Salve a tutti, spero di aver postato nella sezione giusta...ho un problemino. Nn so se sia un virus vero e proprio ma è sicuramente fastidioso. Ho scaricato un film da emule, ho fatto per aprirlo ma niente, andando poi a leggere i commenti sul file ho scoperto essere un porno:rolleyes: e ho cercato di cestinarlo ma nn me lo fa fare dicendomi che lo sto utilizzando già cn un altro programma ecc ecc.... ovviamente nn è vero, inoltre ho notato che quando cerco di eliminarlo, pochi istanti dopo l'utilizzo della cpu sale di molto e controllando con il taskmanager la sezione processi ho visto che il processo explorer.exe aumenta a sua volta di molto il suo utilizzo rendendo dopo un po' il pc inutilizzabile... qualcuno mi può aiutare???Nn so come liberarmene!!!:cry:

Grazie mille:)

Potrebbe non essere un virus ma semplicemente un bug di windows
VAi su Start -> Esegui -> digita regedit (invio)
Sulla parte sinistra naviga fino alla chiave:
HKEY_CLASSES_ROOT\SystemFileAssociations\.avi \shellex\PropertyHandler
Poi nella finestra di destra click destro su Predefinito -> Elimina -> Riavvia
Ora i file .avi dovrebbero essere più facili da cancellare
Nel caso ci siano ancora ploblemi facci sapere
Ciao

Sarò imbranato ma la voce di cui parli "SystemFileAssociations" io nn l'ho proprio trovata :confused: :confused: :confused:

disattiva la funzione "carica anteprima in cache" e poi disabilita la chiave di registro per le anteprime sui file avi:
per la funziona carica anteprima -> vai in opzione cartella e cercala nell'elenco, quindi togli il segno di spunta su di essa;

apri regedit come indicato da wjmat e poi posizionati in:
HKEY_CLASSES_ROOT\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}

Per disabilitare il prelievo di informazioni dai file avi dobbiamo rinominare la chiave, anche posizionando un piccolo segno davanti.

Per esempio -{87D62D94-71B3-4b9a-9489-5FE6850DC73E}. Per ripristinare la situazione precedente, dovremo togliere il segno. Poi riavviamo il pc ed abbiamo finito.

Ragazzi il problema è molto più grave di quanto sembri, (vi sto parlando dal pc di mio fratello) oggi accendo il pc e la connessione nn va perchè limitata (cosa piuttosto strana perchè cm vedete con il pc di mio fratello che è attaccato alla stessa linea va perfettamente) ho provato più volte a disabilitarla e riattivarla ma niente, inoltre ho di nuovo notato che quando faccio per eliminare il file improvvisamnte l'utilizzo della cpu riguardo al processo explorer.exe schizza alle stelle, di conseguenza il pc rallenta visibilmente e alla lunga diventa inservibile!!! Praticamente ha isolato il mio pc e me lo sta distruggendo!!! Nn posso stare senza internet!! Aiutatemi vi prego nn so proprio cm fare!!:cry: :cry: :cry:

Grazie a tutti

PS
Anche facendo la scansione del singolo file e del pc nn è venuto fuori niente di strano:mbe:

Segui bene la GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner

Scarica da qui (http://www.ccleaner.com/download/builds/downloading-slim) la versione slim di CCleaner.
Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
Scarica da qui (http://www.snapfiles.com/download/dlatfcleaner.html) ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected


CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.


Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis

Una volta che avrai postato i log potremmo fare delle analisi su come sei messo.
Ciao

Grazie per la risposta, nn essendo tanto pratico di queste cose ci metterò un po' sia a capirle che a farle, cmq cm prima cosa direi che posso fare quindi le scansioni con ccleaner e aft cleaner (è necessario farle cn tutti e due i programmi?).... l'unica cosa è che tutte queste operazioni sn un po' difficili per me poichè nel mio pc nn ho internet e devo quindi fare molti trasferimenti con la chiavetta usb.:) Nelle cose che devo fare devo per caso utilizzare il file infetto? (nn posso perchè cm ho già detto mi impedisce di fargli qualsiasi cosa)

Grazie mille per le risposte:)

quando la connessione fa così è perchè non riesce a contattare correttamente il router..
quindi puoi inserire nel campo DNS Server l'ip del router e idem per il campo "gateway"...
ovviamente a questo punto puoi impostare nel tuo pc l'uso di un ip fisso impostandoti un indirizzo non in uso..
esempio:
IP: 192.168.1.2

DNS: 192.168.1.1

Gateway: 192.168.1.1

Mi sa che cmq ha coinvolto la cartella dove sta e cioè la cartella Incoming di Emule perchè quando ci entro inizia a fare casino.

inizia a fare casino perchè hai probabilmente file avi dentro lì o immagini...

Dopo un po' di peripezie ho fatto le pulizie cn i due programmi e adesso mi appresto a fare le scansioni, il link per quella con ADS Scanner 2.0 nn mi funge fa lo stesso??? Se è facoltativo.... parto con la seconda...

ai provato il metodo alternativo a ADS Scanner ?

emmm no, stupidamente nn avevo notato :stordita:, allora mi scarico HiJackThis e provvedo, intanto sto già facendo la seconda, va bene lo stesso?

Domanda forse stupida...le scansioni si possono fare tutte contemporaneamente? (sempre che il pc regga)

Ecco il primo log :

61984

Ecco il secondo:

61987

Vado con la terza!

Domanda forse stupida...le scansioni si possono fare tutte contemporaneamente? (sempre che il pc regga)

Qualcuno può rispondere a questa domanda, scusate l'insistenza ma se potessi risparmierei moltissimo tempo....:)

Ecco il terzo:

C:\Documents and Settings\Edoardo\Impostazioni locali\Temp\OnlineScanner\ols_report.html

meglio se le fai una alla volta nell'ordine della guida
l'ultimo allegato non c'è...

Eccolo scusatemi ma nn sapevo cm metterlo...:)

Scanning Report
Monday, May 05, 2008 19:19:34 - 20:15:56
Computer name: WELLCOME
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 40712
System: 3496
Not scanned: 8
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{A6CB2192-5EA3-4053-A17A-A3EAD15960D5}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-05-05
F-Secure AVP: 7.0.171, 2008-05-05
F-Secure Pegasus: 1.20.0, 2008-02-28
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

usa il comando apposta per gli allegati ;)
vai con prevx 1.6, gmer e Hijackthis

dr web cure it nn è necessario?neanche ESET SysInspector ???

un antivirus l'hai già usato per il momento fai quelli che ti ho elencato, eset fallo se hai tempo

:) Prima di fare ulteriori scansioni mi sto chidendo se sia necessario.... (nn voglio sembrare presuntuoso) cioè il file infetto sn quasi sicuro che sia il film perchè è da quando l'ho scaricato che il pc mi da problemi, inoltre (cm ho già scritto) ogni volta che cerco di lavorarci su ed ogni volta che anche solo entro nella cartella in cui si trova, succede sempre che il pc si rallenta di molto per il fatto che (suppongo) il processo explorer.exe aumenta enormemente il suo utilizzo improvvisamnte sia di cpu che di ram.... sbaglio??? Vi prego rispondete... Grazie

se c'è anche la commessione limitata non penso sia per la sola presenza di un film... sicuro che non trovi quelle chiavi di registro da modificare per poterlo cancellare?

Allora, la connessione limitata adesso sn riuscito a risolverla, mentre la chiave di registro di cui parlate nn mi pare proprio di averla trovata.... nn c'è proprio modo di eliminare sto maledetto file (tra l'altro nn so nemmeno se sia in formato avi poichè nn mi fa andare su proprietà per il fatto che dice che lo sta utilizzando un'altro programma)???

Potrebbe non essere un virus ma semplicemente un bug di windows
VAi su Start -> Esegui -> digita regedit (invio)
Sulla parte sinistra naviga fino alla chiave:
HKEY_CLASSES_ROOT\SystemFileAssociations\.avi \shellex\PropertyHandler
Poi nella finestra di destra click destro su Predefinito -> Elimina -> Riavvia
Ora i file .avi dovrebbero essere più facili da cancellare
Nel caso ci siano ancora ploblemi facci sapere
Ciao

Sn veramente un idiota, adesso la chiave l'ho trovata, quando alla fine dici: "riavvia" devo riavviare il pc?

Rispondete vi prego!!!!:help: :help: :help:

prova se riesci a cancellarlo ora ma penso che ci vada il riavvio

Se faccio sia quello che ha detto xcdegasp che quello che ha detto wjmat va bene lo stesso??? Vi prego rispondetemi, lo so che ho fatto una cazzata ma almeno magari risolvo sta c---o di situazione.... spero nel vostro aiuto grazie:)

io avevo risolto solo con la chiave che ti ho detto io, prova a riavviare se non va ancora provi l'altra

GRAZIE MILLE!!!GRAZIE MILLE!!!GRAZIE MILLE!!!! Sei un vero genio (e io un vero idiota), mi è bastato cambiare quella cazzata ed è tornato tutto a posto!!! Grazie veramente wjmat nn so cm avrei fatto senza di te, WJMAT SEI UN GRANDE!!!

Grazie ancora:)

Se pensi di essere a posto dai un'occhiata al Trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Ciao

@ Kurt69:
non devi chiedere 300 volte conferma per qualsiasi cosa, se c'è scritto "poi riavvia il pc" sdignifica solo RIAVVIA IL PC!
così anche per il resto, mi sembra d'esere stato inequivocabile con l'ìordine da seguire per le scansioni.. ho scritto per caso estraete a sorte un programma? o ho scritto mettete in esecuzione più scansioni possibili, se regge il pc la prima che finisce vince??

se non hai tempo e voglia da dedicare alle scxansioni che ti vengono man mano richieste devi semplicemente avviare PrevxCSI e seguire le indicazioni a video, veloce, preciso efficace e se hai richieste da fare puoi scrivere all'assistenza di Prevx che non attendono altro di essere contattati :D

quindi per cortesia scegli, se opti per seguire le nostre indicazioni sei pregato di non fare 300 domande di conferma e sopratutto sei diffidato da agire di testa tua. il pc è tuo è vero ma è altresì vero che come stai agendo sarebbero solo tuoi i danni che arrecheresti! patti chiari amicizia lunga :)