Tr/dropper.gen

[sagal]

Ciao ragazzi, credo che il mio P.C. sia stato infettato da TR/Dropper.gen.

Qualcuno può aiutarmi????????Grazie

[pike]

Ciao sagal,

leggiti intanto questa guida, magari mettendone in pratica qualche suggerimento.

Cerca poi di eseguire HijackThis e Combofix.. Per entrambi, postane il log.

[sagal]

Certo, ehm facile come bere un bicchiere di acqua

Ora ci provo

[pike]

Credimi, Sagal, più facile di quel che sembra.

Le guide sono scritte in maniera chiara e sintetica. Investici solo tempo ed energie, troverai la maggior parte delle risposte lì

Mi raccomando, posta i log.

[sagal]

Grazie Pike credo di esserci riuscito.

L'unica cosa che non sono riuscito a fare è la scansione con Kaspersky perchè il sito pare essere in fase di ristrutturazione.

Comunque il problema principale che continuo ad avere, anche dopo aver fatto tutto quello che mi suggeriva la guida, è un messaggio di AVIRA che si ripete spesso e che mi informa che sta negando l'accesso a Tr/Dropper.gen (ma se dopo eseguo una scansione lo trovo puntualmente quasi sempre in system 32)

Il problema successivo riguarda la connessione tramite chiavetta.

Mentre navigo la connessione si interrompe ed il P.C. mi suggerisce di utilizzare una porta usb 2.0 le pagine non si aprono più e la connessione passa da HSDPA ad UMTS.

Oppure se scambio dati ininterrottamente non ho problemi, ma se interrompo lo scambio anche per un attimo, quando cerco di riprenderlo, mi appare la pagina di EXPLORER che mi dice "IMPOSSIBILE STABILIRE UNA CONNESSIONE"

ComboFix.txt

hijackthis.log

Modificato April 29, 2010 da sagal

[pike]

Hmm.. strano Sagal.

E' un pc fisso o un pc portatile?

Quanto tempo ha?

Vorrei sapere il modello della scheda madre, puoi ricavare l'informazione tramite CPU-Z. E spero che il segugio da log e spyware (aka Angelique) stani anche questi log. Io ho dato un'occhiata, ma sono un po' impedito sull'interpretarli a dovere.

[sagal]

E' un fisso

l'ho acquistato nel 2005

e quella in allegato dovrebbe essere la scheda madre.

[pike]

Ouch! Chipset SIS. E se l'occhio non m'inganna, il tuo è un pc Acer Aspire T120e.. Doppio Ouch

Non te la prendere, niente di personale, ma Acer e Sis mi stanno antipatici come un gatto che si fa le unghie sui miei piedi.

Secondo quanto ho letto del 741GX dovresti avere delle prese USB 2.0 come standard.

Bisogna vedere se stanno facendo a dovere il loro lavoro.

Sfortunatamente hai anche l'ultima versione di Bios che ho potuto trovare per quel pc. R01-A3

Se invece non fosse il modello che ho elencato, forse qualche bios update c'è

Per quanto riguarda i driver della scheda madre, trovi tutto sul sito di Sis. Con una piccola controindicazione: non è affatto facile capire che driver utilizzare per il tuo 741GX. Sis non è mai stata famosa per la sua chiarezza, purtroppo.

La scheda madre in realtà avrebbe dovuto realizzarla Gigabyte, purtroppo sul sito non ci sono link utili per il supporto.

Tentativo sciocco: hai tentato di inserire tra il tuo adattatore UMTS e il pc un hub USB alimentato?

[$angelique!?]

Buongiorno sagal,

i log non evidenziano malware

La scansione con Kaspersky puoi eseguirla a questo indirizzo

http://www.kaspersky.com/kos/eng/partner/d...n=1262526922851

Al prossimo avviso di Antivir, riporta il nome e la directory del file segnalato, instanto esegui questa scansione:

preleva l'ultima versione di VirIT (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema ed allega il report

[sagal]

Non preoccuparti, ma da quando ho tutti questi problemi anche a me stanno sullo stomaco.

Quindi tu non pensi ad un problema di software

Io avevo preso in considerazione problemi di alimentazione, perchè ogni volta che inserisco una SD la spia led che ne segnala il funzionamento ha dei cali di tensione notevoli, poi ho preso in considerazione anche un mal funzionamento della chiavetta, ma pare che quest'ultima funzioni.

Come faccio a verificare il corretto funzionamento delle prese USB ??

Comunque resta il messaggio di AVIRA relativo a Tr/Dropper.gen che compare spesso.

Ecco ora per esempio mentre scrivo il messaggio la connessione si è interrotta per l'ennesima volta con la seguente modalità

1) Apparizione di fumetto con scritto Rilevamento dispositivo in corso (ma io ero connesso quindi presumo che lo avesse gia rilevato)

2) Apparizione di fumetto che mi suggerisce di utilizzare una presa USB 2.0 per uno scambio dati più veloce (fino a pochi attimi prima gli andava benissimo)

3) Connessione che passa da HSDPA a EDGE

4) Interruzione della connessione

Ora devo staccare la chiavetta e farla rilevare di nuovo altrimenti continua a darmi la connessione in EDGE

Un'ultima cosa, che cosa è l'adattatore UMTS

[pike]

La chiavetta

Prendi un Hub USB con alimentatore separato, collegalo al pc e poi inserisci la tua chiavetta sull'hub.

Leggo SD: non è che puoi fare una foto del frontale del tuo pc? Dove inserisci la chiavetta e le immediate vicinanze.

Infine: sai andare a vedere i voltaggi nel bios?

[sagal]

Buongiorno sagal,

i log non evidenziano malware

[...]

Buongiorno Angelique

La scansione devo farla sia con kaspersky che con VirIT?

E' apparsa la solita schermata che mi avvertiva della tentata intrusione di Tr/Dropper.gen nel file

C:WINDOWS/SYSTEM32/EXPLORER.EXE

Modificato May 3, 2010 da angelique

[sagal]

La chiavetta

Prendi un Hub USB con alimentatore separato, collegalo al pc e poi inserisci la tua chiavetta sull'hub.

Leggo SD: non è che puoi fare una foto del frontale del tuo pc? Dove inserisci la chiavetta e le immediate vicinanze.

Infine: sai andare a vedere i voltaggi nel bios?

Per l'Hub devo procurarmelo

Per la foto ora provo a caricarla con ImageShack

Per quello che riguarda i voltaggi nel bios...........credo proprio di no

[$angelique!?]

Ciao sagal,

cancelliamo subito il virus, poi esegui Virit e per ultimo Kaspersky

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

Lo salvi in una cartella, scompatti il file .zip

Individua avenger.exe, lo avvii

Inserisci questo script nel box bianco

Files to delete:

C:\WINDOWS\System32\explorer.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

[pike]

Grazie del dettaglio, sagal.

La tua chiavetta UMTS la colleghi a quella presa frontale oppure ad una delle porte posizionate sul retro?

P.S. (Pork.. c'ho azzeccato, è un Aspire 120E)

Per quanto riguarda i voltaggi: scarica da CPU-ID HwMonitor.

Poi posta una schermata come questa

Con i voltaggi che segnala.

[sagal]

Grazie del dettaglio, sagal.

La tua chiavetta UMTS la colleghi a quella presa frontale oppure ad una delle porte posizionate sul retro?

Per comodità la collego alla presa dove la vedi in foto

ti allego i voltaggi

P.S. Grazie a te per la collaborazione

[pike]

Tana per l'alimentatore.

I voltaggi a 12 volt sono bassini, quelli della 5 volt sono proprio bassi.

Credo che ti convenga pensare di sostituirlo quanto prima...

[sagal]

Ciao sagal,

cancelliamo subito il virus, poi esegui Virit e per ultimo Kaspersky

Scarica the Avenger

[...]

Ciao Angelique

Ho scaricato VirIT l'ho installato ed ho aspettato il controllo della memoria, al termine del quale è spuntata la finestra che ti allego.

Cosa devo fare??????

Poi ho scaricato AVANGER l'ho salvato in una cartella e l'ho avviato, ma quando nel box bianco ho provato ad inserire lo script.......ti allego anche questa che forse faccio prima

Ho provato ad inserire anche i folders to delete, ma la risposta è stata identica, credo che voglia una directive

Modificato May 3, 2010 da angelique

[sagal]

Tana per l'alimentatore.

I voltaggi a 12 volt sono bassini, quelli della 5 volt sono proprio bassi.

Credo che ti convenga pensare di sostituirlo quanto prima...

Sostituirlo quanto prima...???

Parli del P.C. o di cosa?

Mi spieghi qual'è il problema che hai trovato?

[$angelique!?]

Ciao sagal,

la finestra di Virit ti chiede se conosci il programma "Post-it Software Notes Lite"

immagino di si, quindi spunta su "inserisci" > "ok"

la finestra di avenger invece dice che lo script non è valido, infatti tu hai inserito solo la directory del file infetto, ma non il comando

devi inserire tutto questo script in blu

Files to delete:

C:\WINDOWS\System32\explorer.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Hai eseguito la scansione con Virit?

Doppio click sull'icona di VIRIT-LT creata sul desktop

Seleziona il disco da controllare e clicca sull'icona di avvio scansione

Al termine della scansione, posta il risultato dell'operazione

[sagal]

Ciao Angelique ti posto i risultati delle scansioni

Virit non ha scaricato nessun aggiornamento "antivirus aggiornato"

VIRITEXP.LOG

avenger.txt

[$angelique!?]

Hai cliccato sull'icona aggiornamento di Virit?

Se la scansione è stata eseguita con il programma aggiornato, puoi disinstallarlo perchè non ha trovato niente.

Avenger dice che il file non esiste

C:\WINDOWS\System32\explorer.exe

Al prossimo avviso di Avira allega una foto, o riporta l'esatta directory del file.

[sagal]

Grazie del dettaglio, sagal.

La tua chiavetta UMTS la colleghi a quella presa frontale oppure ad una delle porte posizionate sul retro?

[...]

C'è differenza tra le prese USB frontali e quelle posteriori?????

Dovrebbero essere tutte 2.0

[pike]

Quella che hai nel cardReader non so se fornisce lo stesso amperaggio, visto che "sostiene" pendrive e cardreader.

Quelle inferiori invece non dovrebbero avere problemi.

Resta il fatto che a mio parere ed in base ai valori riportati da HWMonitor, il tuo alimentatore non fornisce voltaggi sufficienti al pc. Quindi valuterei seriamente di sostituirlo.

[sagal]

Quella che hai nel cardReader non so se fornisce lo stesso amperaggio, visto che "sostiene" pendrive e cardreader.

Quelle inferiori invece non dovrebbero avere problemi.

Resta il fatto che a mio parere ed in base ai valori riportati da HWMonitor, il tuo alimentatore non fornisce voltaggi sufficienti al pc. Quindi valuterei seriamente di sostituirlo.

Ok Pike, penso che lo sostituirò.

Per il tipo di alimentatore devo specificare il modello del P.C. o non serve.????????