|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
Ciao ragazzi!!
Ho un problema con un file che mi sta facendo impazzire!!
Oggi AVG all'avvio di Windows mi segnalava un Trojan Horse Generic.XDJ nella cartella di Microsoft Shared, ma non riusciva ad eliminarlo...così ho pensato di farlo io manualmente, era un file nascosto hWU.exe...Ho provato in mille modi ma mi vieta l'accesso...
Ho provato in modalità provvisoria, con Killbox, Unlocker, MoveOnBoot, IsUsedBy, insomma tutto quello che ho trovato su internet...poi ho installato Spybot, è con una sua opzione, quella del "Tritatutto" praticamente questo file si è trasformato e non è più un file con estensione .exe, ma adesso cambia sempre ogni volta che lo "Trito" con Spybot...cambia nome ed estensione (ad es. .vul .que .cnk .asw ecc...)ma non si elimina mai, è di 107 Kb!!
Come devo fare? E' una cosa strana che cambia sempre nome...non l'avevo mai vista!!
E' ancora un file trojan?
Grazie mille x l'aiuto
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Prova ad installare un programmino che si chiama <b>CopyLock</b> (è uno <i>standalone</i> e non richiede vera installazione: ti basta estrarlo dal file zip e poi infilare il tutto in una cartellina tutta sua). Dopo di che, apri il programma, gli dici che c'è un "file to delete" (il programma è in inglese), glielo indichi e gli dai il via. Ti risponderà che non è possibile eliminare il file, ma che è necessario riavviare il computer e ti domanderà il permesso di farlo. Tu accordaglielo e lui farà il resto: spegnerà il computer, lo riavvierà e, durante il riavvio, eliminerà il file incriminato. Sul mio computer ha sempre funzionato che è un piacere.
Devo però avvisarti che -se è un trojan "tosto" come pare- la semplice "eliminazione" non risolve: avrà forse cambiato dei valori di Registro, fatto chissà quante copie "nascoste" di sé stesso, etc... Per cui, penso sarebbe saggio se, prima d'ogni altra cosa, tu effettuassi un scansione con <b>HijackThis</b> e poi postassi il LOG risultante qui su Aiutamici (però, sul forum specificamente dedicato a "Virus, Sicurezza e Privacy"). Vedrai che, dopo, o Alfonso o Steven ti sapranno dire -assai meglio di me- che cosa fare.
Edited by - monsee on 07/17/2006 23:25:36
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
Ciao
Temo che tu abbia beccato una vera porcheria, se cambia nome ad ogni esecuzione sarà molto difficile ripulire il sistema completamente , senza ricorrere al format ...
comunque aspettiamo l'esito di hijackthis e ci renderemo conto sul da farsi...
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
.
Edited by - tibi on 07/23/2006 21:48:27
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
.
Edited by - tibi on 07/18/2006 13:45:13
|
|
Rank: AiutAmico
Iscritto dal : 10/5/2000
Posts: 19,132
|
Ciao , esegui queste operazioni Disattiva il ripristino di configurazione, leggi qui come fare http://www.aiutamici.com/software/view.asp?tipo=homeandCodSw=257&SH=NRiavvia in modalità provvisoria, leggi qui come fare http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=Napri HIJAC THIS ed elimina come indicato in questo articolo http://www.aiutamici.com/software/descrizione.asp?CodSw=1175le righe che seguono. ================================== R3 - Default URLSearchHook is missing - O2 - BHO: Class - {4D95B721-D513-CA26-61CE-6FB0DDF78307} - (no file) O2 - BHO: Class - {AFC79091-DD34-3473-A98B-92530F7CDAF8} - (no file) - O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - :windir:\bdoscandel.exe (file missing) ================================== Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET nella finestra che si apre clicca i tre pulsanti ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA poi clicca il pulsante PAGINA PREDEFINITA e su OK al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=Nsempre in modalità provvisoria fai una scansione Antivirus quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8 http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=NFai una scansione antivirus on line da questo indirizzo http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=symNel sistema non é presente un Firewall, installa questo http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=56e disattiva l'inutile firewall di XP, leggi qui http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=160&SH=NUtilizza questo programma http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041
 Collaboratore Aiutamici
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
Ciao , nel log non c'è niente di preoccupante , fixa queste due voci ormai inutili: O2 - BHO: Class - {4D95B721-D513-CA26-61CE-6FB0DDF78307} - (no file) O2 - BHO: Class - {AFC79091-DD34-3473-A98B-92530F7CDAF8} - (no file) Poi prova a fare cosi: - Scarica Ewido , installalo ed aggiornalo ma non usarlo per ora .... http://www.ewido.net/en/download/- Scarica Stinger ->http://www.aiutamici.com/software/view.asp - Scarica Dr Web Cure -> http://www.majorgeeks.com/downloadget.php?id=4783&file=10&evp=ef9669e4f16e6e75d95abcde8f88163dAdesso: - <b>Disattiva il ripristino di configurazione di sistema</b>, guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N- <b>Riavvia in modalità provvisoria</b> guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=NA- <b>Assicurati di avere accesso a file e cartelle nascosti</b> (Pannello di controllo--> Opzioni Cartella--> Visualizzazione) metti la spunta su: 1)Visualizza file e cartelle nascoste 2)Disattiva nascondi file protetti di sistema Dopo queste operazioni effettua le scansioni nell'ordine : Ewido , Stinger , Dr web -> per quest'ultimo fate attaenzione ai falsi positivi .... Alla fine torna in modalità normale , e dicci il responso delle scansioni , al limite postandoci direttamente i log di quest'ultime OPS: sovrapposti <img src=icon_smile_wink.gif border=0 align=middle> Edited by - steven75 on 07/18/2006 14:48:31
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
Ciao ragazzi!! Grazie 1000 x le info!! Ho eseguito tutto ciò che mi avete suggerito, le scansioni sono state positive, ewido ha rilevato 4 file ma li ha eliminati...però quel famoso file nascosto è rimasto...ho fatto la scansione anche per questo singolo file, ma nessun programma lo rileva come infetto...a questo punto dovrò tenerlo, no?<img src=icon_smile_sad.gif border=0 align=middle> ...Zone Allarm l'ho installato, ma l'ho anche dovuto disinstallare...perchè rallentava troppo il sistema e ha creato problemi con la posta...in quanto anche AVG la controlla... Grazie ancora x tutti i consigli!! Edited by - tibi on 07/19/2006 10:00:11
|
|
Rank: AiutAmico
Iscritto dal : 4/2/2005
Posts: 125
|
dove trovo il programma CopyLock
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Lo puoi trovare qui (le istruzioni per l'uso sono in inglese, ma sono comunque brevissime e estremamente semplici): http://www.pcsoftland.com/utilities/disk-tools/CopyLock.htmEdited by - monsee on 07/20/2006 07:12:09
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
Ragazzi ho provato anche CopyLock ma nulla...<img src=icon_smile_dissapprove.gif border=0 align=middle>
C'è un metodo per cancellare i file da dos?Forse così si può elimare...
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
Ciao ,
mi fai una cortesia ? mi dici esattamente il percorso e il nome del file ineliminabile ?
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
Il file è zrfddete.nlw è un file nascosto che prima si trovava nella cartella di Microsoft Shared, ma adesso io l'ho spostato in una nuova cartella che ho creato sul desktop...
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
prova a fare cosi:
tasto destro su una parte vuota del desktop e scegli <b>nuovo</b> e poi documento di testo . Adesso al file .txt che apparirà sul desktop dai esattamente il nome del file che non si cancella , poi trascina questo file nella cartella dove c'è il vero file e normalmente dovresti avere un avviso che dice che il file esiste già e se vuoi sostituirlo , scegli si e una volta che lo hai sostituito elimina tutto .... vediamo se cosi riesci ad eliminarlo
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
<img src=icon_smile_sad.gif border=0 align=middle><img src=icon_smile_sad.gif border=0 align=middle>Niente steven...il file me lo fa inserire ugualmente anche con lo stesso nome...ho provato addirittura con un file applicazione!!
Cmq, non voglio farvi "impazzire"...non so se sia infetto, però fino ad adesso il pc non ha problemi...pazienza lo terrò lì!!
Grazie 1000!!
|
|
Rank: Member
Iscritto dal : 5/3/2006
Posts: 0
|
partendo dal presupposto che il pc è al nostro servizio e non viceversa non dobbiamo rassegnarci ad essere schavizzati da un sistema informatico. vedrai che troveranno altre soluzioni.abbi fede!(forse è una c...ta ma hai provato a cercare quel file nel registro?
|
|
Rank: Member
Iscritto dal : 5/20/2006
Posts: 6
|
Hai ragione sarwad!!<img src=icon_smile_big.gif border=0 align=middle>di certo ci sarà un modo...!!
Non ho provato ad entrare nel registro...perchè non so in quale chiave cercare...magari se me lo spiegate provo!!
Grazie ancora!!!
|
|
Rank: Member
Iscritto dal : 5/3/2006
Posts: 0
|
start/esegui/regedit/trova/ nome del file
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
Per sapere se è infetto , ti basterà farlo analizzare su www.virustotal.comcarichi il file mediante il tasto sfoglia , clicca su Send e attendi il responso
|
|
|
Guest |