| Precedente :: Successivo |
| Autore |
Messaggio |
GrayWolf
Dio maturo
Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
|
 Inviato: 29 Ago 2005 14:55 Oggetto: |
 |
|
| Lantis ha scritto: | | Sono andato poi in cerca della segnalazione C:\WINDOWS\system32\wuauclt.exe fatta da Graywolf solo ke nn sono riuscito a trovarla...ho guardato voce per voce ma niente.... dov'è? hehe |
è uno dei processi in esecuzione,
probabilmente si carica come servizio (non mi sembra di averlo visto nella "....Run" del registro
la pagina che ho indicato dice che potrebbe essere il veicolo per un trojan
(non è detto che lo sia), puoi sempre analizzarlo con un antivirus.
se è un servizio lo puoi disabilitare:
.1 entrando come amministratore,
.2 scegliere "servizi" fra le voci "dell'amministrazione del sistema"
.3 trovarlo nell'elenco
.4 click col destro scegliendo "proprietà" impostarlo a disabilitato nel form che appare
L'ultima modifica di GrayWolf il 29 Ago 2005 15:04, modificato 1 volta |
|
| Top |
|
 |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 29 Ago 2005 15:03 Oggetto: |
|
|
| Lantis ha scritto: |
Guardando anche io un po' il file Log ke ho postato, mi sono accorto di questo
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bwtkeigvgqezoboharxtrg.com/xM421uFPJjTmF6sWJ4QqTxtWIhkJL6Dl4ZlBLBgMwxMEKZNu1jhf4LyV/kk4YigQ.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.msn.it
cosa dite? è proprio la pagina web che, oltre a lop.com, mi va a reindirizzare all'apertura del browser (sia firefox che iexplorer6)! che ne dite? |
io l'avevo già segnalata come da cancellare.....
| Lantis ha scritto: |
p.s. ma che abbia fatto bene a pubblicizzare il mio file log? è sicuro? |
magari ci siamo fatti una idea di quali programmi usi..
ma non compaiono informazioni personali "sensibili"... |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11810
Residenza: Tokelau
|
| Inviato: 29 Ago 2005 15:14 Oggetto: |
|
|
| Citazione: | | p.s. ma che abbia fatto bene a pubblicizzare il mio file log? è sicuro? |
fai conto che ci hai fatto dare un'occhiata dentro il cestino dell'organico...  |
|
| Top |
|
|
Lantis
Eroe in grazia degli dei
Registrato: 22/08/05 23:33
Messaggi: 187
|
| Inviato: 30 Ago 2005 21:58 Oggetto: |
|
|
| no ragazzi niente da fare! la pagina web viene modificata cmq anche se cancello quelle opzioni con hijackthis.......si è proprio piantato bene nel pc.... nn c'è modo di toglierlo.... |
|
| Top |
|
|
GrayWolf
Dio maturo
Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
|
| Inviato: 31 Ago 2005 02:27 Oggetto: |
|
|
Calma!
prova a fare queste operazioni:
.1 esegui starter
.2 richiama il browser
.3 lascia che parta la pagina incriminata
.4 passa a Starter
.5 Click sulla linguetta: "Processi"
.6 Click sul pulsante "Aggiorna" (nella barra degli strumenti)
.7 scegli (a menu): "File" --> "Salva come file testo" (mi raccomando questa opzione)
.8 ti appare il dialogbox di salvataggio
.9 digita un nome a piacere in una dir a piacere
.10 Click su "Salva"
.11 Copia il contenuto del file ottenuto e incollalo qui come testo (magari quotato * vedi N.B.)
vediamo di capire cosa accidenti c'è in esecuzione quando avviene la redirezione
----------------------------------------------------------------------------------------------------------------------
*
N.B. per quotare un pezzo di testo quando lo hai digitato/incollato:
evidenzialo tenendo il pulsante sinistro del mouse premuto,
una volta evidenziato,
click sul pulsante "Quote" (che trovi sopra la finestra nella quale stai digitando il messaggio)
---------------------------------------------------------------------------------------------------------------------- |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 31 Ago 2005 17:45 Oggetto: |
 |
|
ti do anche la mia interpretazione, tanto è gratis
Qui raccolgo ciò che fixerei: | Citazione: | R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bwtkeigvgqezoboharxtrg.com/xM421uFPJjTmF6sWJ4QqTxtWIhkJL6Dl4ZlBLBgMwx MEKZNu1jhf4LyV/kk4YigQ.htm
O2 - BHO: (no name) - {9CBCA995-B863-0F3E-E0A6-2DF5B2969B0D} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\Global Pop.exe (file missing)
O2 - BHO: (no name) - {B116E1E1-FF9E-0365-3CC1-D0C5CF9D50B6} - C:\DOCUME~1\VIDEOC~1\DATIAP~1\EQFILE~1\inside peak.exe
O4 - HKLM\..\Run: [Usersixthblehmove] C:\Documents and Settings\All Users\Dati applicazioni\bagsinfousersixth\Modepile.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VIDEOC~1\DATIAP~1\ELSEPL~1\AXISNEW.exe
O4 - Startup: Collegamento a emulebat.lnk = C:\Programmi\eMule\emulebat.bat (a meno che non sia un collegamento fatto per avviare emule in automatico)
O4 - Global Startup: DSLMON.LNK = ? |
Il tutto è valido a patto che il log sia ancora esattamente questo, perchè può anche darsi che i processi abbiano cambiato nome, nel frattempo...
Ovviamente vale il solito discorso:
1) Hijack si usa da una directory del disco fisso a lui dedicata altrimenti non ti crea le copie di backup delle modifiche;
2) è meglio fixare le voci dalla modalità provvisoria;
3) al termine del "fix" cancella tutti i i file relativi (exe, dll, bat, com...) eventualmente cercandoli dopo aver abilitato la visualizzazione di quelli di sistema/nascosti
Se il log è diverso posta quello nuovo, ma NON fare alcun reboot prima di aver individuato cosa cancellare. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
