- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- Non riesco a rimuovere Dialer.GYI e zhrgza.exe
-
Ciao EffeKappa,
fixa questa chiave:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
Fatto questo effettua un controllo con: SuperAntiSpyware e Ad-Aware "aggiornati"!
installa un buon firewall!
-
Grazie Wolf, fixato la voce che mi hai segnalato e adesso sto scaricando in due progr, poi li lancio e vedo che succede.
-
Dopo le due lunghe scansioni complete, a parte qualche coockie (tra cui tradedubler), non è risultato nulla, :bho: ma dopo l'antivirus ha di nuovo trovato un file pericoloso nella cartella temp di win, solo che aveva una altro nome astruso, ma sempre identificato come Dialer.GYI
Ri-allego il log di HijackThis dove vedo anche messenger, che io non ho mai usato, parte in automatico con Win?
-
Ciao EffeKappa,
qualche novita'?
-
Ciao Wolf, purtroppo nessuna, ogni giorno lo fixo con HijackThis oppure con SuperAntiSpyware, Ad-Aware non lo rileva, ma lui puntuale riappare la sera successiva, e cambia sempre nome, ma è facile individuarlo dall'icona, che sono sempre le due labbra...
Il bacio di Giuda
-
Ciao EffeKappa,
effettua uno scan con prevx!
@EffeKappa said:
Lo ha rimosso, ma adesso me lo ritrovo nuovamente nella scansione di oggi, sempre in C:\WINDOWS\Temp\zhrgza.exe
**zhrgza.exe **è sempre in C:\WINDOWS\Temp\ ???
-
Ciao Wolf, si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe
Ho installato prevx e dalla scansione mi ha trovato il tzybta.exe, ma ha anche trovato altro che non era stato rilevato da HijackThis, SuperAntiSpyware e Ad-Aware.
Ha trovato 2 Rootkit in C:\WINDOWS\System32
il primo è csrulwrm.exe e l'altro è wwSecure.exe
-
Ciao EffeKappa,
@EffeKappa said:
Ha trovato 2 Rootkit in C:\WINDOWS\System32
il primo è csrulwrm.exe e l'altro è wwSecure.exeprevx ha rimosso qualcosa?
@EffeKappa said:
si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe
Scarica the avenger:
Apri avenger e seleziona la voce: **Input Script Manually **clicca poi la lente sulla destra ed effettua un copia incolla di questo script:
Files to delete:
C:\WINDOWS\Temp\zhrgza.exe
C:\WINDOWS\Temp\tzybta.execlicca su done e poi sul semaforo verde; dai conferma delle domande e il pc verra' riavviato!Posta il log di avenger qui nel forum!
-
Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.
Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf
-
@EffeKappa said:
Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.
Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf
Scarica avg anti-rootkit free; intanto effettua i passaggi elencati prima con avenger!
-
...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...
sei avvisato
-
@EffeKappa said:
...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...
sei avvisato
-
Ciao Wolf, ho fatto le operazioni con Avenger e questo è il log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rdqvmbec
Script file located at: ??\C:\Documents and Settings\duknexbx.txt
Script file opened successfully.Script file read successfully
Backups directory opened successfully at C:\Avenger
Beginning to process script file:
File C:\WINDOWS\Temp\zhrgza.exe not found!
Deletion of file C:\WINDOWS\Temp\zhrgza.exe failed!Could not process line:
C:\WINDOWS\Temp\zhrgza.exe
Status: 0xc0000034File C:\WINDOWS\Temp\tzybta.exe deleted successfully.
Completed script processing.
Finished! Terminate.
Ha dato errore sul file zhrgza.exe, ma in effetti adesso non c'era nella cartella temp.
Ora lancio anti-rootkit...
-
Installato e lanciato, ma l'anti-rootkit free dell'AVG non ha rilevato nulla, mentre ripassando Prevx mi ritrova sempre quei due:csrulwrm.exe
wwSecure.exe
-
@EffeKappa said:
... ripassando Prevx mi ritrova sempre quei due:
csrulwrm.exe
wwSecure.exe..Effettua uno scan con gmer e vediamo un po' cosa trova..
tzybta.exe è stato eliminato. Le due labbra, novita'???
-
@Wolf Otakar said:
tzybta.exe è stato eliminato. Le due labbra, novita'???
Ciao Wolf, il bacio penso proprio di si, almeno, sino a questo momento non si è più "materializzato".
Adesso provo e vedo cosa mi trova gmer
-
Ciao Wolf, neppure gmer ha rilevato quei due file sospetti
-
@EffeKappa said:
Ciao Wolf, neppure gmer ha rilevato quei due file sospetti
Analizza i file sospetti su: virustotal!
-
...il bello è che come sito l'avevo pure recensito sul mio blog, ma non me ne ricordavo
per il csrulwrm.exe mi dice
0 bytes size received / Se ha recibido un archivo vaciopur essendo da 13kb
e per il wwSecure.exe era già stato scansito da altri ma dal permalink con il risultato non risulta nulla
virustotal.com/it/analisis/b449be44f107cd7b85ea92aa2f964ffe
-
...aspetta, correggo, gli ho fatto ripetere l'analisi sul mio e mi ha dato questo:
F-Secure6.70.13260.02008.02.20Suspicious:W32/Malware!Gemini
