Polall1m.exe nel Systyem32

[kilio]

anche a me purtroppo è arrivato l'infame bastardo in
C:\Windows\System32\LastGood\polall1m.exe
e (come se non bastasse! ) in
c:\Windows\System32\polall1m.exe

Li ho individuati tramite lo scanning su
http://housecall.antivirus.com

per la cronaca:
avevo scansionato già con norton 2004 aggiornato e Ad-Aware, ma era tutto ok. poi uno strano messaggio e relativo spegnimento all'avvio ed ho controllato. Fatelo pure voi!

La mia domanda è:
come rimuoverlo?
Esiste un remover, oppure devo usare la brutalità della cancellazione direttamente da DOS?
Quali danni può fare?
in che registri si può infilare?
come posso effettivamente levarmelo dalle scatole?
Può rientrare in qualche modo il bastardo?

Grazie per le info.

[cso]

La mia domanda è:
come rimuoverlo?

Con l'antivirus AGGIORNATO, con la scansione on-line ( vedi i post in rilievo in questo forum ), con Ad-Aware AGGIORNATO con SpyBot AGGIORNATO con un Removal Kit...

Esiste un remover, oppure devo usare la brutalità della cancellazione direttamente da DOS?

Usa la brutalità del DOS (ricordati di usare il "DOS" dell'avvio premendo F8 e non a OS già partito) poi prova a vedere se trovi un removal kit

Quali danni può fare?

Gli stessi danni che possono fare tutti i virus...rallentamento del sistema, instabilità, diminuzione esponenziale della sicurezza...

in che registri si può infilare?

Di registro ne esiste uno (Regedit.exe) ma le chiavi possibili possono essere 8:

codice:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\S-1-5-21-1085031214-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\S-1-5-21-1085031214-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce

come posso effettivamente levarmelo dalle scatole?

Già detto sopra...

Può rientrare in qualche modo il bastardo?

Con il PC senza AntiVirus e Firewall...certamente

[kilio]

ho fatto una cancellazione brutale da Dos della modalità provvisoria.
speriamo bene!


fra quelli in rilievo qual'è il firewall + affidabile?

[cso]

Io uso ZoneAlarm ma ti potrei consigliare Kerio, Sygate, BlackICE, Tiny, ...
Ti sconsiglio Norton!

[kilio]

e io quello uso... ma come antivirus....