Ho gia postato un msg simile precedentemente ma non ho ancora risolto niente per cui lo invio più completo di info richiestemi:
Da quasi un mese ho beccato un file maledettissimo ... credo crittografato, che si è installato nella cartella c:\programmi (credo crittografato perchè c0on la scritta in verde). Attualmente il file è nominato TPiFnk.txt.exe ma cambia nome in continuazione. La ricerca con avast lo rileva ma non riesce ad attaccarlo, è impossibile cancellarlo e, se si prova a toccarlo con qualche antivirus o antispyware cambi nome non consentendo di cancellarlo. A tutt'oggi, nonostante molti tentativi non sono riuscito a cancellarlo in alcun modo (neanche provvisoriamente). Nel task manager di winxp non lo ritrovo in esecuzione ma se provo con il classico canc mi dice che è in esecuzione e quindi non cancellabile. Unico indizio fino ad oggi un avviso, ogni volta che avvio il pc che mi dice tramite VirIT Lite di aver rilevato una modifica nel registro dei programmi in esecuzione automatica indicando come programma c:\windows\system32\aux.xns (il nome del progr. in questo caso è sempre lo stesso). La ricerca di quel file sul pc, però, da comunque e sempre esito negativo.
Uno degli effetti di questo maledetto, oltre al rallentamento del pc, credo sia l'apertura di una finestra (che per ora ho notato in coincidenza di ricerche effettuatr senza risultato su google). In allegato foto della finestra che si apre.
In messaggi successivi posterò il log il log di hijackthis e le altre finestre di allarme.
Vi ringrazio se saprete essermi utili.
PS. Non so se può dipendere da quel maledettissimo ma da quando si è installato sul pc ogni volta che lo accendo e cerco di collegarmi al web il router inizia a dare i numeri e perde la connessione (e la linea cui è connesso è una linea adsl ad IP fisso).

questo è il log di hijackthis:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\ClocX\ClocX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Rick\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {56C70F55-A745-0916-7EF7-0FD0F2B1261B} - C:\WINDOWS\isihl1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ClocX] C:\Programmi\ClocX\ClocX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.linkautomatici.com
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/IT/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096893011906
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://atlantide.virgilio.it/c6/download/DownloaderActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74FF6948-7DFD-4F1A-A0DB-9A32542B0F92}: NameServer = 195.110.128.1,212.48.4.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{74FF6948-7DFD-4F1A-A0DB-9A32542B0F92}: NameServer = 195.110.128.1,212.48.4.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LogRpc - Unknown owner - C:\Programmi\TPiFnK.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

questa la finestra di allarme VirIT Lite

e, infine, questo il maledetto!!!!

Mmm... per caso passavo di qui e ho visto il 3d.

Non so nulla di questo tipo di cose, ma posso dirti di provare l'utility GiPo@MoveOnBoot, che cancella i file prima di caricare windows. Magari funziona... :)
Trovi info QUI (http://www.gibinsoft.net/gipoutils/) in "file utilities".

Ciao

:cry: :cry:
niente da fare ... non lo vede nemmeno ...
:cry: :cry:

:cry: :cry:
niente da fare ... non lo vede nemmeno ...
:cry: :cry:
Peccato... :(

Dillo a me!!
Con il msconfig non trovo niente riconducibile al file, con hijackthis non si riesce a toccarlo (neanche impostando il progr. in modo che lo distrugga al primo riavvio), con GiPo@MoveOnBoot stessissimo risultato (non lo tocca nemmeno).
Ma per di più, quel maledettissimo file aux.xns (ammesso che sia riconducibile allo stesso file) e che comunque viene segnalato in avvio di winxp da VirIt Lite non si riesce a trovare da nessuna parte ne, tantomeno, nella cartella system32 in cui è segnalato.
Ma sarà mai possibile che debba essere costretto a formattare tutto per un maledettissimo file delle dimensioni di 92,0 Kb??

Allora, prima di tutto fai questo:

scarica da www.gmer.net il programma GMER e fai una scansione rootkit, vedi cosa ti dice - se trova dei files HIDDEN (nascosti)

poi a poco a poco andiamo avanti

Fatto ...
si, gmer trova un file "hidden" ... la stringa che lo identifica è questa:

Library C:\WINDOWS\isihl1.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1848] 0x02370000

che devo fare adesso!!

ok, ora fai sta prova (sto cercando strade alternative a quella diretta)

scarica https://europe.f-secure.com/blacklight/ blacklight e vedi se vede questo rootkit.

In caso, se lo vede, alla fine fai "rinomina" il file e riavvia.

Messaggio di FSecure:
F-Secure Blacklite could not acquire necessary privilege - a malicious program might have disabled these privileges

Rispondo subito alle tue eventuali domande:
- sono loggato sul pc come administrator;
- altri antivirus sono disabilitati;
- ho provato a resettare il pc dopo aver scaricato il file ...

quindi????

Apri il task manager (CTRL+ALT+CANC);

termina il processo EXPLORER.EXE (scomparirá il desktop, nessun problema);

termina inoltre tutti i processi dei programmi attivi che conosci (lascia sempre il task manager aperto);

ora dal task manager clicca su FILE - NUOVA OPERAZIONE - scrivi "CMD" (senza le "") e vai su esegui;

dal dos muoviti nella directory di windows (segui i comandi qua sotto)

cd \
cd windows
dir isih*.dll (qui vedi se ti vede la dll, se la vede passa al punto successivo)
ren isihl1.dll isihl1.vir
explorer

niente da fare .... file non trovato

scusa la domanda stupida, ma in modalitá provvisoria te la vede quella dll?

ok, fai cosí:

Lancia GMER e vai alla voce AutoStart

Clicca su Scan

Cerca la voce

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

e vedi se c'é e se é associata a qualche file

fammi sapere

niente da fare ... in modalità provvisoria non lo vede ...

gmer su autostart trova questa stringa:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = \\?\C:\WINDOWS\System32\aux.xns

quel cacchio di aux.xns è quello che mi rileva all'avvio di winxp ma che non riesco a trovare da nessuna parte.

Pensi che prima o poi riuscirò a debellare questo maledetto????

comunque, non so se può servire, GMER su "process" segnala in rosso
c:\programmi\InternetExplorer\iexplore.exe PID 3324, memory 2264, Threads 17, Handles 504, User Time 10.156 (variabile variabile), kernel time 19.046 (valore variabile)

si, quella è la parte rootkit che nasconde la dll, che è un adware LinkOptimizer.


Scarica il programma Killbox e, dalla schermata principale

http://www.pcalsicuro.com/images/killboxtaskdir.jpg

Scrivi sulla path:

"C:\WINDOWS\System32\aux.xns" (Senza gli "", puoi anche fare copia incolla da questa stringa)

Poi clicca su "delete on reboot", clicca su Single File e poi sulla croce rossa X a fianco del nome del file.

Al riavvio parti in modalità provvisoria e vedi se riesci a vedere questa famosa dll

:cry: :cry: :cry:
tu non ci crederai ma anche così non si ottiene alcun risultato.
E, al riavvio in modalità normale ... puntualmente riappare la finestra di virit lite che annuncia l'attività di aux.xns

non è che l'unica soluzione è format c:\ ???

:cry: :cry: :cry:

hai msn? mandami il tuo indirizzo in pvt, vediamo di fare una cosa più interattiva almeno

in pvt trovi la risposta

forse ho capito il problema del perché non ha funzionato

appena puoi torna online su msn

devo uscire un'oretta

ti ho mandato via email (email di msn) un piccolo tool che ho scritto in due minuti, perche forse ho capito dove Killbox ha fallito.

Prova e fammi sapere

forse non ci crederai ma neanche il tuo tool ha avuto la meglio sul file maledetto!
Una volta lanciato chiede di riavviare il sistema ma genera in un attimo una finestra di errore (illeggibile perchè rimane aperta solo un attimo) ma, al riavvio appare sempre la finestra di Virit relativa al maledettissimo aux.xns

non mi rimane che il buon vecchio format c:\ ?????

forse non ci crederai ma neanche il tuo tool ha avuto la meglio sul file maledetto!
Una volta lanciato chiede di riavviare il sistema ma genera in un attimo una finestra di errore (illeggibile perchè rimane aperta solo un attimo) ma, al riavvio appare sempre la finestra di Virit relativa al maledettissimo aux.xns

non mi rimane che il buon vecchio format c:\ ?????

si perche probabilmente ho sbagliato io a fare una cosa - per fare veloce :muro: :D

Ti rimando una copia leggermente modificata via e-mail

:cry: :cry: :cry:
la testa nel muro :muro: :muro: :muro: la batto io!
Neanche questo tool riesce nell'intento e, anche tavolta, all'atto di riavviare apre una finestra di errore illeggibile perchè si chiude subito.

Ma che cacchio di bestia di file ho trovato??????

:cry: :cry: :cry:

:cry: :cry: :cry:
la testa nel muro :muro: :muro: :muro: la batto io!
Neanche questo tool riesce nell'intento e, anche tavolta, all'atto di riavviare apre una finestra di errore illeggibile perchè si chiude subito.

Ma che cacchio di bestia di file ho trovato??????

:cry: :cry: :cry:

Prima di sbattere la testa...

prova con mst totalaccess, alcuni utenti avevano un problema analogo ed hanno risolto:

http://www.hwupgrade.it/forum/showthread.php?t=1225526&highlight=mst+totalaccess

Devi trascinare il programma nella finestra di mst x sbloccarlo e poi lasciando mst aperto vai da esplora risorse nella cartella programmi e lo elimini.

Il fatto di averlo sbloccato con mst permetterà l'eliminazione del file che fino a quel momento non era consentita.

ciao

:cry: :cry: :cry:
la testa nel muro :muro: :muro: :muro: la batto io!
Neanche questo tool riesce nell'intento e, anche tavolta, all'atto di riavviare apre una finestra di errore illeggibile perchè si chiude subito.

Ma che cacchio di bestia di file ho trovato??????

:cry: :cry: :cry:

L'errore al riavvio è normale, ce l'ho messo io :D

Dunque, ti faccio il punto della situazione di quello che so di questo caso:

aux.xns è un rootkit, caricato all'avvio dalla key APPInit_DLLs. Ha funzioni di nascondere alcune componenti di malware e, ovviamente, se stesso e la chiave del registro APPInit_DLLs.
Il rootkit nasconde appunto la dll che hai trovato sotto System32, probabilmente una variante di LinkOptimizer. Inoltre, il file crittografato sotto C:\programmi, parte all'avvio perché configurato come SERVIZIO DI SISTEMA, infatti se cerchi tra i servizi attivi, ne troverai uno strano con un nome random che non è né servizio locale né servizio di rete. Per finire, hai anche probabilmente un malware inserito tra gli ADS, quindi non visibile normalmente.

Quello che ho tentato di fare, e che pensavo funzionasse, era eliminare la componente rootkit prima che Windows partisse, ovvero prima di creare i file di paging. Evidentemente, a quanto sembra, o ci sono problemi e non sei admin, o è più ostico del previsto.

In qualunque caso NON c'è bisogno di formattare - nel caso più remoto possibile si avvia con la console di ripristino o con un live cd di linux.

Io sto cercando un modo per poter eliminare questa infezione in modo automatico senza dover fare questi giri fuori da Windows.

Ora ne sai un pò di più almeno su questo caso

L'errore al riavvio è normale, ce l'ho messo io :D

Dunque, ti faccio il punto della situazione di quello che so di questo caso:

aux.xns è un rootkit, caricato all'avvio dalla key APPInit_DLLs. Ha funzioni di nascondere alcune componenti di malware e, ovviamente, se stesso e la chiave del registro APPInit_DLLs.
Il rootkit nasconde appunto la dll che hai trovato sotto System32, probabilmente una variante di LinkOptimizer.......

Ora ne sai un pò di più almeno su questo caso

Grazie delle info... a nome di tutti, cmq è proprio lo stesso in cui mi sono imbattuto anch'io su diversi pc di amici.

In particolare ce n'è uno che se lo becca almeno ogni 15 gg :D

Ho provato avenger, killbox, unlocker, ma l'unico che l'ha tolto è stato mst (trial) che purtroppo non è free e dopo 30 gg scade.

Se qualcuno trova un metodo free alternativo ben venga xchè ultimamente lo sto trovando spesso.

Per inciso l'ultimo su cui l'ho trovato è un pc che aveva avast, ewido e spywareblaster installati, quindi non era proprio completamente nudo... come altri che ho trovato.

ciao

aggiornamenti di windows fatti? perché secondo alcune voci l'origine sarebbe gromozon ed un exploit WMF dovuto ad una pic.tiff.

Sinceramente non sono riuscito a replicare l'infezione, altrimenti una soluzione già l'avrei avuta. Lavorare così a distanza sui pc infetti da quasto caso non è il massimo.

Vediamo un pò cosa si riesce a fare

Ciao,

il file isihl1.dll potrebbe essere nascosto in un qulche modo dal sistema e pertanto congilio di lanciare un attrib command dove si suppone sia localizzato il file e verificare gli attributi assegnati al file.
Se il file è elencato nella directory copia e incolla gli attributi del file e postali qui.

Il comando è: attrib e poi invio

Rossano

sarebbe necessario avere la cronologia dei siti internet visitati da Rick, da quando ha iniziato ad avere questi problemi

Prima di tutto ... chiedo scusa per il ritardo nella risposta ma sto digitando dal pc di casa perchè la linea del pc infettato non va (e probabilmente proprio per quel cazzo di file che sembra determinare continue disconnessioni nonostante il pc sia connesso ad un router con linea adsl ad IP fisso).
Ciò premesso, per quanto attiene la cronologia richiestami da Eraser non credo sia possibile recuperarla (almeno in base alle mie modestissime conoscenze) anche perchè sono attivi sul pc tool come ccleaner e spybot che, se non erro in automatico cancellano la cronologia.
Per quanto attiene l'utilizzo di "mst" consigliato y4mon stasera provo a scaricarlo e domani lo provo ... vediamo che succede!
... a proposito ... x Erase ... ahimè ... winxp non è più aggiornabile da oltre un mese e penso proprio per quel maledettissimo che insiste a rompere i ... biiiip!
Vi ringrazio comunque per l'aiuto che mi state fornendo (in particolare ad Eraser) e, domani mattina, adsl permettendo vi faccio sapere se ho avuto la meglio sul maledetto!
... e io che pensavo che combattere con mia moglie fosse la cosa più tremenda che la vita poteva presentarmi!!!!!!!

.. sepoi esiste un modo per rilevare ugulamente la cronologia ... fatemi sapere e sarò ben felice di fornirvela

Grazie delle info... a nome di tutti, cmq è proprio lo stesso in cui mi sono imbattuto anch'io su diversi pc di amici.

In particolare ce n'è uno che se lo becca almeno ogni 15 gg :D

Ho provato avenger, killbox, unlocker, ma l'unico che l'ha tolto è stato mst (trial) che purtroppo non è free e dopo 30 gg scade.

Se qualcuno trova un metodo free alternativo ben venga xchè ultimamente lo sto trovando spesso.

Per inciso l'ultimo su cui l'ho trovato è un pc che aveva avast, ewido e spywareblaster installati, quindi non era proprio completamente nudo... come altri che ho trovato.

ciao

ok, ho scaricato mst su questo pc e mi sorge un dubbio: lo ho installato per vedere come funziona e con gmer ho verificato che in uso su questo pc ci sono delle .dll "hidden" - che mi pare di aver capito da Eraser nel corso delle prove che sto facendo sul pc infetto essere "nascoste" e probabilmente maligne. Per questo, per capire il funzionamento di mst ho cercato di cancellare su questo pc quelle dll ... ma, il problema è lo stesso che fino ad ora abbiamo avuto sul pc infetto al lavoro: quelle dll non sono visibili e quindi come faccio a trascinarle in msc per distruggerle??
Capisco che in quel modo potrei forse riuscire a distruggere il progr. crittografato (e domani lo verificherò) ma, per quanto attiene i file che all'inizio vengono rilevati da spybot (sto parlando di aux.xns) che mi invento visto che non lo si riesce a trovare così come non si riesce ad individuare la dill a cui sembra far riferimento??

Prova a cancellare il file in ambiente BartPE.

In pratica devi creare un cd di boot con pebuilder (generi un file .iso lo masterizzi e ottieni il cd) , restartare il pc con i cd inserito.
A questo punto sei in ambiente bartPE (una sorta di windows semplificato) dal quale puoi concellare tutto quello che vuoi perche' il tuo sistema residente su HD non viene avviato

;)

ok, ho scaricato mst su questo pc e mi sorge un dubbio: lo ho installato per vedere come funziona e con gmer ho verificato che in uso su questo pc ci sono delle .dll "hidden" - che mi pare di aver capito da Eraser nel corso delle prove che sto facendo sul pc infetto essere "nascoste" e probabilmente maligne. Per questo, per capire il funzionamento di mst ho cercato di cancellare su questo pc quelle dll ... ma, il problema è lo stesso che fino ad ora abbiamo avuto sul pc infetto al lavoro: quelle dll non sono visibili e quindi come faccio a trascinarle in msc per distruggerle??

Mst serve x cancellare il file XXX.exe dalla cartella c:\programmi, non x le dll.

Prima avevo pulito con Ewido o Spyware Doctor, poi ho fixato con hijackthis, alla fine mi rimaneva solo l'exe incancellabile dalla cartella programmi:

ho avviato mst, trascinato l'exe nella finestra di mst che lo sblocca, quindi sono andato in gestione risorse nella cartella c:\programmi per eliminarlo e a questo punto l'operazione mi era consentita.

Per quanto riguarda la vulnerabilità dovuta ai mancati aggiornamenti ha ragione Eraser, i pc in cui ho trovato il problema erano tutti pc che non avevano aggiornamenti, addirittura uno non aveva nemmeno il sp2 (l'utente è 'de coccio' dice che non gli funzionano alcuni programmi x lui indispensabili col sp2).

ciao

Ahhhhhhhh... per cancellare i file "bloccati" il programma migliore in assoluto (imho... mi ha sempre sbloccato tuttto perfettamente) è Unlocker: http://ccollomb.free.fr/unlocker/

Avvialo a poi prova a cancellare "normalmente" il file incriminato, appena Windows ti risponde che è in uso il programma intercetta la chiamata e ti visualizza una finestra da cui poter sbloccare il file.

allora carissimi signori miei ....
siete padroni di non crederci ma ...
niente da fareeeeeee!
Anche le ultime soluzioni proposte non hanno sortito esiti positivi.
mst non consente ugulamente di sbloccare il file, la dll non si riesce a trovare neanche con gli altri tool indicati e, all'avvio continuo ad avere quel maledetto messaggio di aux.xns
Ma che diavolo mi resta da fare adesso??? Battere in terra il pc?????

a proposito ... anche Ewido ... non vede neanche con il canocchiale la famigerata dll ...

Ma che diavolo mi resta da fare adesso??? Battere in terra il pc?????


Hai provato in ambiente BartPE ?
;)

ti chiedo scusa ma, ad onor del vero, le mie modeste conoscenze informatiche non mi consentono neanche lontanamente di immaginare che cosa sia!
:cry:

Prova a cancellare il file in ambiente BartPE.

In pratica devi creare un cd di boot con pebuilder (generi un file .iso lo masterizzi e ottieni il cd) , restartare il pc con i cd inserito.
A questo punto sei in ambiente bartPE (una sorta di windows semplificato) dal quale puoi concellare tutto quello che vuoi perche' il tuo sistema residente su HD non viene avviato

;)
Quoto la precedente spiegazione di Marika :)

Allora, riassumo un paio di cose:

sto lavorando assiduamente con alcuni ricercatori per trovare un modo di rendere la pulizia automatica di questo rootkit. Per questo motivo non sono molto attivo, poiché sto riscontrando difficoltà nel replicare questa infezione - se avessi potuto replicarla, probabilmente già da qualche settimana avrei avuto una soluzione.

Per il momento Rick o segui il consiglio di BartPE, ed elimini questi files da un cd di avvio, o segui la procedura indicata da Holifay, ottima persona, a questo link (http://forum.zeusnews.com/viewtopic.php?t=16712).

Chiaramente la procedura è del tutto "manuale", quindi ti devi applicare abbastanza.

Ciao

Marco

:D :D :D
beh, intanto un passo avanti sono riuscito a farlo!
Con mst, partendo in modalità provvisoria sono riuscito ad eliminare quel cazzo di eseguibile crittografato che non si riusciva a toccare nella cartella "programmi"; adesso rimangono la .dll e il file xns che continuo a non riuscire a vedere.
Adesso provo per quei file i consigli dati e ... vi farò sapere!