| Autore |
 Discussione  |
|
|
Traum
New Member
45 Messaggi |
 Inserito il - 18/02/2007 : 15:13:37
|
Avevo postato la settimana scorsa riguardo un virus che poi si è dimostrato essere LinkOptimizer. Problema risolto, credevo. E infatti in un certo senso è stato così. Il virus è stato cancellato, come l'account che aveva creato.
Ora, il problema è che c'è questa cartella strana, del tipo:
f#9633;#9633;''(#9633;#9633;#9633;))'
Insomma, una roba simile. Questo coso, nelle sue varianti, chiedeva a ZoneAlarm di connettersi alla rete. Naturalmente credevo fosse LinkOptimizer, visto che cancellato l'account, e con la possibilità di aprire nuovamente Hijackthis, sembrava che fosse stato risolto ogni problema.
E invece, andando a vedere in HKEY_CURRENT_USER ho notato questa cartella. L'ho deletata svariate volte, anche in safe mode, ma niente. Si ripropone ogni volta e con un nome che riporta più o meno quei caratteri, ma a casaccio (quadratini, parentesi, ecc.).
E il problema è che quei caratteri si sovrappongono alla scritta che sta in alto quando sono in modalità provvisoria.
E, inoltre, credo che sia spiata da qualcuno (scusate se non sto qui a dire come faccio a saperlo).
Inoltre, all'avvio (msconfig) mi dà questi caratteri:
#9633;#9633;
Due volte.
Vorrei sapere di cosa si tratta e se esiste un modo per, eventualmente, rintracciare lo spione.
Se non si potesse fare niente da soli (cioè io da sola), mi potreste consigliare qualche consulente bravo che lavora a Roma?
----------------
Vedo che li ha letti in altro modo, comunque si tratta di quadratini.
|
Modificato da - Traum in Data 18/02/2007 15:18:47
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/02/2007 : 00:33:39
|
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
 |
|
|
Traum
New Member
45 Messaggi |
|
|
Traum
New Member
45 Messaggi |
Inserito il - 24/02/2007 : 10:16:08
|
Non è che qualcuno possa darmi una mano? Questa cartella in HKEY_CURRENT_USER ricompare (dopo di "Printers" e prima di "RemoteAccess") ogni volta.
Pùƒ�(øƒ�
E un'altra cosa, sapete se sia possibile che qualche tecnico da una centrale di smistamento dati (si dice così?) tipo la Telecom (o una società che lavora per conto della Telecom) possa intercettare le informazioni Internet e telefoniche? Anche il singolo tecnico che si occupa magari delle apparecchiature, intendo. O l'amministratore di sistema. Lo chiedo perché ho dei sospetti in merito. E quindi se per caso dovessi formattare il disco, come farei ad essere certa che qualcuno, proprio tramite Telecom (anche se ho Libero, questo passa per una centrale Telecom qui vicino), non si reintroduca con sistemi "leciti" (amministrazione sistema)?
Ora questa cartella è entrata (e non so veramente come!) anche nel mio portatile! UGUALE!
Vi ringrazio, se poteste darmi una mano
|
Modificato da - Traum in data 24/02/2007 10:21:28 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 24/02/2007 : 10:55:53
|
Problema strano... 
Quella "cosa" credo sia in quel formato perchè è un codice decimale, allo stesso modo come la codifica Pùƒ�(øƒ�. In parole povere è qualcosa di criptato.
Per quanto riguarda GMER, non ci vedo cose strane, però lo conosco da troppo poco tempo per darti un parere "professionale", quindi aspetta qualcuno più esperto.
Non so se sia possibile risolvere così il problema, ma potresti provare a eliminare la chiave da modalità "normale" disabilitando il ripristino di configurazione.
Credo che i tecnici non siano in grado di avere informazioni sul tuo traffico, o almeno non in maniera rilevante tale da nuocerti in qualche modo.
Mi dispiace non poterti aiutare più di così  |
|
|
|
Traum
New Member
45 Messaggi |
Inserito il - 25/02/2007 : 09:14:51
|
Ciao, ti ringrazio comunque
Vorrei sapere se questa cartella è propria di XP, oppure no. Lo chiedo perché adesso anche una persona che conosco ne ha una simile nell'HKCU.
Mi dici che si tratta di qualcosa di crittografato. Ora, come posso risalire al file che la genera? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/02/2007 : 23:48:46
|
i log sono puliti, potrebbe derivare da un programma non disintallato in maniera corretta dubito che sia qualcosa di preoccupante.
Se vuoi postaci delle immagini del contenuto e del percorso preciso.
Non credo che faccia parte del corredo di XP, non l'ho mai vista. |
|
|
|
Traum
New Member
45 Messaggi |
Inserito il - 26/02/2007 : 09:34:10
|
Ma il problema è anche un altro. Quando eseguo msconfig, all' "avvio" mi dà due coppie di quadratini. Una su una linea, l'altra su un'altra linea. I quadratini sono gli stessi che si vedono nella strana cosa che ho postato e che purtroppo non sono letti in HTML.
In pratica:
Elemento di avvio: due quadratini--> comando: due quadratini--> percorso: SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
E di nuovo sotto:
Elemento di avvio: due quadratini--> comando: due quadratini--> percorso: SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
|
Modificato da - Traum in data 26/02/2007 09:37:39 |
|
|
| |
Discussione |
|
Cartella in HKEY_CURRENT_USER
Forum Bloccato
