Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Sospetto virus sul pc dello zio....

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Sospetto virus sul pc dello zio....

Messaggioda Mr.TFM » lun mar 19, 2007 9:03 pm

Stasera era un chiodo. Non andava!
Quando ho cercato di aprire la cartella dove c'è hijackthis si chiudeva Windows Explorer...

Se cercavo di aprirlo con start>esegui, appariva la finestra e poi si bloccava....

Ho aperto MegaLab e nella finestra cerca ho scritto gmer e crashava firefox......

Ho poi provato a caricare l'installer si Avast su una chiavetta, ma non si caricava...

Insomma, sento puzza di bruciato lontano un miglio...........

Cosa potrebbe essere? [...]
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda Amantide » lun mar 19, 2007 9:44 pm

Il Gromozon...

Apri il task manager e termina tutti i processi sospetti, dopo potrai usare sia Hijackthis che Gmer e farci vedere i log.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Mr.TFM » lun mar 19, 2007 10:20 pm

ehehe sospettavo proprio che fosse quello.......

Comunque sì, ce n'erano un paio.....
Solo che devo mettermi lì a controllarli uno per uno......
Speriamo che internet funzioni! [:)]
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)


Messaggioda Amantide » lun mar 19, 2007 10:29 pm

Mr.TFM ha scritto:Comunque sì, ce n'erano un paio.....
Solo che devo mettermi lì a controllarli uno per uno......

Non ce ne bisogno, il nome del file dovrebbe contenere la parola tipo lexmark, symantec, norton... un nome che potrebbe far pensare che si tratta di qualche software o driver che in realtà sul pc non c'è o non potrebbe esserci.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Mr.TFM » mar mar 20, 2007 11:50 am

Non ho trovato processi sospetti, almeno non del tipo che mi hai suggerito tu.....
Hijack non parte.....
Ho scaricato l'archivio di rimozione di linkoptimizer ma funziona solo il tool della prevx e, nonostante mi dica che ha rimosso il gromozon, hijack continua a non funzionare............ [:p]

Che suggerisci?
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda Mr.TFM » mar mar 20, 2007 12:00 pm

Un'altra cosa alquanto strana è la presenza di due utenti nel computer alquanto strani....

Administrator.PENTIUM4
MljcoadY
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda Mr.TFM » mar mar 20, 2007 12:59 pm

Altro aggiornamento....

Ho trovato una cartella Xerox in C\programmi..... mio zio non ha nulla della xerox, quindi cerco di cancellarla....
Ma mi dice che nwwia (una cartella contenuta nella cartella xerox) non si può cancellare perché c'è già un processo che lo sta usando.......
in task manager non c'è nessun nwwia che gira.................

Ad ogni modo, terminando tutti i processi correlati all'utente in uso, sono riuscito ad usare hijackthis e gmer....

Allego uno zip contenente i log......
Quello di hijack l'ho già controllato e ripulito, ma non si sa mai........... [std]
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda crazy.cat » mar mar 20, 2007 2:06 pm

Mr.TFM ha scritto:Ho trovato una cartella Xerox in C\programmi..... mio zio non ha nulla della xerox, quindi cerco di cancellarla....
Ma mi dice che nwwia (una cartella contenuta nella cartella xerox) non si può cancellare perché c'è già un processo che lo sta usando.......

E' una sorta di bug/pubblicità occulta da parte di windows, è li e non si tocca quella cartella.


Mr.TFM ha scritto:Allego uno zip contenente i log......

Un solo log è anche la parte più inutile, serve la sezione autostart di gmer e metti anche quello di hijackthis.

MljcoadY è l'utente fasullo creato dal virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » mar mar 20, 2007 2:20 pm

Non so se l'hai notato ma era proprio questo file la causa del non funzionamento dei programmi.
c:\windows\system32\nokiaword.exe
Se sta ancora nel task manager terminalo e dopo elimina il file con AGVPFIX.
Eliminato il file rifai la scansione con Hijackthis e fixa questa voce:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\nokiaword.exe",

Poi scarica ADS Revealer, fai la scansione ed elimina questa voce:
ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE

Il resto puoi provare a rimuovere con Virit, comunque il log Autostart servirebbe lo stesso, spunta la voce Show all prima di fare la scansione.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda crazy.cat » mar mar 20, 2007 2:25 pm

Amantide ha scritto:Non so se l'hai notato ma era proprio questo file la causa del non funzionamento dei programmi.

Ma dove lo vedi???[/quote]
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » mar mar 20, 2007 2:28 pm

crazy.cat ha scritto:
Amantide ha scritto:Non so se l'hai notato ma era proprio questo file la causa del non funzionamento dei programmi.

Ma dove lo vedi???

Nel lod di Hijackthis [boh]
Io nell'archivio vedo un log di Hijackthis ed un' altro Rootkit di Gmer. [...]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Mr.TFM » mar mar 20, 2007 2:54 pm

Allllllora....
Il pacchetto che ho allegato contiene i due log che ho detto:
uno di hijack e uno di gmer....

nokiaworld non sarà mica una cosa per il cellualre?
Mio zio ha installato una suite nokia.......

Comunque appeno posso vado a seguire la spiegazione.....
Per adesso, denghiu.... [;)]

Edit, noto ora che è Nokiaword...... e non Nokiaworld! [coca]

Ma sti hacker non hanno un ca**o da fare che rompere le scatole sempre a mio zio (che poi le rompe a me? [sh] )?
Ultima modifica di Mr.TFM il mar mar 20, 2007 3:02 pm, modificato 1 volta in totale.
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda Amantide » mar mar 20, 2007 2:59 pm

Mr.TFM ha scritto:Allllllora....
Il pacchetto che ho allegato contiene i due log che ho detto:
uno di hijack e uno di gmer....

Io li vedo entrambi [;)]

nokiaworld non sarà mica una cosa per il cellualre?
Mio zio ha installato una suite nokia.......

No, no e no... [:)] è proprio per questo che questo virus sceglie i nomi simili, per confondere la gente e far credere che si tratta di un processo legittimo.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda crazy.cat » mar mar 20, 2007 7:33 pm

Amantide ha scritto:Io nell'archivio vedo un log di Hijackthis ed un' altro Rootkit di Gmer. [...]

Mi è impazzito il winzip dell'ufficio, ho scaricato due volte e trovavo solo il log di gmer.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising