fuso orario!) e da te installato non so quando, ma certo non prima che uscisse! Questo solo per dire che quel trojan qui magari ce l'hai da quel dì, anche se l'AVG ha cominciato a "fartelo notare" solo ieri, e che quindi il "metodo spiccio", per esempio, di fare un "Ripristino configurazione di sistema" relativo a una data precedente quasi certamente non risolverebbe il problema.

Perciò, bisogna andare un po' più "di fino" e, a questo scopo, ho necessità che mi riporti il contenuto della TERZA colonna ("Percorso del file") relativa alle righe (6, mi dici) della cronologia del virus vault che si riferiscono a questo SHeur4.AHUS (naturalmente, se tale contenuto è uguale per tutte e 6 le righe, basta che lo riporti una volta!!!).
Casomai (e facilmente sarà così) non riuscissi a vedere interamente il contenuto della colonna "Percorso del file", basta che ti posizioni con il mouse al confine tra l'intestazione (= primissima riga) di tale colonna e quella della successiva ("Nome oggetto") e, tenendo premuto il tasto sinistro, la "tiri" verso destra, allargandola finché sei sicuro di vederne interamente il contenuto.

[davidino85]

C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\ecl.tbc.tetrisfb.com\data1.18.0\takeown.exe
C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\static.wix.com\mmc.exe
C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\www.expressen.se\static\swf\hdwwiz.exe

gli altri 3 sono uguali:

C:\users\mionomemiocognome\appdata\roaming\skype\mionomemiocognome\voicemail\plasrv.exe

effettivamente skype l'ho installato la settimana scorsa!!!!

stanotte ho fatto riandare l'antivirus a vedere se sistemava tutto... ha trovato una marea di trackingcookie...

la prossima mossa??

grazie ancora leon!

[Leon]

C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\ecl.tbc.tetrisfb.com\data1.18.0\takeown.exe
C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\static.wix.com\mmc.exe
C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\www.expressen.se\static\swf\hdwwiz.exe

gli altri 3 sono uguali:

C:\users\mionomemiocognome\appdata\roaming\skype\mionomemiocognome\voicemail\plasrv.exe

effettivamente skype l'ho installato la settimana scorsa!!!!

Ecco, Skype, se non si è più che prudenti e si comincia a usare alla leggera funzionalità tipo scambio file, è uno dei software più sicuri... per riempirsi il PC di malware!!!

Come primo tentativo, fai così:
- crea un punto di ripristino (da "pannello di controllo" -> ripristino configurazione), chiamandolo, per dire, "con trojan SHeur4.AHUS".
- poi riavvia il computer e, appena dopo le schermate del BIOS, batti il tasto F8 (se non sei ben sicuro del momento giusto, comincia a batterlo velocissimamente a ripetizione appena passata la prima schermata dopo il riavvio)
- ti apparirà così una schermata in formato testo con varie opzioni; tu, spostandoti su e giù con i tasti freccia, scegli quella che si chiama, più o meno (al momento non ho sotto mano un Windows 7 64 bit, che mi sembra di aver capito sia il tuo sistema operativo) "Modalità provvisoria con prompt dei comandi" e poi batti il tasto Invio
- una volta arrivato al prompt (una scritta tipo "C:\qualcosa>" seguita da un cursorino orizzontale intermittente) batti i seguenti quattro comandi, battendo dopo CIASCUNO il tasto Invio:

REN "C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\ecl.tbc.tetrisfb.com\data1.18.0\takeown.exe" *.EX_

REN "C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\static.wix.com\mmc.exe" *.EX_

REN "C:\users\mionomemiocognome\appdata\roaming\macromedia\flashplayer\#sharedobjects\5ax2g556\www.expressen.se\static\swf\hdwwiz.exe" [/spazio]*.EX_

REN "C:\users\mionomemiocognome\appdata\roaming\skype\mionomemiocognome\voicemail\plasrv.exe" *.EX_

(OCCHIO, oltre a ricordarti di sostituire "mionomemiocognome" con la corrispondente stringa reale, di battere ciascuno dei 4 comandi senza ritorni a capo piuttosto che spazi dove vedi interruzioni di riga in questo messaggio - al limite ci vanno loro da solo, ma questo non importa). (*)

Fatto questo (e se non hai mai ricevuto errori relativi a attributi o permenssi dopo aver battuto il tasto Invio), riavvia il computer e vedi:
1) se "protesta" perché non trova qualche file
2) se l'AVG non ti segnala più la presenza del trojan.

Fai sapere!


(*) In poche parole, ciascun comando è così composto:
- REN
- uno spazio
- virgolette
- uno dei percorsi/nomefile che mi hai riportato
- virgolette
- uno spazio
- *.EX_