Salve a tutta la Community di Hardware Upgrade.
Mi sono appena iscritto per risolvere alcuni problemi vari che affliggono il mio computer....e vedendo spesso discussioni interessanti,ho deciso di iscrivermi su questo forum....
Vi descrivo i vari problemi che ho....se sbaglio qualcosa (se non rispetto qualcosa) ditemelo senza partire in 4°! :banned: :D
Allora vi descrivo la mia situazione:
Tramite SmitfraudFix sono riuscito ad eliminare un maledetto finto antivirus (non ricordo piu il nome ma non importa) e tramite un secondo programma (RRT) sono riuscito a far tornare il taskmanager.Ora mi rimangono alcuni piccoli problemi...
1-Non riesco a far cambiare lo sfondo del desktop (cioè non me li fa selezionare).....esiste qualche programma o tool che mi permette di tornare come prima????
2-Ogni tanto mi appare una connessione alternativa (di nome Internet Connection) che mi disconnette dalla connessione in uso...per ora sono riuscito a fermarlo levando tutte le configurazioni interne a questa connessione....e quindi chiedo il nome di un programma che mi "protegga" da queste connessioni intruse
3-Prima di usare RRT il SO diceva che il Task Manager è stato disattivato dall'amministratore.L'unico utente è il mio....ma se vado in modalità provvisoria mi esce questo altro utente (Administrator) che non riesco in nessun modo ad eliminare....è normale questo oppure è un problema mio???
4-Stamane ho aggiornato il mio SO da Windows XP Professional in Windows XP SP2 proprio per il Centro Sicurezza PC...ma se provo ad attivare il Firewall esce un errore che dice: "Impossibile visualizzare le impostazioni di Windows Firewall.Si è verificato un problema non identificato."....che fare???Invece manualmente non mi fa cliccare su "Attiva" o "Disattiva".....
5-Mi date un nome di un Antivirus Free abbastanza buono,ma che non usi troppa memoria RAM (ho provato con Avast ma non va bene)...se serve ho 190 MB di RAM! :D

Ringrazio in anticipo a chi mi risponderà.... :D
Help! :(

Disattiva il Ripristino configurazione di sistema (e lascialo disattivato fino a quando non avremo risolto la questione) e, per iniziare, pubblica un log di Hthis

Installa HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su ed una volta che è stata creata la list, clicca su [b]Save Log
Pubblica, nella discussione, il log di HijackThis per farlo controllare

Già che ci sei:

per pulire gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Disattiva il Ripristino configurazione di sistema (e lascialo disattivato fino a quando non avremo risolto la questione) e, per iniziare, pubblica un log di Hthis

Installa HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su ed una volta che è stata creata la list, clicca su [b]Save Log
Pubblica, nella discussione, il log di HijackThis per farlo controllare

Già che ci sei:

per pulire gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected


Allora...il log è questo:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.14.09, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pierluka\Documenti\HiJackThis_v2.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D159987-BA4A-427E-AC35-5F8077249870}: NameServer = 85.37.17.9 85.38.28.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D159987-BA4A-427E-AC35-5F8077249870}: NameServer = 85.37.17.9 85.38.28.75
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll

--
End of file - 956 bytes





Che intendi per Ripristino configurazione di sistema???
E gli ADS???
Scusa,ma nn ne capisco tantissimo!
Grazie per la tua risposta! :) :) :Prrr:

Rifai il log di HijackThis è incompleto

O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll


questo puoi anche iniziare ad eliminarlo

Strano...
Faccio l'analisi e poi faccio il file log e mi esce solo questo:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.11.10, on 28/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pierluka\Documenti\HiJackThis_v2.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D159987-BA4A-427E-AC35-5F8077249870}: NameServer = 85.37.17.9 85.38.28.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D159987-BA4A-427E-AC35-5F8077249870}: NameServer = 85.37.17.9 85.38.28.75
O17 - HKLM\System\CS3\Services\Tcpip\..\{2D159987-BA4A-427E-AC35-5F8077249870}: NameServer = 85.37.17.9 85.38.28.75
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll

--
End of file - 1043 bytes



Poi mi spiegate che sto a fare? :D
E se potete dirmi come risolvere uno dei problemi detti nel primo post...
Grazie! :D

E se potete dirmi come risolvere uno dei problemi detti nel primo post...
Grazie! :D

già ti è stato detto.
per caso il tuo pc è configurato per andare con diversi utenti?

Allora....ho formattato il pc....ma i problemi ci sono ancora..... :mad:
No,ne ora ne prima usavo il pc con piu di un utente.....
Ho altri problemi ora:
-Come ora....il pc sta andando lentissimo....pur vedendo con il task manager che non sto usando altri programmi (solo il browser).....
-Se tento di cambiare sfondo.....applico la decisione,ma non me lo cambia lo sfondo...rimane sempre blu.... :(
-A volte il pc si disconnette e si collega con un "Internet Connection"....come levarlo??? :mad:
Grazie per l'aiuto....dopo posto un log per vedere che ho....eppure è appena formattato... :confused: :cry:

Ma il tuo utente è amministratore?

Uso solo il mio utente....cioè amministratore....
Per lo sfondo ho risolto....ho provato a fermare l' "Internet Connection"....ora vedo se resiste sta protezione.....

Allora....pur formattando il pc qualche problemino c'è ancora:
-Dopo un pò che uso il computer,se tento di aprire TaskManager,mi esce solo l'icona in basso a destra e non mi appare la finestra,pur aprendolo per un paio di volte.....
-vedendo con taskmanager ci sono molte applicazioni che non uso tra cui alcuni "iexplore",pur non usandolo come browser....altri con nomi strani,etc.

Ecco il log di hijackthis di pochi minuti fa:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.25.58, on 29/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\logon.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\System32\uifkbbtki.exe
C:\Programmi\BitTorrent_DNA\dna.exe
C:\Documents and Settings\Pierluka\Documenti\Applicazioni Protezione Computer\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\uifkbbtki.exe
O4 - HKLM\..\Run: [WinServ 32] jhknuqw.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] lyfajkv.exe
O4 - HKLM\..\Run: [info sect setup online] C:\Documents and Settings\All Users\Dati applicazioni\ABOUT TEAM INFO SECT\HELP MATH.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [WinServ 32] jhknuqw.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] lyfajkv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Trans Size] C:\DOCUME~1\Pierluka\DATIAP~1\PROXYB~1\POKECOAL.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] lyfajkv.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\BitTorrent_DNA\dna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Esegui il programma di registrazione.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: OneStep Search Service - Unknown owner - C:\Programmi\OneStepSearch\onestep.exe (file missing)

--
End of file - 3140 bytes

C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\uifkbbtki.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\uifkbbtki.exe
O4 - HKLM\..\Run: [WinServ 32] jhknuqw.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] lyfajkv.exe
O4 - HKLM\..\Run: [info sect setup online] C:\Documents and Settings\All Users\Dati applicazioni\ABOUT TEAM INFO SECT\HELP MATH.exe
O4 - HKLM\..\RunServices: [WinServ 32] jhknuqw.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] lyfajkv.exe
O4 - HKCU\..\Run: [Trans Size] C:\DOCUME~1\Pierluka\DATIAP~1\PROXYB~1\POKECOAL.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] lyfajkv.exe


ci sarebbe questi da rimuovere...passi il fatto che non hai il service pack 2,a mezzo ragione dovresti utilizzare antivirus e firewall

Per il problema task manager invece????
L'ultima volta che misi il SP2 non mi partiva il firewall....

Per il problema task manager invece????
L'ultima volta che misi il SP2 non mi partiva il firewall....

potrebbe dipende da quelli là....anche se nelle tue condizioni mi pare sia l'ultima cosa di cui ti debba SERIAMENTE preoccupare ;)

Hai ragione....per ora lo sto tenendo sempre ridotto ad icona.....comunque sempre con Hijackthis ho levato quelle cose che mi hai detto...per ora gli iexplore non ci sono....rimane solo un ultimo file che mi da fastidio: "uifkbbtki" che usa circa 14 mega vedendo dal taskmanager (per me è preoccupante dato che il mio pc è molto lento :D )....come lo levo???
Hai qualche nome di un buon antivirus ma che non pesi troppo nel pc??? :D
Grazie

Scrivo qua per non creare un altro topic:

Tra qualche giorno mi arriverà un nuovo pc (finalmente :rolleyes: )....
Vorrei passare quei pochi dati che ho su questo pc....ma ho un problema....
C'è un file chiamato qxddkwcwl.exe....nel task manager mi appare sempre (levandolo ritorna) e che utilizza circa 12.000 di memoria...
Quando metto dei dati sulla penna usb,questo file si mette automaticamente (nascosto).....vorrei un aiuto da voi per eliminare questo file.....così da passare i miei dati senza la paura che si infetti anche l'altro pc.....
Oltre a questo.....ho anche altri problemi.....come il blocco del task manager (che devo tenerlo aperto se no dopo rimane l'icona in basso a destra e non si apre) e anche problemi come bloccarmi msn messenger....infatti sto installando la versione precedente per vedere se è per colpa di questo file.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.52.08, on 10/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\qxddkwcwl.exe
C:\Documents and Settings\Pierluka\Documenti\Applicazioni Protezione Computer\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\qxddkwcwl.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] dczlsjq.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] dczlsjq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Trans Size] C:\DOCUME~1\Pierluka\DATIAP~1\PROXYB~1\POKECOAL.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] dczlsjq.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Esegui il programma di registrazione.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEAFD44A-7D5B-4864-8EEE-FDC9EA7372F7}: NameServer = 85.37.17.9 85.38.28.75
O23 - Service: OneStep Search Service - Unknown owner - C:\Programmi\OneStepSearch\onestep.exe (file missing)

--
End of file - 3237 bytes
Spero che si trovi una soluzione....grazie :D

Scrivo qua per non creare un altro topic .......
Spero che si trovi una soluzione....grazie
Intanto, leggi il Regolamento di Sezione e provvedi a rieditare il tuo ultimo post nella parte relativa alla pubblicazione del log di Hthis; i log vanno allegati oppure pubblicati utilizzando il tag code.

leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) fa risparmiare un sacco di tempo a te, per ricevere le linee guida alla disinfezione, e a noi perchè in tale thread viene già data e richiesta una piccola e semplice prassi preliminare di disinfezione:
a fronte di un sospetto di infezione eseguire una scansione con Eset ADS Revelear (http://www.nod32.it/getfile.php?tool=adsr), A-Squared Free v3.x (http://download5.emsisoft.com/a2FreeSetup.exe) , Prevx CSI (http://www.prevx.com/freescan.asp), DrWeb CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) e infine Online Software Inspector (http://secunia.com/software_inspector/) oppure Personal Software Inspector (https://psi.secunia.com/) ;


a non seguire invece le regole ci si ritrova tutti quanti a sprecare del tempo e sopratutto allungare le tempistiche... :boh:

ps: disabilita il ripristino di sistema fino a che non sei stato ripulito!! e regolarizza il tuo post :)

Mi scuso di non aver letto le regole del forum...ma se mi spiegaste meglio cosa dovrei precisamente fare per rimettere in "regola" questo topic... :stordita:

Allora....ho messo il log nel code.....e sto prendendo i vari programmi consigliati....ora come faccio a disabilitare il ripristino di sistema?

Fare clic su Start-> Programmi->Accessori->Esplora risorse.


Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.


Selezionare la scheda "Ripristino configurazione di sistema".


Selezionare la voce "Disattiva ripristino configurazione di sistema"


Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.

http://www.sicurezzainrete.com/images/system_restore_xp_small.jpg (http://www.sicurezzainrete.com/images/system_restore_xp.jpg)

Ok...ora l'ho disattivato...che programma uso???
Cioè...per far si che non entri questo file nella penna usb quando passo i dati..... :stordita:

ora sei pulito?

ciao, nel NatRocket (come l'ho soprannominato io...)
, il funzionamento e' ultra semplice...
il virus, viene scaricato inserito all'interno di keygenarator (di alcuni giochi.. o patch no cd)

si copia in windows/system32 con un nome random, si mette in esecuzione automatica alla fantomatica voce del registro :

www.wcn.it/sequenza.avvio.virus.natrocket.9966.zapto.kmip.jpg
www.wcn.it/mdm.rock.4.bartoloni.jpg

questo file, consente anche una auto-cancellazione automatica (prob creata per amici e parenti dell'ideatore)

bene, dopo 10 secondi di avvio del programma... questo, scrive su tutte le unita' montate, un autorun.inf, e si ricopia in root (file nascosti) .. in modo da farsi avviare ao ogni doppio-click sull' icona..

il file si copia anche in dllcache, e quindi cancellandolo in system32, si auto-ripristina...

soluzioni: Windows PE (il solito preinstallation environment)

scoprire il nome del file leggendo autorun.inf con il notepad..
cancellare autorun.inf e il file eseguibili dalla root
cancellare il file eseguibile da system32 e system32/dllcache (se nn lo trovate, verificate nel registro quale viene chiamato)

bene.. a questo punto riavviate e l' mdm rock e' tolto.. a questo punto, cancellate da ogni pendrive (senza mai cliccarci 2 voltem, ma usando l'opzione tasto destro "apri") autorun e file eseguibile..

se avete il dubbio che un file sia il nat rocket (rock mdm), potete utilizzare il siid-see per scansionarlo (funziona su tutte le varianti .. fino ad ora ne ho trovate 3) ( indirizzo : www.bartoloni.org/davy.bartoloni.siidsee.htm ) (in caso il download nn vada, la pagina ufficiale: http://www.wcn.it/soft.html )

in ogni caso, se qualcuno avesse tempo, mi piacerebbe ricevere per mail la vostra versione (compattatela 2 volte per evitare che venga bloccata dal server mail) .. l'indirzzo per spedirmelo e' quello del profilo :)

ahh. dimenticavo,da quello che ho letto dentro il file, questo accede al firewall integrato di win, e invia qualcosa a 2 siti: microsoft.com e google.com (i soliti attacchi sfigati penso...)

spero di essere stato d'aiuto :)

Per chi nn avesse a disposizione il WinPE, tutta la procedura si puo' fare dalla console "opzione R" del cd di windows XP (bootstrappando da questo)
con le seguenti istruzioni:
cd c:\
del autorun.inf
del nomevirus.exe
cd windows
cd system32
del nomevirus.exe
cd dllcache
del nomevirus.exe

(fine)

p.s la procedura di autocancellazione, a me si e' innescata 2 volte...,

[la pubblico solo per informazione!, da NON utilizzare se nn si sa' che cosa si sta' cancellando!]
aprendo una shell dos e posizionandomi in windows/system32/dllcache (nn sbagliate directory!!!!)

a questo punto, appena scatta l'ultima scrittura su tutte le unita' (QUANDO SI CREA L' autorun)
quando tutti i led dei schi fissi e pendrive si accendono, avete 10 secondi per cancellare
AUTURUN.INF e file eseguibile dalla root
e dopodiche' con il comando "del ." cancellare tutto il contenuto della dllcache (attenzione!!! in dllcache!!! senno il pc non riparte piu!)

in atomatico, allo scadere dei 10 secondi, l'eseguibile viene cancellato da tutte le unita' connesse (ma l'autorun rimane... bohh) e la voce nel registro, magicamente sparisce.

nel mio caso (visto che traffico spesso con malware, la directory DLLCACHE e' sempre vuota, per far si che qualche programma si auto-dichiari come malware copiandosi li dentro)

Salve , il mio tentativo di eliminazione di questo virus trojan o rootkit non so di preciso… autoreplicante (e questo lo so di preciso), è decisamente più spartano di quello del Sig. Bartoloni ma, comunque efficace!
Allora, ho aperto il task manager di windows (quello di defoult) Ctrl +Alt+Canc/Delete e ho notato che un processo col nome vvgsiravs.exe con percorso Windows/System32 occupava la mia cpu al max=99% sufficiente, a non farmi aprire (se non con ritardo di minuti) neanche una cartella o ridurla ad icona o qualsiasi operazione isomma, in più , a disconnettere la mia connessione nel giro di pochi secondi!
Inutile il tentativo di terminarlo, perché il soggetto si proponeva in più voci con lo stesso nome all’interno dell task con valori di impegno della cpu iniziali del 00% che poi lievitavano inevitabilmente e rapidamente all 99%!
A tal punto, ( e consiglio di procurselo), ho aperto un task manager a mio dire molto buono: Security Task Manager della Neuber in versione trial (prova), reperibile sulla rete gratuitamente, che funziona consentendo sia l’individuazione molto più dettagliata del processo
(con la possibbilità di killarlo (terminarlo) provvisoriamente o di metterlo in quarantena cioè evitare che si riavvii col prossimo avvio e per alcuni, di disinstallarlo completamente) e delle sue “CHIAVI” dettaglio chiave (scusate la ripetizione) fondamentale per l’eliminazione perche? Semplicemente perché qualsiasi tentativo di eliminarlo dalla cartella System32 di Windows è vano! Se lo si trova e lo si elimina ricompare immediatamente perché in uso dal sistema quindi si deve andare alla chiave di registro! Per fortuna, il Security Task Manager, mi dava sufficenti informazioni indicandomi inizialmente il processo con il nome di “Installshield® Installer“ cpu 99% nome dell’esecutivo “fittizio” (perché può cambiare nome dopo terminato per esempio: cgfvnldih.exe ecc. notare sono sempre seq. di lettere a caso), e poi cosa piu importante il percorso della chiave indicata così : Registry : [MDM Rock 4] Windows/System32
Hkey local Machine/Software/Microsoft/Windows/Current version/Run .
A questo punto si và a cercarlo: Start o Avvio/Esegui..”regedit.exe” e si segue il percorso fino a "Run", lì ,oltre alla chiave consueta troviamo l’infamone MDM Rock 4.EXE .Se si tenta di eliminarlo come una qualsiasi chiave scompare ma si ricrea ..anche la chiave è autoreplicante! Ergo…tasto destro sulla chiave MDM Rock 4.EXE e click su “cambia codice binario” a tal punto avrete davanti una sequenza di cifre ed alla fine il suo nome ( credo scritto in codice ascii) cambiate a caso le cifre del codice binario e salvate, otterrrete qualcosa che in pratica non è più lui ! Perde la sua efficacia e la capacità di auto replica! A tal punto tasto destro modifica e cambiate l’estensione da *.EXE ad es a “*.JPG”. Già con il primo cambiamento si potrà tranquillamente killare ma per sicurezza io cambierei anche l’estensione e lo eliminerei dal registro.
Basta! Chiudete il registro e buon proseguimento!

AAAh dimenticavo! Importantissimo!! :

È MEGLIO SI FACCIA TUTTO CIÒ IN MODALITÀ PROVVISORIA !!

Saluti, Antonello.

A mio parere, qualunque operazione di pulizia eseguita sul quel P.C., fino a quando il sistema operativo non sarà aggiornato al SP2, è totalmente inutile; per la stessa ragione, mi appare evidente quanto sia inutile continuare: in gergo medico, questo, viene definito, accanimento teraputico.

@ Davy Bartoloni e cutter32: per entrambi, ottime segnalazioni.

A mio parere, qualunque operazione di pulizia eseguita sul quel P.C., fino a quando il sistema operativo non sarà aggiornato al SP2, è totalmente inutile; per la stessa ragione, mi appare evidente quanto sia inutile continuare: in gergo medico, questo, viene definito, accanimento teraputico.

@ Davy Bartoloni e cutter32: per entrambi, ottime segnalazioni.
Grazie!! :D

4 ore di scervellamento ininterrotto son servite a qualcosa il sorriso nel volto di mio zio e la mia faccia soddisfatta da Dottor House dei poveri :ronf: :winner:

Ps: per la precisione ho operato sul compuer di mio zio, con Sp 1 perchè lo aveva appena reinstallato e doveva ancora prendere gli aggiornamenti che ovviamente non ci riusciva a causa del processo che lo disconnetteva... mantenendo però le vecchie cartelle del profilo si è sicuramente portato dietro sta cosa..credo... non sò:wtf: hai ragione senza Sp2 non si và molto lontano...