| Autore |
 Discussione  |
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
 Inserito il - 24/05/2006 : 20:13:55
|
ciao a tutti mi sono appena iscritto per chiedervi un aiuto...
dopo aver preso un trojan ho cancellato la connessione che aveva creato,tolto dall'avvio di windows,cancellato il programma dal pannello di controllo ecc. ecc.
Il problema e il seguente:
dopo aver cancellato tutto mi sono accorto (attivando visualizza cartelle nascoste)che mi ha lasciato un file,il quale non si cancella perche protetto da scrittura,ho anche provato killbox e isusedby ma niente da fare il file(exe) non se ne va..
quando vado a fare una scansione con virit explorer trova sempre una chiave di registro ,la cancella e riappare..
Grazie in anticipo
fabrizio
|
|
|
Cartesio
Advanced Member
Città: Alcatraz
Nota:
252 Messaggi |
Inserito il - 24/05/2006 : 20:34:49
|
| prova a cancellare il file e a fare una scanssione in modalità provvisoria. |
 |
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 24/05/2006 : 20:41:15
|
allora da modalità provvisoria usa unlocker: htt*://ccollomb.free.fr/unlocker/
ciauz
|
|
|
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
Inserito il - 24/05/2006 : 20:47:15
|
il file non si cancella ne in modalità normale ne in provvisoria..
ho anche provato con unlocker,niente!! |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 24/05/2006 : 21:22:17
|
Se non si cancella (o si ricrea) è probabile che una parte dell'infezione sia ancora presente, posta un log di HijackThis come descritto qui: htt*://[www].notrace.it/forum2/regolamento.asp
Il programmino scaricalo di qui: htt*://[www].majorgeeks[.com]/download.php?det=3155
Questo è invece su come usarlo: htt*://[www].notrace.it/hijackthis-guida.htm
Ciao e Benvenuto |
Modificato da - Yves in data 24/05/2006 21:22:58 |
|
|
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
Inserito il - 24/05/2006 : 22:13:57
|
eccolo:
htt*://freefilehosting.net/?id=pdv8k6jd |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/05/2006 : 10:51:30
|
fixa queste voci
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [Microsoft Host Service] nav32sp.exe
O4 - HKLM\..\RunServices: [Microsoft Host Service] nav32sp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
e poi passa al serviceP 2
fammi sapere |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/05/2006 : 10:59:53
|
uauuuu quanta bella roba...
fixa queste...(ripeto anche quelle sopra):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].bassmania.net/
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [Microsoft Host Service] nav32sp.exe
O4 - HKLM\..\Run: [ccApp.exe] ccApp.exe
O4 - HKLM\..\RunServices: [Microsoft Host Service] nav32sp.exe
O4 - HKLM\..\RunServices: [ccApp.exe] ccApp.exe
O4 - HKCU\..\Run: [Microsoft Host Service] nav32sp.exe
O4 - HKCU\..\Run: [ccApp.exe] ccApp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
poi riposta un altro log... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/05/2006 : 16:58:07
|
| hai eliminato anke un po di roba inutile, ok meglio così...gli fai fare tutto in una volta |
|
|
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
Inserito il - 25/05/2006 : 17:06:30
|
allora intanto grazie dell'aiuto!!!
ecco il log:
htt*://freefilehosting.net/?id=pdr1kaTR
comunque mi pare che la chiave 02 e la 23 che mi dite di cancellare ritorni ogni volta... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/05/2006 : 17:13:29
|
adesso é tutto ok, magari x la 02, dopo che l'hai fixata fai una pulizia delle kiavi di registro e dei file temp di internet ccleaner (pulizia cache) htt*://[www].majorgeeks[.com]/download4191.html
RegCleaner (pulizia registro) htt*://[www].worldstart[.com]/weekly-download/archives/reg-cleaner4.3.htm
guida htt*://[www].tutorialpc.it/regcleaner.asp
ricordati di passare al SP 2 |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 25/05/2006 : 17:16:24
|
Citazione:
Messaggio inserito da aris73
ricordati di passare al SP 2
installare sp2 con tutti i programmi installati, antivirus compresi potrebbe crashare il sistema...meglio se sp2 lo installa al prossimo formattone prima di installare tutti gli altri programmi...
|
|
|
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
Inserito il - 25/05/2006 : 17:41:58
|
fatto con ccleaner ma il maledetto file non scompare..e sempre li!!!
quando provo a cancellarlo mi dice protetto da scrittura.... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 26/05/2006 : 13:05:53
|
| se tu pensi sia meglio così vanx, ke sia, ma desso dobbiamo vedere il xke ritorna quella voce e gli dice protetto da scrittura.. |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 26/05/2006 : 13:34:05
|
| Fabri86 puoi dirci il percorso preciso del file che non si elimina ? |
|
|
|
fabri86
Senior Member
Città: vicenza
178 Messaggi |
Inserito il - 26/05/2006 : 16:49:14
|
non e che il file si cancelli e poi ritorna!!il file resta sempre dov'e..
il nome è scritto in verde,probabilmente da quanto ho letto in giro pare sia crittografato..ma non sono sicuro! |
|
|
|
Discussione |
|
saluto+aiuto..
Forum Bloccato
