- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- Non riesco a rimuovere Dialer.GYI e zhrgza.exe
-
Dopo le due lunghe scansioni complete, a parte qualche coockie (tra cui tradedubler), non è risultato nulla, :bho: ma dopo l'antivirus ha di nuovo trovato un file pericoloso nella cartella temp di win, solo che aveva una altro nome astruso, ma sempre identificato come Dialer.GYI
Ri-allego il log di HijackThis dove vedo anche messenger, che io non ho mai usato, parte in automatico con Win?
-
Ciao EffeKappa,
qualche novita'?
-
Ciao Wolf, purtroppo nessuna, ogni giorno lo fixo con HijackThis oppure con SuperAntiSpyware, Ad-Aware non lo rileva, ma lui puntuale riappare la sera successiva, e cambia sempre nome, ma è facile individuarlo dall'icona, che sono sempre le due labbra...
Il bacio di Giuda
-
Ciao EffeKappa,
effettua uno scan con prevx!
@EffeKappa said:
Lo ha rimosso, ma adesso me lo ritrovo nuovamente nella scansione di oggi, sempre in C:\WINDOWS\Temp\zhrgza.exe
**zhrgza.exe **è sempre in C:\WINDOWS\Temp\ ???
-
Ciao Wolf, si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe
Ho installato prevx e dalla scansione mi ha trovato il tzybta.exe, ma ha anche trovato altro che non era stato rilevato da HijackThis, SuperAntiSpyware e Ad-Aware.
Ha trovato 2 Rootkit in C:\WINDOWS\System32
il primo è csrulwrm.exe e l'altro è wwSecure.exe
-
Ciao EffeKappa,
@EffeKappa said:
Ha trovato 2 Rootkit in C:\WINDOWS\System32
il primo è csrulwrm.exe e l'altro è wwSecure.exeprevx ha rimosso qualcosa?
@EffeKappa said:
si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe
Scarica the avenger:
Apri avenger e seleziona la voce: **Input Script Manually **clicca poi la lente sulla destra ed effettua un copia incolla di questo script:
Files to delete:
C:\WINDOWS\Temp\zhrgza.exe
C:\WINDOWS\Temp\tzybta.execlicca su done e poi sul semaforo verde; dai conferma delle domande e il pc verra' riavviato!Posta il log di avenger qui nel forum!
-
Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.
Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf
-
@EffeKappa said:
Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.
Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf
Scarica avg anti-rootkit free; intanto effettua i passaggi elencati prima con avenger!
-
...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...
sei avvisato
-
@EffeKappa said:
...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...
sei avvisato
-
Ciao Wolf, ho fatto le operazioni con Avenger e questo è il log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rdqvmbec
Script file located at: ??\C:\Documents and Settings\duknexbx.txt
Script file opened successfully.Script file read successfully
Backups directory opened successfully at C:\Avenger
Beginning to process script file:
File C:\WINDOWS\Temp\zhrgza.exe not found!
Deletion of file C:\WINDOWS\Temp\zhrgza.exe failed!Could not process line:
C:\WINDOWS\Temp\zhrgza.exe
Status: 0xc0000034File C:\WINDOWS\Temp\tzybta.exe deleted successfully.
Completed script processing.
Finished! Terminate.
Ha dato errore sul file zhrgza.exe, ma in effetti adesso non c'era nella cartella temp.
Ora lancio anti-rootkit...
-
Installato e lanciato, ma l'anti-rootkit free dell'AVG non ha rilevato nulla, mentre ripassando Prevx mi ritrova sempre quei due:csrulwrm.exe
wwSecure.exe
-
@EffeKappa said:
... ripassando Prevx mi ritrova sempre quei due:
csrulwrm.exe
wwSecure.exe..Effettua uno scan con gmer e vediamo un po' cosa trova..
tzybta.exe è stato eliminato. Le due labbra, novita'???
-
@Wolf Otakar said:
tzybta.exe è stato eliminato. Le due labbra, novita'???
Ciao Wolf, il bacio penso proprio di si, almeno, sino a questo momento non si è più "materializzato".
Adesso provo e vedo cosa mi trova gmer
-
Ciao Wolf, neppure gmer ha rilevato quei due file sospetti
-
@EffeKappa said:
Ciao Wolf, neppure gmer ha rilevato quei due file sospetti
Analizza i file sospetti su: virustotal!
-
...il bello è che come sito l'avevo pure recensito sul mio blog, ma non me ne ricordavo
per il csrulwrm.exe mi dice
0 bytes size received / Se ha recibido un archivo vaciopur essendo da 13kb
e per il wwSecure.exe era già stato scansito da altri ma dal permalink con il risultato non risulta nulla
virustotal.com/it/analisis/b449be44f107cd7b85ea92aa2f964ffe
-
...aspetta, correggo, gli ho fatto ripetere l'analisi sul mio e mi ha dato questo:
F-Secure6.70.13260.02008.02.20Suspicious:W32/Malware!Gemini
-
Analizzali anche su: suspectfile ed effettua uno scan con PandaAntiRootkit!
-
...sono tornato. Tra influenze e problemi di lavoro non riesco più a combinare molto. Comunque i due viruzzi sembrano spariti, il problema però è che mi si disconnetteva sempre Internet, come se ci fosse comunque un dialer che tentava la connessione.
Allora ho provato a disinstallare modem USB che avevo sul PC principale e ad installarlo sul PC secondario della mia rete. Di li non avevo problemi di nessun tipo, quindi la linea è a posto, il problema è del PC principale.
Oltretutto sul PC principale, non riuscivo più ad aprire HijackThis perchè mi si chiudeva subito la finestra di explorer, allora pensando fosse qualche utility tra le tante che avevo installato qui elencate, ho iniziato a disinstallarle una ad una, ma il problema persisteva.:?
...morale della favola, ora navigo lo stesso con il PC principale, ma tramite l'altro PC che ha il modem, e purtroppo non sono più riuscito a condividere i file tra un PC e l'altro. Funziona la condivisione della connessione, le stampanti collegate, comprese quelle collegate con cavo di rete allo Zyxel ES-105, ma di vedersi tra di loro non se ne parla.:x
Ho provato ad assegnare gli indirizzi IP, a rifare la rete con il wizard e col dischetto dopo averla impostata sul PC secondario, ma nulla da fare.
Poi sul PC principale non si visualizzano tante cose, tipo banner o flash, come fosse firewallato di brutto
