| Autore |
 Discussione  |
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/09/2006 : 19:57:33
|
eseguine un'altra da modalità provvisoria, e postami i file in rosso di gmer, ma ce n'é uno solo che non mi convince...Trojan Remover[No-Spam]{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll /*file not found*/
|
 |
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 17/09/2006 : 20:37:08
|
Ciao. Ho eseguito due scansioni con virIT: una in modalità provvisoria, l'altra avviando Windows in modalità diagnostica. In modalità diagnostica virIT (così come è avvenuto per tutte le scansioni successive alla messa in quarantena del virus) non ha rilevato alcun file infetto. In modalità provvisoria invece ha rilevato il file infetto nella cartella di quarantena del programma stesso, MA NON E' RIUSCITO AD ELIMINARLO. Nonostante da quando il file è stato messo in quarantena non ho avuto più problemi, MI PIACEREBBE SAPERE SE E COME POSSO TENTARE DI ELIMINARE MANUALMENTE IL FILE IN MANIERA DEFINITIVA.
Ho eseguito altre due scansioni con GMER e ho postato, come mi hai chiesto, i rispettivi file log:
- Rootkit: htt*://[www].uploadtemple[.com]/view.php/1158518039.txt
- Autostart: htt*://[www].uploadtemple[.com]/view.php/1158518114.txt
Volevo ricordati che anche stavolta, come la prima, appena avviato, GMER mi manda un avviso con il quale mi dice che ci sono dei file che sono stati danneggiati dall'azione di un Rootkit.
Attendo una tua risposta e ti ringrazio ancora per la pazienza dimostrata. Ciao.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 17/09/2006 : 21:27:16
|
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Objects {52B87208-9CCF-42C9-B88E-069281105805}
Files to delete:
C:\PROGRA~1\TROJAN~1\Trshlex.dll
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
e di rootkit non c'é traccia, ma non ho capito quali sono quelli in rosso..? intanto fai quello che t'ho detto poi procediamo |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 18/09/2006 : 19:09:11
|
Ciao. Ho fatto come mi hai detto. Solamente che dopo aver inserito quello che mi hai scritto nel box bianco di avenger e aver premuto "done" mi appaiono diversi messaggi con cui il programma mi avvisa, se non ho capito male, che c'è un errore di sintassi.
Io ho copiato nel box bianco l'intero messaggio:
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Objects {52B87208-9CCF-42C9-B88E-069281105805}
Files to delete:
C:\PROGRA~1\TROJAN~1\Trshlex.dll
Ho fatto bene?
Comunque la procedura viene avviata normalmente (perchè mi viene chiesto se voglio continuare lo stesso, nonostante l'errore). Ecco qui il file log di avenger: htt*://[www].uploadtemple[.com]/view.php/1158598071.txt
Mi è venuto pensato: non potrei digitare nel box bianco di avenger il nuovo percorso del file infetto, che ora, ti ricordo, si trova in quarantena? L'altra volta quando avenger mi dava errore e tu mi hai detto che non riusciva a trovare il file, era perchè avevo digitato il percorso originale del file (mentre invece di trovava nella quarantena), per questo non lo trovava.
E poi ti confermo che GMER mi dice che dei file sono stati danneggiati dall'azione di un rootkit, che effettivamente è il tipo di trojan horse che ha infettato il file. VirIT infatti mi dice che il file è stato infettato da "Trojan.Win32.RootKit".
Per quanto riguarda le voci in rosso tu non le vedi perchè ho copiato i risultati della scansione con GMER sul blocco note. Adesso invece ti metto il collegamento al file di Word e poi vedi: htt*://[www].uploadtemple[.com]/view.php/1158599298.doc (questo file log si riferisce alla scansione "Rootkit", perchè nella scansione "Autostart" non compaiono gli elementi in rosso che ti voglio far vedere)
Ci sentiamo ciao. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 18/09/2006 : 21:06:58
|
ok king puoi digitare il percorso corretto però anteceduto da "Files to delete:" tanto per essere sicuri, e sotto iserisci il percorso, dopodiché scarichi ccleaner dalla mia firma e pulisci chiavi di registro e cache...per i file danneggiati indicami quali sono e vediamo il da farsi, comunque rootkit non ne hai più..
|
|
|
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 21/09/2006 : 21:49:47
|
 MISSIONE COMPIUTA! Con Avenger ho fatto come mi hai detto e IL MALEDETTO FILE INFETTO E' STATO ELIMINATO! Poi ho pulito chiavi di registro e cache con CCleaner. Per quanto riguarda i file danneggiati non so quali sono; so solo che quando apro GMER mi appare una finestra che mi avvisa che alcuni file sono stati danneggiati dall'azione di un rootkit. Non so che dirti di più: tu cosa mi consigli? Comunque problemi non ne ho più e finalmente il file infetto è stato eliminato; fammi sapere tu se devo fare qualcosa, ma per me va benissimo anche così. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 21/09/2006 : 21:52:34
|
a questo punto se il nel pc non rilevi più alcun problema penso che così possa bastare...
sono contento che hai risolto... |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 21/09/2006 : 21:58:22
|
| NON SO COME RINGRAZIARTI. GRAZIE MILLE!!! Sei tu il vero re dei re!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 21/09/2006 : 22:03:46
|
| e di che, per me é stato un piacere, se dovessi avere altre rogne, spero di no, sai dove andare, ma anche se non dovessi averne più... |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 23/09/2006 : 15:39:01
|
| Ciao. Sono di nuovo io. Ascolta una cosa: quando ho detto di non avere più problemi forse ho parlato un pò troppo presto. Niente di grave, solamente che ieri si è verificato l'ennesimo errore in Norton Antivirus 2005 (i cui file sono per la maggior parte danneggiati, tant'è che dovrei reinstallarlo a giorni) e mi è andato in blocco il PC. Non riuscendo neanche ad aprire il Task Manager ho riavviato manualmente e poi ho spento il PC secondo la normale procedura. Mentre però sullo schermo appariva la scritta "chiusura di Windows in corso" mi è apparsa una finestra che mi comunicava "svchost.exe - Errore nell'applicazione"; poi ho premuto ok e il computer si è spento tranquillamente. Non mi sono capitati altri problemi però è evidente che ciò è dovuto ai file danneggiati (o almeno credo). ESEGUENDO UNO SCANDISK I FILE DANNEGGIATI VERREBBERO RIPARATI? Altrimenti cosa posso fare, tu conosci qualche programma in grado di riparare tali file? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 23/09/2006 : 16:21:46
|
| disinstalla il norton fai una bella pulizia con ccleaner che trovi nella mia firma, sia dei file temp che delle chiavi di registro, dopodiché fai uno scan disk con le opzioni ripara automaticamente selezionate e alla fine fai un defrag e vedi come và.. e alla fine se vuoi reinstalli il norton anche se te lo sconsiglio... |
|
|
|
King of kings
Advanced Member
273 Messaggi |
Inserito il - 23/09/2006 : 19:26:44
|
| Avevo già da tempo CCleaner installato nel PC e ho fatto la scansione (selezionando nel menu a destra l'opzione "Cleaner" e poi "Problemi" e lasciando in entrambi i casi le opzioni predefinite, senza modificare cioè i segni di spunta) l'altra volta quando me l'hai detto tu, dopo aver cancellato il virus con Avenger. Adesso farò al più presto uno Scandisk e una deframmentazione. MA PERCHE' NON MI CONSIGLI DI REINSTALLARE IL NORTON? Il mio ormai è scaduto da più di due settimane e quindi devo aggiornare l'abbonamento: mi dici cosa cambia se acquisto l'aggiornamento a Norton Antivirus 2006 o se compro l'intero programma Norton Antivirus 2006? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
 Inserito il - 23/09/2006 : 20:00:05
|
| oltre ai file temp con ccleaner ripulisci anche le chiavi di registro, e per quanto riguarda l'antivirus ti consiglio proprio, dato che lo dovresti comprare, di cambiare completamente AV, ti direi di provare questo htt*://[www].wintricks.it/news2/article.php?ID=13581 (che devo aggiungere alla mia lista programmi) é free e non devi pagare niente, l'unica cosa durante l'installazione devi rifiutare la barra di AOL e poi al momento dovrebbe essere il migliore tra i free... e non.... |
Modificato da - aris73 in data 23/09/2006 20:00:51 |
|
|
|
King of kings
Advanced Member
273 Messaggi |
 Inserito il - 24/09/2006 : 22:04:03
|
Purtroppo ho paura che non sia un problema di file danneggiati. Ieri infatti, dopo una scansione completa del sistema, IL NORTON ANTIVIRUS 2005 HA RILEVATO IL FILE INFETTO LPT1.QBK NEL SEGUENTE PERCORSO: C:\avenger\lpt1.qbk. Le cose ora sono due:
- o il file non è mai stato eliminato, ovvero Avenger invece di eliminarlo definitivamente lo ha messo nella cartella C:\avenger come se fosse una sorta di quarantena - in questo caso la domanda è: COME POSSO ELIMINARLO DEFINITIVAMENTE?
- oppure è in qualche modo ricomparso, si è rigenarato - in questo altro caso la domanda è: E' POSSIBILE CHE UN VIRUS DOPO ESSERE STATO ELIMINATO DEFINITIVAMENTE SI RIGENERI? COSA POSSO FARE PER ELIMINARLO ED IMPEDIRE CHE RICOMPAIA?
A questo punto mi rimetto alla vostra competenza. Se qualcuno ha un'idea per favora la scriva! Grazie. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/09/2006 : 15:22:09
|
|
cancellalo da lì, ma credo che sia il bock notes degli appunti di avenger, controlla e mi fai sapere.. |
|
|
|
Discussione |
|
Trojan Horse
Forum Bloccato
