Mi viene segnalata questa chiave da Spybot con 2 errori:
HKEY_USER\DEFAULT\SYSTEM\CurrentControlSet\Control \Lsa
sono andato nel path e ci sono i valori (Predefinito e Microsoft Backup con il dato winstart.exe)
quando vado per cancellarla, mi dice che non può essere cancellata perchè forse è utilizzata da sistema ecc.
Ho fatto la scansione anche in modalità provvisoria ma mi da lo stesso problema..
come posso fare per cancellarla? ho qualche virus o qualcosa che non va?
grazie,
Forse un giorno riusciremo a capire il perchè...
Ciao QUI trovi le risposte alle tue domande dovrebbe essere uno spyware ma è anche legato ad un worm per sapere la rimozione basta che su google digiti removal tool nome dello spyware/worm
http://securityresponse.symantec.com...or.stanex.html
Guarda dove si trova il file winstart.
Ancora non ho risolto, avevo fatto una scansione con Avast! e mi aveva trovato qualcosa che non è riuscito a cancellarmi, forse qualcosa legato a questo virus.
Ho provato poi a rifare la scansione ma non mi è risultato più nulla, adesso l'unico programma che mi rileva questa chiave è Spybot (prima la rilevava anche Ad-Aware).
se vado sulle chiavi di registro, sia in run che nelle altre voci di esecuzione, c'è winstart.exe.
Se però faccio una ricerca con F3 nel disco non mi risulta da nessuna parte questo file!
@NetEscape:
poi nel link che mi hai mandato non capisco cosa devo fare dal punto 2, devo copiare winstart come i seguenti? in che senso? comunque winstart non lo trovo se non nelle chiavi di registro..
grazie,
Forse un giorno riusciremo a capire il perchè...
Devi controllare nella cartella del Menu start:c:\Documents and Settings\username\Start Menu\Programs\Startup\WinStart.exe
c:\documents and settings\nome_dell'_user\start menu\programmi\ eccetera
ovviamente ogni operazione va fatta in modalità provvisoria e con ripristino configurazione di sistema disabilitato.
Sul disco non c'è traccia di niente che assomigli a questo file, non c'è!
ho win2000 quindi non devo disabilitare il ripristino, ho fatto tutto in modalità provvisoria ma non risulta niente, è tutto pulito, le uniche tracce sono nei registri dove è presente in HKEY_USER\DEFAULT\SYSTEM\CurrentControlS
et\Control\Lsa e altro questo file: nella voce NOME --> Microsoft Backup, mentre nella voce DATI --> winstart.exe e il tipo è --> REG_SZ.
l'unico programma che me lo indica è Spybot che non riesce però a cancellarlo perchè mi dice che il file potrebbe essere in esecuzione!
VVoVe:
Forse un giorno riusciremo a capire il perchè...
Parti in modalità provvisoria, apri regedit e cancella a mano i valori indicati. Cerca nelle voci di Run di HKLM, HKCU, tutti i riferimenti a winstart.exe. Aiutati con la funzione di ricerca del registry.
cercati e cancellati i riferimenti a winstart.exe in RUN e RUNSERVICES.
Nella ricerca ho trovato in:
HKEY_USERS/S-1-5-21-4092...../Software/Microsoft/Internet Explorer/Explorer Bars/C4EE31F3...../FilesNamedMRU
con nome
000 e 001, winstart e winstart.exe, questi due dati si trovano insieme a 24 canzoni di cui ho fatto un cd da poco...
cancello anche questi?
poi ho trovato in:
HKEY_USERS/S-1-5-21-4092...../Software/Microsoft/OLE
un altro winstart.exe con NOME --> Microsoft Backup, lo cancello?
- Un'altra bella cosa sta nel fatto che Spybot mi segnala ancora lo stesso problema anche se l'ho cancellato manualmente!
mi dice sempre:
Alcuni problemi non possono essere corretti;il motivo potrebbe risiedere nel fatto che i file interessati sono ancora caricati in memoria.
Ciò potrebbe essere corretto con un riavvio.
Ma anche se riavvio me li ridà sempre!!
cosa mi consigli?
:master:
grazie NetEscape!
Forse un giorno riusciremo a capire il perchè...
non per intrometterti, ma hai abilitato nella ricerca la visualizzazione dei files nascosti/sistema?Originariamente inviato da unicorno
Sul disco non c'è traccia di niente che assomigli a questo file, non c'è!
della prima chiave (Software/Microsoft/Internet Explorer/Explorer Bars/) non mi preoccuperei, questa invece direi proprio di sì.Originariamente inviato da unicorno
poi ho trovato in:
HKEY_USERS/S-1-5-21-4092...../Software/Microsoft/OLE
un altro winstart.exe con NOME --> Microsoft Backup, lo cancello?
Mi sembra però un modo di procedere un po'... come dire... rozzo forse?
Pensi di avere un file infetto? Invialo a SuspectFile
si, certo.Originariamente inviato da holifay
non per intrometterti, ma hai abilitato nella ricerca la visualizzazione dei files nascosti/sistema?
quindi cosa mi consigli? :master:Mi sembra però un modo di procedere un po'... come dire... rozzo forse?
Forse un giorno riusciremo a capire il perchè...
Permessi di invio
Rispondi quotando