Vai al contenuto
PLC Forum


Trojan.spaxe - tool di rimozione o procedura

Divietri

Da Divietri:
in Altri argomenti PC

 Share

Messaggi consigliati

Divietri

Divietri

Inserito:
Inserito:

Ciao a tutti,

mi ritrovo sul computer di casa, un trojan che non riesco a rimuovere con vari strumenti provati . Ho Norton antivirus 2007, ma ho provato Spybot, Ad-aware, Avg, Spywarefighter e altri senza risolvere il problema. Questo trojan mi ha bloccato l'accesso a task manager, a installazione applicazione, anche a window updates. Viene fuori un messaggio che dice che ci vuole l'autorizzazione dell'amministratore di sistema per accedere a quelle funzione. Il sistema operativo è Window XP.

Se qualcuno mi può aiutare lo ringrazio in anticipo.

Sono anche curioso di saperene di più sul fatto che sul forum ci sono varie fonti che "sparano" su "Winzozz" e su "Morton". Io sono poco pratico e non diffendo nessuno. Ho installato Norton perchè non lo so... e al secondo anno, quando ha cominciato a dirmi che stava per scadere e dovevo aggiornare la versione , quando poi è scaduto non sono riuscito a avere subito la nuova versione, poco dopo mi sono beccato il primo virus( mi sembra wormblaster o una cosa del genere). Mi sono sentito ,in un certo senso, nelle mani di Norton, ma forse esagero. Comunque se qualcuno mi chiarisce un pò le idee vi ringrazio fin d'ora. (anche qualche link che spiega perchè e percome!).

Buonagiornata.

Di Vietri

Link al commento
Condividi su altri siti

Ospite

Ospite

Inserita:
Inserita:

Ho dato un'occhiata in giro e ti posso riportare ciò che ho trovato:

Scarica SmitRem.zipe fai avviare il RunThis.bat solo dopo che avrai riavviato in modalità provvisoria (per pulire a fondo).

Se non dovesse bastare prova anche a scaricare hijackthis e avvia una scansione dove probabilmente troverai delle voci tipo:

C:\WINDOWS\SYSTEM32\KERNEL8.EXE

C:\WINSTALL.EXE

Dopodichè apri il registro

1. Click Start > Run .

2. Type regedit

3. Click OK .

E cerca questi valori nel registro:

HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}\InProcServer32

HKEY_CURRENT_USER\Software\Classes\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObject

E cancella:

"Default" = "%System%\svchosts.dll"

"Default" = "%System%\ioctrl.dll"

"Default" = "%System%\netwrap.dll"

o

"Default" = "%AppData%\Microsoft\svchosts.dll"

"Default" = "%AppData%\Microsoft\ioctrl.dll"

"Default" = "%AppData%\Microsoft\netwrap.dll"

"{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}" = "Reload Browse"

Finish smile.gif

Facci sapere huh.gif

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti.

Grazie Sat4nax. Quando torno a casa ci provo.

Ma perchè Norton antivirus non mi ha protteto il pc?

Ho letto che l'unico computer sicuro è quello spento e con il cavo tel. staccato!

Ma secondo voi qual'è la migliore protezione ?

Buon fine settimana.

Di Vietri

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

ciao a tutti.

Caro Sat4nax (che nome strano...)

ho fatto girare il tool che mi hai consigliato (in modalità provisoria) ma non è successo niente.

Già quando l'ho avviato è venuto fuori il messaggio che ci sono restrizioni all'accesso ad alcune impostazione e che devo consultare l'amministratore del sistema.

Poi quando faceva la scansione (una finestra tipo dos, blu) si vedeva scorrere frasi come "impossibile leggere il file" o "trovare il file" o "accesso negato".

Alla fine quando è venuto fuori la frase che diceva che avrebbe pulito le cose che non andavano (cosa che poteva richiedere ore), praticamente è venuta fuori la finestra di window "pulitura disco" e dopo qualche minuto è sparita e basta.

Non so più cosa fare. Non si riesce ad accedere a task manager. a installazione applicazione, a ripristino sistema.

Ho fatto anche la scanzione con "hijackthis" caso mai provo a postare il rapporto.

Buona serata.

Di Vietri

Link al commento
Condividi su altri siti
ignazioedo

ignazioedo

Inserita:
Inserita:

Ciao, giusto per capirci meglio...

puo darsi che il virus sia già stato eliminato, naturalmente con l'antivirus Norton aggiornato...

Dopo l'eliminizione del virus, bisogna riportare le impostazioni (che sono state modificate dal trojan) allo stato originale.

In pratica il trojan o chi con lui, ti ha tolto la patria potestà del PC biggrin.gif

Per TaskManager leggi qui:

http://www.megalab.it/articoli.php?id=683

Facci sapere...

Link al commento
Condividi su altri siti
Ospite

Ospite

Inserita:
Inserita:

Elimina le seguenti voci:

C:\WINDOWS\system32\printer.exe

HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.winantivirus.com/MTY2NjU=/2/6018.../ed=1/ex=1/425/

REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
Startup: system.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

AppInit_DLLs: hanonvt.ini

Io farei un controllo manuale, ma se preferisci formattare almeno ti levi ogni dubbio eheh

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti,

dopo tante ore, grazie al vostro aiuto, il trojan è stato eliminato.

Ora però ho ancora il problema che non riesco a accedere a certe funzioni, tipo installazione applicazione, anche a window updates per il fatto che :"ci sono restrizione sul sistema, interpellare l'amminnistratore".

Se io reinstallo Xp con il suo cd, perdo tutti i dati del pc? cioe è equivalente a formattare il disco C ?

Poi per la protezione ho deciso di passare a Kaspersky, qualche commento?

Grazie ancora.

Di Vietri

Link al commento
Condividi su altri siti
  • 2 weeks later...
Ospite

Ospite

Inserita:
Inserita:

Ciao scusa il ritardo! Senti ma se vai su Pannello di controllo->Strumenti di amministrazione->Gestione computer e poi vedi i gruppi e gli user, riesci a vedere quanti account ci sono e quale di questi è admin? Senò per xp, reinstallarlo equivale alla formattazione..per questo io consiglio sempre di fare 2 partizioni una con dati che non hanno nulla a che vedere cn xp, in modo che se devi formattare vai tranquillo sulla partizione del sistema! kaspesky è buono.

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti.

Sat4nax il fatto è che non riesco a andare in pannello di controllo (che è proprio sparito dal menù).

Quando cerco di andare per esempio su "installazione applicazione" viene fuori il messaggio che dice accesso impossibile ci sono restrizioni contattare l'amministratore di rete.

A ll'avvio in modalità provisoria mi chiede se entrare come admin o come principale, io ho provato le due opzioni ma senza nessun risultato.

Per fortuna è il pc di casa dove non ho cose importanti, però mi piacerebbe risolvere il problema per imparare.

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti.

Sat4nax ho provato quello che mi hai suggerito e il risultato è sempre quello :" Restrizioni! Operazione annullata. Sul computer sono attivate delle restrizioni. Contattare l'amministratore del sistema."

Cosa faccio? Ci metto un petardo di quelli grossi?

Di Vietri

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti.

Sat4nax ho provato quello che mi hai chiesto.

In modalità normale, quando esguo regedit, viene fuori un messaggio che dice" l'editore del registro di sistema è stato disabilitato dall'amministratore di sistema".

Invece in modalità provisoria, accedendo come "amministratore" riesco a entrare in regedit, ma li non so cosa fare.

Ho provato a seguire i consigli che sono sul link che mi hai consigliato, ma mi perdo.

Domani torno a casa con la mazza da 8 kg.....

Buona serata.

Di Vietri

Link al commento
Condividi su altri siti
Ospite

Ospite

Inserita:
Inserita:

Prova come suggerisce la guida, anche se non so se andrà bene:

Una volta nel registro di sistema, segui questo percorso

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

E, se presente, imposta il valore numerico a 0. Esci e riavvia.

Speriam

tongue.gif

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao Sat4nax,

ho provato come suggeriva la guida ma non ho trovato il "winlogon", forse perchè il So e XP Home Edition.

Dentro li ho trovato anche alcuni dei file che mi avevi detto di cancellare, uno l'ho anche cancellato ma poi non mi fido tanto delle mie conoscenze informatiche (praticamente zero).

Buona giornata a tutti.

Di Vietri

Link al commento
Condividi su altri siti
Divietri

Divietri

Inserita:
  • Autore
Inserita:

Ciao a tutti.

Ciao Sat4nax, sono stato preso dal lavoro e non ho più avuto tempo per il pc di casa (che comunque è ancora in crisi).

Ho provato in modalità provisorio a entrare come Admin ma non so dove andare a cercare per modificare qualcosa. Comunque non chiede password o cose del genere, però non mi lascia andare in certe funzioni.

Poi ho notato che la velocità della connessione adsl è veramente ridicola, anzi non si può neanche chiamare velocità! E peggio di quando c'era la linea telefonica normale. Che sia sempre un problema collegato all'altro.

Buona serata.

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
 Share
Vai alla lista discussioni
×
×
  • Crea nuovo/a...