Virus TROJ_CONHOOK.BW su file opnnooo.dll

[spakman]

Salve a tutti,
premesso che sono poco esperto, ho un problema che non riesco a risolvere da ieri, ho un virus nominato da trendmicrosoft PCcillin 2006 come TROJ_CONHOOK.BW che ha infettato un file nella cartella C:\winnt\system32\opnnooo.dll con win2000 pro service pack4 aggiornato a inizi di Febb/2007.
Il problema è questo: seguendo le istruzioni trovate solo da TrendMicrosoft è stato rilasciata una patch-scan con un pattern(263) il giorno 11.02.07 che effettivamente trova il virus nel suddetto file infetto (opnnooo.dll) ma poichè decide di cancellare il file (forse perchè inutile o non di sistema) dice che è impossibile cancellare il file.
Ho provato a cancellare il file manualmente come suggerito da trendmicrosoft, anche con i comandi DOS (del,erase) e in modalità provvisoria ma mi dice sempre che il file (opnnooo.dll) è usato da windows per cui è impossibile cancellarlo.
Ho provato a levare tutti gli attributi con il comando dos attrib -a -r -s -h ma niente da fare, inoltre sotto windows ho provato a cambiare il proprietario del file entrando come altro utente administrator ma niente da fare mi dice sempre impossibile da cancellare perchè in uso da windows.
Qualcuno può aiutarmi? suggerimenti? Si può cancellare un file in uso da windows? se si come?
Questo è l'unico sito che mi ha dato informazioni relative:
http://www.trendmicro.com/vinfo/viru...ROJ_CONHOOK.BW

Grazie a tutti

[OYS]

Scaricati HijackThis 1.99.1 fai una scansione e posta il log qui.

[spakman]

Ciao, ho già fatto con HijackThis, ma non risolve il mio problema di cancellare il file in questione, oltretutto non ho il PC infetto a portata di mano per cui non posso rifare il log di HijackThis per farti vedere i risultati....secondo te come posso cancellare il file anche se mi dice che è usato da windows?
Avrei una mezza idea di usare un dischetto di ripristino floppy, avviare il PC in modalità
pre-dos ed entrare in c:\ per cancellare il file con comandi DOS, che ne pensi? potrei risolvere in questo modo?

Ciao e grazie

[OYS]

Per quanto ne so basterebbe interrompere il processo legato a opnnooo.dll con task manager windows.... Il problema è sapere quale è il processo...

[spakman]

infatti...hai detto bene, non so a quale processo si è legato questo file, ho provato anche in modalità provvisoria con soli 8-9 processi attivi che non si posso ovviamente interrompere ...per cui è legato a quelli soliti principlai di windows tipo explorer.exe, LSASS.exe, WINLOGON.exe.....etc...etc..ma sono certo che il file infetto in questione non è di windows.....altri suggerimenti?


Ciao e Grazie

[OYS]

Ecco l'ho trovato sul sito della microsoft:


Come trovare il processo o il servizio che carica un file determinato DLL

Per trovare il processo o il servizio che carica un file determinato DLL, procedere come segue:

1. A un prompt dei comandi, digitare M < nome modulo> tlist , e quindi preme INVIO. Ad esempio, digitare tlist -m tasnmp.dll a un prompt dei comandi e quindi premere INVIO.

2. Nell'output di questo comando, notare il processo associato al file DLL.

3. Disattivare il servizio correlato al file DLL.

[spakman]

Ciao,
ho provato a fare come mi hai suggerito ma non si avvia il comando che mi hai scritto, e poichè mi è sembrato molto strano ho cercato all'interno di tutto l'hard disk il suddetto file "tlist", lo devo scariacare/installare?
considera che ho win2000-PRO service pack aggiornato proprio oggi in automatico con ultimissime 7 patch.

Grazie

[OYS]

Bo non saprei... prova a vedere alla fine di questa pagina dove c'è scritto Informazioni:
http://support.microsoft.com/kb/890188/it

[spakman]

Ciao, Ho fatto come hai detto sul link che mi hai fornito, ho estratto il file tlist.exe dal disco di installazione win2000-pro (dal cabinet support.cab) e per adesso dato un'occhiata alle sue funzioni, per cui appena metterò mani sul PC in questione la prossima settimana, ti farò avere aggiornamenti ...alla prossima settimana....

ciao

[OYS]

aspetto