Olimpo Informatico

Smjert · Inviato: 19 Mar 2007 22:27 Oggetto:

Dunque dunque.. prova a controllare se hai questo file C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\atiptaxx.exe, se sì caricalo su virus total come hai fatto prima.

Cybion · Inviato: 20 Mar 2007 03:00 Oggetto:

questo file:

Orange · Inviato: 20 Mar 2007 09:38 Oggetto:

ma da dove saltano fuori?
puo anche darsi che si tratta di rimasugli vari, che con una bella pulizia del registro si dovrebbero risolvere...

piuttosto è questo che mi preoccupa:
30. Malicious registry value "*" at key HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\archiviosex.net\www which is part of "Sfonditalia" spyware\trojan
però di solito si vede anche dal log di Hijack...

facciamo cosi: fai queste due scansioni on-line
TrendMicro House Call
e
TrendMicro Antispyware (tutti e due)
che ti rimuovono gli eventuali spyware presenti nel PC..

fai una bella pulizia con CCleaner
e Eusing Free Registry Cleaner 1.0
e vedi come và.

Cybion · Inviato: 23 Mar 2007 00:37 Oggetto:

Finalmente riesco a tornare a raccontarvi gli ultimi sviluppi.. ma le scansioni on-line a 56kb son lente e mi han richiesto più tempo del previsto..

cmq ora ho fatto tutto.

la scansione con TrendMicro HouseCall mi ha rilevato e corretto vari spyware, un backdoor, e in più mi ha rilevato una vulnerabilità: in Step by Step interactive training could allow remote code execution, viene indicato il sito microsoft da cui scaricare la patch ma la dà solo per XP sp2, mentre io sono a versione antecedente.. posso tentare di scaricarla lo stesso?

TrendMicro Antispyware ha rilevato e corretto altri problemi.

Ho fatto pulizia con CCleaner e Eusing Free Registry Cleaner.

A tal punto, ho riprovato a fare la scansione con a-squared, ecco i risultati:

C:\Documents and Settings\Lucilla\Desktop\true sword.lnk rilevati: Trace.File.True Sword

Value: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser --> {01E04581-4EEE-11D0-BFE9-00AA005B4383} rilevati: Trace.Registry.LttLogger v1.0

C:\WINDOWS\system32\atiptaxx.exe rilevati: Trojan-Dropper.Win32.Paradrop.a

AVGfree continua a rilevarmi quella modifica in hosts

dopo che ho usato il programma indicato da Smjert (Hosts) e impostato i DNS al manuale, ZoneAlarm mi rileva i DNS che tentano di accedere (alcuni tentano di collegarsi anche come server..) alla mia connessione.
Io per ora sto rifiutando continuamente l'accesso, e la connessione continua ad andare: significa che son DNS non necessari? come fare a riconoscerne la provenienza?

madvero · Inviato: 23 Mar 2007 03:41 Oggetto:

Cybion · Inviato: 04 Apr 2007 15:17 Oggetto:

Rieccomi finalmente qua..
ammetto che in questo periodo - un po' causa lavoro, un po' per altre cause - ho trascurato la salute del mio computer.. che incosciente eh! Rolling Eyes

cmq, ho eliminato in modalità provvisoria: Malicious registry value "*" at key HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\archiviosex.net\www which is part of "Sfonditalia" spyware\trojan

non però tramite lo spybot, tramite il quale non son riuscita a trovarlo, ma andando direttamete via regedit e eliminandolo manualmente dal Registro..

però, andando in manuale nel registro a cercare quel file, ho fatto una scoperta piuttosto sconcertante: nella stessa chiave o forse direi meglio nello stesso percorso di registro (HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\InternetSettings) ho trovato due sottocartelle (P3P e ZoneMaps) contenenti... un'infinità di voci simili a quella che ho eliminato, da archiviosex a 007guard.com, da 100sexlinks.com a accesskeygenerator.com... e non posto l'intero elenco perchè è davvero lunghissimo.. ammetto di essere abbastanza perplessa..
che roba è??
da dove viene??
e soprattutto.. posso seguire la tentazione che mi ha preso.. ed eliminarli tutti in manuale da modalità provvisoria??

nuovamente grazie per l'assistenza che continuerete a darmi ! Very Happy

madvero · Inviato: 04 Apr 2007 22:34 Oggetto:

io di solito lo faccio: back up del registro e poi via ad eliminare roba sospetta !!!
temo però che non sia un'operazione molto saggia, ergo non lo consiglio: se sfascio il mio pc perchè vado per tentativi è ok, ma che agli altri si impalli il pc dietro mio consiglio...

Orange · Inviato: 04 Apr 2007 22:44 Oggetto:

probabilmente sono solo residui di tutte le cose eliminate precedentemente.
fai la pulizia del registro
scarica RegSeeker
seleziona la voce "registro" e dai l'OK
a controllo finito clicca su ?Seleziona tutto?, poi con il tasto destro nell?area selezionata, clicca su ?Seleziona tutti gli elementi verdi? (elementi verdi sono riferiti a voci inutili/obsolete e programmi eliminati) e cancellali tutti

Cybion · Inviato: 05 Apr 2007 00:39 Oggetto:

Ho fatto la procedura con RegSeeker indicatami da Orange, e ho eliminato tutti gli elementi verdi.. c'eran varie cose e di certo un altro po' di pulizia è stata fatta.

Ma quei file che sembrano rimandare a siti o porno o di casinò o non so che altro continuano a esser presenti..
penso che proverò ad eliminarli magari pochi alla volta in modalità provvisoria.. e vedere come va!
spero solo di non far casini troppo grossi..

cmq tranquilla madvero: se sfascio il pc.. sarà tutta mia la responsabilità (sono assolutamente non saggia di mio!!)

Wink

madvero · Inviato: 05 Apr 2007 01:47 Oggetto:

io però ho un po' perso il filo della storia... il problema dei privilegi da admin l'hai poi risolto?

Cybion · Inviato: 05 Apr 2007 21:18 Oggetto:

ciao mad!

in effetti anche io.. l'ho un pochino perso il filo della storia!
anche perchè a ogni analisi o scansione per risolvere un problema, ne viene fuori uno nuovo! sta diventando una storia infinita...

comunque il problema dei privilegi da admin sembra risolto ora..
restan tutti gli altri casini da sistemare! e forse qualcuno potrei averlo provocato io.. con la mia gestione non saggia appunto..

ma spero tanto di riuscire a risolvere tutto!!

Very Happy