Un.exe maledetto!!!

[osa]

Improvvisamente, viene generto in C:\ un file un.exe, il quale crea altri eseguibili in Temp, che se non fosse per Zone Alarm farebbe si che la linea cadesse, potreste aiutarmi ad eliminare questo fastidio. Ho Xp con una connessione ADSL.

[Lestat_1978]

Ciao ma...hai già provato con qualche antispy?

o controllato nel registro magari nella chiave run,runonce facendo una ricerca del nome di quel file?

[midian]

fai un controllo con ad-ware

[osa]

Ho provato con XoftSpy e Spybot - Search & Destroy, ora provo anche con Ad-aware poi vi faccio sapere.

[groot]

Quote:

Originariamente inviato da osa

Ho provato con XoftSpy e Spybot - Search & Destroy, ora provo anche con Ad-aware poi vi faccio sapere.

parti in modalità provvisoria.. cerca il file cancellalo crea un txt dinominalo un.exe e dagli solo lettura.. poi riavvi e fai pulizia con tutti i programmi necessari...

[starsat]

E' successo anche a me su un pc di un cliente, l'ho scoppiato con anti-spy info.
Era un file che si chiamava 1.dll e tutte le volte che ripartivo mi creava un exe proprio come succede a te.

ciao

[Bounty_]

Premessa: complimenti per l'idea a Groot.

Quote:

Originariamente inviato da groot

parti in modalità provvisoria.. cerca il file cancellalo crea un txt dinominalo un.exe e dagli solo lettura.. poi riavvi e fai pulizia con tutti i programmi necessari...

Se, cercando con google con il nome del file malintenzionato [ma :attenzione non aprire la pagina internet
(potrebbe essere quella del creatore del tuo danno) apri la "copia cache" di google]
non trovi un tutorial che ti spiega come cavartela nel caso specifico.

Attenzione "Zone Alarm" ed altri personal firewall se non hanno una password
alfanumerica complessa e di 12cifre per le impostazioni, possono essere aggirati
da a due processi gia' entrati nel computer :uno che passa le chiavi al firewall
(fa' cioe' come se una persona stesse usando la tua tastiera ed il tuo mouse)
per autorizzare l'altro ad uscire.
Cio' almeno secondo la rivista Linux&c.
A me' il problema non mi tocca ho sempre usato suddetta password.

Io di solito procedo cosi': se vuoi fai come me'.
0} Fai una copia del registro di sistema.
1} Spegni tutti i programmi non necessari. Verifica con " CTRL + ALT + CANC "

nel task_manager i processi per capire quale faccia parte o no del
malintenzionato [se non conosci il processo fai una ricerca con google ma,
attenzione non aprire la pagina internet (potrebbe essere quella del
creatore del tuo danno), apri invece la copia cache di google].
Per l'identificazione dei processi nocivi e' utile non solo il nome ma anche
il percorso dove un file con un nome apparentemente innoquo e' situato
se e' in un posto che non gli compete puzza di nocivo camuffato;
per verificare cio' fai -start -programmi -accessori -utilita' di sitema
-microsoft system information -+Ambiente Software -Task in esecuzione
e vedi i percorsi.

2}

A) I processi sospetti prendine nota del nome su carta,

Apri esplora risorse -strumenti -opzioni cartella -visualizza,
seleziona mostra tutti i file (togli la spunta da nascondi le estensioni
dei file... .)
Fai un bellissimo trova in tutte le unita' con i nomi dei sospetti,
-selezionali -tasto destro, proprieta' togli qualsiasi spunta: da
-nascosto, -archivio, -di sistema.
Ora devi decidere se i sospetti sono da eliminare: la responsabilita'
e' tua.
Eliminali: prima dai processi attivi nel task_manager richiamato con
" CTRL + ALT + CANC " poi dalla finestra del trova selezionali e puoi
fare due cose:

1_ segnarti su carta il percorso dove sono, rinominarli:
pinco.txt , pallino.txt , ecc.txt tagliarli e incollarli
in una cartella chiamata "vi ho beccato eh" cartella
che metti in C:\
2_ eliminarli.

Se non funziona, spesso ci sono due o piu' processi attivi o, due
copie dello stesso (chiamate istanze) ciascuno che puo' ricreare
e attivare l'altro pure mettendolo in un nuovo percorso chissaddove
e pure dandogli un nome nuovo generato casualmente.
(mi e' capitato 2 volte ma li fatti neri cavolo).
In questo caso procedi cosi': individuali nel task_manager richiamato
con " CTRL + ALT + CANC " ora, al contrario di prima sarebbe meglio
che il sistema sia un po' impegnato ma, con un'applicazioni di cui
sei sicuro che non ti abbiano portato alcun elemento nocivo.
Seleziona gli elementi nocivi nel task_manager fai:
-tasto destro
-imposta priorita' = piu' bassa possibile
Ora vediamo se sei veloce come "Billy the Kid".
La procedura di cui sopra ti da' il vantaggio di qualche attimo prima
che un processo si accorga che l'altro l'hai terminato e quindi lo
ricostruisca.
Quindi termina i processi nocivi e selezionali nella finestra del trova ed
eliminaliii. Veloce che non e' finita:

Fai -Start -Esegui -Regedit -modifica -trova cerca i nomi dei nocivi
e ora devi decidere se i sospetti sono da eliminare: la responsabilita'
e' tua. Elimina cio' che ritieni. -F3 cerca successivo finche' non hai
passato tutto il registro di sistema.
Sempre in regedit vai in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
e nelle cartelle Run.... verifica che non ci sia il nome di qualche nocivo
queste cartelle contengono i programmi che il computer deve far
partire all'avvio oppure che non deve far partire "Run-" fai la stessa
cosa in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\...
Non ci siamo ancora, entra in modalita' provvisoria premendo F8
all'avvio e ripeti la procedura.

Quasi quasi dopo tutto sto papiro chiedo il passaggio a "senior member".
Ciao

[Psiche]

Spostato in A & S