NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Win32:Small-gen2 [Trj]		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Precedente
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi

Inserito il - 20/02/2008 : 21:54:56  Mostra Profilo
Strada giusta? Quando hai comprato il pc?
25/01/08 - 23.04 => YLGVJQZCP => Root\LEGACY_YLGVJQZCP => YLGVJQZCP.exe
25/01/08 - 23.02 => VDCKF => Root\LEGACY_VDCKF => VDCKF.exe
25/01/08 - 22.33 / 22.45 => RWATV => Root\LEGACY_RWATV => RWATV.exe
25/01/08 - 22.37 => RSWKBKA => Root\LEGACY_RSWKBKA => RSWKBKA.exe


Solo per quanto riguarda questa ho qualche dubbio di data:
13/01/08 - 20.21 => zycwdeux => Root\LEGACY_ZYCWDEUX => rohmtttp.dat

Dentro c'è: update_0711_kb281434.exe:

u.p.d.a.t.e._.0.
7.1.1._.k.b.2.8.
1.4.3.4...e.x.e.
00 00

ECCO!!! :) è uno dei file che erano da eliminare.. esattamente, quello che non si elimina in nessun modo..
ok.. deve andare tutto via, allora..

Vorrei solo attendere il parere di michal, anche se io non ho dubbi..
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 20/02/2008 : 22:15:28  Mostra Profilo
Il tuo primo post è del 23/01, quando non avevi che la chiave che richiama il file update_0711_kb281434.exe.

2 giorni dopo ne sono state create altre 4.. e tutte e 4 con files temp.
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 25/02/2008 : 19:54:19  Mostra Profilo

...non ti ho più visto e la discussione è scappata via

Ti avevo chiesto quando hai comprato il pc, per capire da quanto tempo avevi quelle chiavi.

Cmq le eliminiamo, sono tutti servizi che non esistono.. quindi ne facciamo a meno.

(Michal sarà sicuramente favorevole.... )

Ti posto la procedura:

1) la copia del registro già l'hai scaricata qualche gioerno fa... Controlla ci sia ancora (se sei in dubbio, esportalo nuovamente, trovi come fare alla pagina precedente)

Con avenger
Citazione:
files to delete:
C:\DOCUME~1\sonoio\IMPOST~1\Temp\YLGVJQZCP.exe
C:\DOCUME~1\sonoio\IMPOST~1\Temp\VDCKF.exe
C:\DOCUME~1\sonoio\IMPOST~1\Temp\RWATV.exe
C:\DOCUME~1\sonoio\IMPOST~1\Temp\RSWKBKA.exe
c:\windows\system32\drivers\rohmtttp.dat
c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\update_0711_kb281434.exe
c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\update_0711_kb291413.exe
C:\WINDOWS\Update_0711_KB281434.exe
C:\WINDOWS\system32\Update_0711_KB281434.exe
C:\WINDOWS\Update_0711_kb291413.exe
C:\WINDOWS\system32\Update_0711_kb291413.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\RWATV
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\RSWKBKA
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\RWATV
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\RSWKBKA
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\RWATV
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\RSWKBKA
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_RWATV
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_RSWKBKA
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_RWATV
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_RSWKBKA
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_YLGVJQZCP
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_zycwdeux
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_VDCKF
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_RWATV
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_RSWKBKA


fammi sapere.. e riposta systemscan
Modificato da - Sibilla in data 25/02/2008 21:51:07
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 01/03/2008 : 17:35:25  Mostra Profilo
ti avevo risposto :) fammi sapere..
Torna all'inizio della Pagina

donatello
Senior Member


Città: Napoli


158 Messaggi
Inserito il - 07/03/2008 : 00:23:43  Mostra Profilo
hai ragione perdonami non cambiavo pagina... il pc nn ricordo quando l'ho comprato, mi pare dicembre-gennaio

ma seguirò la tua procedura posterò a breve ciò che ti serve!!
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,2 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000