PDA

View Full Version : Chiave di registro sospetta si ricrea automaticamente


qwerty_zaqwsx
04-06-2008, 09:28
Salve a tutt*, ho sempre considerato questo forum un luogo mitico, putroppo per la prima volta ho bisogno del vostro aiuto.

Dunque. La mia situazione è questa:
dopo aver utilizzato la mia chiavetta usb su un pc altrui, mi sono portata a casa un regalino...
Nod32 ha rilevato che il file C:\WINDOWS\system32\dllcache\iexplorer.exe è probabilmente una variante di Win32/IRCBot cavallo di troia posto in quarantena. - cancellato (tale file veniva creato da un autorun.exe che mi si era copiato sulla chiavetta).
Il problema ora è questo: nella cartella C:\WINDOWS\system32\dllcache\ il programma "iexplorer.exe" non c'è più, rimane invece "iexplore.exe" che è quello buono (questione di "R") ma - ecco il fatto - continua a crearmisi una chiave di registro
che vorrebbe farmi avviare explorer all'avvio, la chiave è in HKCU\Software\Microsoft\Windows\CurrentVersion\Run e il valore è C:\WINDOWS\SYSTEM32\DLLCACHE\IEXPLORE.EXE
(notare che la chiave punta al file di sistema non a iexploreR [bhò])

WinPatrol non mi aiuta a eliminare la creazione della chiave, se la cancello a mano si ricrea da sè, il che dovrebbe significare che c'è qualche processo attivo che continua a ricrearla giusto?
Ho passato il sistema con: SpyBot, Prevx CSI, Panda Anti-Rootkit, ma niente....

voi guru che dite?
Allego log di HjT

ciaussss,

qwerty

wjmat
04-06-2008, 09:40
Ciao benvenuto nel pronto soccorso di HU.
Dal log si vede solo quella voce 04....
Leggi bene le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui bene la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
immagine della schermata di PrevxCSI in caso di rilevazioni


In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi.
Intanto che aspetti la nostra assistenza, o durante le scansioni lunghe, comincia a leggerti il trattamento di prevenzione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) così comincerai a comprendere eventuali problemi della configurazione di sicurezza del tuo pc. Solo al termine della pulizia, leggi l'ultimo punto di questo trattamento, per eliminare programmi e tool che ti abbiamo fatto utilizzare e che non ti serviranno più....si spera ;)

Ciao

qwerty_zaqwsx
04-06-2008, 10:26
ok, mi metto al lavoro!!!!