| Autore |
 Discussione  |
|
|
Andread
Senior Member
232 Messaggi |
 Inserito il - 17/09/2007 : 15:28:41
|
ciao, spyware doctor mi rileva Trojan.agent.XJ con un po' di chiavi e valori di registro tutti racchiusi in HKEY_USERS\S-1-5-21-343818398-1450960922-682003330-1016\software\microsoft\RasModule.
Ho rimosso l'intera chiave e ho riavviato il computer. è apparsa una schermata blu che in sostanza, diceva che windows era stato riavviato per evitare danneggiamenti al pc; dopo il riavvio tutto tornato ok. mi è successo un paio di volte, poi ho ripristinato a uno stato precedente. è possibile che spyware doctor mi abbia segnalato dei valori che non debbono essere cancellati?
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 17/09/2007 : 21:11:15
|
spero che tu abbia cancellato solo la sottochiave RasModule perchè se hai eliminato tutta la chiave sono .....
Operare sulle chiavi di registro è un'operazione molto delicata e va eseguita solo se si è sicuri di quello che si fa.
Posta un log di HJT così vediamo che cosa c'è. |
 |
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 18/09/2007 : 12:52:52
|
Citazione:
Messaggio inserito da michal
spero che tu abbia cancellato solo la sottochiave RasModule perchè se hai eliminato tutta la chiave sono .....
Operare sulle chiavi di registro è un'operazione molto delicata e va eseguita solo se si è sicuri di quello che si fa.
Posta un log di HJT così vediamo che cosa c'è.
ho eliminato esattamente quello che ho scritto in precedenza, comunque facendo un ripristino a uno stato precedente sembrerbbe tornato tutto normale, sempre con il virus ma senza problemi al sistema...
ho eliminato il link.
Dal sito(Wikiupload) viene scaricato uno script sospetto HTML/ADODB.Exploit.Gen (fonte Avira)
rimandalo seguendo la procedura del forum. |
Modificato da - michal in data 18/09/2007 20:11:38 |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 20/09/2007 : 12:32:29
|
| htt*://depositfiles[.com]/files/1824849 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 20/09/2007 : 13:05:02
|
disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O4 - HKLM\..\Run: [bit4id store register] "RUNDLL32.EXE" C:\WINDOWS\system32\bit4cnsp.dll,RegisterMyPhysicalStore
O4 - HKLM\..\Run: [SSLEmptyCache] C:\WINDOWS\system32\SSLEmptyCache.exe
clicca su FIX CHECKED
scaricare avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avviare il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Cliccare sulla lente di ingrandimento
Si apre una finestra "View/edit script"
All'interno del box bianco,
copiare e incollare
files to delete:
C:\WINDOWS\system32\bit4cnsp.dll
C:\WINDOWS\system32\SSLEmptyCache.exe
cliccare sul pulsante Done
Cliccare sull'icona del semaforo verde
Rispondere Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavviarlo manualmente
posta il log di avenger.
scaricare Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 21/09/2007 : 12:09:20
|
ho fatto come mi hai detto. il log di HJ non ha più le voci fixate. Come faccio a postarti il log di avenger? dove lo trovo? quando il pc si è riavviato è comparsa una finestra ma è poi sparita....
spyware doctor continua a rilevarmi l'amichetto |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/09/2007 : 12:18:51
|
se nn appaiono più le voci su hijack vuol dire sn state eliminate....cmq dato che spyware doctor ti rileva un virus e nn te lo elimina fa scansioni anche con i software indicati in questa procedura:
htt*://[www].notrace.it/eliminare-malware.htm |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 21/09/2007 : 19:56:54
|
Citazione:
Messaggio inserito da Leleago
se nn appaiono più le voci su hijack vuol dire sn state eliminate....cmq dato che spyware doctor ti rileva un virus e nn te lo elimina fa scansioni anche con i software indicati in questa procedura:
htt*://[www].notrace.it/eliminare-malware.htm
premetto che non ho ancora svolto la procedura da te indicatami, ma perchè non posso cancellare le chiavi che mi vengono segnalate come infette?
grazie ciao |
|
|
|
ninni54
New Member
Città: trapani
36 Messaggi |
Inserito il - 29/12/2007 : 12:30:54
|
Citazione:
Messaggio inserito da Andread
<blockquote id="quote"><font size="1" face="Arial" id="quote">Citazione:<hr height="1" noshade id="quote">Messaggio inserito da michal
spero che tu abbia cancellato solo la sottochiave RasModule perchè se hai eliminato tutta la chiave sono .....
Operare sulle chiavi di registro è un'operazione molto delicata e va eseguita solo se si è sicuri di quello che si fa.
Posta un log di HJT così vediamo che cosa c'è.
ho eliminato esattamente quello che ho scritto in precedenza, comunque facendo un ripristino a uno stato precedente sembrerbbe tornato tutto normale, sempre con il virus ma senza problemi al sistema...
ho eliminato il link.
Dal sito(Wikiupload) viene scaricato uno script sospetto HTML/ADODB.Exploit.Gen (fonte Avira)
rimandalo seguendo la procedura del forum.
[/quote] |
|
|
| |
Discussione |
|
Trojan.agent.XJ
Forum Bloccato
