Report pulito

 

A questo punto bisogna trovare realmente chi è che causa il problema, perchè mi sà che Win32.Bifrose è la facciata purtroppo. Hai provato altri programmi in questi giorni oltre a quelli sopra citati?

 

 

forse sarò bannato per qusto, ma ti consiglio di provare la trial di norton aggiornato, è molto + keggero dei precedenti e eccellent in quanto a rilevazione e rimozione.

quando sei pulito poi puoi anche disinstallarlo

 

 

Report pulito

 

A questo punto bisogna trovare realmente chi è che causa il problema, perchè mi sà che Win32.Bifrose è la facciata purtroppo. Hai provato altri programmi in questi giorni oltre a quelli sopra citati?

No

 

Sono parecchio abitudinario a riguardo, uso praticamente gli stessi programmi da sempre (a meno che non trovi qualcosa di assolutamente più utile)

 

Avast stesso, l'ho scaricato in funzione di risolvere questo problema (infatti è la free-trial) solitamente non lo uso affatto.

 

C'è da dire comunque che nonostante il PC sia acceso da un pò e abbia fatto le mie normali cose, non ho rilevato altri attacchi, ieri o questo pomeriggio, Avast mi floddava con una sfilza di warnings, non canto ancora vittoria comunque...

 

forse sarò bannato per qusto, ma ti consiglio di provare la trial di norton aggiornato, è molto + keggero dei precedenti e eccellent in quanto a rilevazione e rimozione.

 

quando sei pulito poi puoi anche disinstallarlo

Ti dirò la verità, per me gli Antivirus dipendono molto dall'esperienza personale che ognuno ha avuto... antivirus che ho provato per altri si sono rivelati efficaci e per me solo fumo e viceversa ovviamente... se il problema persiste non esiterò a provare Norton, grazie del consiglio

 

 

forse sarò bannato per questo

No vabè...l'ultimo Norton non è malaccio, non che ci volesse molto a fare meglio delle ultime versioni in effetti, ma va detto che sono impegnati molto e hanno fatto fare al software un gran bel salto in avanti, ci voleva (a parte Norton Mobile che è scandaloso )

 

Se però devi andare su un antivirus a pagamento, lascia Norton pure sullo scaffale, è buono nella sua ultima versione, ma Avira AntiVir Premium o eventualmente Kaspersky, hanno una marcia in più, il primo specialmente, contando il prezzo ridicolo che ha online.

 

Fammi pensare cosa si può fare...

 

EDIT

 

Ecco, ti ho già scritto di provare con Spybot Search & Destroy?

 

 

forse sarò bannato per qusto, ma ti consiglio di provare la trial di norton aggiornato, è molto + keggero dei precedenti e eccellent in quanto a rilevazione e rimozione.

 

quando sei pulito poi puoi anche disinstallarlo

Concordo pienamente, ho Norotn Internet Security 2009...molto veloce nello scan, niente falsi positivi, aggiornamenti ogni 2 minuti e di dimensioni piccoli e la cosa migliore è che è leggerissimo. L'unico punto di debbolezza che ha e che riconosce solo 95.4% di spyware.

 

Ecco lista con alcuni antivirus messi in paragone, forse vi potra essere utile: HwUpgrade

 

A voi le scelte!

 

Per caso hai provato con qualche cd boot di un buon antivirus da fare la scansione?

 

 

 

No vabè...l'ultimo Norton non è malaccio, non che ci volesse molto a fare meglio delle ultime versioni in effetti, ma va detto che sono impegnati molto e hanno fatto fare al software un gran bel salto in avanti, ci voleva (a parte Norton Mobile che è scandaloso )

 

Se però devi andare su un antivirus a pagamento, lascia Norton pure sullo scaffale, è buono nella sua ultima versione, ma Avira AntiVir Premium o eventualmente Kaspersky, hanno una marcia in più, il primo specialmente, contando il prezzo ridicolo che ha online.

 

Fammi pensare cosa si può fare...

 

EDIT

 

Ecco, ti ho già scritto di provare con Spybot Search & Destroy?

Oggi ho avuto un altro episodio... ho ripetuto il procedimento:

 

-Mi sono assicurato di avere il ripristino di sistema disattivato (solitamente lo tengo sempre disattivato) ed ho riavviato in modalità provvisoria

 

-Ho fatto prima uno scan veloce e poi uno completo con MalwareBytes

 

-Ho fatto uno scan completo con Superantispyware

 

-Ho fatto uno scan completo con Spybot S&D

 

-Ho controllato il log con HiJackThis e non ho trovato nulla di anomalo

 

Risultato: solo qualche cookie rilevato possibilmente pericoloso e che ho provveduto a togliere immediatamente, nulla però che riconducesse al famoso Win32 Bifrose CKD.

 

Visto che ormai continua a succedere, probabilmente tra un pò Avast mi segnalerà nuovamente il trojan, la mia teoria è che molto probabilmente il trojan viene rimosso con successo da avast, ma in qualche modo tramite l'ausilio di qualche programma o sito internet, continua a infiltrarsi volta per volta sul mio PC.

 

Visto che già ieri avevo pensato una cosa simile, dopo tutti i salti da scimmia del circo tra antivirus etc. ho provato a non navigare affatto e l'unico programma aperto è stato al massimo il client di WoW o MediaPlayerClassic per qualche divx, e non ho avuto altri episodi.

 

Oggi invece si è verificato nuovamente, subito dopo aver navigato per un pò, possibile che sia qualche problema di vulnerabilità di Firefox?

 

Recentemente è stato rilasciato un aggiornamento per correggere alcuni difetti di sicurezza e potrebbe esser sfuggito qualcosa... il problema è che avrebbe dovuto esserci molta più gente a riscontrare il mio problema, e non è affatto così

 

 

Non credo che sia firefox anche perchè lo uso pure io e navigo in certi siti ad altro rischio ma sono pulito, tranne il worm preso da mio fratello su Hi5 per veder una foto , che oggi è stato rimosso pienamente.

 

Comunque potresti sipegarmi proprio il problema, nomi che ti compaiono sul c: ecc?

Grazie!

 

 

Solitamente succede così:

 

Avast mi segnala il file locarm[1].exe (o o , o qualsiasi altro nome) a questo percorso:

 

C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\BSWB3OB3\locarm[1].exe\[Armadillo]

 

Rilevando il seguente trojan: Win32 Bifrose CKD

 

Successivamente mi chiede cosa fare e quando ordino la cancellazione, mi dice che il file è attualmente in uso dal sistema (controllando tutti i processi attivi però, non lo è) quindi clicko OK e successivamente mi segnala che un file .scr infettato dal medesimo trojan è presente nella cartella System32 di Windows, questo però lo elimina correttamente e successivamente elimino manualmente il file che Avast non poteva rimuovere perchè in uso.

 

Passo tutti gli antivirus sopra elencati e non viene segnalato nulla, PC pulito.

 

Ritorno agli affari miei, medesima segnalazione, medesime operazioni, fatto sta che pur eliminandolo questo file continua ad apparire e se non lo elimino mi flodda di file .scr nella cartella System32, ovviamente tutti infettati dal trojan Win32 Bifrose CKD

 

EDIT: cercando bifrost o locarm, nel registro di sistema ho trovato un casino di stringe collegate a quei file, le ho cancellate pensando di risolvere ma poco dopo Avast mi ha segnalato nuovamente il trojan e quelle stringe erano apparse nuovamente nel registro.

 

Non so più che fare :|

 

 

Il fatto che si ripresenti quando usi il browser è tipico di molti backdoor purtroppo, Win32 Bifrose a una marea di varianti, chiamato spesso in maniera diversa da software a software.

 

Proviamo qualche strada nuova, in modalità provvisoria e scollegato dalla rete, fai una scansione con RemoveIT Pro 4 SE (gratuito per uso privato).

 

 

Il fatto che si ripresenti quando usi il browser è tipico di molti backdoor purtroppo, Win32 Bifrose a una marea di varianti, chiamato spesso in maniera diversa da software a software.

 

Proviamo qualche strada nuova, in modalità provvisoria e scollegato dalla rete, fai una scansione con RemoveIT Pro 4 SE (gratuito per uso privato).

Ho installato il programma, riavviato in modalità provvisoria (e scollegato dalla rete) ma il programma non viene lanciato (esce fuori il tipico errore di Windows XP) ho riavviato in modalità normale, avviato il programma e funziona, ha trovato tre oggetti pericolosi (ma gli altri perchè cavolo non li vedevano?) ma nessuno di quelli era il sopracitato trojan, ho ripassato quindi il programma un ultima volta e mi segna il PC pulito.

 

Ora aspetto solo che da un momento all'altro, Avast mi smonti risegnalandomi l'insediarsi del trojan...

 

EDIT: Dopo i procedimenti sopra citati ho lasciato il PC acceso a far nulla e mi son messo a guardare un pò di TV, quando giro lo sguardo verso il monitor ecco che Avast mi risegnala il file locarm[1].exe nel solito percorso e l'ennesimo file "numero".scr nella cartella System32, questa volta però ho cancellato solo il file .scr e ho provato a passare Remove IT PRO per vedere se segnalava il solito trojan, il risultato mi ha parecchio stupido... 0 dangerous items trovati, lo stesso con Spybot S&D.

 

Possibile che in realtà questo trojan non esista e solo Avast lo rilevi?

 

Eppure cercando su internet non riesco a trovare nessuno riferimento a questi file locarm.exe per vedere se sono o meno processi pericolosi, ed in ogni caso il continuo generarsi di file .scr nella cartella System32 non mi fa ben sperare... ma che diavolo succede

 

 

Mannaggia, si nasconde bene, meno male che almeno non ha disattivato connessione e antivirus.

 

Win32.Bifrose, che si insedia sul pc tramite trojan, crea delle chiavi nel registro di sistema che al riavvio si attivano, il browser viene usato come canale, dove nasconde del codice malevolo che usa per comunicare con delle query http a qualche server, permettendo di copiare, cancellare, rinominare, scaricare files sul pc, avviare o chiudere processi e modificare chiavi del registro.

 

Cerca nel registro di sistema queste due righe e cancellale

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "syspare.exe" = "syspare.exe"

 

[HKLM\Software\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}] "stubpath.exe" = "syspare.exe"

 

Poi vedi se ha creato anche questa

 

[HKLM\Software\Wget]

 

 

Nessuna delle tre chiavi è presente nel mio registro di sistema, non so se essere felice o meno a 'sto punto...

 

 

Nell'avvio del tuo pc ce qualche voce insospettita?

 

Puoi controllara con msconfig o qualche altro tool per vedere se ti danno le stesse e tutte le voci!

 

L'unica cosa strana è che in giro sono proprio gli altri antivirus a riconoscerlo, mentre da te solo avast...!

 

Quando avevi un altro antivirus i file *.src venivano rigenerati lo stesso?

 

 

Vero che gli antivirus attuali sono in ogni caso ottimi prodotti, ma il loro campo è appunto la rilevazione e pulizia di virus, che poi a volte si lancino anche nel campo malware etc...è un valore aggiunto, non è la loro funzione primaria, ecco perchè esistono antimalware e mille e più utility a riguardo.

 

Quì il problema è che si tratta di una variante di Win32.Bifrose, che gli AV lo riconoscano non è sempre sinonimo di cura, vorrei ricordare che nel 2001 Norton e McAfee, quindi non due novellini in tale campo, vennero beccati a fare i furbetti, molti virus li trovavano, ma non li eliminavano, nonostante il software divesse i contrario.

 

E' perfettamente inutile fare mille giri, qualunque cosa sia aggira il sistema bellamente, probabilissimo che la segnalazione Win32.Bifrose sia magari una bella maschera creata dal backdoor stesso; dammi retta, metti su Avira Premium Trial o al limite Kaspersky,lascia stare il resto, inizia comunque a pensare aimè ad una formattazione, anche perchè si rischia di perdere più tempo a provare, non sapendo mai alla fine se si sarà sistemato tutto realmente.

 

 

[...] dammi retta, metti su Avira Premium Trial o al limite Kaspersky,lascia stare il resto, inizia comunque a pensare aimè ad una formattazione [...]

 

Prima consiglierei di fare il rescue cd di avira o kaspersky e far controllare tutto il sistema perchè, credo, che installando l'antivirus viene subito infettato e quindi dopo non lo riconosce visto che leggendo gli altri forum che hanno questo problema, ripeto che solo avast e bitdefender non riuscivano a riconoscerlo mentre gli altri si, cambiando antivirus o rimuovendolo manualmente in modalita provvisoria son riusciti a liberarsene ma l'altro fatto è che agli altri uscivano altre cartelle con nomi diversi e con altri tipi di file!

 

Pero il miglior consiglio è quello di Toe!

 

 

Boh tra tutti gli antispyware provati in questi giorni sono abbastanza sicuro che il trojan di per se venga cancellato, ma in qualche modo continuo a beccarmelo, anche il registor di sistema è pulito, non ci sono programmi strani ch vengono lanciati all'avvio (solo l'utility per la scheda video, audio e Avast) ora proverò con Avira Premium Trial o Kaspersky per vedere cosa mi dicono.

 

Quando avevi un altro antivirus i file *.src venivano rigenerati lo stesso?

No, non mi riconosceva nulla, però mi sono accorto che avevo un utilizzo della CPU troppo elevato quando semplicemente avevo il browser aperto, quindi ho deciso di scaricare la versione free di Avast per controllare se c'era qualcosa, e ho trovato una ventina di file .scr nella cartella System32 e il file locarm[1].exe che continuava a generarne in continuazione, da lì poi è iniziato tutto.

 

Nel caso non ci sia nulla da fare e si parlasse di format, io ho due partizioni su questo HD, in una ho il sistema operativo e i vari programmi e l'altra viene utilizzata solo da magazzino dati (filmati, mp3, etc) e visto che mi pare il trojan abbia solo fatto strada tra le cartelle di windows dite sia possibilmente formattare solo la prima parte o mi tocca formattare entrambe?

 

 

Se formatti ti consiglio solo partizione del Windows, dopo aver installato driver motherboard e grafica subito un buon antivirus e fatto aggiornare...magari stacca il secondo disco per sicurezza.

 

 

Scusate ma non è che si tratta di qualche virus che resta residente in memoria e quindi torna ad ogni reboot ? Non so neanche se esistono ancora questi tipi di virus (il primo e l'unico che ho avuto così fu nel 1997) ma potrebbe essere un'ipotesi da valutare...

 

No ?

 

 

Non ne ho idea Brù, non so più cosa pensare... ora ho provato Avira e ha trovato 5 fonti pericolose, del tutto estranee al Win32.Bifrose, inizio a sentirmi preso per i fondelli, in tre giorni avrò provato seicento antivirus e ottocento anti spyware e tutti trovano cose diverse, ma solo avast mi dava quella segnalazione... credo che stasera mi divertirò a stare dietro a un bel format di questa partizione e non se ne parla più...

 

 

Mi spiace. Io purtroppo anche quando ho risolto coi virus di questo tipo, alla fine ho sempre dovuto formattare.

 

Pensa che l'ultimo format l'ho dovuto fare per colpa di un presunto virus mai identificato...

 

 

ma... provata scansione norton?

provata scansione con boot CD tipo hiren's oppure il rescue CD di avira free?

 

 

So che dirlo ora potrebbe sembrare la coltellata definitiva ma a me Avast non è mai piaciuto. Lo usavo su Vista ma sembrava fosse una cosa finta con una bella GUI. Non trovava mai nulla, specie in tempo reale.

 

AVG qualcosa in più ma neanche troppo.

 

Parlo sempre delle versioni free.

 

L'unico tra i free che mi sembra un po' più "serio" è Antivir di Avira che uso ora.

 

Almeno per ora.

 

 

Avira free e ottimo e veloce, peccato che nella versione free non abbia l'antispyware, ma unito ad un altro buon utility sei sul sicuro.

 

Quando mi è finita la licenza di kaspersky ho dovuto metterlo finche non prendevo un altro e ha trovato malware che Kaspersky non vedeva. L'unica cosa che non ho mai capito sono quando ti dice che hai qualche Warnings...a che cosa si riferiva?

 

 

Nel caso non ci sia nulla da fare e si parlasse di format, io ho due partizioni su questo HD, in una ho il sistema operativo e i vari programmi e l'altra viene utilizzata solo da magazzino dati (filmati, mp3, etc) e visto che mi pare il trojan abbia solo fatto strada tra le cartelle di windows dite sia possibilmente formattare solo la prima parte o mi tocca formattare entrambe?

Formatta solamente quella dove hai il sistema operativo, il problema è situato lì, al limite per sicurezza fai così:1. Avvia il pc con il cd di Xp e formatta la paritizione primaria con l'OS

 

2. Riavvia il pc e fai una scansione con Avira Rescue System

 

3. Se risulta pulita, passa all'installazione dell'OS stesso

 

Un pò lungo come procedimento, ma almeno sarai tranquillo.

 

Scusate ma non è che si tratta di qualche virus che resta residente in memoria e quindi torna ad ogni reboot ? Non so neanche se esistono ancora questi tipi di virus (il primo e l'unico che ho avuto così fu nel 1997) ma potrebbe essere un'ipotesi da valutare...

 

No ?

Intendi che si carica in ram all'avvio? Anche in quel caso ci sarebbe qualcosa che lo fà partire, sia una valore nel registro che una riga in un file di avvio.

L'unico tra i free che mi sembra un po' più "serio" è Antivir di Avira che uso ora.

 

Almeno per ora.

Tra l'altro spesso sul sito Avira si possono avere licenze gratuite per 6 mesi di versioni Premium etc...

I warning di Avira escono quando ti avvisa che c'è un programma/utlity/altro che contiene codice che se eseguito va a modificare qualche parte del sistema operativo/programmi in maniera non "logica".

 

 

Formatta solamente quella dove hai il sistema operativo, il problema è situato lì, al limite per sicurezza fai così:

 

1. Avvia il pc con il cd di Xp e formatta la paritizione primaria con l'OS

 

2. Riavvia il pc e fai una scansione con Avira Rescue System

 

3. Se risulta pulita, passa all'installazione dell'OS stesso

 

Un pò lungo come procedimento, ma almeno sarai tranquillo.

 

Intendi che si carica in ram all'avvio? Anche in quel caso ci sarebbe qualcosa che lo fà partire, sia una valore nel registro che una riga in un file di avvio.

 

Tra l'altro spesso sul sito Avira si possono avere licenze gratuite per 6 mesi di versioni Premium etc...

 

I warning di Avira escono quando ti avvisa che c'è un programma/utlity/altro che contiene codice che se eseguito va a modificare qualche parte del sistema operativo/programmi in maniera non "logica".

Potrebbe essere un virus che infetta il MBR ? Fantascienza ?