Ciao ragazzi sono nuovo di questo bellissimo forum. Vi scrivo perchè ho un problema con dei file che non riesco a cancellare.
Premetto che ho effettuato una scansione con hijackthis e il risultato è stato che non riesco ad eliminare tre file.
I file sono:


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 1159680172 auto.search.msn.com

Nonostante io vada su fix cecked di hijackthis per eliminarli, questi file ritornano sempre...come posso fare per distruggerli per sempre?
Aiutatemiiii
:help:

allora nail.exe è un trojan

http://www.processlibrary.com/directory/files/nail/

Messa così, è difficile dare una risposta a tutto.
Però.....

1) Nail.exe è un trojan .. probabolmente viene richiamato da una entry nel registro di sistema. Per rimuoverla è necessario avere il report di Hijackthis.


ecco come farlo

E pensare che fosse una cosa semplice. Ma mi sbagliavo leggendo questo soluzione di rimozione.
Prova a dare un'occhiata qui e segui i passi che dice:
http://www.geekstogo.com/forum/Nailexe_and_Aurora_problem-t20046.html

Hai provato fargli fare la scansione in modalitò provvisoria?
Se fai msconfig noti qualche programma in esecuzione "strano" che possa essere associato a qualche malware?
Prova ad andar enel registro (se hai xp) alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellare le voci che reputi malware.

Prova ad andar enel registro (se hai xp) alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellare le voci che reputi malware.
però prima di fare una cosa del genere

è meglio verificare con il google che file sono ;)

Conoscere almeno i programmi che vengono caricati dal nostro xp (usando msconfig possiamo capire, anche tramite il link accanto ad esso, che cosa sono) è obbligatorio al giorno di oggi... :mad: :Prrr:

Ho trovato un'interessantissima pagina circa la rimozione di nail.exe.

http://spywarewarrior.com/viewtopic.php?t=14683

IMHO è un pezzo di bravura. :)

Ragazzi ma non riesco a scaricare il nail fix....la pagina che mi avete dato non è corretta.....come posso fare???? :mc:

Ragazzi ma non riesco a scaricare il nail fix....la pagina che mi avete dato non è corretta.....come posso fare???? :mc:

Nailfix scaricalo da qui:

http://www.techmonkeys.co.uk/downloads/files/nailfix.zip

Nailfix scaricalo da qui:

http://www.techmonkeys.co.uk/downloads/files/nailfix.zip
;) ;) ;)

ottimo il link lo salvo per il futuro :D

Ok ho scaricato il fix sul desktop...adesso cosa devo fare? scusate la mia ignoranza... :(

ragazzi? ci siete? ho scaricato il fix cosa devo fare adesso?
:help:

Ok ho scaricato il fix sul desktop...adesso cosa devo fare? scusate la mia ignoranza... :(

Estrai i file dalla cartella compressa e lnaci l'eseguibile ;)

L'ho fatto ma non me lo elimina

Ragazzi nail.exe non c'è più!! dovrei essere riuscit ad eliminarlo!!( ma non è che ritorna poi??? :eek: )

Invece per gli altri due come posso fare per toglierli? Vi ricordo che sono:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm

O1 - Hosts: 1159680172 auto.search.msn.com

Ragazzi nail.exe non c'è più!! dovrei essere riuscit ad eliminarlo!!( ma non è che ritorna poi??? :eek: )

Invece per gli altri due come posso fare per toglierli? Vi ricordo che sono:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm

O1 - Hosts: 1159680172 auto.search.msn.com
penso che togliendo il ripristino di sistema...

vai in modalità prov. fai il fix di quei file

torni in windows e fai il log per vedere se son spariti

e dopo puoi riabilitare il ripristino

Ho fatto come hai detto tu ma niente....ho disattivato il ripristino config sistema, sono entrato in modalità provvisoria, ho fixato i due file che sono spariti. Poi però sono rientrato in modalità normale ho rifatto la scansione i file c'erano nuovamente...come posso fare????

Ho fatto come hai detto tu ma niente....ho disattivato il ripristino config sistema, sono entrato in modalità provvisoria, ho fixato i due file che sono spariti. Poi però sono rientrato in modalità normale ho rifatto la scansione i file c'erano nuovamente...come posso fare????
dammi il log completo ;)

Ecco il log

Logfile of HijackThis v1.99.0
Scan saved at 21.43.59, on 16/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Andrea\Documenti\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{082A3B6C-3970-4ACC-B3CE-AF34B64E56A8}: NameServer = 69.50.188.180,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{71711E42-6837-40A1-9F69-F430A7C229FC}: NameServer = 69.50.188.180 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD509551-F0B1-41A0-AE43-7CDF5489A285}: NameServer = 69.50.188.180,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{082A3B6C-3970-4ACC-B3CE-AF34B64E56A8}: NameServer = 69.50.188.180,85.255.112.5
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

Fixa:
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat

Questa la conosci: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm se non la conosci fixala.

li ho fixati ma non vanno via restano quei due maledetti....

Prova a scansionare con questi 2 programmi: http://www.ewido.net/en/
http://www.trendmicro.com/download/trial/trial-as.asp

ho scansionato con ewido ma niente non me lo leva...l?altro programma invece non me lo apre nemmeno il link non è valido...

http://www.trendmicro.com/download/trial/trial-as.asp
Per questo sito mi dice che è impossibile visualizzare la pagina...

Prova a lanciare regedit da: start-esegui

controlla la voce in:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

dovresti trovare la stringa: %SystemRoot%\System32\drivers\etc

se non è così, potresti essere infetto da: CoolWebSearch

il removal tool lo trovi qui:
http://www.intermute.com/spysubtract/cwshredder_download.html

Bluepix niente da fare....gli ho fatto la scansione con quel programma che mi hai detto ma i file ci sono sempre...in effetti rileva i due file e sembra che li rimuova ma poi alla scansione successiva ci sono sempre.
Ma siete sicuri che sia possibile eliminarli? Forse non è possibile :cry:

Bluepix niente da fare....gli ho fatto la scansione con quel programma che mi hai detto ma i file ci sono sempre...in effetti rileva i due file e sembra che li rimuova ma poi alla scansione successiva ci sono sempre.
Ma siete sicuri che sia possibile eliminarli? Forse non è possibile :cry:
niente è impossibile :D

Controllando bene il registro di sistema e guardando su google c'è un file che non mi piace molto:

C:\WINDOWS\system32\svchost.exe


Io penso che a livello di programmi questi due file non siano eliminabili.
Forse vanno eliminati entrando nel registro di sistema in modalità safemode ma non saprei come

Controllando bene il registro di sistema e guardando su google c'è un file che non mi piace molto:

C:\WINDOWS\system32\svchost.exe



E' un file di sistema. Non toccarlo.

Controllando bene il registro di sistema e guardando su google c'è un file che non mi piace molto:

C:\WINDOWS\system32\svchost.exe


è nel posto giusto... ;)

se era in un altra cartella.allora si che dovevi preoccupare

prova a fare una scansione con

http://www.filehippo.com/download_ad-aware.html

http://www.adwareaway.com/

Bluepix niente da fare....gli ho fatto la scansione con quel programma che mi hai detto ma i file ci sono sempre...in effetti rileva i due file e sembra che li rimuova ma poi alla scansione successiva ci sono sempre.
Ma siete sicuri che sia possibile eliminarli? Forse non è possibile :cry:

Hai fatto la scansione in modlaità provvisoria, disabilitando il ripristino di sistema?

Per Bravo Gt :

Ho usato Ad Aware (che tra l'altro già avevo) e non li toglie.

Per Dardalo :

Ho fatto tutte le scansioni possibili è immaginabili in modalità provvisoria con i seguenti programmi: Ad Aware, CwShredder ( che peraltro oggi a differenza di ieri non rileva più il troyan Coolwebsearch), Ewido Security, CCleaner, Hijackthis (che continua sempre a vedere i due maledetti file).
Adesso fra poco mi trasformo in programma e ci entro io in modalità safemode con un bel cacciaviti e rompo il c.... a quei maledetti file :muro:

Per Bravo Gt :

Ho usato Ad Aware (che tra l'altro già avevo) e non li toglie.

Per Dardalo :

Ho fatto tutte le scansioni possibili è immaginabili in modalità provvisoria con i seguenti programmi: Ad Aware, CwShredder ( che peraltro oggi a differenza di ieri non rileva più il troyan Coolwebsearch), Ewido Security, CCleaner, Hijackthis (che continua sempre a vedere i due maledetti file).
Adesso fra poco mi trasformo in programma e ci entro io in modalità safemode con un bel cacciaviti e rompo il c.... a quei maledetti file :muro:
cacchio :muro:

http://www.p2pforum.it/forum/archive/index.php/t-30944.html

leggi l'ultimo post e fai come dice lui...

e poi facci sapere :)

MIRACOLOOOOOOOOOOOOO :D :D :D :D


Webtraccer se n'è andato ben bene a fare in c....!!!!!!!!!!!

Allora ragazzi ho fatto come mi ha detto BRAVO Gt83 :
1) Ho scaricato il programma AdAware Away dal sito http://www.adwareaway.com/

2) Ho riavviato e sono entrato in modalità provvisoria

3) Ho lanciato il programma Adaware Away

4) Una volta aperto il programma sono andato nella sezione " Remover Hijackers" ed ho cercato WebTracer.cc HiJackers.cc l'ho evidenziato e gli ho fatto Scan one. A quel punto mi trovato i due oggetti maledetti.
Quindi ho premuto remove e me ne ha levato 1 dei due (per la precisione mi ha eliminato R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm ).

5) Ho riavviato il pc

6) Ho lanciato il programma HiJackthis e gli ho fatto la scansione. Con mia enorme sorpresa era sparito il file R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm ), mentre c'era solo O1 - Hosts: 1159680172 auto.search.msn.com .

7) Ho fixato O1 - Hosts: 1159680172 auto.search.msn.com

8) Ho rifatto con la scansione con Hijackthis ed anche il secondo file è sparito


Ragazzi volevo ringraziarvi per l'aiuto e la pazienza con la quale mi avete seguito!!! Senza di voi non ce l'avrei fatta ;)

MIRACOLOOOOOOOOOOOOO :D :D :D :D


Webtraccer se n'è andato ben bene a fare in c....!!!!!!!!!!!

Allora ragazzi ho fatto come mi ha detto BRAVO Gt83 :
1) Ho scaricato il programma AdAware Away dal sito http://www.adwareaway.com/

2) Ho riavviato e sono entrato in modalità provvisoria

3) Ho lanciato il programma Adaware Away

4) Una volta aperto il programma sono andato nella sezione " Remover Hijackers" ed ho cercato WebTracer.cc HiJackers.cc l'ho evidenziato e gli ho fatto Scan one. A quel punto mi trovato i due oggetti maledetti.
Quindi ho premuto remove e me ne ha levato 1 dei due (per la precisione mi ha eliminato R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm ).

5) Ho riavviato il pc

6) Ho lanciato il programma HiJackthis e gli ho fatto la scansione. Con mia enorme sorpresa era sparito il file R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm ), mentre c'era solo O1 - Hosts: 1159680172 auto.search.msn.com .

7) Ho fixato O1 - Hosts: 1159680172 auto.search.msn.com

8) Ho rifatto con la scansione con Hijackthis ed anche il secondo file è sparito


Ragazzi volevo ringraziarvi per l'aiuto e la pazienza con la quale mi avete seguito!!! Senza di voi non ce l'avrei fatta ;)


bene bene ottimo :D