| Autore |
 Discussione  |
|
|
Andread
Senior Member
232 Messaggi |
 Inserito il - 18/08/2007 : 20:13:23
|
ciao Spy Sweeper mi ha rilevato i tre seguenti ospiti:
trojan-downloader-tukpat
chiave infetta: HKLM\software\0d92r7f92j
adwere: coolwebsearch
chiave infetta: HKU\WRSS_Profile_S-1-2-21-343818398-1450960922-682003330-501\software\microsoft\windows\currentversion\ext\stats\14d1a72d-8705-11d8-b120-0040f46cb696\
trojan.gen
c:\windows\svchost.dll
volevo sapere se posso cancellare i files indicati e le chiavi di registro manualmente o se è sconsigliato....
appena funziona upload[.com] vi posto il log di HJ
grazie ciao!
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 19/08/2007 : 04:14:11
|
Mettiamola così; volendo andare con la rimozione manuale la cosa è sempre e comunque fattibile, il discorso a parte riguarda la comodità della procedura.
Quando posti il log vediamo il da farsi  |
 |
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 19/08/2007 : 16:06:39
|
| eccolo htt*://[www].wikiupload[.com]/download_page.php?id=201310 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/08/2007 : 20:29:20
|
dal log non si rileva nulla, le uniche voci sospette dovrebbero appartenere ad un software di autenticazione fornito dalla regione lombardia (C:\WINDOWS\system32\SSLEmptyCache.exe
C:\WINDOWS\system32\bit4cnsp.dll,RegisterMyPhysicalStore)
Non conosco bene il programma Spy Sweeper ma dovrebbe eliminare da solo queste infezioni, mi pare con un riavvio del sistema.
Facci sapere ed eventualmente posta un 'immagile delle segnalazioni virus in questione. |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 20/08/2007 : 10:45:11
|
Citazione:
Messaggio inserito da michal
dal log non si rileva nulla, le uniche voci sospette dovrebbero appartenere ad un software di autenticazione fornito dalla regione lombardia (C:\WINDOWS\system32\SSLEmptyCache.exe
C:\WINDOWS\system32\bit4cnsp.dll,RegisterMyPhysicalStore)
Non conosco bene il programma Spy Sweeper ma dovrebbe eliminare da solo queste infezioni, mi pare con un riavvio del sistema.
Facci sapere ed eventualmente posta un 'immagile delle segnalazioni virus in questione.
il software della regione lombardia non è nulla di sospetto. Spy Sweeper elimina da solo queste infezioni se si è fatto l'abbonamento, per il momento ho solo la versione di prova che me le segnala ma non le elimina. cancello manualmente tutto ciò che mi viene indicato come minaccia e poi vedo come evolve la situazione. per il momento grazie |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 20/08/2007 : 13:49:55
|
dunque, dopo varie scansioni e pulizie mi sono rimasti coolwebsearch e trojan.gen, inoltre ewido mi rileva anche hijacker.small.kj
per quanto riguarda coolwebsearch la situazione è molto strana. documentandomi su internet sui sintomi che questo ospite crea non ne rilevo nessuno sul mio pc! non mi ha cambniato la pagina iniziale, non mi reindirizza a siti strani insomma è come se non ci fosse...ho anche trovato un tool di rimozione che non me lo rileva nel mio sistema anche se Spy Sweeper continua a segnalarmelo.
riguardo a trojan.gen ho trovato il file svchost.dll ma naturalmente anche se lo cancello si ricrea, ho anche notato un file svchost.exe (sempre nella cartella di windows) che sono tentato a cancellare ma vorrei sentire cose ne pensate voi.
riguardo hijacker.small.kj ho trovato un po' di istruzioni per rimuoverlo nma non mi ci sono ancora messo seriamente dietro.
aspetto vostri pareri ciao ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/08/2007 : 15:16:13
|
Citazione:
Messaggio inserito da Andread
ho anche notato un file svchost.exe (sempre nella cartella di windows)
Come hai detto, anche questo va cancellato (quello legittimo lo trovi in c:\windows\sistem32).
..bisogna trovare il file che li rigenera; potrebbero essercene anche altri, come ~.exe.
..fatto una piccola ricerca.. vir.it dovrebbe porterti risolvere il problema, lo trovi qui htt ://[www].tgsoft.it/italy/download.htm |
Modificato da - Sibilla in data 21/08/2007 17:34:53 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 21/08/2007 : 19:09:05
|
| fai quello che ti ha consigliato sibilla, ma prima di tutto disabilita il ripristino di configurazione di sistema, dopodiché aggiorni virit e scansioni da provvisoria e vediamo cosa rimane |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 26/08/2007 : 12:14:39
|
i fenomeni strani continuano...ora sembra essere scomparso tutto tranne cws. Ewido, spy sweeper virt non mi rilevano più nulla di dannoso. può essere che RegSeeker mi abbia eliminato le chiavi degli ospiti perchè considerate obsolete?
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 26/08/2007 : 12:58:14
|
per Cws utilizza questo tool:
htt*://us.trendmicro[.com]/us/products/personal/CWShredder/index.html |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 27/08/2007 : 11:08:49
|
Citazione:
Messaggio inserito da michal
per Cws utilizza questo tool:
htt*://us.trendmicro[.com]/us/products/personal/CWShredder/index.html
già fatto...il fatto strano è che spy sweeper mi rileva Cws, mentre il suddetto tool no.
che faccio? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 27/08/2007 : 19:02:43
|
| se magari ci dai più dettagli sull'identificazione di spy sweeper, magari il percorso di dove ti rileva cws proviamo a capirci un pò di più |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/09/2007 : 03:41:47
|
ciao, quindi per il trojan-gen Vir.it ha funzionato? :) ricordi quali file ti ha cancellato? (se solo i svchost o anche qualcun altro)
Citazione:
Messaggio inserito da Andread
Spy Sweeper mi ha rilevato adwere: coolwebsearch
....ho trovato 49 + 4 varianti di cws e tanti "alias" (qualcuno è riconosciuto da altri programmi come un trojan-downloader, ad esempio). Fatto questo, nel dubbio, visto che il file svchost.exe non ti veniva segnalato ma c'era, ho provato a vedere se qualcuno di questi lo creava in windows, ed ho trovato CWS.Svchost32, CWS.Svcinit e CWS.Aboutblank (che cambia a pagina in about-blank.ws, non è il tuo caso, sembra). Se ho capito bene, qualcuno crea anche i files mssys.exe, msin32.dll.
Ora dacci qualche informazione tu.. io più che dirti di cancellare tutta la cartella "preferiti" o di cambiare pagina iniziale non ho trovato nulla :(
ciao |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 01/09/2007 : 11:58:59
|
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole |
|
|
| |
Discussione |
|
sono infetto
Forum Bloccato
