PDA

Visualizza versione completa : [URGENTE x sanità mentale] rimozione trojan stronzo



ding
24-01-2005, 14.58.33
Downloader.Small.16.X è il nome. risiede in 0gsm3.dll nella cartella system32. Il file è in uso da windows, quindi non posso provare a deletarlo...
Cosa fa: rompe i coglioni. in modo estremo... in pratica è qualcosa che lavora con iexplorer.exe... niente di problematico, fin ora.. lui sta là bbono, visto che io uso firefox... da stamani però ha deciso di aprirmi 2 processi di iexplorer.exe che si ricreano appena li termino violentemente. Le ho provate di tutte: AVG 6.0, AdAware, Spybot S&D, Scansioni online Norton e McAfee.. niente, non c'è verso di toglierlo... l'unico che lo vede bene è l'AVG, ma non riesce a toglierlo... e lo vede ormai da tipo 4 mesi. fin ora non dava problemi, se non aprivo iexplorer, ma ora comincia a bacare la minchia da solo...

richiedo un rapido aiuto per la mia (poca ormai) sanità mentale... ci tengo, sinceramente, e sto sclerando di brutto...

Boe.
24-01-2005, 15.19.01
ctrl+alt+del e provi a chiudere il processo. riavvia in modalità provvisoria e fai uno scan con ad aware. prova a toglierlo dall'avvio con easy cleaner.

Ovviamente disabilita il system restore perchè senno ogni volta che riavvii si risistema :)

Se poi non riesci prova con HijackThis che però è un pò più complicato da usare..

ais001[db]
24-01-2005, 15.26.48
... io avevo leto che era un virus.

... absta disabilitare il Restore di XP e, in modalità provvisoria, lanciare una scansione con un antivirus funzionante ed aggiornato.

ais001[db]
24-01-2005, 15.31.11
... IN RETE TROVI QUESTA PROCEDURA:




If you are using Windows XP or ME, you need to disable your System Restore before running any of the scans.

1) Update your Ad-aware and Spybot.

2) Disable your System Restore.

How to disable the System Restore feature:
http://www.trendmicro.com/en/security/advisories/win_me_clean.htm

3) Reboot into Safe Mode.

How to start Windows in Safe Mode:
http://www.pchell.com/support/safemode.shtml

4) In Safe Mode run Ad-aware, and if still needed, Spybot.

5) Reboot normally and scan with AVG again - hopefully you will now be clean.









... :D

ding
24-01-2005, 15.38.57
ok, devo trovare il sistema di avviare in provvisoria (problemi di tastiera :asd: )... vediamo che succede... giuro che sto imparando nuove lingue per bestemmiare in modo diverso :|

ding
24-01-2005, 16.09.16
niente. manco in provvisoria riesco a toglierlo... nemmeno brutalmente, visto che il file risulta comunque in uso... non ne posso più.. e di certo non formatterò.. non posso dargliela vinta, no cazzo...

Hoobast
27-01-2005, 16.12.10
x la miglior besemie ho imparato l'antico "demotico" cosi rende meglio il significato...
Avg e' aggiornato? non risci a metterlo in quarentena? eliminare quel file bastard e poi riprenderlo originale?Formattare?Bruciarlo vivo?

ciaooooooooo:birra: :angel2: :birra:

ais001[db]
27-01-2005, 18.32.53
... consiglio mio:

1. prendi il pc, portalo da un amico che ha un antivirus FUNZIONATE e non ha virus

2. metti il tuo HDD in cascata al suo

3. lancia una scansione del sistema così ricerca anche nel tuo pc il virus

4. una volta finito DEVE individuarlo e, se avete settato correttamente l' Antivirus, dovrebbe rimuoverlo automaticamente senza chiedere nulla.

5. se così è, riattacca l'hdd al tuo pc (ricordati di rimette il jumper su MA e non lasciarlo su SL!!!) e riaccendi il pc.

6. fai un check Online e verifica se c'è ancora il virus.

ding
27-01-2005, 18.57.23
c'avevo già pensato... unico problema: disco seria-ata, e non conosco nessuno qua in zona con s-ata.. nemmeno a lavoro da mio babbo..

se provassi con un linux by cd?

ais001[db]
27-01-2005, 20.44.47
.... scusa eh... ma nessun tuo amico o conoscente ha una M/b con un ctrl SATA integrato??? :doubt:


... porta l'hdd (NON interamente il pc) in un negozio e fatelo ripulire al max... :D

ding
28-01-2005, 00.50.20
e pagare? :asd: ma non sia mai... comunque forse ho trovato il file bastardo.. un exe nella cartella temp in impostazioni locali dell'utente, che non mi fa cancellare poiché in uso... appena posso riavvio in provvisoria e lo cancello :|

ais001[db]
28-01-2005, 01.11.02
... o ti crei un 2° account con diritti di admin e ti logghi.

... entri nella cartella "temp" e rimuovi TUTTO il contenuto.

... poi controlla anche gli altri account.

... e controlla anche la cartella "C:\WINDOWS\system32\config\systemprofile" ... non si sa mai... :D

ding
28-01-2005, 01.53.51
systemprofile pulita (appena controllata.. a parte qualche link come i send to, è praticamente vuota :asd: ).. il resto faccio appena riavvio... domani probabilmente...