PDA

Visualizza versione completa : [VIRUS] Account che si crea da solo


Pegasus83
30-07-2006, 13.40.57
E' da giorni che sotto c:\documents and settings mi si crea una cartella account con nome "HNfiQhFXgkhfts". Nonostante la elimini, si ricrea automaticamente e ho paura che serva a qualcuno per collegarsi al mio pc.

Ho fastweb fibra, Nod32 e Sygate Personal Firewall...

cosa potrebbe essere?

Adesso sto smanettando nei servizi per chiudere tutti quelli che non sono necessari...

Lionsquid
30-07-2006, 19.29.52
qualcosa di simile l'ho incontrato ed era un virus.. l'account creato era di tipo nascosto e non visibile normalmente...

una versione + sofisticata addirittura sostituisce l'account


l'unica soluzione che permette di scandire il pc senza che l'ospite prenda il controllo del pc è quella di usare un cd di avvio tipo BARTPE o HIREN'S ...

dal web ti scarichi il macafee a riga di comando o con l'uso dello SCANGUI ...e dai una passsata approfondita a tutto il pc... leggi qui > http://www.wintricks.it/manuali/tools_rapidi.html

fatto ciò avvii in mod. provv. e dall'account Administrator seghi l'account rimasuglio... disconnetti e rientri con l'account "normale"... vai a caccia di setting e/o cose strane con i tools tipo HIJACKTHIS, PROCXP, ect. etc...

prova ad utilizzare la ricerca interna al forum e troverai altre discussioni in merito..

PS: il TAG "HELP" non è valido pochè è un termine generico e non specifico dell'argomento trattato.... ;) mettine uno più pertinente.... poi si può sempre aggiustare la mira successivamente..

LiNk91
30-07-2006, 19.59.06
forse io ho lo stesso problema ma nn so

Pegasus83
30-07-2006, 22.24.12
sono in modalità provvisoria

ho trovato un servizio che si avvia loggandosi con l'utente scritto nel primo post

richiama un file che è localizzato qui:

C:\Program Files\Common Files\System\IWX.exe

Il file non si riesce ad eliminare e non si può accedere alle sue proprietà per segare l'utente a livello di permessi

per ora ho solo rinominato la cartella System con System2 per vedere se riesco ad inibire la partenza del processo, vi tengo aggiornati

Sbavi
31-07-2006, 10.14.02
Forse è lo stesso...

http://www.wintricks.it/forum/showthread.php?t=108493

Me lo porto ancora dietro :(
Sono stati furbi perchè tutti i nomi di file/servizi vengono creati random, quindi su Google non trovi una cippa di niente.

Pegasus83
31-07-2006, 10.20.22
penso sia simile, però il nome del mio non cambia, rimane sempre nello stesso percorso.
il file era inizialmente qui
C:\Program Files\Common Files\System\IWX.exe
non potendolo cancellare ho rinominato la cartella System creandone una nuova. Il file adesso è quindi qui
C:\Program Files\Common Files\System2\IWX.exe
Siccome il servizio richiama il file sul primo percorso, suppongo che ora non trovandolo non stia partendo.
Per essere più sicuro ho creato un altro account e sto cancellando il mio vecchio dopo essermi riportato sul nuovo tutte le impostazioni che mi servivano...
Però non so davvero come fare per eliminare sto disgraziato...

Sbavi
31-07-2006, 10.24.00
Ottima l'idea di rinominare la cartella..provo subito thanx ;)
In modalità provvisoria, ovviamente, no?

Pegasus83
31-07-2006, 10.29.05
no no sono riuscito in modalità normale...

ovviamente sul file non si può eseguire alcuna operazione, nelle proprietà è tutto disabilitato...:(

Sbavi
31-07-2006, 10.33.36
No non riesco a rinominare in modalità normale, tra l'altro nella cartella ci sono altri file necessari, quindi devo abbandonare l'idea.

Pegasus83
31-07-2006, 10.35.16
nella mia cartella c'erano file che servivano ad outlook express, ho rinominato quella e ne ho creata una uguale con i file necessari ad outlook...

qual è la tua cartella?

Sbavi
31-07-2006, 10.39.08
la stessa...

C:\Programmi\File Comuni\System\

Boh, sto provando una caterva di software, ma questa bestia rimane :(

Pegasus83
31-07-2006, 10.41.56
quindi se rinomini la System non te lo fa fare? nè in modalità normale nè in provvisoria?

Sbavi
31-07-2006, 10.45.56
In provvisoria non ho ancora provato....avevo provato tempo fa ad eliminare i file, ma non c'era verso.

Pegasus83
31-07-2006, 10.50.51
infatti l'eliminazione non riesci a farla nemmeno se prendi a martellate il pc..si può solo giocare d'astuzia e prenderlo alla larga secondo me...altra cosa...

sotto documents and settings penso avrai una cartella di un profilo inesistente...prova a negargli tutti i permessi..

Lionsquid
31-07-2006, 12.22.40
non si conclude nulla a rinominare avviando il pc con il SO infetto
.. appena rinominate il virus "aggiorna" in automatico la path ;)

è necessario avviare con un cd di servizio, così da non far partire il farabutto.. poi, avendo una traccia di dove è infilato... rimuovere pazientemente i riferimenti e i file


ripeto: avvio da cd (il multipe di wintricks, un bartpe autocostruito, un'hiren's e se il file system non è NTFS potete farlo con un cd di avvio in dos ..ad esempio i miei vecchi cd di servizio che trovate nella sezione articoli)

rimozione fisica dei link e dei file.... svuotamento temp e roba simile.. scansione con McAfee

poi, solo poi, potete avviare il pc con il SO "on board".. e in mod. provvisoria... per rifinire le ricerche nel registro e nella startup list

Sbavi
31-07-2006, 12.27.59
A trovare il tempo si...dannazione :wall:

Lionsquid
31-07-2006, 12.28.35
forse io ho lo stesso problema ma nn so


forse... quanti e quali account hai creato??

Administrator deve esserci ed è nascosto (si vede solo in mod. provvisoria)
DefaultUser, LocalService e NetworkService devono esserci e sono normalmente nascosti

All User e tutti gli utenti creati all'atto dell'installazione sono sempre visibili...

qualsiasi altro account è sospetto

Lionsquid
31-07-2006, 12.38.50
A trovare il tempo si...dannazione :wall:


e ti tieni un virus nel pc perchè non hai tempo per rimuoverlo??? :eek:

Sbavi
31-07-2006, 12.52.01
Io non ho nessun account sospetto, però questa sospettissima situazione:

Il servizio Logfuq (incancellabile)..
http://img444.imageshack.us/img444/3223/1ih9.png

che punta al file svq.exe, presente tra questi altri, ovviamente tutti sospetti..
http://img444.imageshack.us/img444/1927/2ig0.png

Mah :confused:

Sbavi
31-07-2006, 12.54.11
e ti tieni un virus nel pc perchè non hai tempo per rimuoverlo??? :eek:


Lo so...ma è quello dell'uff..dovrei staccare per lo meno un'oretta e non riesco.

Pegasus83
31-07-2006, 13.04.44
Io non ho nessun account sospetto, però questa sospettissima situazione:
Il servizio Logfuq (incancellabile)..
http://img444.imageshack.us/img444/3223/1ih9.png
che punta al file svq.exe, presente tra questi altri, ovviamente tutti sospetti..
http://img444.imageshack.us/img444/1927/2ig0.png
Mah :confused:

stesso discorso che fa a me, ma io ho un solo file in "verde"...

Lionsquid
31-07-2006, 13.33.55
se non sono precessi virali quelli, mi dò all'ippica di cavalli a 3 zampe
tenete presente che:
Verde = cifrato
Blu = compresso


unica possibilità NON VIRALE, l'uso della cifratura dei file.... ma è abbastanza poco diffuso come uso... c'è da controllare


(PS: mi vedo già broker all'ippodromo :D )

Sbavi
31-07-2006, 14.10.26
se non sono precessi virali quelli, mi dò all'ippica di cavalli a 3 zampe
tenete presente che:
Verde = cifrato
Blu = compresso
unica possibilità NON VIRALE, l'uso della cifratura dei file.... ma è abbastanza poco diffuso come uso... c'è da controllare
(PS: mi vedo già broker all'ippodromo :D )

Sono virus :o

Pegasus83
31-07-2006, 14.58.14
mi sa tanto che l'unica via definitiva è formattare a sto punto...ma chi c'ha voglia?

Lionsquid
31-07-2006, 15.36.11
mi sa tanto che l'unica via definitiva è formattare a sto punto...ma chi c'ha voglia?


che vuoi che ti dica??

hai provato a seguire le procedure degli articoli???

se non hai voglia di sbatterti allora sì, fai il backup dei documenti e formatta... ma occhio a quali programmi installi... magari il virus è in qualche programmino giacente ;)

Pegasus83
31-07-2006, 15.39.53
si si ho provato a fare qualsiasi cosa, anche scansioni in modalità provvisoria con i programmi segnalati qui ma pare che non ci sia rimedio....

molti dei dati li avevo già salvati su dvd e non mi rimane molta roba da aggiungere..

Stavo pensando a qualche programma installato di recente, ma non c'è niente di nuovo, ho solo rimesso qualche programma che avevo tempo fa e che non mi aveva mai dato problemi di questo tipo...

trovo strano che qualcuno sia riuscito ad entrarmi nel pc, a meno che non abbia settato male il sygate e qualcuno sia riuscito a entrare da qualche porta...proverò a vedere se c'è qualche programma che mi allerta in caso di forzatura delle porte...

Sbavi
31-07-2006, 16.12.27
Hai provato con un cd/dischetto di avvio, a cancellare questi file dall'hard disk?

Pegasus83
31-07-2006, 16.21.09
penso che proverò questa sera, ma anche se cancello il file dovrebbe rimanermi il servizio sotto windows: non vorrei che oltre a quel file, che noi vediamo fisicamente, ce ne sia un altro nascosto chissà dove che lo fa ricreare...

Sbavi
31-07-2006, 16.27.33
Si il servizio rimarrà cmq..non si può cancellare nemmeno da regedit.

Tecno214
31-07-2006, 16.33.49
penso che proverò questa sera, ma anche se cancello il file dovrebbe rimanermi il servizio sotto windows: non vorrei che oltre a quel file, che noi vediamo fisicamente, ce ne sia un altro nascosto chissà dove che lo fa ricreare...

Beh, questo come minimo, altrimenti coma fa a ricrearsi ad ogni riavvio?
Il bello è proprio smascherarlo....
Prova ad usare con la funzione TROVA i files che si sono modificati nel periodo di tempo in cui è comparso il virus, naturalmente abilitando la visualizzazione di cartelle e files nascosti...
Magari salta fuori qualcosa!

Prova anche a cancellare la dllcache (C/WINDOWS/SYSTEM32), e il files del ripristino configurazione di sistema!
A volte certi bastardacci si "restorano" allo stesso modo delle configurazioni di sistema prelevando files e dll dai percorsi indicati!

Pegasus83
31-07-2006, 16.35.03
Alla faccia...per quello intendevo che, forse, la formattazione è l'unica per debellare completamente tutto.

Vorrei riuscire a capire che tipi di rischi ci sono ad avere quanto meno un servizio del genere lì in mezzo...

Anche x' mi collego spesso al sito della banca...:(

Pegasus83
31-07-2006, 16.36.34
ho già disabilitato i ripristini di sistema...

stasera ricontrollo bene e vedo di lavoraci un po' su...in qualche modo si dovrà cancellare sto disgraziato :D

cippico
01-08-2006, 09.21.00
ma una volta eliminati i files sospetti non si risolve il problema...parlo dei files in verde...

ciaooo

Lionsquid
01-08-2006, 10.32.08
no, infatti.. i file devono essere rimossi a mano, così come l'account...

Patrick_NORAY
01-08-2006, 13.03.48
:fiufiu: Se ne sta occupando il mio collega in ditta... (F)

Ci ho sbattuto la testa per qualche ora, ma non ne sono uscito, e comunque era talmente incasinato di software quel portatile che lo stiamo appunto formattando

Lionsquid
01-08-2006, 14.21.09
:mpc:

un'altra resa :(

io invece spero di trovarmene un'altro davanti... stavolta anzichè eradicarlo cercherò di comprendere i meccanismi di "protezione"... se non si capisce questo... la rimozione sarà sempre empirica :(

cippico
01-08-2006, 14.22.03
no, infatti.. i file devono essere rimossi a mano, così come l'account...

con altro s.o. in dual boot si potrebbe risolvere...al limite...sul pc del lavoro avendo win2000 su ntfs...x sostituire alcuni files che modifico con hackerresource avvio il pc con il cd hiren´s e avviando ntfsdospro (dopo aver visto i percorsi)li sostituisco...si potrebbe eliminare usando lo stesso metodo...

ciaooo a tutti

Lionsquid
01-08-2006, 15.29.45
(Y)

quale che siano gli utensili usati.. la tecnica è sempre quella di avviare il pc con un SO esterno (anche una slax linux o knoppix) e pescare i file da segare...

unico inghippo, alle volte non si possiedono i permessi per la rimozione... ma smanettando si arriva lo stesso...

anzi... approposito di file unlocker/reset proprietà-permessi... che sw usate??

Sbavi
02-08-2006, 09.50.46
Utilizzo Unlocker..questo il mess che mi da se provo ad eliminare i file:

http://img291.imageshack.us/img291/8946/immagineds6.png

mizio154
03-08-2006, 17.20.12
Ciao! Vorrei solo dirvi che non c'è bisogno di fare tutto sto casino per cancellare un file o una cartella. Se siete amministratori di sistema è sufficiente prendere possesso dell'oggetto da eliminare, prima però bisogna fare un'operazione (solo per XP Pro). Aprite una cartella qualsiasi, strumenti->opzioni cartella, nella finestra andare su visualizzazione e togliere UTILIZZA CONDIVISIONE FILE SEMPLICE, chiudere tutto.
Proprietà sulla cartella/file da eliminare, scheda PROTEZIONE -> AVANZATE
nella finestrella che si apre andare su PROPRIETARIO e scegliere Administrators, questo vi permetterà di impostare tutti gli attributi dell'oggetto e di conseguenza la possibilità di eliminarlo. Dare OK nella prima schermata PROTEZIONE inserire l'utente EVERYONE con tutti i permessi, così che ognuno potrà fare quel che vuole della cartella/file e cancellarla/o.
Un consiglio, scaricate nlite (www.nliteos.com) e modificate windows integrando drivers o togliendo parti inutili tipo Internet Explorer o Ripristino configurazione (che non funziona mai), io uso una versione ultra leggera di XP PRO che occupa 250 mb sul cd e all'avvio ci mette tipo 40 secondi, spegnimento idem.
Programmi free:
Outlook Express -> Mozilla Thunderbird
Internet Explorer -> Mozilla Firefox
Windows Firewall -> Comodo Firewall (anche Zone Alarm ma l'ultima versione mi da problemi)
Office 2000/2003 -> Openoffice.org (compatibile al 90% con Office, crea pdf e usa OpenDocument come standard)
Ad-Aware
Spybot
AVG (antivirus)
WinAMP

Lionsquid
03-08-2006, 17.57.01
ciao mizio154, benvenuto (D)

come tu stesso hai evidenziato tale procedura è attuabile solo con XP PRO... chi ha la Home non può impostare ed utilizzare setting avanzati a meno di non impelagarsi in merge del registro ... situazione che è adatta solo ad utenti smaliziati e competenti

per tale ragione si preferisce appoggiarsi a tools efficaci che semplificano l'intervento dei meno esperti ;)

personalmente uso procX, che ha delle comode funzioni...


per quanto riguarda NLITE, è un'ottimo suggerimento, validissimo per postazioni singole, un pò meno per postazioni in LAN.. però anche questo richiede una buona conoscenza dell'uso che si farà del pc.. un'alleggerimento eccessivo porta a problemi non sempre immediatamente localizzabili

per i programmi free (Y) tutto validissimo... solo comodo firewall non mi convince.. hai provato jetico???

per gli spyware ti suggerisco di provare spyware terminator e superantispyware

Sbavi
04-08-2006, 09.57.38
Ciao! Vorrei solo dirvi che non c'è bisogno di fare tutto sto casino per cancellare un file o una cartella. Se siete amministratori di sistema è sufficiente prendere possesso dell'oggetto da eliminare, prima però bisogna fare un'operazione (solo per XP Pro). Aprite una cartella qualsiasi, strumenti->opzioni cartella, nella finestra andare su visualizzazione e togliere UTILIZZA CONDIVISIONE FILE SEMPLICE, chiudere tutto.
Proprietà sulla cartella/file da eliminare, scheda PROTEZIONE -> AVANZATE
nella finestrella che si apre andare su PROPRIETARIO e scegliere Administrators, questo vi permetterà di impostare tutti gli attributi dell'oggetto e di conseguenza la possibilità di eliminarlo. Dare OK nella prima schermata PROTEZIONE inserire l'utente EVERYONE con tutti i permessi, così che ognuno potrà fare quel che vuole della cartella/file e cancellarla/o.


Ma ti sei reso conto che l'oggetto di questo thread è un virus?



Un consiglio, scaricate nlite (www.nliteos.com) e modificate windows integrando drivers o togliendo parti inutili tipo Internet Explorer o Ripristino configurazione (che non funziona mai), io uso una versione ultra leggera di XP PRO che occupa 250 mb sul cd e all'avvio ci mette tipo 40 secondi, spegnimento idem.
Programmi free:
Outlook Express -> Mozilla Thunderbird
Internet Explorer -> Mozilla Firefox
Windows Firewall -> Comodo Firewall (anche Zone Alarm ma l'ultima versione mi da problemi)
Office 2000/2003 -> Openoffice.org (compatibile al 90% con Office, crea pdf e usa OpenDocument come standard)
Ad-Aware
Spybot
AVG (antivirus)
WinAMP

Grazie, questo me lo stampo, anche perchè a parte MS Office non utilizzo nessuno dei programmi da te citati.
Non si finisce mai di imparare ed ottare :)

Tecno214
04-08-2006, 11.05.24
io uso una versione ultra leggera di XP PRO che occupa 250 mb sul cd e all'avvio ci mette tipo 40 secondi, spegnimento idem.


40 Secondi??! :mm: :mm:

Che hai fatto un LITE alla rovescia?
SCherzi a parte, la versione professional COMPLETA mi impiega si e no 15/20 secondi a partire!
Comunque non continuiamo l'O.T.

crazy.cat
04-08-2006, 14.04.49
solo comodo firewall non mi convince..
E' da un mesetto sul mio pc di casa e sta facendo un buon lavoro.

hai provato jetico???
Bello, ma non ero riuscito a farci una regola funzionante che fosse una.

Lionsquid
04-08-2006, 14.20.59
E' da un mesetto sul mio pc di casa e sta facendo un buon lavoro.
Bello, ma non ero riuscito a farci una regola funzionante che fosse una.


beh.. l'ho installato su un vecchio pc.. mezzo scassato e con win98.. non posso certo dire di averlo provato a fondo...

mentre jetico è su macchine analoghe e perfettamente stabili (hanno tutte UD che gira) e l'unica regola che mi serviva (web a parte) era per l'accesso di autocad map al server delle licenze... tutto ok!

è anche vero che non ho provato a fare regole per VNC e vari P2P e MSN, ma nei pc dell'ufficio sta roba non la faccio entrare ;)... mi riprometto di approfondire.... ce ne vorrà prima di mollare il mio sygate

Sbavi
11-08-2006, 14.31.08
qui (http://www.wintricks.it/forum/showthread.php?t=109728) Ciao, il file in questione e' verde? Vedi se questa procedura puo' aiutarti:
Per eliminare un file verde,cioe' crittografato, si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora e' possibile cancellare il file.
NB: In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

Thanks, eliminati i file sospetti. Tuttavia rimane il servizio (disattivato), sul quale non posso agire in alcun modo.

Turot
12-08-2006, 00.59.47
Ragazzi questo tipo di trojan usa tecniche di RootKit e precisamente una vulnerabilità dei wmf x cui c'è un'apposita pacht da parte di Microsoft ed è uno dei temi + dibattuti sui forum rigardanti la sicurezza in questi ultimi mesi.
Io ci sto finendo di combattere proprio oggi.
La soluzione in italiano la trovate Suspectfile (http://www.suspectfile.com/forum/viewtopic.php?p=825&sid=6587811926e7cf5918d1b734cd147c25) oppure potete usare ViritLite ma andate sul sito x vedere come si fà (http://www.tgsoft.it/)
Vi saluto e spazziamo sta mondezza. :)

cippico
12-08-2006, 03.17.11
ottimo link suspectfile.com :act:

grazie e ciaooo

Sergio Neddi
24-08-2006, 00.48.43
Interessante.
Ho casini con qualche PC di qualche cliente, uno dei quali lo posso avviare solo in modalità provvisoria in quanto dice che il processo tale (non sempre lo stesso) è stato terminato e quindi riavvia il PC.
'Sta besta è bastarda, scassa il Norton e non lo riconosce nessun antivirus che ho provato (facendo la scansione dal MultiPE, quindi senza rootkit di mezzo).

Sergio Neddi
24-08-2006, 12.27.49
Risoltoooooo!!!!
Con le istruzioni di VirIT non riuscivo a terminare il task del rootkit in quanto probabilmente usava un handle differente da quello delle istruzioni, ma allora ho provato con il MultiPE. (http://www.wintricks.it/software/multipe.html)
Ho provato ad avviare con la prima opzione ed a lanciare VirIT da lì, però non trovava una dll.
Ho così avviato con la seconda opzine, XPE, e da lì VirIT funziona!
Facendogli fare la scansione ha trovato i file del rootkit (invisibili normalmente anche dal MultiPE) e li ha eliminati!
Ho poi rifinito e ricontrollato a mano dal registro le porcherie, ma anche se le lasciavo sicuramente casini non facevano.
Per i file incancellabili, come dicevo prima, ero riuscito a cancellarli giocando con i diritti di accesso su queli file.
Avevo anche trovato altri file sospetti nel sistema, li avevo rinominati aggiungendo l'estensione .kkk e VirIT li ha trovati, segno che ho visto giusto sulla base della mia esperienza e non me ne era scappato nessuno.
Segnalo anche che sul PC che faceva i riavvii in modalità normale inizialmente non riuscivo ad entrare nell'utente e nemmeno con l'utente administrator, ma pensavo che il cliente (come spesso accade) avesse sbagliato a fornirmi la password e così avevo cambiato la password di Administrator con ERD Commander 2003, o meglio con MultiPE e Locksmith di ERD Commander perché Erd Commander originale non mi vedeva il disco che è SATA.
Ebbene, tolto il rootkit hanno ripreso a funzionare le password!
E si è pure risolto il problema dell'antivirus.
Notare che su entrambi i PC che ho qui risultava la stessa variante di virus, ma faceva effetti differenti: su uno andava in errore Norton, sull'altro, invece, all'avvio diceva che erano terminati dei servizi indispensabili e pertanto il PC veniva riavviato nel giro di 1 minuto.
Potevi solo riavviarlo in modalità provvisoria ma in nessun caso accettava le password.
Per quanto riguard il PC con Windows 98 del mio collega è bastata la segata a mano che avevo fatto l'altroieri senza conoscere il virus per metterlo ko (ma non ci credevo).
Insomma, una rogna così non l'avevo mai vista.

Giorgius
27-08-2006, 00.14.42
Dagli ultimi Test di programmi Trial effettuati per la rilevazione - rimozione di nuovi Malware e nuovi RootKit, "Spyware Doctor" di PcTools (vedi Link Thread "Removal Tools AntiVirus - Update" ) sembra funzionare egregiamente quando l'infezione non ha ancora intaccato il 100% degli eseguibili di Sistema.

----------------------------------

X WinXp Professional (Home?)

La procedura con la versione registrata di "Spyware Doctor", implica l'avviamento di WinXP in Modalità Provvisoria, accedere come utente Administrator, procedere successivamente con la pulizia totale dei files temporanei tramite l'utility "ATF-Cleaner" (vedi Link su Thread "Removal Tools AntiVirus - Update"), installare "Spyware Doctor", avviare l'applicazione abilitando la scansione approfondita; eliminare successivamente i codici maligni rilevati dal programma, poi uscire dalla modalità Administrator e effettuare il Login con la modalità che corrisponde al vostro normale utilizzo di Windows. Effettuare una nuova pulizia dei files temporanei con ""ATF-Cleaner", procedere successivamente ad una nuova scansione completa con "Spyware Doctor". Al termine della scansione-rimozione, cliccare all'interno del programma su "Impostazioni di avvio", impostare l'opzione "Esegui all'avvio di Windows -> Esegui scansione completa", effettuare di seguito il riavvio del Sistema Operativo; avviare normalmente WinXP e aspettare che "Spyware Doctor" termini questa ultima scansione-rimozione.

Se la procedura sarà stata efficace, disabilitate l'opzione "Esegui all'avvio di Windows", altrimenti riavviate il sistema e fate scansionare nuovamente.

[ N.B. ]: Il Database di Spyware Doctor deve essere aggiornato con l'ultima release disponibile nel Sito di PcTools prima di effettuare la procedura sopraindicata.

Giorgius
27-08-2006, 00.42.19
Il Forum di Suspectfile ha rilasciato oggi una versione modificata di "GMER" per rilevare gli ultimi rootkit che tentano di "sfuggire" ai primi sistemi manuali di rimozione.

GMER modificato
http://www.suspectfile.com/upload/files/analisi.zip

Forum Thread
http://www.suspectfile.com/forum/viewtopic.php?t=258

Ludwig
27-08-2006, 11.11.32
Thanks, eliminati i file sospetti. Tuttavia rimane il servizio (disattivato), sul quale non posso agire in alcun modo.

nemmeno col comando dos:
SC DELETE NOMESERVIZIODACANCELLARE

Davide71
27-08-2006, 12.07.31
Una domanda, ma i file "verdi" che tipo di file sono?


byezzz

Ludwig
27-08-2006, 12.17.03
Verde = cifrato
Blu = compresso

Davide71
27-08-2006, 14.33.08
thx!! :)


byezzz