Ciao apro una nuova discussione per un problema che ho al portatile.
Ho beccato un virus che ha vari nomi...ogni antivirus lo individua a modo suo...segnalo i nomi che ho trovato su internet:
Proxy.KPV
Proxy.Horst
e altri che ora non trovo.
questo virus genera 2 file (setup.exe e autorun.inf) in tutte le cartelle condivise... ogni volta che si rigenerano, entrando in queste cartelle il mio buon AVG me li segnalava automaticamente...ora sembra che si sia assuefatto e non lo fa più...comunque io continuo a cancellarli sistematicamente.
Ho provato decine di programmi...li elenco
Virit
cCleaner
HiJackThis
Windows Worms Doors Cleaner v1.4.1
SmitfraudFix
Spyware Doctor
avenger
combofix
gmer
noadware
registry booster
spy eraser plb
e non so quanti altri...
Come estrema ratio ho anche formattato...ma dopo poco il problema si è ricreato!
Qualcuno ha esperienze del genere?
grazie
p.s. a volte si crea un file solo o l'altro...più spesso si creano entrambi insieme
Questo messaggio è stato aggiornato da benna il 30/03/2007 alle ore 15:37:26
Sei nella sezione sbagliata.
Si continui pure qui in attesa che il mod sposti il thread.
Io un problema simile l'ho risolto con il programma SUPERAntiSpyware.. anche se ne hai provati davvero tanti x' nn tentare? ;)
http://www.superantispyware.com/
Questo messaggio è stato aggiornato da maverick85 il 30/03/2007 alle ore 13:26:45
grazie maverick...uno più uno meno...provo subito!!
chiedo scusa per l'errore e chiedo di essere spostato nel thread giusto
Ciao sgeos, nel caso avessi problemi di rimozione, effettua le scansioni dalla modalità provvisoria :)
nessun risultato...a parte i normali cookie che rimuovo ogni giorno...devo provare in modalità provvisoria?
Si certo prova :)
spostato
ho provato in modalità provvisoria
virit
spyware doctor
super anti spyware
ma non hanno trovato nulla...
ora ho lasciato i 3 programmi attivi e ancora non sono ricomparsi i file...aspetto e vedo
grazie mille per il trasferimento
Questo messaggio è stato aggiornato da sgeos il 30/03/2007 alle ore 19:14:30
Attualmente il virus che mi viene rilevato da AVG è il Trojan.Horse.Downloader.Agent.KCC e il file che mi viene riconosciuto come virus è in C:\System Volume Information\_restore ecc...
ditemi qualcosa...
AVG lo elimina? lo mette in quarantena?
Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 13:08:12
per quanto riguarda il file nella cartella di restore automaticamente mi esce la finestra che dice "cosa vuoi fare?" e io lo metto nella Virus Vault (he credo sia la quarantena)
per quanto invece riguarda i file setup.exe che si creano nelle cartelle condivise non succede nulla automaticamente...appena apro una cartella condivisa esce la mitica finestra.
Mi devi copiare-incollare un log di hijackthis, scaricalo da qui www.hijackthis.de
Logfile of HijackThis v1.99.1
Scan saved at 13.23.19, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\WLAN\WLAN\wlanutil.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\CPUCooL\CooLSrv.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\NoAdware5.0\NoAdware5.exe
C:\Documents and Settings\Stefano\Desktop\Programmi\HiJackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Programmi\Uniblue\Registry Booster\RegistryBooster.exe /S
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programmi\WLAN\WLAN\wlanutil.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programmi\CPUCooL\CooLSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Ok, entra in modalità provvisoria senza rete, fixa (elimina) queste:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
Dopodichè dal menu del browser cancella tutti i files temporanei e i cookies.
Avvia Ccleaner sempre in modalità provvisoria, e vai su trova problemi; cancella tutto ciò che trova, ma tieni fino a quando nn avremo risolto una copia di backup delle chiavi che rimuove. Dopo lancia superantispyware e fagli fare una scansione completa e approfondita; assicurati di aggiornarlo prima di tutto, in quanto la modalità provvisoria senza rete non te lo consentirà.
Dopo aver fatto ciò dovrai riavviare in modalità normale e dirmi se e dove di preciso si ricreano i files che dici.
Fatto Ninfea...purtroppo nessun risultato...ho fixato quei thread e anche molti altri, ora ho un log più pulito...pero SuperAntiSpyware non ha trovato nulla.
tra l'altro prima di avviare in modalità provvisoria erano comparsi i file nelle cartelle condivise e non li avevo cancella, ma non sono stati rilevati da nessuno
si sono ricreati...anche se senza gli autorun.inf, solo i setup.exe...ma ora avg non li rileva...
Ok, devo sfoderare le mie armi, l'ha voluto lui :D
Sgeos credo proprio che sia colpa di un worm; purtroppo nessun antivirus lo rileva a parte kaspersky che è in grado di rimueverlo, tuttavia credo di poterti dire come fare per eliminarlo.
Allora...Questo worm crea una copia del processo di sistema di windows che prende il nome di smss.exe, solo che al posto di trovarsi nella cartella system32, si trova nella cartella system. Crea copia di se stesso nelle root di ogni disco rigido condiviso presente nel tuo sistema; ma non ne sei infetto finchè l'eseguibile appunto setup.exe non viene aperto. Il file di corredo autorun.inf contiene le informazioni per eseguirlo.
Procedura di eliminazione:
Apri la cartella C:\windows\system, quando trovi smss.exe lo elimini, così come setup exe e autorun.inf.
Dopo tramite start---->esegui digiti regedit per entrare nel registro di sistema.
Segui questo percorso:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Fai doppio click sul valore DWORD, ed in esadecimale devi impostare il valore 95 (Windows default).
Perchè tutto ciò?
Perchè questo tipo di worm crea dei file che vengono automaticamente letti da windows. Sul sito ufficiale Microsoft, a questo indirizzo: http://support.microsoft.com/kb/136214 ci spiegano come determinare questo valore. Il default ripeto è 95, come spiega sul sito; 91 corrisponde a boot da floppy e così via.
Questo worm, è bruttissimo perchè come dicevo sopra è invisibile, per insidiarsi nel tuo sistema sfrutta soprattutto le falle di sicurezza, quindi è consigliabile assolutamente aggiornare da windows update, ed attivare un firewall oltre alle tradizionali protezioni.
Alternativamente, devi scaricare Kaspersky, a mio avviso il migliore, che può rimuoverlo.
Sgeos se tutto ciò non risolve, tenteremo la strada dei rootkit, perchè io lo definisco worm, ma probabilmente è talmente insidioso che è un rootkit.
Ninfea...purtroppo le tue armi le ho già usate... ho già provato le tue istruzioni trovande su qualche sito...ma non fanno al caso mio...nella cartella system non c'è smss.exe...
pero sono riuscito a capire che una 30ina si secondi prima della creazione del file negli eventi c'è questo:
Il sistema ha rilevato che la scheda di rete \DEVICE\TCPIP_{5F2578FE-C1BB-4353-821D-5E77D22A5C83} è connessa alla rete, e ha iniziato le normali operazioni sulla scheda di rete.
non so se sia connesso e non so proprio cosa sia successo.
anche Kaspersky non trova nulla
vogliamo provare con rootkit?:)
A questo punto credo che questi file vengano creati proprio da un processo invisibile; per tanto dobbiamo provare con un anti-rootkit.
Proviamo questo della stessa AVG: http://www.majorgeeks.com/download.php?det=5249 ;)
Questo coso che ti sei beccato è vecchissimo, non pensavo girasse ancora:gray: mi porta alla mente vecchi ricordi con win 98:D
Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 20:12:37
niente da fare...trovano niente
il bastardo ha la capa tosta :)
Puoi dirlo forte, una domanda voglio farti hai il service pack2 di windows installato? ad updates come sei messo?
tutto aggiornato a parte il genuine advantage...
ma non so se hai letto...ho formattato per questo motivo senza esito...
Non avevo letto in effetti, sicuro di non aver solo sovrascritto l'OS? :)
edit: quanti dischi hai sul sistema? Prima ti ho scritto che questo maledetto di worm /trojan/rootkit si installa sui dischi rigidi condivisi
Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 20:42:38
no no...ho anche tolto partizione e riformattato NTFS...e ho anche staccato le ram
Hai una rete domestica? Quindi altri pc che condividono files ed impostazioni?:) Mi sembra troppo assurdo che sia ancora li dopo il format...a meno che non fosse contenuto in qualche programma che hai installato dopo
edit: dal log di hijackthis risulta che non hai nessun firewall installato; credo che dovresti metterne uno tipo sygate: http://www.majorgeeks.com/download.php?det=3356
Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 20:55:47
si che ho una rete...ma l'altro pc è sano...
Nell'altro pc dovresti far girare l'anti rootkit se puoi,e cercare smss.exe in C:\Windows\system.
edit:poi avrei un altro paio di soluzioni, ma controlla bene tutti i dischi e i computer condivisi prima :)
Questo messaggio è stato aggiornato da Ninfea il 05/04/2007 alle ore 12:59:25
smss.exe anche nell'altro pc non c'è...per far girare l'antirootkit ci vorrà la giornata di domani...
l'altro pc è figlio di un formattone di 2 settimane fa
sgeos ti dico subito che la soluzione alternativa si chiama filemon, non può non rilevare i files che creano il processo setup.exe. Lo puoi trovare qui: http://www.microsoft.com/technet/sysinternals/utilities/filemon.mspx
Inizia a scaricarlo che magari riesci a renderti conto, ovviamente se hai bisogno di aiuto puoi chiedere tranquillamente :)
l'ho installato...ma come si usa? tutti i servizi si muovono a ripetizione
Clicca sull'autoscroll, ovvero il tastino come da immagine:
(https://www.forumzone.it/public/uploaded/Ninfea/200745235433_fmon.JPG)
Dopo clicca qui:
(https://www.forumzone.it/public/uploaded/Ninfea/200745235612_fmon2.JPG)
e cerca setup.exe
Questo messaggio è stato aggiornato da Ninfea il 05/04/2007 alle ore 23:56:42
ora devo aspettare che si rigenerino i files?
Si certo altrimenti non lo troverai mai :)
edit: Iniziamo a preoccuparci anche del registro di sistema intanto.
Scarica questa utility sempre dal sito sysinternals di microsoft che si chiama regmon:
http://www.microsoft.com/technet/sysinternals/utilities/regmon.mspx
Fa lo stesso lavoretto del filemon, solo che ti dice a quali chiavi sono associati i processi
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 00:03:45
trovero nel path il percorso dei file?
Quando troverai, attraverso il pulsante di ricerca, il nostro dannato :Dsetup.exe ti basterà far doppio click sopra ed entrerai nella cartella direttamente. Da li ti basterà eliminare, ma prima di eliminare come dicevo dovrai monitorare il registro e vedere esattamente le chiavi a cui è associato perchè se non lo strappiamo dal registro non abbiamo fatto niente :duo
edit: si trovi tutto nel path, te ne puoi già rendere conto su tutti gli altri processi.
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 00:12:41
non è mica facile capire quando si generano...a volte all'avvio...a volte durante il normale uso...quando gli pare insomma..
L'importante è eseguire tutta l'operazione quando hai il file, non nel momento in cui si genera, non so se mi sono spiegata; in sostanza setup.exe deve esistere, filemon e regmon devono vederlo al di là del fatto che si è appena formato o no, non perderci le ore di sonno dietro, quando lo trovi non lo elimini ma lanci tutti i programmini cosi lo individui e lo stermini ;)
edit: Comunque credo che qualche processo scatenante ci sia, facci bene caso, non è che c'è qualche programma che appena lo lanci si creano i files? Deve esserci, cerca di prestare tutta l'attenzione che puoi.
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 01:00:27
ora si è creato...con filemon lo vedo...ma regmon non so bene come muovermi...come faccio a sterminarlo?
ti allego degli screenshot(https://www.forumzone.it/images/misc/attach_legacy.gif) (https://www.forumzone.it/attachment_legacy.php?dir=sgeos&file=2007461546_report.zip)
edit altro screenshot
(https://www.forumzone.it/public/uploaded/sgeos/20074611936_regmon.JPG)
Questo messaggio è stato aggiornato da sgeos il 06/04/2007 alle ore 01:20:23
Cerca con il solito binocolo piccolo, vediamo se ce la fa
Chiariscimi un dubbio la cartella cond virus che sta sul desktop che sarebbe?
ZUB was a genetically engineered life-form,a fighting machine.We may never really know the truth about ZUB...
(C) 1986 ALL RIGHTS RESERVED.
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 01:28:05
cosa devo cercare? se cerco tutto il percorso (c:\ ecc) non trova nulla...se cerco setp.exe trova altri percorsi...
Dunque, guarda caso ciò che hai selezionato nello screen del regmon...è il problema! La sottochiave .exe a quel percorso nel registro mio NON ESISTE, dovrebbero essere loro!!! Eliminale col doppio click dallo stesso regmon, inoltre visto che abbiamo la possibilità vedi appena prima della creazione se ci può essere qualcosa che ha scatenato tutto...
edit:Associa l'orario di creazione, dovrebbe coincidere secondo + secondo meno tra filemon e regmon
edit2: Associa anche la richiesta, dovrebbe coincidere, ovvero QUERY, OPEN eccc
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 01:46:03
facendo doppio click si apre reg edit...cosi li ho cancellati?
edit: Ninfea s'è fatto tardi eh?
vabbeh io spengo...domani vediamo
grazie mille
Questo messaggio è stato aggiornato da sgeos il 06/04/2007 alle ore 02:29:16
Si sgeos era tardino non potevo restare oltre.
Una volta entrato nel registro devi cancellarli, click destro sulla chiave o sottochiave, ed elimina :)
Se l'altro pc come dici è sano, il mio consiglio per eliminare correttamente le chiavi è seguire il percorso nel pc sano e vedere se li sono presenti. Se non ci sono significa che di certo non sono utili al sistema ma sono state aggiunte dopo e quindi dovremo eliminarle.
ZUB was a genetically engineered life-form,a fighting machine.We may never really know the truth about ZUB...
(C) 1986 ALL RIGHTS RESERVED.
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 10:04:05
ciao Ninfea...Buongiorno e ancora grazie...
le chiavi di registro per me sono una di quelle poche cose di cui non capisco assolutamente nulla...
partendo dalla chiave di registro a che mi porta facendo doppio click...quali sono quelle che devo cancellare?
Stefano
Questo messaggio è stato aggiornato da sgeos il 06/04/2007 alle ore 10:10:38
Buongiorno a te,ho editato il messaggio precedente per aiutarti a capire come muoverti nel registro, hai pvt.
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 10:07:40
Nel caso ci sia una classe intera che non combacia con il pc non infetto, elimina la cartellina direttamente sulla destra, invece nel caso in cui la cartellina esista ma nel grosso riquadro bianco ci siano valori in più che corrispondono all'ora di creazione del setup.exe dovrai eliminare la sottochiave che ha il valore DWORD o REG_SZ.
Esempio1:
Mettiamo che la cartella appmgmnt non esista nel registro buono. Da quello modificato la dovrai eliminare:
(https://www.forumzone.it/public/uploaded/Ninfea/200746103816_rrr.JPG)
Esempio2:
Consideriamo che sia una sottochiave, ad esempio GROUP 6 di tipo REG_SZ, in questo caso cliccheremo sulla sottochiave e la elimineremo:
(https://www.forumzone.it/public/uploaded/Ninfea/200746104051_efdg.JPG)
Lo scopo di questi screen è solamente a titolo di esempio, non c'entrano nulla con il virus in questione.
i file bastardi oggi non si voglione creare... Ninfea...gli stiamo facendo paura :D
ahah questo è lo spirito giusto :D
edit ok...perdonami...lo spirito è giusto...ma tra un po prendo a testate l'altro pc...
Questo messaggio è stato aggiornato da sgeos il 06/04/2007 alle ore 11:56:10
MSN si disconnette:(non usciamo dal thread però:)
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 11:58:05
ho tolto tutte le difese...aspetto che mi attacchino
edit: certo che regmon ciuccia un scco di risorse...o sbaglio?
Questo messaggio è stato aggiornato da sgeos il 06/04/2007 alle ore 12:24:04
Nooo, metti tutte le difese, non ti attaccano dall'esterno, è qualcosa che risiede già nel pc attende solo qualche input:)
edit:Credo che regmon + lo tieni aperto e + mangia memoria, nessun problema premi ctrl+x e la pagina torna bianca e la memoria utilizzata si libera ;)
Questo messaggio è stato aggiornato da Ninfea il 06/04/2007 alle ore 12:30:23
si ma con tutte ste cose il pc è un carrettino siciliano...lascio solo avg
o hanno paura o sono andati in ferie per pasqua...
non si fanno vivi...
In pvt mi hai detto di aver eliminato da filemon o sbaglio? La prova del 9 è lanciare ccleaner, se trova da solo le chiavi da eliminare allora l'abbiamo stordito di brutto e si è arreso:lens:...anche se......lui è davvero cattivo...
io ho solo cliccato 2 volte su una riga...li ho cancellati cosi?
mmm...no:gray: attendiamo la loro ricomparsa allora :(:)
Scusate il ritardo di questo post...
Forse ho risolto tutto...
ringrazio in anticipo Ninfea per la sua collaborazione!!!
Allora...credo che il problema fosse dovuto ad una email contenuta nella cartella "postaeliminata" di outlook express (per chi non lo sapesse tutte le mail sono in un file .dbx situato in una sotto-cartella di "document and settings" ).
L'unico antivirus che è riuscito ad individuarlo è stato BitDefender (ho usato lo scan on-line).
Poi ho usato panda online e trend micro...
insomma l'ho pulito proprio per bene...
Grazie ancora a Ninfea e a tutti quelli che mi hanno aiutato
Stefano
Bene Sgeos, sono contenta che si sia tutto risolto. Figurati, quando hai bisogno siamo qui :);)
ora sono io che ho lo stesso problema questo maledetto file setup.exe che si crea con un autoexec.bat solo che io ho kaspersky internet security e me lo elimina ogni volta che si ricrea :( ......ho settato il valore 95 nel regedit ora cosa mi consigliate di fare?:diablo:
Citazioneora sono io che ho lo stesso problema questo maledetto file setup.exe che si crea con un autoexec.bat solo che io ho kaspersky internet security e me lo elimina ogni volta che si ricrea :( ......ho settato il valore 95 nel regedit ora cosa mi consigliate di fare?:diablo:
aggiungo che il file smess.exe è presente solo in windows\system32 non system....ho usato i programmi consigliati ma a me appena si crea il file setup lo elimina kaspersky internet security
hai provato bitdefender? e altri scan online?
Citazionehai provato bitdefender? e altri scan online?
si ho provato bitdefender 8-9-10 norton antivirus online panda nod 32 ......e in ultimo karspesky calcola che ho installato ad-aware e spybot sempre tutto aggiornato compreso il sistema operativo windows xp media center 2005
Citazioneora sono io che ho lo stesso problema questo maledetto file setup.exe che si crea con un autoexec.bat solo che io ho kaspersky internet security e me lo elimina ogni volta che si ricrea :( ......ho settato il valore 95 nel regedit ora cosa mi consigliate di fare?:diablo:
Benvenuto :)
Entra in modalità provvisoria premendo F8 dopo la fase di POST del bios, quindi appena acceso il pc prima che windows inizi a caricare e fai una scansione da li, inoltre una volta trovato il file pulisci il registro di sistema. Ricorda di scegliere modalità provvisoria senza rete.
p.s.
Per modificare o aggiungere qualcosa ai tuoi post devi usare il tasto EDIT che di trova sul bordo del tuo messaggio ;)
CitazioneCitazioneora sono io che ho lo stesso problema questo maledetto file setup.exe che si crea con un autoexec.bat solo che io ho kaspersky internet security e me lo elimina ogni volta che si ricrea :( ......ho settato il valore 95 nel regedit ora cosa mi consigliate di fare?:diablo:
Benvenuto :)
Entra in modalità provvisoria premendo F8 dopo la fase di POST del bios, quindi appena acceso il pc prima che windows inizi a caricare e fai una scansione da li, inoltre una volta trovato il file pulisci il registro di sistema. Ricorda di scegliere modalità provvisoria senza rete.
p.s.
Per modificare o aggiungere qualcosa ai tuoi post devi usare il tasto EDIT che di trova sul bordo del tuo messaggio ;)
si ok facendo f8 e scegliendo modalità provvisoria con la rete mi avvia windows...mentre senza rete mi pare di ricordare che mi porti direttamente in dos, ma gli antivirus girano anche in dos?? mi spieghi bene la procedura? passo passo? io ho 2 hard disk uno partizionato in 2 quindi c:vistahomepremium d:filespersonali e:windowsxpmediacenteredition2005:o
devo avere 2 sistemi operativi per gli inconvenienti ancora di windows vista molti programmi su cui lavoro girano solo su xp bene senza che si chiudono inspiegabilmente da soli!
ti ringrazio del benvenuto e dell'aiuto che date ad ogni utente siete meravigliosi
Questo messaggio è stato aggiornato da pepeppe il 21/04/2007 alle ore 22:01:19
Di niente,;)
Domanda: ma il problema lo accusi su win Vista o su xp?
Inoltre, la modalità provvisoria senza rete ti avvia lo stesso windows, solo senza possibilità di connetterti (serve per escludere la possibile entrata di virus, come una camera sterile), da XP in poi entrare nel DOS è quasi impossibile ;)
Avvia la partizione che contiene il sistema operativo infetto quindi.
Ulteriore appunto:
Puoi avviare la modalità provvisoria digitando msconfig.exe in esegui, che si trova nel menu avvio sia di XP che di win Vista, vai sulla scheda "opzioni di avvio" e metti la spunta su modalità provvisoria.
Quando avrai finito dovrai entrarci di nuovo e togliere la spunta per avviare in modalità normale.
Questo messaggio è stato aggiornato da Ninfea il 21/04/2007 alle ore 22:49:28
Ciao si è rifatto il file setup questa volta nella cartella documents and setting\alluser\documenti condivisi e non l'ho cancellato ho provato ad aprire registry monitor cliccato sul tastino spiegatomi e sul binocolo lancio la ricerca su setup.exe ma mi dice che non trova la stringa è una cosa subenorme da pubblicare sul sito :eek: il problema si verifica in win xp.....ma se faccio la scansione completa da avvio modalità provvisoria mi leva il file ma poi mi si ricrea dinuovo io vorrei eliminarlo definitivamente!!!!
Questo messaggio è stato aggiornato da pepeppe il 22/04/2007 alle ore 01:17:43
Partiamo dal presupposto che tu abbia letto il topic, devo chiederti comunque se dopo aver eliminato il file con l'antivirus hai fatto la pulizia del registro con Ccleaner ( https://www.hwsetup.it/news/reader.php?objid=4822 ) sempre dalla modalità provv. senza rete :)
si l'ho fatto grazie :( ma purtroppo ancora niente si ricrea sempre sulle cartelle condivise il maledetto!!!! cos'altro posso fare??? provo col programma anti rookit?
Si peppe, proviamo quello ;)
Dopo mi devi postare un log di hijackthis ;)
Questo messaggio è stato aggiornato da Ninfea il 22/04/2007 alle ore 12:32:06
allora ninfea ho notato una cosa ho fatto la pulizia sia dei problemi che dei temporanei con ccleaner e notavo che nonostante facessi la pulizia dei problemi rifacendo la scansione mi trovava altri problemi :( mah!!!!! ora li ho eliminati tutti! poi ho usato rookit anche li eliminato tutti i problemi e fino ad adesso il file setup non si è piu ricreato attendiamo un po.... grazie dell'aiuto
P.S ho anche tentato di fare una scansione online con bitdefender ebbene da questa mattina alle 11 fino ad adesso che sono le 24.07 ancora non ha finito la scansione :eek::eek::eek::eek:
evidentemente hai molti file...o una connessione non velocissima...
ho molti file....ma la mia connessione è la migliore che ci sia ;) fastweb
Peppe se l'anti rootkit ha trovato molti files e li ha eliminati molto probabile che il problema risiedesse li, speriamo bene ;)
Nel caso si ripresentasse postami il log di hijackthis, per qualsiasi problema chiedi ;)
grazie tante sei un angelo
Addirittura :D :o
Di niente figurati ;)