| Autore |
 Discussione  |
|
luys_c
Junior Member
50 Messaggi |
 Inserito il - 30/11/2005 : 19:34:55
|
Ciao a tutti,
è la prima volta che scrivo su questo sito per risolvere un problema di cui non vengo a capo.
Il mio Panda Antivirus segnala la presenza di "uno strumento usato dagli hacker per attaccare un computer": trattasi di HackTool/Disilitra.B .
Mi viene segnalata la seguente posizione: C:\WINDOWS\system\DRIVER\ntsrv.exe
Seguendo il percorso, però, non trovo l'eseguibile in questione nè, tantomeno, lo trovo con la normale ricerca di Windows.
Ho anche provato a visualizzare tutti i file nascosti...ma nulla.
Dove sbaglio????
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 30/11/2005 : 19:44:34
|
1)Riavvia Windows ed entra in modalità provvisoria (Premendo ripetutamente F8 all'avvio del Sistema Operativo),e disttiva il Ripristino di configurazione (Se non sai come fare ti ho postato un link alla fine)
2)Scansione con un programma per volta il tuo PC (Esempio Elite Toolbar Remover,Ad-aware,SpyBot S&D e BitDefender)
3)Pulisci il registro con RegSeeker
4)Posta un log di Hijackthis
I programmi li puoi trovare qui sotto:
RegSeeker htt*://[www].pianetapc.it/downloads.php?id=96 (Non và installato)
Ad-aware SE htt*://[www].pianetapc.it/downloads.php?id=15 (AntiSpy)
BitDefender 8 htt*://download.vnunet.it/download/anti-virus/bitdefender+free+edition/_445.html (Lo puoi installare tranqullamente con il tuo antivirus di fiducia in quanto non ha il controllo Real Time)
SpyBot S&D htt*://[www].pianetapc.it/downloads.php?id=17 (AntiSpy)
Elite Toolbar Remover htt*://[www].simplytech.it/ETRemover/ETRemover_v212.zip (Non và installato [AntiMalware])
Hijackthis htt*://[www].download[.com]/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 (Non và installato)
Outpost 1.0 Free Edition htt*://[www].pianetapc.it/downloads.php?id=25 (Se non hai un firewall installalo)
Guida Outpost 1.0 Free Edtion By Fremyd htt*://[www].megalab.it/articoli.php?id=770 (Un'eccellente guida su come configurare Outpost)
Disattiva Ripristino Configurazione By Alexsandra htt*://[www].notrace.it/faq-rimozione-virus.htm
N.B
I Programmi aggiornali prima di lanciare una sconsione
________________________________________________________________________________________________________________
SE ANCHE DOPO AVER ELIMINATO I SVARIATI VIRUS CHE INFESTANO IL TUO PC, QUESTO è ANCORA LENTO FAI IN QUESTO MODO:
1)Disabilita i servizi inutli di Windows andando qui:
Disabilitare Servizi Inutili htt*://digilander.libero.it/void3/tips/DisabilitareServiziInutili.htm
2)NTRegOpt è in grado di “compattare” il registro di sistema di Windows rendendolo molto più veloce
(Prima di procedere con NTRegOpt si raccomanda di fare un Beckup del registro con "Erunt",compreso con NTRegOpt)
Erunt & NTRegOpt htt*://[www].megalab.it/download.php?id=90 (Sono entrambi nello stesso File .zip [Non vanno installati])
3)Se da ora in poi vuoi avere un registro pulito, disinstalla i software che ormai ti hanno stufato con Total Unistall 2.35
Total Unistall 2.35 htt*://[www].martau[.com]/archives/tu3_setup.exe
________________________________________________________ |
 |
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 30/11/2005 : 20:15:04
|
| Glad.........You are the best on the net |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 30/11/2005 : 20:21:11
|
Citazione:
Messaggio inserito da luys_c
Ciao a tutti,
è la prima volta che scrivo su questo sito per risolvere un problema di cui non vengo a capo.
Il mio Panda Antivirus segnala la presenza di "uno strumento usato dagli hacker per attaccare un computer": trattasi di HackTool/Disilitra.B .
Mi viene segnalata la seguente posizione: C:\WINDOWS\system\DRIVER\ntsrv.exe
Seguendo il percorso, però, non trovo l'eseguibile in questione nè, tantomeno, lo trovo con la normale ricerca di Windows.
Ho anche provato a visualizzare tutti i file nascosti...ma nulla.
Dove sbaglio????
Ma direi di stare attento ai siti in cui navighi e agli eseguibili che trovi in giro sulla rete prima di scaricarli e di installarli...ciauz ciauz |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 30/11/2005 : 21:02:17
|
| Ho guardato cos'è questo C:\WINDOWS\system\DRIVER\ntsrv.exe è dura quando hai fatto pulizia con le istruzioni di Glad vai a questo link htt*://[www].sophos[.com]/support/disinfection/trojan.html e scarica questo tool emergency copy of SAV32CLI, è tutto in inglese,segui le istruzioni.(c'è un txt da eliminare) |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 30/11/2005 : 22:09:21
|
Citazione:
Alexsandra Inserito il - 30/11/2005 : 20:15:04
--------------------------------------------------------------------------------
Glad.........You are the best on the net
No no,sei meglio tu  |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 30/11/2005 : 22:12:15
|
 |
|
|
|
Kekko
Junior Member
Città: Roma
61 Messaggi |
Inserito il - 01/12/2005 : 00:27:50
|
aspettiamo con ansia il tuo log luys....
ciao!! |
|
|
|
Lucass
New Member
44 Messaggi |
Inserito il - 01/12/2005 : 02:20:14
|
Ciao non lo trovi per svariati motivi
1-Visualizza tutti i file e le cartelle anche quelle di sistema
2-E'stato eliminato
3-L'accesso al fine è bloccato dall'antivirus
Ciao ciao |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 01/12/2005 : 05:04:57
|
Mi viene un dubbio, non conosco Panda, quindi vado a naso, se con la ricerca del nome del files non da risultato potrebbe trattarsi di un files infetto all'interno di un "pacchetto" compresso (zip, rar...), se è cosi tenta di scovare tutti i files compressi scaricati ultimamente e scomprimili per vedere cosa realmente c'è all'interno, potrebbe essertene arrivato uno con "sorpresa", è più frequente di quanto pensi...
Se è bloccato dall'antivirus, dovresti trovarlo nella sua lista di "quarantena", ma nello stesso tempo non dovrebbe più segnalartelo...
Ciao. |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 01/12/2005 : 09:08:22
|
non sò ancora che SO tu abbia installato,ma la prima cosa che mi è venuta in mente è:
Cartella Recyced, e Volume System Inf...(se spegnendo il pc è stato eseguito un punto di ripristino). Comunque è probabile che te lo abbia rimosso il tuo AV,visto che hai fatto il cerca visualizzando i file nascosti,come non scarterei neanche l'idea di Yves del file zip.
Serve un log di HJK per capirci qualcosa |
|
|
|
luys_c
Junior Member
50 Messaggi |
Inserito il - 01/12/2005 : 14:13:52
|
Ho visto su Internet casi simili ed erano tutti localizzati nel Volume, come dice Alexandra dice, ma nulla... non è un archivio
... L'unico punto in cui lo trovo e la finestra processi del Task Manager: doppio click mi butta fuori.
Tutta la pulizia fatta non ha risolto il problema.
Tra qualche ora mando il Log (adesso sono a lavoro)....
a dopo
NB:Yves, come faccio a capire se è bloccato dall'antivirus???? |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 01/12/2005 : 15:26:04
|
Se il virus è localizzato in Volume ..... non è un problema,ti posto dopo come eliminarlo.Quello che non mi và è che sia in Task manager.
Fai questi controlli
1)avvia msconfig e controlla nella linguetta AVVIO se è presente un qualche file o processo che richiama al virus(lo stesso nome o file che trovi in task manager) se lo trovi togli la spunta.
Non credo che però risolvi il problema in quanto si andrà ad allocare anche in regedit.
Lancia regedit e naviga fino a trovare queste chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
cliccando sulla chiave nel pannello di Sx guarda se nel pannello di Dx trovi il file che richiama il virus se lo trovi sempre nel pannello di Dx fai clik col tasto Dx sulla stringa e ti compare un menù scegli Elimina e dai Invio
Per rendere effettive le modifiche riavvia.
Se per caso non trovi anche quì la chiamata allora il signore è un gran bastardo,e lo trovi sicuramente nel file Win.ini che si trova nella dir Windows.
Apri NotePad seleziona come tipo di file "Tutti i file" e apri win.ini ,cerca la sezione Windows e cancella la chiamata in nei parametri Load e Run |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 01/12/2005 : 16:27:50
|
L'antivirus non ha potuto toglierlo, appare nel Task e quindi è ancora attivo, mi sa che quello bisognerà andarlo ad estirpare a "manina"...
Ho troveto anche questo in rete:
htt*://[www].megalab.it/articoli.php?id=513
Vedi un pò se ci si riesce a capire di più
Ciao. |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 01/12/2005 : 16:33:36
|
MIZZICA mi è sfuggito....Yves
Vai su Task e Killa il processo (selezionalo e premi il pulsante "Termina processo" e continua con quanto postato |
|
|
|
luys_c
Junior Member
50 Messaggi |
Inserito il - 01/12/2005 : 17:13:58
|
L'ho beccato!!!!
E' in regedit dentro le impostazioni driver di un software...
Però ho un altro problema: dopo aver agito in modalità provvisoria si accende superlentissimamente e non compare più la barra di avvio.......
Ho provato ad accedere a regedit da task Manager ma si blocca: è come se fosse pesantissimo ma è impossibile....
Che faccio? |
|
|
|
Discussione |
|
HackTool/Disilitra.B
Forum Bloccato
