PDA

Visualizza versione completa : Files... addio!


cnco
26-08-2001, 10.31.08
Ebbene sì, doveva capitare anche a me, prima o poi. Questi i fatti: dopo aver scaricato un programmino da internet ho subito eseguito la scansione del file con Norton 2000 (tramite tasto destro del mouse) e mi è apparso un avviso che mi segnalava una modifica del boot di avvio. Ho risposto che la modifca era inaspettata e di ripristinare il tutto. Fatto... o almeno credevo. Al riavvio del pc il bios (la prima scheramata) non mi segnalava + l'hd primario (il rilevamento è posizionato come AUTO assieme agli altri canali EIDE occupati tutti da DVD, Lett. CD, Masterizzatore: questi li rilevava): e già qui dovevo insospettirmi. Poi all'avvio del DOS (caricamento tabella codici) mi appariva il messaggio di Smartdrive che non poteva inserire la cache sulla partizione D... dato che non esisteva! M'insospettisco ancora di +. Avvio di Windows... tutto bene: vado in esplora risorse e... tadà... la partizione D e relativi files non c'è più. Subito riavvio il PC, entro in DOS e avvio Norton Rescue che mi riprisitina il boot, la tabella partizioni e tutto il resto. Bene! Così credevo. Si ricostruisce la partizione (e, come scandisk, mi sostituisce i files persi con nuovi files sconosciuti... tipo chk...) e al riavvio l'unità riappare ma senza i files (apparte quelli da lui creati). Morale della favola, addio agli Mp3 che c'erano sulla partizione! Non mi dispero + di tanto visto che ho una copia di questi su un cd ma temo che il virus (se virus si trattava) sia ancora in circolo. La scansione totale del sistema non segnala niente... ma non è detto che il virus non ci sia dato che già la prima scansione non aveva dato esiti. A questo punto vi chiedo:
-c'è un modo per recuperare i files?
-come rendere Norton + sensibile a trovare i virus (a volte mi segnala subito dopo il download che il files è un virus e poi mi cade su una cosa simile!)
-eventuali soluzioni per vedere se ci sono altri danni e per ripristinare un pò la situazione (a parte la formattazione: per quella aspetto WinXP);
-altri consigli.
THX

exion
27-08-2001, 13.38.24
Ma la domanda che mi pongo (e che ti pongo :)) è: ma tu il file scaricato da Internet lo hai eseguito prima o dopo di fare la scansione col Norton? Perché se effettivamente hai beccato un virus cattivo cattivo, e se effettivamente lo hai lanciato prima della scansione, è chiaro che la scansione è avvenuta a danno già fatto

cnco
29-08-2001, 18.46.46
no, no: non sono così "sciemo". Ho usato il pulsante dx del mouse sul file e dal menu che si è aperto ho cliccato "Scansione con Norton...". Ma mi sà che questa tecnica è una cretinata perché nel momento in cui vedi il nome del file Esplora Risosre lo eseguue in parte e quindi il contagio inizia. Il problema era diventato preoccupante tanto che WIN non mi riconosceva + i controller ide e relativi lett. Cd, DVD e masteriz. Ho reinstallato WIN in attes del formattone per WINXP.

cnco
02-09-2001, 11.12.21
allora, credo di aver trovato il virus tramite la scansione on line della symantec:

The file c:\WINDOWS\Impostazioni locali\Temporary Internet Files\Content.IE5\JRXHU9CL\12121[1].00 is infected with JS.Exception.Exploit
The file c:\WINDOWS\Impostazioni locali\Temporary Internet Files\Content.IE5\0PEFG5IJ\dennis[1].js is infected with JS.Exception.Exploit

era dunque nella cartella Temporary Internet Files. ho cancellato tutto. ora però il problema continua. ho scaricato un altro file con morpheus... pulsante dx del mouse e appare sempre lo stesso messagio di modifica del boot. questa volta chiudo semplicemente il messaggio (premo sulla X) e sembra fortunatamente non succedere niente. ho riprovato a fare di nuovo la scansione del singolo file e, idem... riesce il messaggio. Quale può essere il problema?
L'elenco dei virus di Norton 2001 (aggiornato al 22 agosto) dice che questo virus non danneggia niente!
attendo aiuto
THX


come non detto... qualcosaè partito. ora facendo la scansione tramite il pulsante dx del mouse... per ogni file... esce sempre il messaggio di modifica del boot. qual è il problema?
potrebbe essere causato dal fatto che ho aumentato la severità della scansione manuale?

cnco
02-09-2001, 11.19.10
no... non dipende dalla severità, ho provato a diminuirla a niente

jedy48
02-09-2001, 22.31.19
ma cosa hai scaricato con Morpheus? solo mp3 oppure video? o foto? xchè ho sentito che nei video e foto si beccano tanti virus!, poi se formatti risolvi oppure cè il rischio che il virus rimanga nel bios o nella memoria?

eymerich
03-09-2001, 01.16.48
Originariamente inviato da cnco
L'elenco dei virus di Norton 2001 (aggiornato al 22 agosto) dice che questo virus non danneggia niente!


Ho cercato nell'enciclopedia dei virus della Symantec e per la verità la cosa sembra più complessa:il trojan in questione in effetti si avvale di una applet Java per eseguire piccole modifiche,tipo il cambio della home page di IE,ma può anche eseguire codice dannoso sul pc attaccato,il tutto a condizione che la Java Virtual Machine dell'utente sia anteriore alla 3801.
Il problema quindi,come purtroppo stai constatando,non è più il trojan ma le modifiche ormai eseguite al sistema.
Al tuo posto salverei tutto il salvabile a velocità warp (per quanto il sistema possa permetterti) e prenderei in seria considerazione le misure più drastiche (senza attendere xp).

Vitoz
03-09-2001, 01.34.51
Originariamente inviato da jedy48
xchè ho sentito che nei video e foto si beccano tanti virus!, poi se formatti risolvi oppure cè il rischio che il virus rimanga nel bios o nella memoria?
nei video e nelle foto (e nelle mp3) non si becca NESSUN virus, sempre che siano davvero video e foto... ('nzomma non con estensioni e/o icone diverse e/o mascherate)

il resto all' Inquisitore :):)

cnco
03-09-2001, 18.50.40
ho scaricato un programmino pure vecchiotto. ma cmq, ripeto, adesso il messaggio appare ogni volta che faccio la scansione tramite pulsante dx del mouse, su qualsiasi file!! poi per quanto riguarda il tipo di virus, nel mio elenco risultano tutte le varie voci contrassegnate con uno 0 spaccato in rosso... il che mi fa suppore che non danneggi quelle voci (o è tutto il contrario??). cmq aspetto WinXp, tanto ho già fatto la copia dei files che mi servivano e poi il problema sembra essere scemato... a parte gli mp3 persi... buhhhh!!!! :(

Nemo
03-09-2001, 23.10.02
Inoculazione (nessun fraintenda) questa è la parola chiave
Non mi reputo esperto al 100% cmq il nav effettua una specie di snapshot del record di avvio e ogni volta un programma (dalla A alla Z) fa dei cambiamenti il norton alla prossima scansione registrerà questo cambiamento e ti avvertirà con un avviso.
n.b.
Non c'entra niente il file da scansionare l'avviso arriva prima che nav acceda al file.
accetta i cambiamenti del record di avvio e andrà tutto a posto..
certo che se blocchi le modifiche, bene al pc non fa, soprattutto a quei livelli ;)
Info più sicure le trovi sotto l'help, io da parte mia ogni tanto lo rilevo dò l'ok e va tutto a posto, certo la prima volta ho avuto la tua stessa reazione.
Ciax.

p.s.
Vitoz non mi hai detto se il mcaffe rivelava qualcosa
http://www.wintricks.it/forum/showthread.php?s=&threadid=16933

Vitoz
04-09-2001, 00.15.29
Originariamente inviato da Nemo
p.s.
Vitoz non mi hai detto se il mcaffe rivelava qualcosa
http://www.wintricks.it/forum/showthread.php?s=&threadid=16933
certo che si', hai un privato non letto dal 1/9 ;) :)

Nemo
04-09-2001, 00.36.38
Letto e risposto stasera... pardon... stavo per venire a ricorreggere il post ma sei arrivato prima. ;)

Vitoz
04-09-2001, 00.40.44
ok ;)

p.s: ho fatto anche in tempo a leggere "arrivata" :D:D:D
:)

cnco
04-09-2001, 18.35.02
Originariamente inviato da Nemo
[B]Inoculazione (nessun fraintenda) questa è la parola chiave


Non capisco cosa c'entri l'inoculazione dato che il virus non viene affatto riconosciuto.


accetta i cambiamenti del record di avvio e andrà tutto a posto..
certo che se blocchi le modifiche, bene al pc non fa, soprattutto a quei livelli ;)


a me risulta il contrario: infatti se io negassi la modifica al boot in pratica non dovrebe cambiare niente dall'ultimo avvio. invece il boot lo ha moificato nonostante avessi dato parere contrario. non capisco proprio perché il messaggio continui ad uscire ad ogni scansione... significa che il NAV mette in funzione qualche processo che non mi è dato sapere...

Nemo
04-09-2001, 19.19.46
Originariamente inviato da cnco


Non capisco cosa c'entri l'inoculazione dato che il virus non viene affatto riconosciuto.



a me risulta il contrario: infatti se io negassi la modifica al boot in pratica non dovrebe cambiare niente dall'ultimo avvio. invece il boot lo ha moificato nonostante avessi dato parere contrario. non capisco proprio perché il messaggio continui ad uscire ad ogni scansione... significa che il NAV mette in funzione qualche processo che non mi è dato sapere...

Vediamo un pò cerco di rispiegarti cosa fa l'inoculazione, tratto dall'help del norton.
"L'inoculazione costituisce un altro modo per rilevare i virus sconosciuti o i virus per i quali Norton AntiVirus non dispone ancora di una definizione.
Norton AntiVirus inocula, o registra, automaticamente le informazioni fondamentali sui record di avvio utilizzati dal computer all'avvio. Questa operazione è simile a prendere un'impronta digitale. Nelle scansioni successive, Norton AntiVirus confronta il record rispetto alla "impronta digitale" e avverte l'utente se sono presenti delle modifiche che potrebbero indicare la presenza di un virus sconosciuto.

Cosa determina una modifica di inoculazione?
Una modifica di inoculazione potrebbe verificarsi per i seguenti motivi:

-Una modifica apportata al file per motivi legittimi. Ad esempio, è possibile che sia stata installata una nuova versione del software, la quale ha apportato modifiche ai record di avvio.
-Un virus sconosciuto che non si trova nel file delle definizioni. Questo perché Norton AntiVirus non dispone della relativa definizione o perché l'utente non ha le definizioni più recenti."

"Nota: ogni volta che si aggiorna un programma si potrebbe ricevere un avviso di modifica di inoculazione a un record di avvio. Questo potrebbe determinare la visualizzazione di molti avvisi di inoculazione. Per questo motivo, l'impostazione predefinita prevede che l'opzione Inocula record di avvio sia attivata."

Ora suppongo che anche tu come me disattivi l'autoprotezione, ciò comporta un mancato aggiornamento dell'inoculazione,
richiamando una scansione (la scansione inizia controllando proprio i record d'avvio) nav rivela una modifica del record.
e questo comporta l'avviso.

Se all'avviso chiedi di ripristinare il record precedente nav sostituirà il record d'avvio attuale (e quindi ben configurato) con l'ultimo salvato (/ncdtree) creando un bel casotto..
Credo che l'unico modo per evitare questi messaggi sia mantenere attiva l'autoprotezione.

p.s.
Vitoz sei peggio di un webmonitor :D:D
(ho risolto col link)

cnco
05-09-2001, 18.47.28
eh eh eh.. non ce ne usciamo:
l'autoprotezione è attiva, sempre: controlla il boot e tutto il resto prima dell'avvio del OS. Ora anche quando scarico un file con getright e parte la scansione automatica del file mi appare il messaggio. perciò mi chiedo cosa c'entri l'inoc....
attendo reply... THX

Nemo
05-09-2001, 20.25.11
L'autoprotezione disattivata è una mia considerazione (che si è rivelata errata)
Il discorso dell'inoculazione cos'è e cosa c'entra te l'ho spiegato sopra, il tutto spiegato con le parole della guida.
Probabilmente serve una scansione per confrontare l'immagine del record e con questo ottieni l'avviso, il fatto che tu continui ad ottenere l'avviso significherà che non accetti le modifiche, o sbaglio?
:)

cnco
08-09-2001, 14.04.37
infatti... ora però ho accettato le modifiche (anche se vorrei sapere cosa è stato modificato dato che non trovo cambiamenti...) e il messaggio non appare +.... mah!

jedy48
08-09-2001, 14.11.32
ciao , non so cosè cambiato , ma anche a me è successo diverse volte quel messaggio pur non avendo fatto nulla :confused: cmq l'importante è non aver virus!!:)