PDA

Visualizza versione completa : [XP] IDD - winEA


Virtudine
07-12-2006, 00.34.10
Ciao!
Da qualche giorno vedo spuntare, regolarmente, un'icona sulla barra inferiore del system try ed un messaggio probabile di un dialer che avverte che non riesce a trovare il modem.
Non sono preoccupato, visto che utilisso una classica connessione ADSL con router (ma con IP fisso)
Facendo una ricerca rilevo programmi identificati come:
-IDD.tmp.exe
-winEA.tmp.exe
Suppongo si tratti di qualche cosa come un Trojan, visto che se vengono cancellati riappaiono regolarmente.
Come posso risolvere l'inconveniente?
Sinceramente al momento lavoro con un PC che sarÓ sostituito a breve con uno nuovo ma vorrei sapere come evitare il problema con la macchina nuova.

Un ringraziamento anticipato.

Virtudine

crazy.cat
07-12-2006, 08.52.40
Intanto per vedere di eliminare gli ospiti puoi farti una scansione dalla modalitÓ provvisoria con scangui o sysclean
http://www.wintricks.it/manuali/tools_rapidi.html
se non basta A2 squared o avg antispyware.

Per il futuro, non sapendo cosa utilizzi adesso, ti potrei dire un antivirus migliore, un firewall sempre attivo, un programma come spywareterminator che controlli in tempo reale le modifiche al tuo pc, spywareblaster che previene tante infezioni.

Virtudine
07-12-2006, 12.48.42
Grazie Crazy Cat delle informazioni.
Al momento avevo in programma una scansione "on-line" con PC Cillin.
Nel PC Ŕ utilizzato come antivirus e firewall Zone Alarm.

Se hai un antivirus/firewall pi¨ efficace...grazie del suggerimento.

Virtudine

gsmet
07-12-2006, 12.52.56
Ahah... bel Trojan.

Allora, prima di tutto ti consiglio di procurarti Process Explorer http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

In secondo luogo lo apri e termini il winXX.tmp.exe di turno.

Poi velocemente vai nelle proprietÓ di winlogon.exe e nella pagina threads cerchi:
winXXX32.dll

le xxx variano.

Lo selezioni e termini quel thread.

Poi apri il registro di sistema (regedit.exe) e vai a questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Dovresti trovare una chiave chiamata winXXX32

Eliminala.

Ora vai in C:\windows e cerca winXXX32.dll (abilitando la ricerca nelle sottocartelle e anche nei file nascosti).

Elimina tutte le ricorrenze.

Svuota le cartelle %TEMP% e c:\Windows\Temp.

Hai rimosso il Trojan...

Ho seguito la stessa procedura per rimuoverlo dal PC di mio fratello.