File incancellabili

[rommedal99]

Ciao ragazzi sono nuovo di questo bellissimo forum. Vi scrivo perchè ho un problema con dei file che non riesco a cancellare.
Premetto che ho effettuato una scansione con hijackthis e il risultato è stato che non riesco ad eliminare tre file.
I file sono:


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 1159680172 auto.search.msn.com

Nonostante io vada su fix cecked di hijackthis per eliminarli, questi file ritornano sempre...come posso fare per distruggerli per sempre?
Aiutatemiiii

[BravoGT83]

allora nail.exe è un trojan

http://www.processlibrary.com/directory/files/nail/

Quote:

Originariamente inviato da bluepix

Messa così, è difficile dare una risposta a tutto.
Però.....

1) Nail.exe è un trojan .. probabolmente viene richiamato da una entry nel registro di sistema. Per rimuoverla è necessario avere il report di Hijackthis.

ecco come farlo

Quote:

Originariamente inviato da bluepix

E pensare che fosse una cosa semplice. Ma mi sbagliavo leggendo questo soluzione di rimozione.
Prova a dare un'occhiata qui e segui i passi che dice:
http://www.geekstogo.com/forum/Naile...em-t20046.html

[Fabio Norway Storm]

Hai provato fargli fare la scansione in modalitò provvisoria?
Se fai msconfig noti qualche programma in esecuzione "strano" che possa essere associato a qualche malware?
Prova ad andar enel registro (se hai xp) alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellare le voci che reputi malware.

[BravoGT83]

Quote:

Originariamente inviato da Fabio Norway Storm

Prova ad andar enel registro (se hai xp) alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellare le voci che reputi malware.

però prima di fare una cosa del genere

è meglio verificare con il google che file sono

[Fabio Norway Storm]

Conoscere almeno i programmi che vengono caricati dal nostro xp (usando msconfig possiamo capire, anche tramite il link accanto ad esso, che cosa sono) è obbligatorio al giorno di oggi...

[bluepix]

Ho trovato un'interessantissima pagina circa la rimozione di nail.exe.

http://spywarewarrior.com/viewtopic.php?t=14683

IMHO è un pezzo di bravura.

[rommedal99]

Ragazzi ma non riesco a scaricare il nail fix....la pagina che mi avete dato non è corretta.....come posso fare????

[bluepix]

Quote:

Originariamente inviato da rommedal99

Ragazzi ma non riesco a scaricare il nail fix....la pagina che mi avete dato non è corretta.....come posso fare????

Nailfix scaricalo da qui:

http://www.techmonkeys.co.uk/downloa...es/nailfix.zip

[BravoGT83]

Quote:

Originariamente inviato da bluepix

Nailfix scaricalo da qui:

http://www.techmonkeys.co.uk/downloa...es/nailfix.zip

ottimo il link lo salvo per il futuro

[rommedal99]

Ok ho scaricato il fix sul desktop...adesso cosa devo fare? scusate la mia ignoranza...

[rommedal99]

ragazzi? ci siete? ho scaricato il fix cosa devo fare adesso?

[Dardalo]

Quote:

Originariamente inviato da rommedal99

Ok ho scaricato il fix sul desktop...adesso cosa devo fare? scusate la mia ignoranza...

Estrai i file dalla cartella compressa e lnaci l'eseguibile

[rommedal99]

L'ho fatto ma non me lo elimina

[rommedal99]

Ragazzi nail.exe non c'è più!! dovrei essere riuscit ad eliminarlo!!( ma non è che ritorna poi??? )

Invece per gli altri due come posso fare per toglierli? Vi ricordo che sono:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm

O1 - Hosts: 1159680172 auto.search.msn.com

[BravoGT83]

Quote:

Originariamente inviato da rommedal99

Ragazzi nail.exe non c'è più!! dovrei essere riuscit ad eliminarlo!!( ma non è che ritorna poi??? )

Invece per gli altri due come posso fare per toglierli? Vi ricordo che sono:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm

O1 - Hosts: 1159680172 auto.search.msn.com

penso che togliendo il ripristino di sistema...

vai in modalità prov. fai il fix di quei file

torni in windows e fai il log per vedere se son spariti

e dopo puoi riabilitare il ripristino

[rommedal99]

Ho fatto come hai detto tu ma niente....ho disattivato il ripristino config sistema, sono entrato in modalità provvisoria, ho fixato i due file che sono spariti. Poi però sono rientrato in modalità normale ho rifatto la scansione i file c'erano nuovamente...come posso fare????

[BravoGT83]

Quote:

Originariamente inviato da rommedal99

Ho fatto come hai detto tu ma niente....ho disattivato il ripristino config sistema, sono entrato in modalità provvisoria, ho fixato i due file che sono spariti. Poi però sono rientrato in modalità normale ho rifatto la scansione i file c'erano nuovamente...come posso fare????

dammi il log completo

[rommedal99]

Ecco il log

Logfile of HijackThis v1.99.0
Scan saved at 21.43.59, on 16/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Andrea\Documenti\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{082A3B6C-3970-4ACC-B3CE-AF34B64E56A8}: NameServer = 69.50.188.180,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{71711E42-6837-40A1-9F69-F430A7C229FC}: NameServer = 69.50.188.180 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD509551-F0B1-41A0-AE43-7CDF5489A285}: NameServer = 69.50.188.180,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{082A3B6C-3970-4ACC-B3CE-AF34B64E56A8}: NameServer = 69.50.188.180,85.255.112.5
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

[andorra24]

Fixa:
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat

Questa la conosci: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm se non la conosci fixala.

[rommedal99]

li ho fixati ma non vanno via restano quei due maledetti....