| Precedente :: Successivo |
| Autore |
Messaggio |
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
 Inviato: 03 Lug 2006 09:17 Oggetto: trojan.win32.ndrv.d - adware.command.a |
 |
|
ciao, ho questi due mostri installati in una macchina e non riesco a toglierli perche' si trovano in file che il so carica e usa all'avvio
il problema e' che si riproducono seminando cloni a destra e a manca e mi fanno sballare il bios fino a rendere sempre piu' difficoltoso il riavvio del computer
per l'esattezza stanno rintanati qua:
- trojan.win32.ndrv.d in c:\winn\system32\regsvr32.dll
- adware.command.a in c:\winnt\u2vyz2lvifnpcmfnbme\command.exe
il so e' win2k e entrambi i files sono farlocchi; il primo ha un .exe "buono" con lo stesso nome, mentre il secondo e' facillmente intuibile come sia falso fino all'osso
avete idea di come posso rimuoverli, pf? |
|
| Top |
|
 |
Gateo
Dio maturo
Registrato: 17/11/03 19:16
Messaggi: 12379
|
| Inviato: 03 Lug 2006 09:56 Oggetto: |
|
|
Hai gia' provato a fare le scansioni da modalita' provvisoria con i vari antivirus, antispyware, hijackthis?
Edit, gia' che sei in mod provvisoria, cancella tutti i file nelle cartelle temp. temp. internet files, downloaded program files, la cartella strana che hai identificato ed eventuali file in c:1 di dubbia provenienza. |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 03 Lug 2006 10:09 Oggetto: |
|
|
| Gateo ha scritto: | | Hai gia' provato a fare le scansioni da modalita' provvisoria con i vari antivirus, antispyware, hijackthis? |
ho provato con un paio di programmi che avevo installati (non e' la mia macchina e non avevo modo di collegarmi in rete), ma senza risultati; mi portero' altri programmi da casa e ci riprovero'
| Citazione: |
Edit, gia' che sei in mod provvisoria, cancella tutti i file nelle cartelle temp. temp. internet files, downloaded program files, la cartella strana che hai identificato ed eventuali file in c:1 di dubbia provenienza. |
fatto
fatto
fatto
...
 
p.s. la cartella strana neanche col grimaldello  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 03 Lug 2006 11:54 Oggetto: |
|
|
| rebelia ha scritto: | | p.s. la cartella strana neanche col grimaldello |
Neanche da modlità provvisoria?
Vediamo ... che processi hai in esecuzione in modalità provvisoria? |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 03 Lug 2006 12:19 Oggetto: |
|
|
| chemicalbit ha scritto: | | che processi hai in esecuzione in modalità provvisoria? |
non ho qui il computer, cmq un'altra cosa strana era che non avevo modo di lanciare il task manager: mai successo!  |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 03 Lug 2006 16:26 Oggetto: |
|
|
| prova a postare un log di HijackThis |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 03 Lug 2006 16:48 Oggetto: |
|
|
| holifay ha scritto: | | prova a postare un log di HijackThis |
non l'avevo sottomano e ho fatto fare un giro a virit; ho tolto a manina tutto (e' scaduta la demo ma la scansione te la fa ugualmente) e tutto quel che e' rimasto sono quei due virus li' dove li ho segnati
solo che sti fetenti si replicano a manetta: e' possibile cancellare i cloni (cosa che ho fatto), ma non gli originali (naturalmente, uff!)
cmq appena rimetto le mani sulla macchina ci carico hijackthis e provo a fargli fare un giretto in modalita' provvisoria, vi terro' aggiornati  |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 13 Lug 2006 19:59 Oggetto: Re: trojan.win32.ndrv.d - adware.command.a |
|
|
| rebelia ha scritto: |
- adware.command.a in c:\winnt\u2vyz2lvifnpcmfnbme\command.exe |
stanato il primo via dos (e un secondo infognato, 'sto bischero), mi e' rimasto questo qua sopra
via dos non riesco a vederlo dando dir, ma riesco ad aprire la directory; all'interno della directory non riesco a dare dir e non riesco a cancellare i files contenuti (command.exe e una libreria)
non riesco a toglierlo con hijackthis, ne' con nient'altro indipendentemente dalla modalita': tutto quel che mi viene in mente e' avviare da floppy con un vecchio reboot di win98 o smontare l'hd, collegarlo su un'altra macchina e cancellarlo a manina
dimenticavo: nessuna traccia nel registro
che fasso? |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 13 Lug 2006 23:12 Oggetto: |
|
|
in hijackthis lo vedi? Se sì, prova ad usare The Avenger. La sintassi giusta ti permette di eliminare chiavi, cartelle e files al reboot. Li elimia a livello di kernel: non fallisce!
Prova a guardare il topic in evidenza, verso metà. E' spiegato come fare. Eventualmente se mi posti il log ti scrivo lo script.
Se invece non lo vedi da HijackThis, allora è diverso |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 14 Lug 2006 00:46 Oggetto: |
|
|
| holifay ha scritto: | in hijackthis lo vedi? Se sì, prova ad usare The Avenger. La sintassi giusta ti permette di eliminare chiavi, cartelle e files al reboot. Li elimia a livello di kernel: non fallisce!
Prova a guardare il topic in evidenza, verso metà. E' spiegato come fare. Eventualmente se mi posti il log ti scrivo lo script.
Se invece non lo vedi da HijackThis, allora è diverso |
lo vedo, lo vedo il bstrd 
provero' con the avenger e poi ti faccio sapere
per ora grazie |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 22 Ago 2006 20:43 Oggetto: |
|
|
dunque
ho provato con la guida, ma mi sono interrotta perche' non ero certa di quel che facevo in un paio di passaggi, ad ogni modo nel frattempo ho trovato altre informazioni e altri programmi segnalati, ma tutto pareva inefficace
all'ennesimo repulisti di cache, cestino e tutto quel che m'e' venuto in mente, sono entrata in modalita' provvisoria, ho avviato services.msc e da li' ho controllato le proprieta' di tutti i files "in servizio" in quel momento (non chiedetemi perche', non vi saprei rispondere: fortuna del principiante, presumo  ) fino a quando ho beccato quello giusto
mi e' bastato disattivarlo, tornare in esplora risorse e cancellarlo normalmente, uscirne e far partire di nuovo tutti i vari antischifezze, ma e' stata una formalita', perche' finalmente l'ho debellato 8) |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 23 Ago 2006 13:55 Oggetto: |
|
|
ecco, questo e' quel che si chiama essere ottimisti!
ormai che c'ero, ho fatto andare anche cureit.exe e ho aggiornato il so e questo ha scatenato il pandemonio!
mi spiego: il file mancante improvvisamente non serviva piu' e questo grazie a cureit.exe che e' un tool shareware che fa il repulisti di vecchi residui, installazioni e disinstallazioni incomplete e roba del genere, quindi probabilmente anche della richiesta di quella particolare libreria
a quel punto ho potuto installare ewido - installato giusto per provare se la mia teoria era giusta - e questo mi ha trovato 2 schifezze prima invisibili; l'ho aggiornato e ne ho trovata un'altra
presa dallo sconforto, ho fatto girare anche xsoftspy (shareware pure quello), ccsetup, look2me-destroyer e per ultimo ho installato, aggiornato e fatto girare clamwin che mi ha beccato altri 41 mostri (1+40 cloni): alla fine di tutta questa storia mi e' caduto l'occhio sul contenuto di c mostrato da clamwin e ho visto PER CASO tre eseguibili dai nomi sospetti: mendoza.exe - sk02.exe - veracruz.exe che ho provveduto a cancellare senza passare dal via
devo dire che sono un po' avvilita: ero convinta di dare la caccia a un solo verme e mi sono trovata davanti a un esercito non appena ho scostato il sasso... spero solo di aver stanato tutto, a questo punto non sono piu' sicura di nulla, uff! |
|
| Top |
|
|
BalzanoM
Mortale devoto
Registrato: 16/08/06 02:32
Messaggi: 7
Residenza: http:\\michelebalzano.iitalia.com
|
| Inviato: 23 Ago 2006 15:04 Oggetto: vermi - cloni - virus e spyware |
|
|
Ciao Rebelia,
peccato che il mio software non ti sia stato d'aiuto, ma da quello che leggo i software antivirus e le utility sono solo dei piccoli arnesi, ......da vera guerriera sei capace anche solo a mani nude.
I miei complimenti. 
In ogni caso, io quel pc lo formatterei, .......a proposito, ma come è possibile che sia così infetto? |
|
| Top |
|
|
rebelia
Dio maturo
Registrato: 17/07/03 09:22
Messaggi: 7987
|
| Inviato: 23 Ago 2006 16:06 Oggetto: Re: vermi - cloni - virus e spyware |
|
|
| BalzanoM ha scritto: | Ciao Rebelia,
peccato che il mio software non ti sia stato d'aiuto, ma da quello che leggo i software antivirus e le utility sono solo dei piccoli arnesi, ......da vera guerriera sei capace anche solo a mani nude.
I miei complimenti.
In ogni caso, io quel pc lo formatterei, .......a proposito, ma come è possibile che sia così infetto? |
mi ha comunque fatto piacere provarlo e secondo me ho avuto problemi per via di quel maledetto file "incastrato", infatti mi sono ripromessa di provarlo nuovamente a computer "sbloccato"
in realta' senza i vari tools non avrei fatto nulla, credo che il trucco stia nell'usare quanti piu' programmini possibile, quindi ben venga anche il tuo
no, niente formattazione se posso:
a) perche' non mi spiace imparare
b) perche' il proprietario ha salvato roba sua dappertutto (  )
c) perche' non ha il cd del so 
ad ogni modo credo davvero di essere se non altro a buon punto
per il come, credo che buona parte della colpa sia da attribuirsi a protezioni non gestite correttamente/non aggiornate regolarmente |
|
| Top |
|
|
BalzanoM
Mortale devoto
Registrato: 16/08/06 02:32
Messaggi: 7
Residenza: http:\\michelebalzano.iitalia.com
|
| Inviato: 24 Ago 2006 16:08 Oggetto: Re: vermi - cloni - virus e spyware |
 |
|
| rebelia ha scritto: | mi ha comunque fatto piacere provarlo e secondo me ho avuto problemi per via di quel maledetto file "incastrato", infatti mi sono ripromessa di provarlo nuovamente a computer "sbloccato"
in realta' senza i vari tools non avrei fatto nulla, credo che il trucco stia nell'usare quanti piu' programmini possibile, quindi ben venga anche il tuo
no, niente formattazione se posso:
a) perche' non mi spiace imparare
b) perche' il proprietario ha salvato roba sua dappertutto ( )
c) perche' non ha il cd del so
ad ogni modo credo davvero di essere se non altro a buon punto
per il come, credo che buona parte della colpa sia da attribuirsi a protezioni non gestite correttamente/non aggiornate regolarmente |
Purtroppo per me, ho i minuti contati per gli interventi sui pc dei miei utenti e quindi, formatto e reinstallo il sistema operativo appena mi ritrovo a confrontarmi con persistenze virali.
Questo però mi stimola a cercare soluzioni software per debellare tali persistenze.
In ogni caso tienici aggiornati |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
