pc lento ...Sarà un virus ????

[sputnik]

Leofix, ti aggiungo una cosa scoperta ora ora :
i files riscontrati ieri tramite la scansione fatta con ComboFix:
2008-09-13 19:52 24,912 ----a-w c:\documents and settings\Utente Windows\qwgprvho.exe
2008-09-13 19:51 24,912 ----a-w c:\documents and settings\Utente Windows\kuikhoyo.exe
sono nuovamente presenti...
Questo mi fa pensare che si ricreino ad ogni accensione del pc...
Può essere ?
Cosa posso fare per evitare il problema?
Aspetto tue info...
ciaooooo

[Giorgius]

Se si tratta di un trojan/rootkit bisogna usare un mix di tool per essere sicuri di aver eliminato definitivamente il problema.

In sequenza:

1- Kaspersky AVP Tool - http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

2- Malwarebytes' Anti-Malware 1.34 - http://www.download.com/Malwarebytes...=dl&tag=button

3- SmitFraudFix (mod provvisoria, tasto 2) - http://siri.urz.free.fr/Fix/SmitfraudFix.exe

4- FixIEDef - http://downloads.malwareteks.com/FixIEDef.exe

5 (Opzionale) - Dr.Web CureIt!® Utility v.5.0 - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

[leofelix]

Quota:

Inviato da sputnik

Leofix, ti aggiungo una cosa scoperta ora ora :
i files riscontrati ieri tramite la scansione fatta con ComboFix:
2008-09-13 19:52 24,912 ----a-w c:\documents and settings\Utente Windows\qwgprvho.exe
2008-09-13 19:51 24,912 ----a-w c:\documents and settings\Utente Windows\kuikhoyo.exe
sono nuovamente presenti...
Questo mi fa pensare che si ricreino ad ogni accensione del pc...
Può essere ?
Cosa posso fare per evitare il problema?
Aspetto tue info...
ciaooooo

leofelix, il mio nick è leofelix (dal latino e significa gatto)
dunque scarica The Avenger sul desktop, è un archivio zip

http://swandog46.geekstogo.com/avenger2/download.php (Download diretto)
Ora decomprimilo, quindi clicca sull'eseguibile, si aprirà una finestra (nel caso non riuscissi ad eseguirlo rinominalo con abcd.exe)

all'interno ove è scritto "input script here" copia le seguenti stringhe:

Files to delete:
c:\documents and settings\Utente Windows\qwgprvho.exe
c:\documents and settings\Utente Windows\kuikhoyo.exe

ora clicca sul pulsante in basso con scritto EXECUTE.

Appena terminata la procedura riavvia il sistema.

Come ti ha fatto notare nel post precedente il moderatore si tratta di una rootkit (un programma che si nasconde)..

Una volta riavviato, scarica i tools che ti ha suggerito Giorgius ed eseguili.
Se hai ancora problemi, non esitare a comunicarlo

[sputnik]

Scusa Leofelix per il nick sbagliato...
Allora ho scaricato il prg che mi hai detto ma , una volta inserite le righe da cancellare e cliccato su EXECUTE mi si è aperta la finestra di kaspersky come se AVENGER stesso fosse un virus...
Come da consiglio ho stoppato il tutto e così si è chiuso....
Che fare ?

[Giorgius]

L'antivirus va "sempre" disabilitato quando usi tool secondari per il rilevamento/rimozione di Trojan/Rrootkit

[sputnik]

ops...certo che ne so proprio poco....
bene ho fatto le scansioni e tutto è ok...
Grazie !!!
ciaooooo

[leofelix]

Quota:

Inviato da sputnik

Scusa Leofelix per il nick sbagliato...
Allora ho scaricato il prg che mi hai detto ma , una volta inserite le righe da cancellare e cliccato su EXECUTE mi si è aperta la finestra di kaspersky come se AVENGER stesso fosse un virus...
Come da consiglio ho stoppato il tutto e così si è chiuso....
Che fare ?

Per il nick scritto in modo errato non preoccuparti..
capita
in quanto alla rilevazione dell'antivirus è naturale che lo identifichi come malware o sospetto: un antivirus non è dotato di intelligenza, non sa distinguere se un programma che riesce ad eliminare dei processi attivi lo fa a fin di bene o meno

Ma Giorgius vedo che ti ha già risposto in merito

http://forum.wintricks.it/showpost.p...5&postcount=20

Quindi ignora tranquillamente l'avviso e procedi con l'eliminazione dei files infetti tramite The Avenger come da procedura indicata

[sputnik]

ciao leofelix,
piacere di leggerti ancora e grazie a te ed a giorgius che mi avete ben introttinato.
Ho fatto i controlli che mi dicevi di fare ed ora riconosco che la macchina va decisamente meglio...
Adesso una cosa devo ancora risolvere: quando accendo il pc mi si presenta una videata nera tipo dos con la possibilità di scelta di 2 sistemi ...: uno è xp e l'altro è un recovery di xp
Il tutto è ben farcito da un countdown che parte da 30 ed arriva a 0 dopodichè parte la normale videata di xp...
C'è modo di poter togliere questa videata ?
Ciaoooo

[leofelix]

ma per caso hai lasciato nel lettore CD/DVD il CD di XP?

[Giorgius]

Strano, il recovery XP sembra il solito monnezzone finto programma utility che solitamente SmitFraudFix elimina tranquillamente.

[cascavel]

Quota:

Inviato da Giorgius

Strano, il recovery XP sembra il solito monnezzone finto programma utility che solitamente SmitFraudFix elimina tranquillamente.

la consolle di ripristino di XP e' stata installata da combofix perche' il tool e' stato eseguito con la connessione internet attiva... nessun monnezzone , io http://www.wintricks.it/forum/showpo...00&postcount=5 gli avevo detto di non concedere l'installazione e di utilizzare il tool disconnesso dalla rete.... cosi' http://support.microsoft.com/kb/555032/it si rimuove tranquillamente.

[Giorgius]

ok

[sputnik]

Beh, posso dire che sono davvero un pasticcione ...
Ad ogni modo ora - grazie ai vostri consigli l'ho tolta ma non riesco a togliere la cartella c:\cmdcons perchè non me lo permette, neppure in modalità provvisoria...
Ad ogni modo - come prima - l'avvio presenta sempre una videata nera che dura circa 30 secondi...
Boh...
Scusatemi ancora.
Tra parentesi solo ora riesco a leggervi.
A presto.

[leofelix]

prova a usare Unlocker per eliminare la cartella

http://ccollomb.free.fr/unlocker/#description

[sputnik]

si leofelix, ho scaricato quanto mi dici ma non funge...
Boh, sarà perchè sbaglio qualcosa ma non so cosa...
Can you help me ???

ciaoo