Virus che crea file setup.exe e autorun.inf

Aperto da sgeos, 30 Marzo 2007, 12:46:52

Discussione precedente - Discussione successiva

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

sgeos

cosa devo cercare? se cerco tutto il percorso (c:\ ecc) non trova nulla...se cerco setp.exe trova altri percorsi...
_
Il "Mostro": Server Case Enermax Uber Chackra ECA5001BS with Monster Fan - Alimentatore Enermax FMAII EG565AX-VE(G)535W - MotherBoard Asus P5B - CPU Intel Core2Duo E6600 2.4 GHz - VGA Sapphire Ati x1950xt 256MB DDR3 - Memory 2x 1GB Kingston DDR2 PC-667

Ninfea

Dunque, guarda caso ciò che hai selezionato nello screen del regmon...è il problema! La sottochiave .exe a quel percorso nel registro mio NON ESISTE, dovrebbero essere loro!!! Eliminale col doppio click dallo stesso regmon, inoltre visto che abbiamo la possibilità vedi appena prima della creazione se ci può essere qualcosa che ha scatenato tutto...

edit:Associa l'orario di creazione, dovrebbe coincidere secondo + secondo meno tra filemon e regmon

edit2: Associa anche la richiesta, dovrebbe coincidere, ovvero QUERY, OPEN eccc



Questo messaggio è stato aggiornato da Ninfea il 06/04/2007  alle ore  01:46:03

sgeos

facendo doppio click si apre reg edit...cosi li ho cancellati?

edit: Ninfea s'è fatto tardi eh?
vabbeh io spengo...domani vediamo
grazie mille



Questo messaggio è stato aggiornato da sgeos il 06/04/2007  alle ore  02:29:16
_
Il "Mostro": Server Case Enermax Uber Chackra ECA5001BS with Monster Fan - Alimentatore Enermax FMAII EG565AX-VE(G)535W - MotherBoard Asus P5B - CPU Intel Core2Duo E6600 2.4 GHz - VGA Sapphire Ati x1950xt 256MB DDR3 - Memory 2x 1GB Kingston DDR2 PC-667

Ninfea

Si sgeos era tardino non potevo restare oltre.
Una volta entrato nel registro devi cancellarli, click destro sulla chiave o sottochiave, ed elimina :)
Se l'altro pc come dici è sano, il mio consiglio per eliminare correttamente le chiavi è seguire il percorso nel pc sano e vedere se li sono presenti. Se non ci sono significa che di certo non sono utili al sistema ma sono state aggiunte dopo e quindi dovremo eliminarle.

ZUB was a genetically engineered life-form,a fighting machine.We may never really know the truth about ZUB...
(C) 1986 ALL RIGHTS RESERVED.

Questo messaggio è stato aggiornato da Ninfea il 06/04/2007  alle ore  10:04:05

sgeos

ciao Ninfea...Buongiorno e ancora grazie...
le chiavi di registro per me sono una di quelle poche cose di cui non capisco assolutamente nulla...
partendo dalla chiave di registro a che mi porta facendo doppio click...quali sono quelle che devo cancellare?
Stefano



Questo messaggio è stato aggiornato da sgeos il 06/04/2007  alle ore  10:10:38
_
Il "Mostro": Server Case Enermax Uber Chackra ECA5001BS with Monster Fan - Alimentatore Enermax FMAII EG565AX-VE(G)535W - MotherBoard Asus P5B - CPU Intel Core2Duo E6600 2.4 GHz - VGA Sapphire Ati x1950xt 256MB DDR3 - Memory 2x 1GB Kingston DDR2 PC-667

Ninfea

Buongiorno a te,ho editato il messaggio precedente per aiutarti a capire come muoverti nel registro, hai pvt.



Questo messaggio è stato aggiornato da Ninfea il 06/04/2007  alle ore  10:07:40

Ninfea

Nel caso ci sia una classe intera che non combacia con il pc non infetto, elimina la cartellina direttamente sulla destra, invece nel caso in cui la cartellina esista ma nel grosso riquadro bianco ci siano valori in più che corrispondono all'ora di creazione del setup.exe dovrai eliminare la sottochiave che ha il valore DWORD o REG_SZ.
Esempio1:
Mettiamo che la cartella appmgmnt non esista nel registro buono. Da quello modificato la dovrai eliminare:


Esempio2:
Consideriamo che sia una sottochiave, ad esempio GROUP 6 di tipo REG_SZ, in questo caso cliccheremo sulla sottochiave e la elimineremo:


Lo scopo di questi screen è solamente a titolo di esempio, non c'entrano nulla con il virus in questione.


sgeos

i file bastardi oggi non si voglione creare... Ninfea...gli stiamo facendo paura :D
_
Il "Mostro": Server Case Enermax Uber Chackra ECA5001BS with Monster Fan - Alimentatore Enermax FMAII EG565AX-VE(G)535W - MotherBoard Asus P5B - CPU Intel Core2Duo E6600 2.4 GHz - VGA Sapphire Ati x1950xt 256MB DDR3 - Memory 2x 1GB Kingston DDR2 PC-667

Ninfea


sgeos

edit ok...perdonami...lo spirito è giusto...ma tra un po prendo a testate l'altro pc...



Questo messaggio è stato aggiornato da sgeos il 06/04/2007  alle ore  11:56:10
_
Il "Mostro": Server Case Enermax Uber Chackra ECA5001BS with Monster Fan - Alimentatore Enermax FMAII EG565AX-VE(G)535W - MotherBoard Asus P5B - CPU Intel Core2Duo E6600 2.4 GHz - VGA Sapphire Ati x1950xt 256MB DDR3 - Memory 2x 1GB Kingston DDR2 PC-667