abilita la visualizzazione dei file nascaosti e di sistema. Poi dimmi quali cartelle (non le sottocartelle) hai in c:/documents and settings
Riporta anche la data di creazione.
abilita la visualizzazione dei file nascaosti e di sistema. Poi dimmi quali cartelle (non le sottocartelle) hai in c:/documents and settings
Riporta anche la data di creazione.
Pensi di avere un file infetto? Invialo a SuspectFile
posso risponderti subito...
oltre alle : administrator... all user... defaultuser... special guest...
ho questa : ibfbfsjs****
però la data della sua creazione risale a qualche giorno fà perchè avevo provato a cancellarla... quindi si vede che risulta la data della "risurrezione"
però ti posso dire subito che risalendo all eseguibile che mi crea in windows\file comuni\services\vpodpd.exe (il nome non so se è perfetto... però credo ci siamo intesi..) risale al 19 agosto
non ho capito, la cartella ha gli asterischi? Dimmi il nome preciso del file EXE
Pensi di avere un file infetto? Invialo a SuspectFile
la guida dice anche
"Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:
".\nome casuale".
Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.
Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.
Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).
Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.
Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer
"
a me non fa neanche accedere al valore per modificarlo...
Originariamente inviato da holifay
non ho capito, la cartella ha gli asterischi? Dimmi il nome preciso del file EXE
no... intendevo che continuava con una serie di lettere
quella guida funzionava con le prime varianti, ora sempre meno
Prova così:
1) Rinomina RUNDLL32.EXE in RUNDLL32.txt (al termine lo rimetti come prima)
2) apri il registro (regedit.exe) e cancella questa chiave:
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\run
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer\run
Cancella il calore "AppInit_DLLs" in
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows
Metti la stringa "E:\windows\system32\userinit.exe," al valore "Userinit" della chiave
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
(anche se ti sembra che ci sia scritto già solo E:\windows\system32\userinit.exe,)
3) Scarica Killbox http://killbox.net/downloads/KillBox.exe
Seleziona "Delete on reboot" e poi premi "All files". Diventerà verde lampeggiante.
Poi seleziona con il mouse queste righe in grassetto e premi CTRL+V per copiarle negli appunti
E:\WINDOWS\system32\omaa.dll
E:\documents and settings\ibfbfsjs****
E:\windows\file comuni\services\vpodpd.exe
Vai in Killbox, dal menu "File">> "Paste from clipboard"
Poi premi il pulsante rosso con la X bianca. Al riavvio, riprova ad usare i tool di prima
NOTA: sostituisci il nome della cartella utente e del file exe con quello esatto.
Pensi di avere un file infetto? Invialo a SuspectFile
vpodpq.exe
era giusto...
purtoppo ancora non mi apre i tool
Grazie anche alle indicazioni di questo forum ho scoperto che in terminologia
Symantec il virus si chiama anche "Gromozon" oppure "Link Optimizer" vedi http://www.prevx.com/gromozon.asp
oppure il sito di Symantec "http://www.symantec.com/security_response/writeup.jsp?docid=2006-082416-2803-99&tabid=2"
Da questi indirizzi si possono scaricare i programmi per la rimozione.
Io ho provato 2 strade. Ho utilizzato un CD di boot fatto con "BartPe" Vedi sito relativo.
In questo modo ero sicuro che il virus non poteva essere operativo.
Ho lanciato i tool di rimozione che lo hanno disinnescato . Dopo ( conoscendo il nome
della ".EXE" o della ".DLL" segnalata da AVG ) ho eliminato le residue tracce
dalla "c:\windows"
Infine per prudenza ho riavviato il tutto di nuovo con "BartPE" e ho
rifatto girare la scansione con i tools che hanno confermato l' avvenuta
rimozione .
Se ci riuscie anche voi ( anche in maniera più semplice ) diffondete le vostre
esperienze . Più siamo pù ci aiutiamo.
ci provo... grazie intanto...
Permessi di invio
Rispondi quotando