uziel
15-05-2006, 18:23
Sotto la cartella Programmi del disco sistema mi sono apparsi questi due files, , non c'è verso di cancellarli, mi da accesso negato anche in modalità provvisoria. qualcuno ne sa qualcosa ?
Grazie
Grazie
View Full Version : vjGhlOO.exe e LpZ.exe
*Nexus*
15-05-2006, 18:25
Usa unlocker ;)
manganese
17-05-2006, 08:29
Sotto la cartella Programmi del disco sistema mi sono apparsi questi due files, , non c'è verso di cancellarli, mi da accesso negato anche in modalità provvisoria. qualcuno ne sa qualcosa ?
Grazie
Sono quasi sicuramente file con nomi random generati da qualche virus che ti sei preso, ho paura che anche cancellandoli non otterresti nulla.
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)
Grazie
Sono quasi sicuramente file con nomi random generati da qualche virus che ti sei preso, ho paura che anche cancellandoli non otterresti nulla.
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)
maforast
17-05-2006, 12:57
Sono quasi sicuramente file con nomi random generati da qualche virus che ti sei preso, ho paura che anche cancellandoli non otterresti nulla.
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)
anche io ho lo stesso problema ho provato con il programma ke mi hai dato nell'altro 3d ma niente inoltre non mi viene visto come virus...
Senza togliere il "vero responsabile" dei processi ti si rigenererebbero gli stessi file...magari con il nome leggermente diverso.
Ewido + log con HiJackThis (vedi 3d in evidenza)
anche io ho lo stesso problema ho provato con il programma ke mi hai dato nell'altro 3d ma niente inoltre non mi viene visto come virus...
lucadue
17-05-2006, 13:09
postate il log di hijackthis che becchiamo il colpevole :cool:
maforast
17-05-2006, 14:56
postate il log di hijackthis che becchiamo il colpevole :cool:
il mio log è questo :
Logfile of HijackThis v1.99.1
Scan saved at 15.57.58, on 17/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Aston\aston.exe
D:\Aston\XP\internat.exe
C:\WINDOWS\System32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WHEELM~1\wh_exec.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\Temp\poru1.exe
C:\Programmi\Altdesk\AltDesk.exe
C:\Documents and Settings\MaNoLo\Menu Avvio\Programmi\Esecuzione automatica\html2pop3.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Outlook Express\msimn.exe
D:\temp\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=D:\Aston\aston.exe ,svchost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Programmi\Rational\Rational Test\nutcroot\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru2.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AltDesk] C:\Programmi\Altdesk\AltDesk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: html2pop3.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126341909500
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC7C86E-4D5D-4849-82C3-8A1485C0DD28}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
il mio log è questo :
Logfile of HijackThis v1.99.1
Scan saved at 15.57.58, on 17/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Aston\aston.exe
D:\Aston\XP\internat.exe
C:\WINDOWS\System32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WHEELM~1\wh_exec.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\Temp\poru1.exe
C:\Programmi\Altdesk\AltDesk.exe
C:\Documents and Settings\MaNoLo\Menu Avvio\Programmi\Esecuzione automatica\html2pop3.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Outlook Express\msimn.exe
D:\temp\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=D:\Aston\aston.exe ,svchost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Programmi\Rational\Rational Test\nutcroot\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru2.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AltDesk] C:\Programmi\Altdesk\AltDesk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: html2pop3.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126341909500
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC7C86E-4D5D-4849-82C3-8A1485C0DD28}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
matteo1
17-05-2006, 15:14
devi installare il SP2,devi fixare queste voci strane:
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe
eraser
17-05-2006, 15:17
prima di cancellare quei files per favore mandameli via e-mail ;) :)
maforast
17-05-2006, 15:35
devi installare il SP2,devi fixare queste voci strane:
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe
Quelle due voci le ho fixate già ma so ricomparse bhaa ci riprovo creavano una connessione in accesso remoto e mi disconnettevano da internet
C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru1.exe] C:\WINDOWS\Temp\poru1.exe
O4 - HKLM\..\Run: [poru2.exe] C:\WINDOWS\Temp\poru12exe
Quelle due voci le ho fixate già ma so ricomparse bhaa ci riprovo creavano una connessione in accesso remoto e mi disconnettevano da internet
maforast
17-05-2006, 15:41
prima di cancellare quei files per favore mandameli via e-mail ;) :)
troppo tardi se si riformano te li mando
troppo tardi se si riformano te li mando
uziel
17-05-2006, 20:46
Ho ripristinato la partizione infettata con una immagine pulita usando True Image. (molto utile).
Grazie per i consigli comunque.
;) ;)
Grazie per i consigli comunque.
;) ;)
manganese
18-05-2006, 07:58
Ho ripristinato la partizione infettata con una immagine pulita usando True Image. (molto utile).
Grazie per i consigli comunque.
;) ;)
Se hai risolto così, i nostri consigli non sono stati efficaci...sorry :(
Grazie per i consigli comunque.
;) ;)
Se hai risolto così, i nostri consigli non sono stati efficaci...sorry :(
manganese
18-05-2006, 08:16
il mio log è questo :
cut
Come diceva matteo, senza fare il windows update, non otterresti molti risultati...un pò come tentare di riempire di acqua un secchio bucato...
Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000
Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com
Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.
Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.
Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm
cut
Come diceva matteo, senza fare il windows update, non otterresti molti risultati...un pò come tentare di riempire di acqua un secchio bucato...
Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000
Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com
Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.
Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.
Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm
maforast
18-05-2006, 12:02
Come diceva matteo, senza fare il windows update, non otterresti molti risultati...un pò come tentare di riempire di acqua un secchio bucato...
Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000
Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com
Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.
Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.
Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm
Grazie ora provo con ccleaner perkè il file .exe ke mi compariva in C:\programmi c'è ancora il bello ke ad ogni riavvio cambia nome...
Cmq tornado al log
fissa sicuramente anche questo
C:\WINDOWS\Temp\poru1.exe
che, con un pò di fortuna, è papà di quelli che hai fissato prima.
Se non riesci a fissarlo prova in modalità provvisoria o con killbox
http://www.wintricks.it/news2/article.php?ID=12000
Cmq in parole povere il processo padre tenta di nascondersi agli antivirus e pure a HJT.
Per fare questo usa molte tecniche: la prima è insediarsi nella cartella temporanea (come in questo caso) per cui la cartella và SVUOTATA completamente prima del riavvio.
Oppure si nasconde nei temp di IE...pure questa da svuotare!
per aiutarti in questo cè il programma
www.ccleaner.com
Un altro "posto per nascondersi" è il punto di ripristino...da tenere disattivato finchè non hai risolto tutto.
Invero esistono tecniche molto più sofisticate di queste (vedi rootkit), ma lascio la parola a chi è più esperto.
Un ultima cosa: può essere d'aiuto per individuare (ma raramente toglie) il virus anche una scansione on-line tipo questa
http://www.pandasoftware.com/products/activescan.htm
Grazie ora provo con ccleaner perkè il file .exe ke mi compariva in C:\programmi c'è ancora il bello ke ad ogni riavvio cambia nome...
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.