Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Oggetto nascosto. Che cosa è??

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Oggetto nascosto. Che cosa è??

Postdi robyfuma » 04/01/11 08:19

La scorsa settimana il mio antivirus ha rilevato due malware con tutti i problemi che poi ne conseguono. Riverside è stato veramente "GRANDE" mi ha ripulito il pc e colgo l'occasione per ringraziarlo nuovamente. Vi scrivo perchè Avira nelle sue scansioni giornaliere mi rileva: 1 oggetto nascosto, senza specificarne il percorso. Essendo molto imbranata ma anche curiosa ho iniziato ha controllare nelle cartelle più ovvie e in programmi ho trovato la descrizione di un file al quale non si vede la cartella, apro le proprietà: nome:RMPly.00.exe tipo file:Applicazione Descrizione:IstallMonetizer Percorso: C:\Programmi ecc.ecc.. Apro google e trovo risposte del tipo: Applicazione mobile, mira a tenere traccia di spese giornaliere. Non ho mai scaricato un programma del genere e soprattutto mi preoccupa quello che potrebbe fare. C'è qualcuno che possa aiutarmi?
Grazie di cuore e buon anno.
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Sponsor
 

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 04/01/11 08:42

Ciao Roby, individua nuovamente quel RMPly.00.exe e fallo analizzare su Virustotal
Al termine della analisi allega il link al report.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 04/01/11 10:55

Ciao Riverside felice di risentirti, ti allego link
http://www.virustotal.com/file-scan/rep ... 294134366#
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 04/01/11 11:34

Ok la Roby, come pensavo quel file è legittimo (è roba che viene installata con la Microsoft toolbar).
Per il file nascosto che rileva Avira (una cosa che avevo già notato in occassione della fase di assistenza precedente), direi che non ti devi preoccupare: non si tratta di un rootkit (altrimenti Combofix lo avrebbe evidenziato e ricordo di averti fatto fare anche quel controllo); molto spesso Avira rileva file nascosti che fanno riferimento a programmi legittimi (a volte rileva file nascosti che fanno riferimento a se stesso).
Quindi, a meno che tu non abbia notato dei problemi al computer, direi che è tutto nella norma ;)
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 04/01/11 12:44

Grazie, ora mi sento più tranquilla! ;)
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 14/03/11 00:27

Ciao a tutti,
dopo la consueta scansione con Malwarebytes' il log mi indica RMPly00.exe come Adware.Agent, falso positivo o altro?
Posto il log

Codice: Seleziona tutto
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6029

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/03/2011 9.02.31
mbam-log-2011-03-12 (09-02-31).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 257636
Tempo trascorso: 1 ore, 5 minuti, 18 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 4

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\programmi\RMPly00.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b2eb8106-3293-4803-9149-c2b3239da401}\RP10\A0000921.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b2eb8106-3293-4803-9149-c2b3239da401}\RP11\A0000975.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b2eb8106-3293-4803-9149-c2b3239da401}\RP63\A0006099.exe (Adware.Agent) -> Quarantined and deleted successfully.


Grazie a chiunque abbia la pazienza di rispondermi.
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 14/03/11 08:44

Ciao Roby

1) Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2) Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
riavvia il sistema, ripeti lo stesso passaggio e riattiva il Ripristino configurazione di sistema

3) aggiorna Malwarebytes e ripeti la scansione ed allega il log che verrà rilasciato.

Per allegare i log, utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 14/03/11 22:18

Ciao Riverside,
felice di risentirti.
Ecco il log, ti allego anche quello di Avira fatto dopo che Malvarebites' aveva trovato i file infetti e anche Avira mi segnala un TR/Trash.Gen'[trojan].

mbam-log-2011-03-14 (21-11-06).txt

AVSCAN-20110312-105111-0D8D535B.LOG

Ti lascio a questo rompicapo e ti ringrzio
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 15/03/11 07:56

Roberta, la scansione con Avira è stata eseguita prima di aver disattivato e riattivato il Ripristino Configurazione di sistema (infatti il virus viene rilevato in C:\System Volume Information); oltretutto il log è del sabato 12 marzo 2011, quindi superato:

Inizia con la scansione di 'C:\System Volume Information\_restore{B2EB8106-3293-4803-9149-C2B3239DA401}\RP83\A0007826.exe'
C:\System Volume Information\_restore{B2EB8106-3293-4803-9149-C2B3239DA401}\RP83\A0007826.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen

Avvio della disinfezione:
C:\System Volume Information\_restore{B2EB8106-3293-4803-9149-C2B3239DA401}\RP83\A0007826.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4f52e6ef.qua'!


Il log di Malwarebytes è a posto; ripeti la scansione con Avira e allega il nuovo log.

Inoltre, presumendo che tu abbia ancora installato sul computer Hijackthis, allega anche un suo log.

P.S.: i log allegali con le solite modalità.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 15/03/11 12:23

Si Riverside, è corretto, il log di Avira che ti ho postato è della scansione fatta subito dopo che Malwarebytes' aveva trovato i file infetti.
Questi sono quelli da te chiesti ora.

AVSCAN-20110315-090000-A349155E.LOG

hijackthis.log

Un grazie per il tuo tempo
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 15/03/11 12:34

Ok Roberta, il log ora è a posto ma ci sono alcuni problemini che vorrei risolvere.
Per ora parti da qui:

scarica ed installa le versioni aggiornate:

● Adobe Flash Player: clicca qui per il download
● Adobe Reader: clicca qui per il download
● JavaSun: clicca qui per il download

NOTE:
1) in tutti e tre i casi potrebbe venire proposta la installazione di componenti aggiuntivi (es.: Google toolbar, Mcafee security scan plus): non installare, quindi togli la spunta alla relativa voce;
2) ) verranno disinstallate automaticamente, tutte le versioni precedenti;

Una volta installato Adobe Reader:

● lancialo dalla icona presente sul Desktop;
● accetta la licenza;
● nella barra del menu clicca sul ?;
● clicca su Ricerca aggiornamenti e scarica ed installa l'ulteriore aggiornamento che verrà proposto;

Poi vai in Installazione Applicazioni (o Installazione Programmi) e controlla se trovi ancora installate componenti che fanno riferimento ad AVG (in caso affermativo, procedi con la disinstallazione).

Al termine allega un nuovo log di Hijackthis.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 15/03/11 23:05

Fatto tutto tranne AVG. In Istallazioni Applicazioni non ho trovato nulla ma nel menù di avvio c'è disistalla AVG ma il collegamento non trova più il suo elemento, ne trova un'altro simile, per dimensioni data e tipo in C:\documents and setting\All User\Dati applicazi...\setup.exe, mi chiede se correggere.

In attesa di una dritta ti mando un bel :)
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 16/03/11 08:01

Roberta, ti sei dimenticata di allegare il log di Hijackthis.

CCleaner è ancora installato sul computer, vero?
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 16/03/11 20:19

Ecco il log

hijackthis.log

CCleaner è ancora installato sul computer, vero?


Si, lo uso giornalmente.

ciao e buona serata.
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 16/03/11 23:06

Ok, la Roby, la procedura la conosci, rilancia Hijackthis e fixa queste voci:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\

Al termine allega un nuovo log.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 17/03/11 14:08

Fatto Riverside,
però ti devo dire che mi è accaduto un fatto strano (almeno per me, grande ignorante in questioni informatiche), ho fixato quello da te suggerito e riavvio il sistema, quando un attimo prima che venga caricato il sistema operativo monitor con schemo azzurro in alto a sinistra compare la scritta: attendere...
passono appena un paio di secondi e carica il sistema.
Apro Hijackthis e vado subito a controllare di non avere fatto qualche caz.... e invece no, ho eliminato correttamente, solo che nel nuovo log che ti posto c'è ancora

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
e ti assicuro che è stato fixato :-?

Ciao e buon 150 anni
Roby

hijackthis.log
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 17/03/11 21:49

Roby, esegui una pulizia (sia normale che del registro) con CCleaner.
La pulizia del Registro ripetila fino a quando non verranno più rilevate voci.
Al termine riavvia il sistema, allega un nuovo log di hijackthis e dimmi se continui ad avere quel piccolo problema in fase di caricamento del sistema.
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 17/03/11 23:38

Pulizia fatta, problemi prima del caricamento del sistema... nulla, ti posto il log.

hijackthis.log

ciao e grazie :)
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Re: Oggetto nascosto. Che cosa è??

Postdi Riverside » 18/03/11 09:03

robyfuma ha scritto:problemi prima del caricamento del sistema...

quindi questo problema:
però ti devo dire che mi è accaduto un fatto strano ......... quando un attimo prima che venga caricato il sistema operativo monitor con schemo azzurro in alto a sinistra compare la scritta: attendere... passono appena un paio di secondi e carica il sistema.

non lo da più?

Il log è a posto, devi solo fixare questa voce:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

Poi, per concludere (leggi bene i passaggi da eseguire):

Esegui uno Scandisk:
● Risorse del computer
● tasto destro del mouse su Disco Locale C:
● Proprietà
● Strumenti
● Esegui Scandisk
● spunta le voci Correggi automaticamente gli errori del file System e Cerca Settori danneggiati e lancia lo scandisk
● verrà pianificato lo scandisk e ti verrà chiesto di riavviare il sistema
● dopo il riavvio, verrà eseguito automaticamente lo scandisk
● lascia che tutte le fasi vengano completate (il computer si avvierà da solo); non avere fretta perché l'operazione potrebbe durare circa un'ora e, soprattutto, non la interrompere.
● al termine riavvia il sistema
NOTA: dopo il riavvio si potrebbe presentare una finestra di messaggio: spunta l'unica casella disponibile e clicca su OK per confermare.

Una volta eseguito lo scandisk, esegui una Deframmentazione del disco:
● Start
● tutti i Programmi
● Accessori
● Utilità di Sistema
● clicca sulla voce Utilità di deframmentazione dischi e lancia la deframmentazione

Infine, sempre da Utilità di Sistema, esegui una Pulizia Disco
Riverside
Utente Senior
 
Post: 2001
Iscritto il: 03/06/10 10:35
Località: "Riverside House" Italy

Re: Oggetto nascosto. Che cosa è??

Postdi robyfuma » 19/03/11 08:23

Ciao Riverside ,

però ti devo dire che mi è accaduto un fatto strano ......... quando un attimo prima che venga caricato il sistema operativo monitor con schemo azzurro in alto a sinistra compare la scritta: attendere... passono appena un paio di secondi e carica il sistema.

non lo da più?


No, non lo dava più.

Comunque tornando ad ora, ho fatto tutto. Ho impiegato tutta la serata ed è andato tutto Ok!
Alla fine di tutto, Scandisk mi ha segnalato: il disco è integro.

La deframmazione ha recuperato spazio.

La pulizia disco, tutto OK.

Come sempre grazie di tutto. Roby
robyfuma
Utente Senior
 
Post: 105
Iscritto il: 22/04/09 09:08

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Oggetto nascosto. Che cosa è??":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti