(win xp)una variante di Win32/Kryptik.GN trojan horse

[nikteridha]

Ciao
mi presento,mi chiamo Bruno e anche se vi leggo da un po' di tempo questo è il mio primo post (spero di non fare gaffes).
Non sono un'esperto di pc e quando vi leggo non sono in grado di capire buona parte di quello che scrivete!!Veniamo al dunque,il mio pc negli ultimi tempi è un po' rallentato in generale compresa l'adsl.Ieri ho scaricato il nod32 e dopo la scansione ho avuto questo risultato,vorrei sapere come procedere per cancellare il file?Grazie
02/04/2009 3.40.49 Protezione file system in tempo reale file D:\System Volume Information\_restore{8E22A09B-5FA9-4D7D-AA94-E1C620578F4F}\RP197\A0046735.exe una variante di Win32/Kryptik.GN trojan horse impossibile disinfettare NT AUTHORITY\SYSTEM Si è verificato un evento in un file modificato dall'applicazione: C:\WINDOWS\System32\svchost.exe.

[Chill-Out]

Ciao disabilita il Ripristino configurazione sistema

Windows XP

* tasto destro del mouse sull'icona Risorse del Computer
* seleziona la voce Proprietà
* apri la scheda Ripristino configurazione di Sistema
* spunta la voce Disattiva ripristino configurazione di sistema
* conferma, la modifica, con Applica e, poi Ok

ripeti scansione completa col Nod ed allega il log su uno dei Server Remoti iindicati nelle Regole di sezione in firma

[nikteridha]

ok
grazie

[nikteridha]

il risultato è questo:
<?xml version="1.0" encoding="utf-8" ?>
- <ESET>
- <LOG>
- <RECORD>
- <COLUMN NAME="Ora">
<DATE>02/04/2009</DATE>
<TIME>3.40.49</TIME>
</COLUMN>
<COLUMN NAME="Scanner">Protezione file system in tempo reale</COLUMN>
<COLUMN NAME="Oggetto">file</COLUMN>
<COLUMN NAME="Nome">D:\System Volume Information\_restore{8E22A09B-5FA9-4D7D-AA94-E1C620578F4F}\RP197\A0046735.exe</COLUMN>
<COLUMN NAME="Minaccia">una variante di Win32/Kryptik.GN trojan horse</COLUMN>
<COLUMN NAME="Azione">impossibile disinfettare</COLUMN>
<COLUMN NAME="Utente">NT AUTHORITY\SYSTEM</COLUMN>
<COLUMN NAME="Informazioni">Si è verificato un evento in un file modificato dall'applicazione: C:\WINDOWS\System32\svchost.exe.</COLUMN>
</RECORD>
</LOG>
</ESET>

[wjmat]

il ripristino è disattivato su tutte le unità?

[nikteridha]

si prima della scansione ho disattivato tutto

[wjmat]

il log segna le 3:40, è quello relativo all'ultima scansione??
vedi se riesci a trovare un log semplicemente di testo

[nikteridha]

no wjmat non e' l'ultima ma e' la precedente cioè quella fatta senza la disattivazione. l'ultima scansione,con la disattivazione è finita alle 19.40 e quel file non compare...comunque il testo e' questo:
02/04/2009 3.40.49 Protezione file system in tempo reale file D:\System Volume Information\_restore{8E22A09B-5FA9-4D7D-AA94-E1C620578F4F}\RP197\A0046735.exe una variante di Win32/Kryptik.GN trojan horse impossibile disinfettare NT AUTHORITY\SYSTEM Si è verificato un evento in un file modificato dall'applicazione: C:\WINDOWS\System32\svchost.exe.

[wjmat]

vogliamo vedere quello nuovo pulito

[nikteridha]

scusami,cerca di avere pazienza,dove trovo il log pulito!?

[wjmat]

devi rifare la scansione, se non l'hai già fatta
nod non lo conosco, ma deve eserci il modo per salvare il log/report/rapporto

[nikteridha]

forse questo?
02/04/2009 13.10.40 Memoria operativa;A:\Settore di avvio;A:\;C:\Settore di avvio;C:\;D:\Settore di avvio;D:\;F:\Settore di avvio;F:\;G:\Settore di avvio;G:\ 969229 9 9 Completato

[Chill-Out]

Quote:

Originariamente inviato da nikteridha

forse questo?
02/04/2009 13.10.40 Memoria operativa;A:\Settore di avvio;A:\;C:\Settore di avvio;C:\;D:\Settore di avvio;D:\;F:\Settore di avvio;F:\;G:\Settore di avvio;G:\ 969229 9 9 Completato

Pulito se desideri puoi riattivare il Ripristino conf.sistema

[nikteridha]

grazie per l'aiuto
grazie per la pazienza
se rifaccio girare nod non dovrebbe comparire piu' niente?!

[Chill-Out]

Quote:

Originariamente inviato da nikteridha

grazie per l'aiuto
grazie per la pazienza
se rifaccio girare nod non dovrebbe comparire piu' niente?!

In funzione di ciò

Quote:

02/04/2009 13.10.40 Memoria operativa;A:\Settore di avvio;A:\;C:\Settore di avvio;C:\;D:\Settore di avvio;D:\;F:\Settore di avvio;F:\;G:\Settore di avvio;G:\ 969229 9 9 Completato

direi di si, questo vuol dire che Nod ha già girato o sbaglio?

[nikteridha]

si ha girato su tutto il pc,ha impiegato circa 6\7 ore per la scansione completa.

[nikteridha]

Ora il pc risulta privo di file infetti.Prima di usare il nod 32 usavo zone alarm e tutt'ora è ancora installato sul pc,l'ho solo disattivato.Ad ogni riavvio si presenta, con la finestra che allego,il file (System32\svchost.exe.)http://freefilehosting.net/show/46ef5che ha generato il virus che nod32 non riusciva a cancellare.Quando non non accetto il file si apre un'altra finestra (secondo allegato )http://freefilehosting.net/show/46efb con un file diverso...gentilmente vorrei sapere da voi come eliminare questo problema.
grazie

[Chill-Out]

Quote:

Originariamente inviato da nikteridha

Ora il pc risulta privo di file infetti.Prima di usare il nod 32 usavo zone alarm e tutt'ora è ancora installato sul pc,l'ho solo disattivato.Ad ogni riavvio si presenta, con la finestra che allego,il file (System32\svchost.exe.)http://freefilehosting.net/show/46ef5che ha generato il virus che nod32 non riusciva a cancellare.Quando non non accetto il file si apre un'altra finestra (secondo allegato )http://freefilehosting.net/show/46efb con un file diverso...gentilmente vorrei sapere da voi come eliminare questo problema.
grazie

Sono richieste legittime