Esiste un tool apposito per questo virus che killa le applicazioni?

[MM88]

Ciao a Tutti, ieri mi è apparsa la solita finestra che ti restarta la macchina in automatico.

Convinto di aver preso per l'ennesima volta il solito virus, ho fatto ripartire il PC in modalità diagnostica e ho fatto fare la Scansione da AdAware e da Ewido.

Queste applicazioni sono le uniche che partono fra quelle diagnostiche.

Ripartito in modalità normale, il PC non apre nessuna applicazione di controllo. Sygate si chiude automaticamente.

Se conoscete il tipo di virus/trojan descritto, potreste indicarmi un tool/procedimento per rimuoverlo?

grazie

[OYS]

Hai provato con hijackthis?
Segui il punto 4 di questa guida:
http://forum.html.it/forum/showthrea...hreadid=811189

[MM88]

Ti ringrazio per la risposta, ma - sinceramente - speravo di non dover ricorrere ad hijackthis perché non mi è mai servito a risolvere un problema di questo genere.

Speravo piuttosto che qualcuno riconoscesse l'infezione in questione.

Cmq, provvederò a postare il risultato.

grazie

[OYS]

L'utilizzo di hijackthis non mi sembra una cosa così radicale.
È quasi la prassi comune..

[MM88]

mi chiude anche i browser, non posso scaricarlo.

[OYS]

Vedi se riesci a scaricare systemscan. Una volta eseguita la scansione, zippa il file report.txt che c'è nella cartella C:\suspectfile, e caricalo su www.savefile.com/upload.php e scrivi il link che uscirà.

Se non riesci a scaricarlo,
verifica il contenuto di questa chiave di registro:

start-->esegui-->regedit

portati fino a questa chiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\

e controlla se c'è una cartella nomionata explorer.

[MM88]

grazie


LINK

[OYS]

Non ho visto niente di interessante apparte uno Spyware-Hijacker.

Vedi se riesci a scaricare The Avenger
clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia incolla queste righe:


files to delete:
C:\WINDOWS\system32\hh64.exe


clicca su done.
poi sul semaforo con luce verde
due volte si, il pc si riavviera' e al ritorno posta il log di avenger(C:/avenger.txt)

[MM88]

error: selected file does not appear to be a valid script

[OYS]

Sei sicuro di aver fatto alla lettera quello che c'è scritto? Nel box bianco devi inserire anche files to delete:


Cmq, ora che ho riguardato con attenzione, ho trovato qualcosa di interessante, guarda:



-----HKLM\Software\Microsoft\Windows\CurrentVersion\Run-----

[Run]
"Ms Java for Windows NT"="mguard.exe"


All'inizio mi aveva imbrogliato, pensavo fosse Java, ma in realtà non lo è! È il worm sdbot. Se non lo sai, i worms sdbot sono famosi per imbrogliare l'utente con nomi simili a comuni applicazioni..


Ma non è finita qui:



-----HKCU\Software\Microsoft\Windows\CurrentVersion\Run-----

[Run]
"Ms Java for Windows NT"="mguard.exe"


-----HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon-----

[Winlogon]
"Shell"="Explorer.exe mguard.exe"
"System"=""
"Userinit"="C:\WINDOWS\system32\userinit.exe,mguar d.exe"


Bene, ho un nuovo script da farti eseguire con avenger:


files to delete:
C:\WINDOWS\system32\mguard.exe

registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | mguard.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mguard.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | mguard.exe
KLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon| mguard.exe