| Precedente :: Successivo |
| Autore |
Messaggio |
chandra
Mortale devoto
Registrato: 31/08/06 23:38
Messaggi: 6
|
 Inviato: 31 Ago 2006 23:51 Oggetto: |
 |
|
| amvinfe ha scritto: |
Il problema è che al momento non v'è nessun antivirus in grado di rimuovere tutti i valori che il trojan installa; ne esistino principalmente due varianti, una che installa in C:\Windows\Temp il file ****1.exe dove * è = a 4 lettere random, ed una che installa in C:\Windows il file *****1.dll dove * è = a 5 lettere random questi sono i primi due sintomi per capire se si è infetti dal trojan.
Altro utile controllo è quello di verificare se è stato creato uno o più Account utente, per verificarlo da
Start>Esegui
scrivere
control userpasswords2
e dare l'OK. Dobbiamo trovare oltre ad Admininistrator, l'account ASPNET ed eventualmente il nostro, un Account utente che ha una serire di lettere maiuscole/minuscole dal nome impronunciabile è segno dai dinfezione.
Ulteriore verifica può essere quella di sincerarsi che in
C:\Programmi\File comuni\System
non vi siano dei file (uno o più) dove il nome dello stesso è scritto con caratteri di colore verde. |
Ciao a tutti...
domande veloci per capire di cosa soffre il mio pc
mi capita che avast mi avvisi riguardo a files infetti (gavt1 gavt3...) da win32agen...
da quanto leggo qui suppongo di avere questo problema.
Ora, seguendo le indicazioni mi son ritrovato in C:\Programmi\File comuni\System un sFs.exe verde che non riesco in nessun modo a cancellare, scansionare o che.
Mi ritrovo un account Tzp tra gli administrator che non so cosa sia
e tramite hijackthis ho già ripulito tutto. Ho fatto anche piena scansione all'avvio con avast e ho provato a usare dopo il tool indicato da voi (mi dà indicazioni di problema sul file zip ma tira comunque fuori un file AGVPFIX.exe che però mi sembra non faccia nulla).
che dite tolgo l'account Tzp? e il file come faccio a cancellarlo?
ciao e grazie |
|
| Top |
|
 |
chandra
Mortale devoto
Registrato: 31/08/06 23:38
Messaggi: 6
|
| Inviato: 01 Set 2006 00:00 Oggetto: |
|
|
Scusate
un aggiornamento
in pannello di controllo installazione applicazioni ho il famoso linkoptimizer
inoltre controllando i servizi l'unico strano è un UpdDlf avvio automatico connessione a .\Tzp con descrizione Mantiene un elenco aggiornato dei computer in rete e lo fornisce ai computer designati come browser. Se il servizio è stato arrestato, l'elenco non verrà aggiornato o mantenuto. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati. |
|
| Top |
|
|
chandra
Mortale devoto
Registrato: 31/08/06 23:38
Messaggi: 6
|
| Inviato: 01 Set 2006 01:50 Oggetto: |
|
|
Allora aggiornamento e me ne vado a nanna
Il servizio non me lo fa disattivare, mi dice accesso negato.
Il rootkit non ha trovato nulla e hijack mi ha fatto cancellare un paio di dll
l'utente strano non ha una sua cartella, è solo definito come administrator
e io non so più che fare 
notte a tutti
|
|
| Top |
|
|
radfansa
Mortale pio
Registrato: 31/08/06 12:10
Messaggi: 15
|
| Inviato: 01 Set 2006 08:59 Oggetto: |
|
|
| chandra ha scritto: | Allora aggiornamento e me ne vado a nanna
Il servizio non me lo fa disattivare, mi dice accesso negato.
Il rootkit non ha trovato nulla e hijack mi ha fatto cancellare un paio di dll
l'utente strano non ha una sua cartella, è solo definito come administrator
e io non so più che fare
notte a tutti
|
hi chandra .... ma hai letto tutto il topic dalla pagina 1 ??? ci sono molte risposte alle tue domande, e comunque il problema non è ancora risolto definitavente da nessuno ... |
|
| Top |
|
|
Gateo
Dio maturo
Registrato: 17/11/03 19:16
Messaggi: 12379
|
| Inviato: 01 Set 2006 09:34 Oggetto: |
|
|
Ma qualcuno l'ha provato il tool di rimozione di cui sopra?
Tanto per sapere se funziona, non e' che posso prendermi apposta il linkoptimizer per verificarlo... |
|
| Top |
|
|
chandra
Mortale devoto
Registrato: 31/08/06 23:38
Messaggi: 6
|
| Inviato: 01 Set 2006 11:22 Oggetto: |
|
|
HI Gateo
Si, come ti ho detto ho provato il tool.
Forse dovresti controllare il file zip in quanto, nell'estrarre il tool dal file ho avuto mesaggio di un problema con il tuo file; a ogni modo ho estratto il tool e l'ho fatto girare... a me sembra non faccia nulla, ma non so cosa dovrebbe fare, che effetto dovrebbe avere?
Si il topic l'ho letto, e infatti ho portato avanti i vari passi, il problema è che, là dove dici di disattivare il servizio e come trovarlo la parte relativa al trovarlo è ok, ma disattivarlo non se ne parla proprio, non ho accesso.
Questa sera proverò a cancellare l'utente sospetto, ammesso che me lo faccia fare.
Al file idem, niente accesso... |
|
| Top |
|
|
chandra
Mortale devoto
Registrato: 31/08/06 23:38
Messaggi: 6
|
| Inviato: 02 Set 2006 02:46 Oggetto: |
|
|
Situazione aggiornata
Rimosso tutto il rimovibile utente, file, dll, chiavi di registro...
E' però rimasto il servizio UpdDlf (avvio automatico connessione a .\Tzp) che continua a non darmi accesso.
Questo non riesco proprio a toglierlo.
 |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 06 Set 2006 12:57 Oggetto: |
 |
|
Ciao, scusa se ti faccio una domanda che magari ti avranno già fatto, ma ho finito le vacanze adesso e ho un sacco di post arretrati dal leggere
1) Già provato da DOS con i comandi SC? ( sc stop UpdDlf e poi sc delete UpdDlf )
2) Cerca con Regsrch la stringa UpdDlf e posta qui il contenuto della finestra di Wordpad che si aprirà |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
