Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Nail.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Dylan666 » 12/05/05 20:10

Per chiarezza: se il file non era in esecuzione al momento dell'eliminazione della chiave allora il vuol dire che non può essersi ri-creata da sola e c'è un'altro pezzo di spyware che ancora circola e potrebbe presto annullare la puliza.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi Dylan666 » 12/05/05 20:11

Dylan666 ha scritto:puliza.


pulizia ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 13/05/05 22:59

Ora io sono libero da circa 30 ore. Ma non sono per nulla sicuro di aver debellato quella porcheria micidiale. Per come intuisco io le cose, il programma inizia il suo lavoro andando a registrare nella runonce, la sezione di avvio automatico di Win2000, la partenza del programma: che quindi viene lanciato, ad ogni avvio di macchina, cambiando di nome. La struttura del programma sembra articolata su varie dll e vari exe: assest.dll nail.exe poller.exe. Tutte queste stringhe sono state rimosse varie volte dal registro, eseguendo Windows in modalità provvisoria al prompt dei comandi. Ecco perchè ho richiamato in causa Tartara.
Di seguito riporto il contenuto del file bat che ho usato l'ultima volta:

cd \
cd Documents and Settings
cd Sandro.SANDRO-Q5UBWWAO
cd Impostazioni locali
cd Temporary Internet Files
cd Content.IE5
cd 89ABCDEF

erase Nail[1].exe
erase Poller[1].exe

erase D:\winnt\svcproc.exe
erase D:\WINNT\system32\zxqtqhr.exe
erase D:\WINNT\Nail.exe
erase D:\WINNT\ASSEST.DLL

Il file zxqtqhr.exe è il programma residente in memoria che cambia continuamente di nome ad ogni riavvio, e che ho potuto analizzare usando procexp.exe, un task manager più evoluto.

Il mio timore è che l'IP della mia macchina sia stato registrato dai gestori di questa schifezza, e che la mia protezione sia affidata al caso, perchè incapace di avvisarmi adeguatamente al prossimo attacco.

Per una difesa adeguata, sarebbero necessari dei programmi di analisi molto più sofisticati come: decompiler e analizzatori dell'input e output per ogni processo in esequzione.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Dylan666 » 14/05/05 12:07

[quote="sanpap2000La struttura del programma sembra articolata su varie dll e vari exe: assest.dll nail.exe poller.exe.[/quote]

Se i "pezzi" del virus sono veramente solo quelli, terminali con il Process Explorere e cancellali. Ma se si ricreano chiavi e files allora ti manca ancora qualcosa da individuare. Per quanto riguarda il fattore "sicurezza" se hai un firewall sei sicuro che nessuno entra o esce dal tuo PC.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 14/05/05 18:29

E' vero che il firewall è una buona sentinella durante la navigazione in internet. Ma cosa succede con la chat o la posta? Io ho molti contatti vai chat e posta con non vedenti; e i non vedenti sono esposti molto più di altre persone.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi tartara » 15/05/05 14:17

Purtroppo io sono un barbaro del PC e non riesco a starvi dietro perchè siete molto più esperti di me.

Descrivo più nel dettaglio la mia esperienza sperando che vi aiuti.

Dunque..da dove parto...

3 gli .exe che apparivano nel mio PC:

1) NAIL.EXE identificato dai vari antivirus come BETTERINTERNET nella cartella C\windows. Questo file era sempre presente ad ogni avvio di windows e si rigenerava immediatamente tutte le volte che veniva cancellato da me manualmente o dall' antivirus.

2) Un .EXE che se non ricordo male appariva solo al momento della connessione internet. Si formava nella cartella c\windows, appariva come processo e una volta terminato dal task manager, dall' antivirus o da me manualmente riappariva sempre con un altro nome. Anche questo era clasificato BETTERINTERNET. In più il mio Microsoft antispyware mi segnalava sempre che tale .exe si aggiungeva nel mio start up o qualcosa di simile. Ogni volta che lo terminavo ricompariva e e mi veniva fatta sempre la stessa segnalazione dal Microsoft spyware. Sempre da questo spyware imparo che questo .exe aveva a che fare con la TODO.

3) Un QVFIMDSKB.EXE che appariva solo dopo la mia connessione ad internet, non veniva rilevato da antispyware o antivirus ma il sygate ne segnalava il tentativo di fare broadcast o qualcos' altro. Sempre il sygate lo identificava come prodotto TODO. Non ricordo in quale cartella apparisse (non c:\windows) ma il suo comportamento era il seguente: avvio windows e non c' è; mi connetto e appare; lo cancello manualmente ma si rigenera sempre. Aggiungo che, anche se alla domanda del sygate "che fare?" proibivo a questa applicazione di trasmettere regolarmente, la vicenda ri ripeteva.

Alchè penso...

se nail.exe è un BETTERINTERNET

e

il poliforme .exe è un BETTERINTERNET + TODO

e

QVFIMDSKB.EXE è TODO

allora

anche sto cavolo di QVFIMDSKB.EXE non mi piace

Sfinito dopo due giorni di rullaggio di spyware a antivirus di tutti i tipi mi lancio in una serie di operazioni a vanvera di cui non so il significato:

1) al primo tentativo di QVFIMDSKB.EXE di trasmettere vado nelle applicazioni avanzate del sygate e tolgo tutte le spunte. L' effetto è che questa aplicazione smette di tentare di trasmettere. Non appare neanche più nella cartella di sistema;

2) con mia sorpreso mi accorgo che il .exe polimorfo non appare più. Non so dire se i due eventi sono collegati o è solo una coincidenza cronologica;

3) rimane il nail. exe che si comporta sempre allo steso modo. Uso Hijackthis che trova una chiave di registro con nail.exe, la cancello ma riappare ad ogni nuovo scan;

4) faccio una ricerca nel registro con la parola nail e cancello 3 chiavi che la contengono. Da questo momento nail. exe è scomparso dal mio PC.

Per finire aggiungo che QVFIMDSKB.EXE e TODO sono presenti in una chiave di registro nella cartela di registro di My search...famoso spyware se non erro. Detto questo tutto tace e i 3 .exe sono spariti dalle mie cartelle di sistema. Se poi ste schifezze continuano a fare il loro sporco lavoro senza essere segnalate dai miei software anti-tutto non so dirlo.

A riguardo vorrei sapere se consigliate di cancellare anche le rimanenti chiavi di registro TODO e QVFIMDSKB.EXE dalla cartella di registro di MySearch.

A presto!
tartara
Newbie
 
Post: 3
Iscritto il: 07/05/05 18:04

Postdi Dylan666 » 15/05/05 15:51

Eliminare puoi eliminare tutto, basta che ti tieni una copia di quello che levi casomai ci ripensassi. Quindi esporta la chiave prima di cancellarla.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

RIMOZIONE NAIL.EXE.

Postdi frank magic » 31/05/05 18:12

Si può tentare di rimuovere il file nail.exe in windows XP (oltre a tentare con ad-aware e HijackThis) nel seguente modo:
1)disabilitare ripristino configurazione sistema
2)riavviare il SO in modalità provvisoria
3)creare un file nail.bat con il seguente contenuto:
@ECHO OFF
cd \windows
nail.exe /FULLREMOVE
sc config svcproc start= disabled
sc stop svcproc
sc delete svcproc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit

e successivamente eseguirlo

4)entrare nel registro di windows, identificare la chiave HKLM\software\microsoft\windowsNT\currentversion\winlogon\
"shell=explorer.exe c:\windows\nail.exe"
e successivamente modificarla in
"shell=explorer.exe"

ho impiegato un ora ma ci sono riuscito.
saluti.
frank magic
Newbie
 
Post: 1
Iscritto il: 31/05/05 17:52

Postdi Tiseria » 01/06/05 13:47

L'ho rimosso da un paio di computer con Virit in versione prova dalla modalità provvisoria...

ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Nail.exe":

Virus Nail.exe
Autore: vivy
Forum: Sicurezza e Privacy
Risposte: 9
Aiuto nail.exe
Autore: Zel_pi80
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti