Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 26-08-2006, 00.54.21   #1
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
File Ineliminabile...Aiuto, sono alla frutta...

Come da titolo ho questo problema:

- Ho trovato un file che al 99% è dannoso, lo ha individuato un antirootkit insieme ad altri che ho eliminato...

Il problema è il seguente: Non riesco ad eliminarlo!

Il file è criptato (la scritta è in verde) e poi icona sembra semitrasparente...
Ho agito in questo modo:

- Ho provato a cancellarlo semplicemente -> Niente
- Ho provato CCleaner -> Niente
- Ho provato con Unlocker -> Niente
- Ho provato a rinominarlo -> quest'operazione ha dato buon esito
- Ho provato a spostarlo -> creando una cartella nella stessa del file, non riesco a spostarlo, ma spostando il file sul desktop e poi in quella cartella, si riesce a spostarlo...(strano...)
- Ho provato con il pront di MS-DOS, ma il file non c'è neanche e la cartella non puà essere eliminata
- Ho provato da modalità provvisoria -> Niente
- Ho fatto partire il pc con una versione live di linux e sono andato a cercare il file per eliminarlo... -> sembra impossibile, ma sembra che non abbia i permessi adatti
-Ho provato a cambiare il permessi, ma sembra che non abbia il permesso...chiaramente sia in Xp che Linux opero da amministratore...

Io non so più dove battere la testa...cosa devo fare?

Domanda importante: dato che sono riuscito a rinominarlo e spostarlo è possibile che sia diventato innoquo se mai fosse stato dannoso? (spero di si)

Fatemi sapere...grazie...

CIAO



***
News: Una piccola vittoria l'ho avuta...sono riusco a cambiare estensione...ora dovrebbe essere innoquo, no?
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

Ultima modifica di Arthur85 : 26-08-2006 alle ore 01.04.54 Motivo: News
Arthur85 non è collegato   Rispondi citando
Vecchio 26-08-2006, 02.08.28   #2
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Ma per caso il file o i file in questione sono contenuti nella cartella "C:\Programmi\File comuni\System\" ?

Proprio oggi ho incontrato un c@zzo di spyware chiamato "fis.exe", un programma che nessun taskmanager riesce a killare nemmeno dalla provvisoria, nemmeno dall'hiren's boot cd 8.3 (ultima versione), caricando l'ntfsdos. Non ho provato pero' l'Erd Commander 2005 che consente di resettare i permessi dei dischi e cartelle di WinXP. L'AVG logicamente non riesce ad eliminarlo e continua stupidamente a segnalarlo, nemmeno ignorandolo si riesce di fare nulla. Altri software come il trendmicro (sysclean.com) non lo riconoscono, nel registro non c'e' nessuna voce riguardante quel "fis.exe", tra l'altro dal "normale" taskmgr il processo attivo e' invisibile, il Winpatrol lo rileva ma non e' in grado di killarlo. Altri software non sono in grado (tipo killbox.exe, deletedr.exe, ecc.) di cancellare il file virale in nessun modo.
Ho dovuto installare il "bit defender 9 professional plus" per togliere l'infezione, ma i file in questione non si cancellano, in nessuna maniera, forse, dico forse, l'erd commander 2005 e' l'ultima chance. Vedremo!!


byezzz
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Vecchio 26-08-2006, 13.44.10   #3
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Si...anche io ho il problema nella stessa cartella...A dire il vero però non mi ricordo il nome originale, una volta rinominato me ne sono dimenticato...Sophos Antirootkit lo individua come un rootkit...ho provato a fare un controllo con VirusTotal...ma niente...appare pulito...

Non so più che fare, ora proverò erd commander, ma dubito che funzioni...ho provato a fare una cosa simile da linux cambiando i permessi, ma non me li fa cambiare...bhò...

Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)
Arthur85 non è collegato   Rispondi citando
Vecchio 26-08-2006, 13.50.23   #4
einemass
Le so' .. tutteee
 
L'avatar di einemass
 
Registrato: 27-11-2002
Loc.: Sorrento
Messaggi: 2.006
einemass promette bene
il buon vecchio DOS puro da li cancelli quello che ti pare, a meno che tu nn abbia la partizione in ntfs che il dos nn legge allora ci vuole un prog particolare che ora nn ricordo ma che sicuramente altri sapranno dirti. Oppure con partition magic, converti un attimo la partizione in fat32 e poi con un dischetto dos cancelli. ma nn è una buona idea questa
___________________________________

Chiacchiere e tabaccher e legn, o Banc e Napule nunne 'mpegn
einemass non è collegato   Rispondi citando
Vecchio 26-08-2006, 14.14.00   #5
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Io ho NTFS, infatti non riesco a leggere il file...non lo trova proprio...cerco informazioni sul programma che mi hai consigliato ...
...se qualcun'altro ha informazioni in merito....

Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)
Arthur85 non è collegato   Rispondi citando
Vecchio 26-08-2006, 14.42.08   #6
einemass
Le so' .. tutteee
 
L'avatar di einemass
 
Registrato: 27-11-2002
Loc.: Sorrento
Messaggi: 2.006
einemass promette bene
è proprio per questo motivo che uso ancora la fat32, male che va tengo sempre il dos che mi salva
___________________________________

Chiacchiere e tabaccher e legn, o Banc e Napule nunne 'mpegn
einemass non è collegato   Rispondi citando
Vecchio 26-08-2006, 16.17.06   #7
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Quota:
Inviato da einemass
il buon vecchio DOS puro da li cancelli quello che ti pare, a meno che tu nn abbia la partizione in ntfs che il dos nn legge allora ci vuole un prog particolare che ora nn ricordo ma che sicuramente altri sapranno dirti. Oppure con partition magic, converti un attimo la partizione in fat32 e poi con un dischetto dos cancelli. ma nn è una buona idea questa
Gia' provato, non va.

L'Hiren's boot cd carica l'ntfspro che serve per leggere e modificare file in partizioni NTFS, ma non va cmq.


byezzz
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Vecchio 26-08-2006, 16.20.48   #8
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Quota:
Inviato da einemass
è proprio per questo motivo che uso ancora la fat32, male che va tengo sempre il dos che mi salva
Ahahaha, bel modo di tutelarsi, col Fat32 rinunci a tanti di quei aspetti positivi che solo l'NTFS da. Aggiornati, sia un boot cd linux che vari software come l'hiren's boot cd e l'Erd Commander (ecc.) possono accedere a partizioni NTFS e modificarle.
Non ricordo se PQMagic puo' riconvertire partizioni NTFS in Fat32 (penso di sì), winxp e win2k pero' no. (attraverso il comando "convert").


byezzz
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Vecchio 26-08-2006, 16.28.30   #9
einemass
Le so' .. tutteee
 
L'avatar di einemass
 
Registrato: 27-11-2002
Loc.: Sorrento
Messaggi: 2.006
einemass promette bene
ma se proprio tu mi stai dicendo che neanche con l' ntfspro sei riuscito a far nulla, io con la fat32 sto a posto, mi basta un floppy fetente nel caso tutto vada a putt
cmq nn è per polemica ma li vorrei sapere gli aspetti positivi, perchè effettivamente nn li so. quali sono? stabilità? velocità? o cosa^?
cià
einemass
___________________________________

Chiacchiere e tabaccher e legn, o Banc e Napule nunne 'mpegn
einemass non è collegato   Rispondi citando
Vecchio 27-08-2006, 07.20.27   #10
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
http://www.cavone.com/windows_server...FAT32-NTFS.asp

byezzz

ps= anche una maggiore velocita', oltre all'importante:

http://topolinik.altervista.org/guida/limite.html
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Vecchio 27-08-2006, 09.47.54   #11
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da Arthur85
Si...anche io ho il problema nella stessa cartella...A dire il vero però non mi ricordo il nome originale, una volta rinominato me ne sono dimenticato...Sophos Antirootkit lo individua come un rootkit...ho provato a fare un controllo con VirusTotal...ma niente...appare pulito...
Non so più che fare, ora proverò erd commander, ma dubito che funzioni...ho provato a fare una cosa simile da linux cambiando i permessi, ma non me li fa cambiare...bhò...
Ciao
gli ultimi 2 post danno i suggerimenti corretti per eliminare il rootkit che ti ha infestato il pc

http://www.wintricks.it/forum/showth...=109432&page=2
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 27-08-2006, 14.52.13   #12
Kionos
Newbie
 
L'avatar di Kionos
 
Registrato: 24-08-2006
Loc.: Milano
Messaggi: 27
Kionos promette bene
Una via di mezzo forse c'è... tempo fa ho scovato ZTreeWin che è la riedizione del vecchio X-Tree Gold per DOS. Magari qualcuno lo ricorda.
Cmq, legge NTFS e riesce a cancellare anche quei file che da XP fanno sempre le pernacchie quando si prova a cancellarli. In pratica lo uso solo per questi casi.
Non è detto che funzioni anche nel tuo... però tentare è gratis! O almeno lo è per 30 giorni!
___________________________________

Non è importante se capisci il binario o no... l'importante è non esserci sopra quanda passa un treno!
Kionos non è collegato   Rispondi citando
Vecchio 27-08-2006, 15.58.54   #13
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Quota:
Inviato da Lionsquid
gli ultimi 2 post danno i suggerimenti corretti per eliminare il rootkit che ti ha infestato il pc
http://www.wintricks.it/forum/showth...=109432&page=2
Hai ragione, il mio problema è identico a quello descritto nel post che hai linkato...Ho seguito i tuoi consigli

Quota:
Inviato da Lionsquid
è necessario avviare con un cd di servizio, così da non far partire il farabutto.. poi, avendo una traccia di dove è infilato... rimuovere pazientemente i riferimenti e i file
ripeto: avvio da cd (il multipe di wintricks, un bartpe autocostruito, un'hiren's e se il file system non è NTFS potete farlo con un cd di avvio in dos ..ad esempio i miei vecchi cd di servizio che trovate nella sezione articoli)
Ho fatto così, ma anche dal cd di avvio di BartPE non mi consente di eliminanare il file...

Quota:
Inviato da Lionsquid
rimozione fisica dei link e dei file.... svuotamento temp e roba simile.. scansione con McAfee
poi, solo poi, potete avviare il pc con il SO "on board".. e in mod. provvisoria... per rifinire le ricerche nel registro e nella startup list
Ho trovato anche un servizio che fa riferimento ad un account nascosto...il servizio non riesco a eliminarlo...Ho avviato dalla modalità provvisoria caricando l'account Administrator...ma niente...non riesco a fare nulla neppure da li...

Sono riuscito a cancellare l'account verso cui il file e il servizio sono indirizzati e ad ogni avvio questi non si ripresenta...se carico BartPE, però posso vederlo allora, dato che non potevo cancellare le cartelle...ho cancellato tutti i file e i pochi non cancellabili l'ho aperti con il notebook ho cancellato tutto e ho salvato...

Come devo agire ora?

Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

Ultima modifica di Arthur85 : 27-08-2006 alle ore 16.16.26
Arthur85 non è collegato   Rispondi citando
Vecchio 28-08-2006, 00.57.15   #14
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da Arthur85
Hai ragione, il mio problema è identico a quello descritto nel post che hai linkato...Ho seguito i tuoi consigli
Ho fatto così, ma anche dal cd di avvio di BartPE non mi consente di eliminanare il file...
Ho trovato anche un servizio che fa riferimento ad un account nascosto...il servizio non riesco a eliminarlo...Ho avviato dalla modalità provvisoria caricando l'account Administrator...ma niente...non riesco a fare nulla neppure da li...
Sono riuscito a cancellare l'account verso cui il file e il servizio sono indirizzati e ad ogni avvio questi non si ripresenta...se carico BartPE, però posso vederlo allora, dato che non potevo cancellare le cartelle...ho cancellato tutti i file e i pochi non cancellabili l'ho aperti con il notebook ho cancellato tutto e ho salvato...
Come devo agire ora?
Ciao

nei post di neddi e giorgius ci sono gli strumenti e le procedure,....

oppure prova con questo, non sempre funziona poichè ci sono diverse varianti con diversi comportamenti..

http://www.viritpro.info/articoli/rootkit_d-e.htm

in ogni caso.. se hai il bartpe, metti virit in una penna usb e dopo avviato il bart lanci virit dalla penna

ricordati che prima devi aggiornarlo, quindi.. o configuri il bart pert la connessione web...oppure installi e aggiorni il virit su un'altro pc e poi ti copi la cartella di virit

la procedura suddetta è stata utilizzata da Sergio Neddi con successo su più macchine, anche su alcune dove era negato l'accesso a qualsiasi account!!
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 28-08-2006, 11.41.54   #15
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Ok, grazie mille. Provero'!!


byezzz
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
SBK, SS e STK 2008!!! TyDany Auto Moto HiFi 195 04-11-2008 13.15.03
Imaging e Win Xp Cico2000 Windows 7/Vista/XP/ 2003 6 15-04-2005 20.01.01
TABS GATTACAMOMILLA Masterizzazione Giochi Games 2 04-04-2005 18.52.38
rallentamenti "anomali" mikk76 Windows 7/Vista/XP/ 2003 10 14-11-2004 19.59.09
masterizzare DVD massymino Masterizzazione Giochi Games 9 13-11-2004 16.20.35

Orario GMT +2. Ora sono le: 11.46.28.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.