Pagina 2 di 2 primaprima 1 2
Visualizzazione dei risultati da 11 a 15 su 15
  1. #11
    Utente di HTML.it L'avatar di Isoka
    Registrato dal
    Nov 2007
    Messaggi
    107
    Ohoh guarda che explorer.exe non centra niente con internet explorer...
    ctrl + alt + canc > File > new... > exporer.exe ... se non dovesse succedere niente posta un log ho prova a seguire questa guida che ho reperito in internet:


    """
    E' stato segnalato in questi giorni un nuovo trojan, con effetti simili al vecchio gromozon. In pratica: l'impossibilità di usare i programmi come HijackThis, Avenger, Gmer e simili, si chiudono automaticamente le pagine browser contenenti queste parole, si trova impossibilitati di connettersi ai forum che trattano questo problema ecc, ecc...
    Il trojan, come il vecchio gromozon, ha anche funzioni di dialer.
    Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all’avvio del sistema, grazie all’aggiunta della chiave di registro:
    HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]
    In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne più difficile la rimozione. Una volta caricato s’inietta all’interno di explorer.exe e crea un thread in cui fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.
    Se il titolo contiene una delle parole presenti in un elenco contenuto all’interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l’esecuzione del programma.
    Fortunatamente, non sono presenti funzionalitá di rootkit, quindi la rimozione risulta essere più semplice.

    si può usare questa procedura di rimozione manuale:
    scaricare questo tool e decomprimerlo sul desktop

    aprire TaskManager (ctrl-alt-canc) e terminare il processo explorer.exe (scompare il desktop, ma è normale)
    aprire il registro (Start/Esegui digitare regedit/OK)
    portarsi alla seguente chiave
    HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    individuare nella finestra di destra il valore aggiunto all’explorer.exe e segnate il percorso completo.
    sempre attraverso task manager lanciare Avenger
    Una volta eseguito, cliccare sulla voce “Input script manually” e poi sull’icona della lente di ingrandimento. Vi si aprirà una finestra, copiateci quello che è scritto qui sotto
    Files to delete:
    e qui mettete il percorso completo del file individuato precedentemente

    Registry keys to delete:
    HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

    Cliccate su Done e poi cliccate sull’icona del semaforo. Il PC si riavvierà (se così non fosse, fatelo voi).
    Al riavvio compare un log con la conferma dell’avvenuta rimozione.
    """


    Non ti garantisco che questo funzioni... per confermarlo ci vuole l'ausilio di un'esperto del forum

  2. #12
    Utente di HTML.it
    Registrato dal
    Feb 2008
    Messaggi
    96
    ciao e grazie dell'interessamento....
    ho provato le chiavi che ho sono:
    hkey_user
    hkey_current_config

    non mi corrisponde con la chiave che mi hai scritto...

    devo dire che internet mi parte va se lo faccio partire da task manager,navigo tranquillamente.

  3. #13
    Utente di HTML.it L'avatar di Isoka
    Registrato dal
    Nov 2007
    Messaggi
    107
    Prova questo...
    Sempre da olimpo informatico:

    Tieni conto che lexmarkword.exe è un nome fittizio, può cambiare nome da versione a versione (del virus) Io ad esempio ho trovato macromediatool.exe.
    Segui attentamente la guida:

    """
    Che devi eliminare c:\windows\system32\lexmarkword.exe.

    Procedi così:
    scarica KillBox
    nel Task manager termina (se c'è) il processo lexmarkword.exe
    portati alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    doppio clic su Userinit
    evidenzia la voce infetta (in rosso):
    c:\windows\system32\userinit.exe,"c:\windows\syste m32\lexmarkword.exe",
    ed eliminala (tasto Back space)
    la chiave dopo la pulizia deve presentarsi così:
    c:\windows\system32\userinit.exe, (con la virgola finale)

    Avvia KillBox
    in Full Path inserisci c:\windows\system32\lexmarkword.exe
    seleziona Delete on reboot
    clicca sulla X rotonda a destra
    riavvia il PC

    Da Start\Esegui digita: Control Userpasswords2
    vedi se ci sono le utenze con nomi casuali (tipo AxDfYKui) ed eliminali.

    ora HJT dovrebbe partire
    posta il log
    (da far leggere ad utenti esperti non imporvvisati "esperti"
    ""


    Per il tuo caso Non sono sicuro ma con me ha funzionato

  4. #14
    Utente di HTML.it
    Registrato dal
    Feb 2008
    Messaggi
    96
    ciao,ho cercato ma non c e la chiave che hai indicato....

  5. #15
    Utente di HTML.it
    Registrato dal
    Feb 2008
    Messaggi
    96
    problema risolto visionare topic nella sessione virus,ho indicato il nome della chiave.
    grazie della collaborazione avuta

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.