Virus - come cancellarlo?

**Luciano79** · 06-06-2006, 16:22

Ciao a tutti,
purtroppo ho poche ore di tempo per eliminare il seguente virus:
compare una finestra verde col titolo "XXX ADULT KEY", il messaggio sconcio, e per info adultkey@@gmail.com
Con AVG non ho trovato niente.
Per ora ho solo eliminato da EsecuzioneAutomatica i collegamenti e ho cancellato la cartella contenente il programma.
Se riavvio il pc ricompare la solita finestra (che dal task manager non vedo). La cartella che ho eliminato in precedenza non viene ricreata e non c'è niente in esecuzione automatica. Allora mi chiedo: come fa a partire all'avvio di Windows? (W2000) Nel registro esiste una sezione dedicata ai programmi che partono in automatico? Dove posso guardare?
Sarebbe addirittura il massimo se qualcuno di voi ci ha già avuto a che fare.
Grazie in anticipo!

**holifay** · 06-06-2006, 16:48

Di chiavi di registro che avviano i processi ce ne sono molte. Alcune sono queste:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\RunOnce
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C urrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\RunServices
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\RunServicesOnce
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\RunOnce\\Setup

Quel dialer si annida probabilmente in qualche cartella temporanea da cui devi cancellarlo. Procedura ultra-rapida: scarica ATFCleaner da Atribune e salvalo sul desktop

Riavvia in modalità provvisoria premendo F8 al boot

Avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All. Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera (se vuoi mantenere le password deseleziona la rispettiva casella). Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Riavvia in modalità normale e ripeti l´operazione.

Come va? Se non hai risolto, segui la guida (procedura lenta

)
http://forum.html.it/forum/showthrea...hreadid=811189

Ciao

**Luciano79** · 06-06-2006, 17:09

TNX!

Provo al volo e ti faccio sapere l'esito nel giro di una mezzoretta

**Luciano79** · 06-06-2006, 17:31

Purtroppo non è compatibile con Windows2000.
Vada per la procedura lenta...

**holifay** · 06-06-2006, 17:56

be...svuota tu le cartelle temporanee del PC:

C:/temp
C:/windows/temp
C:/documents and settings/_tuo_user_/impostazioni locali/temp
eccetera....

poi svuota la cache (file temporanei) di Java dal Pannello di Controllo

infine la cache di IE

Comunque io sto usando W2K e ATFcleaner funziona benissimo...

**Luciano79** · 06-06-2006, 18:19

Originariamente inviato da holifay
be...svuota tu le cartelle temporanee del PC:

poi svuota la cache (file temporanei) di Java dal Pannello di Controllo

infine la cache di IE

Comunque io sto usando W2K e ATFcleaner funziona benissimo...

Finally!!!!!

Con la procedura lunga è andato... grazie per l'aiuto!!

**frank1967** · 09-06-2006, 16:34

stesso problema, chi mi aiuta?
questo è il Logfile of HijackThis v1.99.1

Scan saved at 14.16.54, on 09/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\sysmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\sysfind.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Altri programmi\DAP\DAPBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Altri programmi\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Download with &DAP - D:\ALTRIP~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\ALTRIP~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\ALTRIP~1\DAP\DAP.EXE
O15 - Trusted Zone: www.1987324.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142453307857
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

**andorra24** · 09-06-2006, 16:46

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua ad una ad una le voci indicate sotto e premi ''kill process'' :

C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\sysfind.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O15 - Trusted Zone: www.1987324.com

Assicurati di eliminare questi files exe:

C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\sysfind.exe

Puoi farlo usando hijackthis. Apri hijackthis, clicca su Open the misc tools section e premi su Delete a file on reboot. Segui il percorso preciso ed individua i files da eliminare e premi ''apri''. Ti apparira' una finestrella che ti chiede conferma dell'eliminazione del file al reboot.

Fai una scansione con ewido anti-malware:
http://download.ewido.net/ewido-setup.exe

**frank1967** · 09-06-2006, 16:59

Ok grazie, ma in modalità provvisoria?
più tardi provo, ciao

**andorra24** · 09-06-2006, 17:07

Originariamente inviato da frank1967
Ok grazie, ma in modalità provvisoria?
più tardi provo, ciao

Se non riesci in modalita' normale riprova in modalita' provvisoria.

Discussione: Virus - come cancellarlo?

Strumenti discussione

Ricerca discussione

Visualizza

Virus - come cancellarlo?

Permessi di invio