Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
Risposte:
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:31
Dunque, dovresti aprire il task manager poi vai sù processi, individui
msdirectx.sys, lo selezioni e poi clicchi sù termina processo. E poi dovresti provare ad eliminarlo
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:32
da dove apro task manager? grazie
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:34
Alt+ CTRL+CANC
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:36
Si apre un attimo e sparisce subito la finestra
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:42
Che devo fare per aprirlo? Non riesco a tenere la finestra aperta .....sparisce subito.
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 22:43
Ciao avvia il pc in modalita provvisoria e lo elimini oppure ti scarichi kill box
scaricati KillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip - http://www.bleepingcomputer.com/files/spyware/KillBox.zip
estrai l'eseguibile sul desktop
Apri KillBox
inserisci all'interno della riga bianca questo percorso
C:\Documents and Settings\ms.directx.sys
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso e vedi se è scomparso(riavvia il pc)ciao ciao
PS:Il file molto probabilmente è questo msdirectx.sys e non questo ms
.directx.sys un puntino cambia molto in un file
-------------
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:50
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:00
lucas scusa io ho scaricato kill box hofatto come hai detto ma non si elimina. Mi dice sempre che è un file di sistema .... accesso negato etc etc.
Tra l'altro adesso non so neppure dove si è messo il programma che ho scaricato cliccando sul tuo link. Uff!!!
Facciamo le cose con calma e piano piano ok? Sono un neofita lo sai.
Dunque per prima cosa mi puoi dire dove si è messo sto benedetto kill box ...almeno ci riprovo! Grazie
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:13
Allora ho trovato dove si era messo. L'ho eliminato e l'ho scaricato di nuovo. Questa volta l'ho salvato e me lo sono messo nella cartella documenti
L'ho riaperto ho fatto esattamente come mi hai detto ma dopo che clicco sulla croce bianca su sfondo rosso mi si apre questa finestra con questo messaggio.
Pending file rename operations
Pending file rename operations registry date has been removed by external process!
Ho cliccato su Ok. Ho riavviato il pc , ma quel benedetto file è sempre lì.
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:16
E comunque la finestra di task maneger non mi rimane aperta. Si apre un attimo e sparisce subito. Questo lo dico per pensiero blu 72
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:18
Aspettiamo lucas, vediamo come risolvere il tutto
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:22
ASPETTIAMO!
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:24
Ho cercato con google e sul sito della symantec mi dà questo
http://securityresponse.symantec.com/avcenter/fxmytbar.exe - tool di rimozione, comunque io aspetterei lucas. Lui è un grande
-------------
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:26
E IO ASPETTO
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:27
Il link non và
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 23:34
Scusare ero altrove
la scritta dice che il file è stato già rimosso da un processo esterno
oppure rinominato e poi eliminato!!provalo a cercare con la funzione
cerca(ricorda di visualizzare i file e le cartelle nascoste)ciao
ciao
PS:A me il link di pensieroblu funziona
-------------
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:42
Scusa lucas, ma nel frattempo che ti aspettavo ho fatto una scansione con Norton Internet security della cartella Documents and Setting.
Dop la scansione Norton mi dice:
il file C:\ Documents and setting\Amministratore\msdirectx.sys è infettato dal virus Hacktool Rootkit
Riparazione non possibile
L'ho comunque messo in quarantena
Ma mi viene spontaneo chiedere una cosa: la cartella msdirectx dove c' il virus non è che eliminandola faccio danno?
Cioè mi spiego meglio. Questa mi pare di capire che sia una cartella di sistema con delle cose dentro che servono al pc (azzardo!!) e che dentro ci si sia infilato il virus. Ma se io elimino tutto la cartella, semmai ci riuscissi, non rischio di eliminare altre cose?
Però vedo anche che andando sulle proprietà di questa cartella vedo data della creazione 14 Agosto
A parte che io la vedo sempre al suo posto. Non ho ancora provato comunque ad andare su "cerca" ...adesso ci vado, ma il dubbio di cui sopra mi rimane sempre!
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:47
Ho fatto anche cerca. (ho messo la spunta su file e cartelle nascoste)
Non ha trovato ne msdirectx nè msdirectx.sys
Ma la cartella però è sempre lì io la vedo e se clicco con il destro e dico elimina non si elimina
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 23:52
non credo leggi
Click on Start,
(clicca su start)
Click on Search,
(clicca su cerca)
Click on 'All files and folders', (clicca su file e cartelle)
In the 'All or part of the file name:' textbox, enter the following files separately and click on Search:(metti i file che ti metto sotto separatamente nel box di ricerca e clicca su cerca )
mouse.exe
msdirectx.sys
Right click on any entries that are found and from the menu that appears, click on Delete.
(fate click con il tasto destro sulla voce che trovate e seleziona elimina)
-------------
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:01
Ricerca completata. non è stata individuata alcuna voce. Per ambedue i file.
E' veroooo non c'è più
E allora adesso approfitto
Sempre in documents and settings- Amministratore c'è una cartella che si chiama :ntuser . E' un file dat di 2,90 Mb
Che può essere?
Dio come sono ignorante!!
Grazie lucas
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 00:15
Vuoi sapere se è infetto e che ce vo basta poco
vai su questi 2 siti
http://www.virustotal.com/flash/index_en.html - Virus Total
e
http://virusscan.jotti.org/ - Jotti Malware scan
lo fai analizzare e vedi cosa ti da!! ciao ciao
PS:Secondo me non è infetto e solo la cartella user provalo ad aprire
vedi che ti dice
che è usato da un altro processo ciao ciao
-------------
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:16
Non posso approfittarne eh?
Vabbè comunque ti ringrazio di avermi risolto il problema del virus.
Postato da: dinop
Postato in data: 17/Agosto/2005 alle 00:24
ntuser.dat è un file di sistema, ce n'è uno per utente definito e contiene le personalizzazioni di sistema a livello utente (desktop, colori, sfondi, mouse, ...)
-------------
dinop - old softman - http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe - HiJackThis
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:27
Dunque con virus total mi dice che il file non deve superare i 2Mbyte. Il mio è 2,90.
E con Jotti mi dice:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.
Se poi cerco di aprirlo mi dice che sto tentando di aprire un file di tipo dat etc etc....che è utilizzato dal sistema operativo e che potrei creare danni etc. etc. Uffa, eppure sarei curioso di sapere che diavolo è.
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:30
Grazie dinop
Allora lo lascio lì. Ma c'è una domanda che però mi sorge spontanea.
Perchè se vado in proprietà mi dice che la data di creazione è il 5 agosto?
Grazie
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 00:44
Si, adesso il link funziona anche a me.
Ma il tool era esatto,Lucas?
Giusto per sapere sè ero sulla buona strada
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 00:54
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 00:58
Ok
Postato da: dinop
Postato in data: 17/Agosto/2005 alle 00:59
Postato originariamente da lumiGrazie dinop
Allora lo lascio lì. Ma c'è una domanda che però mi sorge spontanea.
Perchè se vado in proprietà mi dice che la data di creazione è il 5 agosto?
Grazie
il file viene aggiornato ogni volta che cambi qualcosa negli elementi che si possono personalizzare a livello di utente...
-------------
dinop - old softman -
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe - HiJackThis
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 01:05
Postato originariamente da pensieroblu72Si, adesso il link funziona anche a me.
Ma il tool era esatto,Lucas?
Giusto per sapere sè ero sulla buona strada
Penso che non centri quasi niente ma non vuol dire niente quello che
dicono loro(aziende antivirus)tutti i file possono venire infetti!!!!
ciao ciao
-------------
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 01:07
OK,
Postato da: lumi
Postato in data: 18/Agosto/2005 alle 21:39
Mi dispiace ma non ha funzionato
Task manager non si riabilita
Si apre per un attimo appena clicco ctrl alt canc
Ma solo per un attimo, anche dopo aver aperto il tuo programma!
Dai lo so che se ci pensate un attimo alla fine mi dite come fare
Postato da: Yusuke
Postato in data: 18/Agosto/2005 alle 21:44
ma cliccando col destro sulla barra delle applicazioni e su TASK MANAGER si avvia?
-------------
La notte è più bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la città riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...
Postato da: lumi
Postato in data: 18/Agosto/2005 alle 22:02
E qui viene il bello appena ci vado con la freccetta sopra sulla barra delle applicazioni l'iconetta sparisce subito
Postato da: Cyobin
Postato in data: 01/Ottobre/2006 alle 11:45
Ciao Kasia dovresti postare un nuovo messaggio se per te la soluzione al problema del rootkit non ha avuto successo descrivendo quali sono i file infetti nel tuo caso ecc.
Ciao ciao
-------------
Le piccole cose, le piccole attenzioni, sono come fiori che germogliano nell'ombra. (E.E.Dickinson)