FORMATTAZIONE PER TROJAN: DUBBIO BACKUP

[newsquirrell]

Ciao a tutti,
dopo aver tentato in tanti modi (da Avira rescue cd, a Combofix a hyjackthis
a scansioni online di ogni tipo)...
di debellare un trojan dropper e un worm wiki.ix,
avrei deciso di formattare il pc di un collega... collegato con Adsl.
Eppure sopra c'è un avira aggiornato quotidianamente da tempo...

Mi ritrovo occasionalmente, ad esempio, proprio un bel autorun.inf
e la cartella recycler proprio nella folder di un programma
importantissimo che non posso reinstallare.
Ci vado con unlocker e li elimino...

Ogni giorno faccio partire un backup su disco esterno.
Prima di formattare ho bisogno comunque di salvare tutto,
magari anche su un altro disco esterno, per poi avere disponibili
alcune cose che non riuscirei a recuperare reinstallando...

Ora mi chiedo: ma dove si annidano questi trojan ? questi worm ?
su disco C ? su disco esterno (anche questo scansionato piu' volte) ?
E' pericoloso tenere cosi' la situazione se non posso reinstallare il
programma che piu' di tutti ci interessa ?
Se faccio il backup di C: su un altro disco esterno e poi lo
ricopio sul pc formattato c'è il rischio che i trojan e i virus\worm rimangano ?

Grazie

[antoo69]

Sposto nella sezione appropriata Sicurezza e Privacy, spero possano darti risposte o aiutarti nel risolvere il problema senza ricorrere al formattone.

[newsquirrell]

Grazie,

scusami ma non avevo visto la sezione relativa alla sicurezza

[newsquirrell]

Ciao,

prima di iniziare a lavorare volevo aggiungere anche
che ho pure provato con MBAM ma non mi ha rilevato nulla,
che hijackthis mi dava il pc pulito.
(ho pure provato a fare un ripristino del s.o. col cd
e riapplicato tutti gli aggiornamenti !)

La mia collega mi dice poi che non usa nessuna chiavetta usb
da molti mesi (per questo mi chiedo dove si annida,
dopo aver eliminato i file con Avira)
e la rilevazione del trojan dropper.gen e/o del worm wiki.IX
da parte di Avira (professional con WebGuard sempre aggiornato)
avviene o durante la scansione o durante il backup, almeno di solito.

Se fossero falsi positivi, come si spiega la creazione
di autorun.inf e della cartella recycler dentro alla cartella
del programma ?

Mi mancano forse solo Spybot e Spyemergency,
ma ho già perso troppo tempo e, per questo,
se è davvero necessario e pericoloso, formatterei...
ma non vorrei tirarmi dietro le infezioni quando
faccio il restore del vecchio disco con la cartella
del programma che ci interessa
(scusate l'ignoranza, ma l'infezione potrebbe annidarsi
anche nel programma in questione ? Le scansioni non
trovano nulla lì).

Ciao

[newsquirrell]

Ciao,

dopo confronto di info...
è possibile che il problema fosse soprattutto (lo spero)
su un secondo e unico altro vecchio pc collegato in rete al primo,
pur senza accesso Internet e, quasi certamente, senza nessuno che abbia qui inserito una chiave usb.

Un s.o. win2k, dove sono riuscito a scaricare aolo VirIt
spybot e a far passare hijackthis 1.99.
Con la scansione del primo ho trovato Conficker e l'ha rimosso,
spybot non ha trovato niente e nemmeno l'analisi dal sito internet di hijackthis.

Visto che c'era comunque una condivisione di poche risorse,
(tra cui la famosa cartella del programma da non reinstallare),
spero che il problema sia partito da una chiave usb sul pc principale,
e che poi sia rimasto sul pc secondario.

Sul pc principale spybot mi ha rilevato un malware, non ho capito
se corrispondeva a quello che per Avira è il worm wiki.IX.

Spero sia solo quello, anche se non ne sono certo. Vediamo nei prossimi giorni.
Se a qualche moderatore il tutto torna o ha qualche suggerimento
ulteriore, ben volentieri. Grazie

[ivo]

sul pc che avira ti segnalava il trojan, leverei tutte le condivisioni di rete. In maniera da non poter ricevere trojan e altro dalla rete interna e quindi dal vecchio pc marcio. Di solito le condivisioni di cartelle le fa già il server, come unità di rete.

[newsquirrell]

Grazie per il suggerimento, Ivo,

nel frattempo ho tirato via il disco fisso dal pc vecchio
con win2k e senza antivirus
e, dopo averlo messo come slave su un altro pc,
ho fatto scansione con Avira.
Mi ha trovato il Trojan Dropper.Gen su un presunto file di sistema
(okaba.dll) che ho eliminato.

Adesso vedremo...

Siccome questi 2 pc sono in rete solo fra di loro
(c'e' una Adsl, un firewall, il pc "nuovo" che puo' far tutto
e il vecchio che fa solo da terminale utilizzatore del pgm del prestito dei libri
ma che ha anche lui la cartella del programma in questione)
c'è comunque differenza tra l'avere una cartella condivisa
o con net use e la mappatura di unità di rete sui 2 pc ?

Ciao

[ivo]

di solito si cerca di far condividere tutto dal server: cartelle come unità di rete, stampanti, ecc..
ma da quello che capisco stai utilizzando un pc client come server e ci mappi la cartella di rete.
Concettualmente quando crei una cartella condivisa, questa viene messa in broadcasting a tutti i pc della rete: traffico inutile. Nel tuo caso non dovrebbe notarsi nulla ma, in reti con più di 80 pc se ogni pc client condividesse stampanti e cartelle sarebbe un disastro per la velocità della rete.