aiuto con avast
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Aprile/2024 alle 15:15
Topic: aiuto con avast Postato da: ilchiuri
Soggetto: aiuto con avast
Postato in data: 14/Luglio/2006 alle 14:50
Ciao e benvenuto nel forum!!!
Ti posso dire che avast (come ogni altro antivirus)rileva il trojan nonappena lo vede, grazie a una scansione o al test della memoria...purtroppo non può impedirne l'entrata perchè per questo ci vuole un firewall...(ne trovi di gratuiti su internet, se vuoi maggiori informaioni vai nella seione cerca del forum e scrivi "firewall free")cmq se l'ha individuato e cancellato puoi stare tranquillo...il problema sorge quando non lo vede...
-------------
<a href="https://www.uomodicasa.it/" target="_blank">Vieni a visitare il mio sito web</a> <br /> <br />
Ti posso dire che avast (come ogni altro antivirus)rileva il trojan nonappena lo vede, grazie a una scansione o al test della memoria...purtroppo non può impedirne l'entrata perchè per questo ci vuole un firewall...(ne trovi di gratuiti su internet, se vuoi maggiori informaioni vai nella seione cerca del forum e scrivi "firewall free")cmq se l'ha individuato e cancellato puoi stare tranquillo...il problema sorge quando non lo vede...
-------------
<a href="https://www.uomodicasa.it/" target="_blank">Vieni a visitare il mio sito web</a> <br /> <br />
Risposte:
Postato da: Shevchenko
Postato in data: 14/Luglio/2006 alle 15:33
Ti segnalo un buon firewall che sarebbe Zone Alarm,ed è gratuito,invece se vuoi stare su uno a pagamento ti consiglio Norton Internet Security 2006,che io tuttora uso..
-------------
Postato da: prisca85
Postato in data: 14/Luglio/2006 alle 20:22
ciao undead
piu' che coincidenza e' che avast quando fa il test della memoria controlla vari processi che sono attivi all'avvio e quindi se hai preso qualche virus che magari e' sfuggito al firewall allora probabilmente se ne e' accorto solo facendo quella scansione. pero' tutto dipende, magari il virus c'era da poco...o era entrato in quel momento, oppure e' un falso allarme di avast. per quello comunque e' sempre consigliato per chi naviga per molto tempo al giorno con internet di fare scansioni spesso e con vari programmi antispyware e antivirus.
la prossima volta segnati anche il percorso del virus trovato e se non sei sicuro possiamo darti una mano ad eliminarlo.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
piu' che coincidenza e' che avast quando fa il test della memoria controlla vari processi che sono attivi all'avvio e quindi se hai preso qualche virus che magari e' sfuggito al firewall allora probabilmente se ne e' accorto solo facendo quella scansione. pero' tutto dipende, magari il virus c'era da poco...o era entrato in quel momento, oppure e' un falso allarme di avast. per quello comunque e' sempre consigliato per chi naviga per molto tempo al giorno con internet di fare scansioni spesso e con vari programmi antispyware e antivirus.
la prossima volta segnati anche il percorso del virus trovato e se non sei sicuro possiamo darti una mano ad eliminarlo.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: prisca85
Postato in data: 15/Luglio/2006 alle 12:44
....il problema e' che dipende dal trojan
se vuoi stare piu' tranquillo e controllare che il tuo sistema non sia piu' infetto prova a fare una scansione online con panda o con trend micro (trovi i link nella home page di questo sito-terza colonna) e posta poi il risultato se dovessero trovare qualcosina.
se poi sei preoccupato per i danni subiti al tuo computer ad opera del trojan, di solito una buona parte di virus e spyware cessa di creare problemi al momento che vengono eliminati dal sistema...pero' dipende sempre dal tipo di virus.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
se vuoi stare piu' tranquillo e controllare che il tuo sistema non sia piu' infetto prova a fare una scansione online con panda o con trend micro (trovi i link nella home page di questo sito-terza colonna) e posta poi il risultato se dovessero trovare qualcosina. se poi sei preoccupato per i danni subiti al tuo computer ad opera del trojan, di solito una buona parte di virus e spyware cessa di creare problemi al momento che vengono eliminati dal sistema...pero' dipende sempre dal tipo di virus.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: RAVEN
Postato in data: 15/Luglio/2006 alle 13:03
un trojan puo permettere molte cose...dipende da come è stato programmato
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: prisca85
Postato in data: 15/Luglio/2006 alle 18:51
un tempo richiesto non c'e'....pensa ci sono dei virus che una volta che entrano in un pc possono comandarlo da remoto e quindi prelevare tutti i files che vogliono, ecc..ecc... anche se spesso non capitano ad utenti "normali". se ti ricordi il nome esatto del virus possiamo vedere di che tipo era. cmq se hai un buon firewall sempre attivo, e gli altri programmi antispyware che troverai su varie discussioni o usando il tasto cerca del forum puoi ritenerti abbastanza sicuro ci sono anche programmi che regolano il registro e ti avvisano se qualche chiave viene cambiata, o cose simili...
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
ci sono anche programmi che regolano il registro e ti avvisano se qualche chiave viene cambiata, o cose simili...
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: Shevchenko
Postato in data: 15/Luglio/2006 alle 19:37
Prova ad andare nel registro delle attività dell'ativirus,lì ci dovrebbe essere scritto il nome del trojan..
-------------
-------------
Postato da: prisca85
Postato in data: 18/Luglio/2006 alle 16:46
ho trovato queste informazioni:
Win32:Zlob e' un trojan che cambia alcuni settaggi di Internet Explorer, scarica ed esegue dei files dannosi, e ridireziona alcuni indirizzi digitati ad una particolare pagina. Maggiori informazioni http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40873 - QUI
Win32:Agent-gen e' un trojan backdoor che quindi oltre ad essere scaricato in alcuni siti nocivi, ha la possibilita' di essere utilizzato da hackers per prelevare files dalla macchina infetta. Maggiori informazioni http://it-comp-sicurezza-virus.tecnologia.newsgroup.alice.it/win-agent-gen-trj-qualcuno-mi-risponde/message.jspa?messageid=4611686018450643761&PMK=srcng - QUI
per gli altri aspetta un pochino e te li metto stasera, a me no che qualcuno fa prima di me per adesso cmq il secondo e' quello piu' pericoloso, ma se e' stato beccato in tempo non dovresti aver avuto problemi.....se vuoi cmq star tranquillo che non ci sia piu' nulla prova a postare il log di hijack.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Win32:Zlob e' un trojan che cambia alcuni settaggi di Internet Explorer, scarica ed esegue dei files dannosi, e ridireziona alcuni indirizzi digitati ad una particolare pagina. Maggiori informazioni http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40873 - QUI
Win32:Agent-gen e' un trojan backdoor che quindi oltre ad essere scaricato in alcuni siti nocivi, ha la possibilita' di essere utilizzato da hackers per prelevare files dalla macchina infetta. Maggiori informazioni http://it-comp-sicurezza-virus.tecnologia.newsgroup.alice.it/win-agent-gen-trj-qualcuno-mi-risponde/message.jspa?messageid=4611686018450643761&PMK=srcng - QUI
per gli altri aspetta un pochino e te li metto stasera, a me no che qualcuno fa prima di me
per adesso cmq il secondo e' quello piu' pericoloso, ma se e' stato beccato in tempo non dovresti aver avuto problemi.....se vuoi cmq star tranquillo che non ci sia piu' nulla prova a postare il log di hijack. -------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: lucas
Postato in data: 18/Luglio/2006 alle 17:29
Questi invece sono dei malware che utilizzano il java o sono stati programmati in java,di solito si mettono nella cache java,che puoi svuotare dal pannello di controllo,cliccando sulla tazzina java e cliccando su "Elimina file"
JS:OpenConnection
JS:Classloader-6
-------------
JS:OpenConnection
JS:Classloader-6
Il primo è una vulnerabilità di windows,corretta recentemente,la vulnerabilità riguarda il formato wmf,alcuni trojan la sfruttano,quindi devi aggiornare windows se non l'hai fatto,il secondo invece ti avvisa che uno script(vbs,js) è stato bloccato,alcuni script sono dannosi e quindi l'antivirus lo blocca
MS06-001 WMF Exploit
VBS:Malware [script]
-------------
Postato da: prisca85
Postato in data: 19/Luglio/2006 alle 15:03
ciao undead
se non viene piu' rilevato allora non c'e' piu', e quindi puoi star tranquillo. quello che l'antivirus fa se non riesce a cancellarli, e' metterli in quarantena o nel cestino e quindi li rende inoffensivi, per la rimozione completa puoi provare a fare quella manuale ma e' una cosa lunga e delicata...cmq con tutte quelle volte che e' stato segnalato nel log di avast sono sicura che l'antivirus lo ha bloccato in tempo, anche se i trojan non hanno bisogno di un tempo determinato per poter essere attivi, una volta che infettano una macchina, e' come un programma che si esegue... tutto dipende dal programma scritto.
se vuoi star tranquillo ti consiglio di fare una scansione online con panda o trendmicro(trovi i link alla homepage del sito), cosi puoi vedere se sei completamente pulito
** ho appena visto l'altro tuo post...mi sa che allora ti conviene la rimozione manuale e posta anche un log di hijack**
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
se non viene piu' rilevato allora non c'e' piu', e quindi puoi star tranquillo. quello che l'antivirus fa se non riesce a cancellarli, e' metterli in quarantena o nel cestino e quindi li rende inoffensivi, per la rimozione completa puoi provare a fare quella manuale ma e' una cosa lunga e delicata...cmq con tutte quelle volte che e' stato segnalato nel log di avast sono sicura che l'antivirus lo ha bloccato in tempo, anche se i trojan non hanno bisogno di un tempo determinato per poter essere attivi, una volta che infettano una macchina, e' come un programma che si esegue... tutto dipende dal programma scritto.
se vuoi star tranquillo ti consiglio di fare una scansione online con panda o trendmicro(trovi i link alla homepage del sito), cosi puoi vedere se sei completamente pulito
** ho appena visto l'altro tuo post...mi sa che allora ti conviene la rimozione manuale e posta anche un log di hijack**
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: prisca85
Postato in data: 19/Luglio/2006 alle 15:08
segui questa discussione...si parla anche li di LinkOptimizer
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=6899&PN=2&TPN=3 - http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=6899&PN=2&TPN=3
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=6899&PN=2&TPN=3 - http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=6899&PN=2&TPN=3
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: prisca85
Postato in data: 19/Luglio/2006 alle 20:01
ciao undead purtroppo non sono io l'esperta nel settore virus e company ma credo tu ti sia infettato con quello stesso malware di cui si parla in quella discussione che ti ho messo prima, cioe' del Linkoptimizer ( http://www.suspectfile.com/forum/viewtopic.php?t=156 - QUI cmq trovi la guida per rimuoverlo manualmente)
quindi dovresti scaricare hijackthis da http://thespykiller.co.uk/files/HJTsetup.exe - qui , una volta lanciato clicca sul primo bottone "do a system scan and save a log file". dopo pochi secondi si dovrebbe aprire una finistra del blocco note con una serie di scritte. copia il contenuto qui che ci diamo un occhiata, e vediamo cosa c'e' attivo.
il bello che il percorso interessato è sempre H_KEY_LOCAL_MACHINE_.....
non e' che potresti dirci tutto il percorso, dopo il H_KEY_LOCAL_MACHINE....?tutto quello segnalato da spybot si riferisce a quel percorso?
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
purtroppo non sono io l'esperta nel settore virus e company ma credo tu ti sia infettato con quello stesso malware di cui si parla in quella discussione che ti ho messo prima, cioe' del Linkoptimizer ( http://www.suspectfile.com/forum/viewtopic.php?t=156 - QUI cmq trovi la guida per rimuoverlo manualmente)quindi dovresti scaricare hijackthis da http://thespykiller.co.uk/files/HJTsetup.exe - qui , una volta lanciato clicca sul primo bottone "do a system scan and save a log file". dopo pochi secondi si dovrebbe aprire una finistra del blocco note con una serie di scritte. copia il contenuto qui che ci diamo un occhiata, e vediamo cosa c'e' attivo.
Segue del testo riportato...
il bello che il percorso interessato è sempre H_KEY_LOCAL_MACHINE_.....
Fine testo riportato...
non e' che potresti dirci tutto il percorso, dopo il H_KEY_LOCAL_MACHINE....?tutto quello segnalato da spybot si riferisce a quel percorso?
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: lucas
Postato in data: 20/Luglio/2006 alle 18:18
Ciao
Apri Hijackthis,clicca sul pulsante "Do a system scan only"
Metti le spunte affianco alla caselle che corrispondono alle stringhe che ti metto sotto
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {44AC6ED0-A495-5FBE-4B47-6239AB9D41A7} - C:\WINDOWS\pwyig1.dll (file missing)
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
Clicca sul pulsante "Fix Checked" per eliminarle
Riavvia il pc
Al riavvio collegati ed effettua una scansione on-line su questo sito
http://www.pandasoftware.com/activescan/it/activescan_principal.htm - http://www.pandasoftware.com/activescan/it/activescan_princi pal.htm
Salva il rapporto di fine scansione e postalo nel tua risposta
Ciao
-------------
Apri Hijackthis,clicca sul pulsante "Do a system scan only"
Metti le spunte affianco alla caselle che corrispondono alle stringhe che ti metto sotto
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {44AC6ED0-A495-5FBE-4B47-6239AB9D41A7} - C:\WINDOWS\pwyig1.dll (file missing)
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
Clicca sul pulsante "Fix Checked" per eliminarle
Riavvia il pc
Al riavvio collegati ed effettua una scansione on-line su questo sito
http://www.pandasoftware.com/activescan/it/activescan_principal.htm - http://www.pandasoftware.com/activescan/it/activescan_princi pal.htm
Salva il rapporto di fine scansione e postalo nel tua risposta
Ciao
-------------
Postato da: lucas
Postato in data: 22/Luglio/2006 alle 14:58
Ciao,allora procedi in questo modo,scarica questi 2 software sul desktop
(i programmi sono completamenti free e non richiedono installazione)
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 - - Smitfraudfix
Avvia il file Smitrem.exe,sul desktop si creerà la cartella Smitrem
Decomprimi il file Smitfraudfix e si creerà la cartella Smitfraudfix
Avvia il pc in modalità provvisoria
Disattiva Avast
Apri la cartella Smitrem ed esegui il file Runthis.bat
Premi un tasto per continuare quando ti viene richiesto
Finito, riavvia nuovamente il pc in provvisoria
Apri la cartella Smitfraudfix ed esegui il file Smitfraudfix.cmd
Digita 2 e dai L'invio
Alla domanda Do you want to clean the registry ?
Premi il tasto Y e dai l'invio
Alla domanda Replace infected file ?
Premi il tasto Y e dai l'invio
Finito riavvia normalmente
Per piacere postami il contenuto di questi 2 files
C:\Rapport.txt
C:\Smitfiles.txt
Ciao
-------------
(i programmi sono completamenti free e non richiedono installazione)
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 - - Smitfraudfix
Avvia il file Smitrem.exe,sul desktop si creerà la cartella Smitrem
Decomprimi il file Smitfraudfix e si creerà la cartella Smitfraudfix
Avvia il pc in modalità provvisoria
Disattiva Avast
Apri la cartella Smitrem ed esegui il file Runthis.bat
Premi un tasto per continuare quando ti viene richiesto
Finito, riavvia nuovamente il pc in provvisoria
Apri la cartella Smitfraudfix ed esegui il file Smitfraudfix.cmd
Digita 2 e dai L'invio
Alla domanda Do you want to clean the registry ?
Premi il tasto Y e dai l'invio
Alla domanda Replace infected file ?
Premi il tasto Y e dai l'invio
Finito riavvia normalmente
Per piacere postami il contenuto di questi 2 files
C:\Rapport.txt
C:\Smitfiles.txt
Ciao
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 15:01
Non sono un mago non posso sapere tutto,da quello che mi dici sei infetto da una variante del trojan agent molto difficile da eliminare,noi ci proviamo
Una domanda hai windows xp professional o home edition?
Scarica questo file http://www.merijn.org/files/adsspy.zip - http://www.merijn.org/files/adsspy.zip
Decomprimi l'archivo,avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione,a fine scansione se trova qualcosa,selezionane uno,tasto destro e selezioni "Select All" e poi "Save scan result" salva il risultato e postalo
Ciao
-------------
Una domanda hai windows xp professional o home edition?
Scarica questo file http://www.merijn.org/files/adsspy.zip - http://www.merijn.org/files/adsspy.zip
Decomprimi l'archivo,avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione,a fine scansione se trova qualcosa,selezionane uno,tasto destro e selezioni "Select All" e poi "Save scan result" salva il risultato e postalo
Ciao
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 18:07
Riavvia il programma,leva tutte le spunte presenti e mettila
solo nella casella "Scan only this folder",clicca sul pulsantino e
seleziona il disco rigido da scansionare,clicca su "Scan the system ecc
" per far partire la scansione,finita la scansione
basta che selezioni la riga(metti la spunta affianco alla casella)
C:\WINDOWS\system32 : hgaa.dll (8192 bytes)
e clicchi su "Remove selected streams"
Mi dici il percorso completo dei files ZPP e fWES?
Mi dici che versioni usi di xp?
Ciao
-------------
basta che selezioni la riga(metti la spunta affianco alla casella)
C:\WINDOWS\system32 : hgaa.dll (8192 bytes)
e clicchi su "Remove selected streams"
Mi dici il percorso completo dei files ZPP e fWES?
Mi dici che versioni usi di xp?
Ciao
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:13
ok siamo a cavallo
start>impostazioni>pannello di controllo>opzioni cartella
spunta l'opzione Utilizza Condivisione file semplice e conferma con Applica>Ok
Seleziona uno alla volta quei files
scegli proprietà.
Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Quindi imposta al tuo account il controllo completo,conferma e vedi se li elimina ciao
-------------
start>impostazioni>pannello di controllo>opzioni cartella
spunta l'opzione Utilizza Condivisione file semplice e conferma con Applica>Ok
Seleziona uno alla volta quei files
scegli proprietà.
Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Quindi imposta al tuo account il controllo completo,conferma e vedi se li elimina ciao
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:14
si,ma si sono eliminati i files?ciao
-------------
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:22
sicuro di avere il professional?
comunque in opzioni cartelle devi andare nel tag "Avanzate" e deselezionare quell'opzione ciao
PS:devi toglierla la spunta da quella casella,scusa mi sono sbagliato a scrivere
-------------
comunque in opzioni cartelle devi andare nel tag "Avanzate" e deselezionare quell'opzione ciao
PS:devi toglierla la spunta da quella casella,scusa mi sono sbagliato a scrivere
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:24
La devi togliere
-------------
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:32
si sono eliminati?
-------------
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:39
Non demordere,adesso vedi quei files giusto,ne selezioni uno alla volta e scegli propietà,adesso compare un tag "Protezione" da li spunta la casella "controllo completo o full control" CONSENTI
questo lo devi fare per il tuo account,per esempio il mio è gianluca quindi la spunto cosi
http://imageshack.us">
-------------
questo lo devi fare per il tuo account,per esempio il mio è gianluca quindi la spunto cosi
http://imageshack.us">
-------------
Postato da: lucas
Postato in data: 24/Luglio/2006 alle 21:49
ca**o bel problema,purtroppo adesso devo anche andare,prova a farlo dalla modalità provvisoria inoltre prova ad eseguire questa operazione
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.
Ciao
-------------
Segue del testo riportato...
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.
Fine testo riportato...
Ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 15:08
Te l'avevo detto che dovevo andare
Scarica questo programma
http://www.gmer.net/gmer110.zip - http://www.gmer.net/gmer110.zip
decomprimilo,avvialo,vai sul Tab Rootkit,clicca su Scan
Il risultato della scansione lo puoi salvare premendo Copy
Salvalo e postalo nella tua risposta
Ciao
-------------
Scarica questo programma
http://www.gmer.net/gmer110.zip - http://www.gmer.net/gmer110.zip
decomprimilo,avvialo,vai sul Tab Rootkit,clicca su Scan
Il risultato della scansione lo puoi salvare premendo Copy
Salvalo e postalo nella tua risposta
Ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 15:13
Comunque se non disattivi avast è inutile continuare,dato che interferisce nelle operazioni,si so cosa sta succedendo,come rimediare lo vediamo + avanti
-------------
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 15:58
porca zozza
dai proviamo con un altro programma
scarica questo programma sul desktop
http://download.sysinternals.com/Files/RootkitRevealer.zip - http://download.sysinternals.com/Files/RootkitRevealer.zip
Decomprimilo,avvialo,clicca sul pulsante "Scan"
Attendi la fine della scansione e salva il log(file>save...)
ciao
-------------
dai proviamo con un altro programma
scarica questo programma sul desktop
http://download.sysinternals.com/Files/RootkitRevealer.zip - http://download.sysinternals.com/Files/RootkitRevealer.zip
Decomprimilo,avvialo,clicca sul pulsante "Scan"
Attendi la fine della scansione e salva il log(file>save...)
ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 16:13
Fammi un piacere da start>esegui digita control userpasswords2
clicca su ok
Mi dici quanti account sono presenti e come si chiamano?grazie
-------------
clicca su ok
Mi dici quanti account sono presenti e come si chiamano?grazie
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 16:28
Ok,
Scarica questo programma sul desktop e decomprimilo
http://swandog46.geekstogo.com/avenger.zip - http://swandog46.geekstogo.com/avenger.zip
Avvia il programma,clicca su Input Script Manually
clicca sulla icona con la lente di ingrandimento
si aprirà una nuova finestra con scritto View/edit script
In quella finestra bianca copia e incolla le scritte in rosso
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\WINDOWS\pwyig1.dll
C:\WINDOWS\system32\lpt1.qnq
Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente
Al riavvio collegati e posta il contenuto del file C:\Avenger.txt
PS:Seleziona l'account FNU e clicca su rimuovi
-------------
Scarica questo programma sul desktop e decomprimilo
http://swandog46.geekstogo.com/avenger.zip - http://swandog46.geekstogo.com/avenger.zip
Avvia il programma,clicca su Input Script Manually
clicca sulla icona con la lente di ingrandimento
si aprirà una nuova finestra con scritto View/edit script
In quella finestra bianca copia e incolla le scritte in rosso
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\WINDOWS\pwyig1.dll
C:\WINDOWS\system32\lpt1.qnq
Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente
Al riavvio collegati e posta il contenuto del file C:\Avenger.txt
PS:Seleziona l'account FNU e clicca su rimuovi
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 16:39
Una volta finito tutto
Start>esegui> digita Regedit nella casella,clicca su OK
Ti si apre il registro di sistema
adesso portati nella chiave segnata in rosso,aiutati cliccando sui +
HKEY_LOCAL_MACHINE\ clicca su +
SYSTEM\ clicca su +
ControlSet001\ clicca su +
Services\ clicca su +
sptd
Seleziona la chiave in rosso,tasto destro del mouse e seleziona "Esporta",salva il file dove vuoi,adesso selezioni il file salvato con estensione .reg,clicca con il destro del mouse e seleziona "Apri con.." aprilo con il block notes e fai un copia e incolla del contenuto nella tua risposta
ciao
-------------
Start>esegui> digita Regedit nella casella,clicca su OK
Ti si apre il registro di sistema
adesso portati nella chiave segnata in rosso,aiutati cliccando sui +
HKEY_LOCAL_MACHINE\ clicca su +
SYSTEM\ clicca su +
ControlSet001\ clicca su +
Services\ clicca su +
sptd
Seleziona la chiave in rosso,tasto destro del mouse e seleziona "Esporta",salva il file dove vuoi,adesso selezioni il file salvato con estensione .reg,clicca con il destro del mouse e seleziona "Apri con.." aprilo con il block notes e fai un copia e incolla del contenuto nella tua risposta
ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 16:48
Adesso prova a vedere se riesci ad eliminare i files in verde,speriamo di si,ciao
-------------
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 16:51
No,da te non compare niente in rosso,ti ho messo in rosso la chiave dove dovevi arrivare
-------------
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:03
Ok quella chiave mi sembra leggittima
Riesci ad eliminarei i files in verde?avast segnala ancora qualcosa?
Per piacere,riprova ad usare gmer dalla modalità provvisoria ciao
-------------
Riesci ad eliminarei i files in verde?avast segnala ancora qualcosa?
Per piacere,riprova ad usare gmer dalla modalità provvisoria ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:10
come tagliate?potresti gentilmente fare degli screenshot?grazie
Per avviare in provvisoria
Start>riavvia
Dopo le prime scritte premi in continuazione il tasto F8,attendi pochi instanti e uscirà un menù,dal menù scegli "Avvia in modalità provvisoria"
Per piacere loggati come Administrator e non con il tuo account ed entra in windows,una volta dentro, prova ad eliminare quei files,magari ripeti questa operazione
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.
-------------
Per avviare in provvisoria
Start>riavvia
Dopo le prime scritte premi in continuazione il tasto F8,attendi pochi instanti e uscirà un menù,dal menù scegli "Avvia in modalità provvisoria"
Per piacere loggati come Administrator e non con il tuo account ed entra in windows,una volta dentro, prova ad eliminare quei files,magari ripeti questa operazione
Segue del testo riportato...
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.
Fine testo riportato...
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:28
OK,io sono qui ancora una 20 di minuti,poi devo andare
Felice che hai risolto vedi se avast ti da ancora avvisi,ciao
-------------
Felice che hai risolto vedi se avast ti da ancora avvisi,ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:43
no porca tr**a non le dovevi rimuovere vedi se puoi ripristinarle,quelle erano blu no verdi come si chiamano?ciao
-------------
vedi se puoi ripristinarle,quelle erano blu no verdi come si chiamano?ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:49
ok ripristinali
ciao
-------------
ciao
-------------
Postato da: lucas
Postato in data: 25/Luglio/2006 alle 17:55
ti riporto la scheda tecnica
-------------
Segue del testo riportato...
Dall'ultima settimana di maggio 2006 vengono segnalati con frequenza alcuni malware con caratteristiche di rootkit. E' possibile, quindi, che questi malware siano circolante già dal mese di aprile 2006. La loro peculiarità riguarda la capacità di rendersi invisibile nel computer infetto e questo rende la loro intercettazione e rimozione molto complessa.
Questi rootkit sono stati riscontrati in computer che erano già stati precedentemente infettati da altri malware, come il BHO.LinkOptimizer, Trojan. Win32 Agent.AAZ, e altre nuove varianti.
In queste ultime settimane nei rootkit incriminati si è notata un'evoluzione, contraddistinta dal passaggio dell'utilizzo di ADS (Alternate Data Stream) collegati alle cartelle, all'uso di file con nomi non permessi (come com, lpt, aux, nul), concomitanti con la diffusione di nuove varianti di Trojan collegati ai rootkit citati.
L'infezione è dovuta al sito Gromozon, il quale scarica un'immagine pic.tiff con l'exploit-WMF, che andrà ad infettare il computer con i trojan citati.
Si invita ad installare la patch Microsoft dal link: http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx - http://www.microsoft.com/technet/security/bulletin/MS06-001. mspx
I sintomi dell'infezione sono principalmente rallentamenti del computers, e in alcuni casi blocco di alcune applicazioni ad esempio autocad).
In un caso è stato riscontrato il riavvio del computer con il seguente messaggio:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM
Il processo di sistema "C:\Windows\SYSTEM32\SERVICES.EXE è terminato in modo non previsto codice di stato -1073741819. Il sistema sarà chiuso e riavviato. |
Nel caso che il computer sia stato infettato dal trojan che crea il file file:///c:/windows/temp/%5Brandom%5D1.exe - c:\windows\temp\[random]1.exe (nome casuale con terminazione in 1.exe) e/o da BHO.LinkOptimizer.D, allora è molto probabile che sia infetto anche dal rootkit.
Il malware è costituito dai più file, o
meglio da più trojan:
1) c:\windows\temp\[random]1.exe
2) \\?\c:\windows\[nome file non permesso: com, lpt] oppure file:///c:/:%5Bads - c:\:[ads stream]
(Rootkit)
3) servizio con nome casuale (creato da un nuovo utente), che esegue un file
crittografato da c:\programmi o c:\programmi\file comuni\system o
c:\programmi\file comuni\Microsoft Shared
Molti utenti infetti, sono stati in grado di rimuovere i trojan segnalati dal proprio antivirus o quelli più facilmente riconoscibili (come il file:///c:/windows/temp/%5Brandom%5D1.exe - c:\windows\temp\[random]1.exe ), ma sono ancora ignari che nel loro computer sia presente un'ulteriore malware ospite con tecnologia rootkit.
Fine testo riportato...
-------------
Postato da: lucas
Postato in data: 26/Luglio/2006 alle 14:27
Ciao,è successo che molto probabilmente hai scaricato qualche programma maligno,oppure hai visitato siti poco raccomandati che hanno scaricato file maligni,cosa hai rischiato?difficile dirlo,ti posso solo dire che io al tuo posto avrei formattato,purtroppo per le infezioni da rootkit non ci sono ancora metodi di rimozione sicuri al 100%,i rootkit sono programmati per rendersi invisibili all'utente,ciao
-------------
-------------
Postato da: lucas
Postato in data: 27/Luglio/2006 alle 14:15
Non so che dirti,sicuramente qualche rischio l'hai corso
Ciao
-------------
Ciao
-------------
Postato da: lucas
Postato in data: 28/Luglio/2006 alle 13:42
Fnu non era una connessione ma un account utente creato dal malware,si, per quanto riguarda le caratteristiche del malware poteva fare ciò e anche di più,se non vuoi preoccuparti salva le cose + importanti e formatta,come ti ho detto per i rootkit non ci sono metodi di rimozioni efficaci al 100% ciao
-------------
-------------
Postato da: lucas
Postato in data: 31/Luglio/2006 alle 18:32
guarda sarà 10 volte che mi fai la stessa domanda e dieci volte che ti rispondo che non ne ho idea,se ti interessa sapere cosa fanno,installati una macchina virtuale e lo esegui,ciao
-------------
,se ti interessa sapere cosa fanno,installati una macchina virtuale e lo esegui,ciao
-------------