Condividi:        

Nail.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 04/05/05 23:52

Il file è womve1.exe. Per cancellarlo digita CMD in Start > Esegui e agisci dal prompt DOS, perché sfogliando le cartelle potresti non vederlo.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi sanpap2000 » 05/05/05 08:55

D:\WINNT\downlo~1\5whzo\womve1.exe
Con qusti dati, io non sono in grado di cancellare womve1.exe. Tra l'altro, sempre nel guazzabuglio di WINNT\INSTALLER, ho trovato 2 FILES, 9597e.mst e 95971.mst con data 9 apr 2005: una data molto sospetta, dalle proprietà di questi file, sezione riepilogo, vedo che si tratta di file con Titolo J2RE v1,4,2 AUTORE Sun Microsystem Inc, di qui non riesco a capire lo scopo, comprendo che installano un data base che io non ho richiesto???. Ritornando alla cancellazione, forse è il caso di settare qualche parametro di DIR per ottenere una maggiore definizione dei nomi file per poter usare ERASE in modo appropriato.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Dylan666 » 05/05/05 11:38

Nella finestra che appare scrivendo CMD in Start > Esegui devi solo scrivere:

DEL D:\WINNT\downlo~1\5whzo\womve1.exe
Poi magari
RD D:\WINNT\downlo~1\5whzo

Puoi anche provare a dare ERASE invece di DEL e RMDIR invece di RD

Se vuoi dare un'occhiata alle sue del file puoi semplicemente spostarlo facendo una cosa così:

COPY D:\WINNT\downlo~1\5whzo\womve1.exe D:

Poi vai avedere i D: il risultato del tuo spostamento
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 05/05/05 15:49

OK womve1.exe eliminato, ma il processo:

O23 - Service: Mantenimento DataBase (mntdbb) - Unknown owner - D:\WINNT\downlo~1\5whzo\womve1.exe (file missing)

viene ancora riportato dopo un tentetivo di rimozione in modalità provvisoria;

credo che si debba anche provare a cancellare il:

O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINNT\svcproc.exe.

Persiste:

F2 - REG:system.ini: Shell=Explorer.exe D:\WINNT\Nail.exe,



riporto l'ultimo Log dopo aver provato a rimuovere Nail.exe e womve1,exe

Logfile of HijackThis v1.99.1
Scan saved at 16.19.33, on 05/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da PC Magazine
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe D:\WINNT\Nail.exe
F2 - REG:system.ini: UserInit=D:\WINNT\system32\Userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FineReader6NewsReaderPro] D:\Programmi\ABBYY FineReader 6.0\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://d:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://d:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://d:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://d:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\MESSEN~1\YPAGER.EXE
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/c ... /kt4_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/c ... /ct2_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... pote_x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {560F0128-CF3D-4368-BEE9-326FBC3270E1} (PhotosCtrlIT Class) - http://it.f2.pg.photos.yahoo.com/ocx/it ... r1_9it.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/221b2b1614d ... 601_it.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x ... DASAct.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {FFD1E45F-2B11-4742-BF47-3822FE02EE0F} (Yahoo! Foto - salva e condividi le tue foto su Yahoo! E' facile!l Class) - http://us.dl1.yimg.com/download.yahoo.c ... r1_1it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F68E0837-31B9-41B1-AF15-E802271135FF}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Mantenimento DataBase (mntdbb) - Unknown owner - D:\WINNT\downlo~1\5whzo\womve1.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINNT\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Dylan666 » 05/05/05 17:40

Naturalmente li avevi tolti tutti e tre contemporaneamente da modalità provvisoria, vero?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 05/05/05 19:23

No svcproc.exe non l'ho toccato, non ero sicuro del nome. Mentre attendo un tuo benestare, preparo un bat che prima rimuove i due file Nail.exe e svcproc.exe e poi lancia hijackthis. Vorrei provare a vedere se funziona in modalità provvisoria prompt di DOS.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Dylan666 » 05/05/05 20:33

Io non dico di cancellare tutti e tre i file, ma tutte e tre le chiavi tramite HijackThis sì. Tanto un file senza chiave che lo avvia è un file innocuo.

Quindi parti da modalità provvisoria e leva tutti e tre le voci di quei file.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 06/05/05 15:38

Ricapitoliamo:

sul mio computer vi ERANO tre eseguibili, di cui i primi due sicuramente infezioni spia o intrusioni (Trojan), il terzo sconosciuto anche in Internet. E sono:

Nail,exe
svcproc.exe
womve1.exe

Ora, usando hijackthis in modalità provvisoria, prompt dei comandi sono riuscito a pulire il registro di windows; e sono riuscito a cancellare dal sistema i files.

Di seguito elenco i file della mia cartella (Directory) WINNT, con lo scopo di avrere ulteriori suggerimenti. E sono:

Il volume nell'unit… D non ha etichetta.
Numero di serie del volume: 19E2-1C44

Directory di D:\WINNT

23/12/1999 00.00 41.744 discover.exe
19/06/2003 21.05 76.048 regedit.exe
19/06/2003 21.05 273.680 winhlp32.exe
23/12/1999 00.00 49.680 twunk_16.exe
23/12/1999 00.00 26.384 twunk_32.exe
23/12/1999 00.00 15.120 upwizun.exe
23/12/1999 00.00 367.888 welcome.exe
23/12/1999 00.00 256.859 winhelp.exe
19/06/2003 21.05 196.368 winrep.exe
18/04/1997 11.51 298.496 unin0410.exe
18/03/2004 15.53 57.344 uneng.exe
13/11/1998 13.07 307.712 IsUn0410.exe
19/06/2003 21.05 243.984 explorer.exe
19/06/2003 21.05 10.752 hh.exe
18/06/2004 14.40 33.280 muninst.exe
23/12/1999 01.00 51.984 NOTEPAD.EXE
23/12/1999 01.00 35.600 TASKMAN.EXE
23/12/1999 01.00 5.392 delttsul.exe
07/07/2003 14.05 33.792 oeuninst.exe
03/03/2003 16.26 33.792 ieuninst.exe
28/02/2003 18.26 46.352 setdebug.exe
06/11/2003 17.44 33.792 vgxuninst.exe
06/11/1996 11.48 252.928 UN160410.EXE
12/06/2004 18.41 81.920 bwUnin-6.1.4.36-8876480L.exe
07/02/2005 23.40 5.121 abiloader.exe
14/09/2000 08.26 237.568 cfphfp.exe
23/11/2000 23.38 237.568 eujxioo.exe
14/09/2000 08.26 237.568 avgitj.exe
23/11/2000 23.38 237.568 quivldo.exe
28/03/2002 14.39 237.568 ozdoiv.exe
28/03/2002 14.39 237.568 gtbcouh.exe
05/05/2001 23.38 237.568 atonqs.exe
05/05/2001 23.38 237.568 apowlf.exe
27/02/2001 13.37 237.568 cuzjggb.exe
15/06/2003 18.23 6.416 DESINST.EXE
26/04/2005 19.43 0 hvwktxokjka.exe
30/08/2002 19.28 12.288 isk3ro.exe
30/08/2002 19.28 11.200 welc.exe
04/03/2003 09.50 19.968 LOGI_MWX.EXE
08/04/1997 20.08 299.520 uninst.exe
23/01/2002 17.34 12.288 jre.exe
23/01/2002 17.34 12.800 jrew.exe
11/12/2002 18.40 1.077.248 Unnero.exe
12/05/1997 18.53 314.368 IsUninst.exe
44 File 6.740.220 byte
0 Directory 25.849.954.304 byte disponibili




Ringrazio per la collaborazione e la pazienza che avete dimostrato nei miei confronti, e suggerisco a tutti coloro che devono usare la modalità provvisoria, prompt dei comandi, di scrivere un file bat commentando usando il rem per ogni step di lavoro: consente di tenere traccia del lavoro fatto; di evitare errori di digitazione; di copiare in un floppy e file cancellati, la prudenza non è mai troppa.

Cordialità Sandro
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Tiseria » 06/05/05 16:32

23/11/2000 23.38 237.568 eujxioo.exe
14/09/2000 08.26 237.568 avgitj.exe
23/11/2000 23.38 237.568 quivldo.exe
28/03/2002 14.39 237.568 ozdoiv.exe
28/03/2002 14.39 237.568 gtbcouh.exe
05/05/2001 23.38 237.568 atonqs.exe
05/05/2001 23.38 237.568 apowlf.exe
27/02/2001 13.37 237.568 cuzjggb.exe

A prima vista mi sembrano molto sospetti questi file da 237568 byte...

Prova fare ulteriori controlli con anti-virus e anti-spyware...
Oltre a quelli famosi... prova Virit http://www.tgsoft.it che è molto buon

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi sanpap2000 » 06/05/05 17:45

Sì anch'io penso che quiei files vadano eliminati. L'infezione patita era dovuta a diversi tipi di trojan. Mi sono insospettito dell'infezione, perche si verificavano eventi insoliti:
la macchina rallentava moltissimo;
frequntissimi si facevano gli avvisi di Norton frewall per applicazioni con nomi stranissimi, che cercavano di accedere ad internet.
In principio, Utilizzando il classico Task Manager, vedevo processi attivarsi e chiudersi in rapida sucessione. Inutile cercare di chiudere un processo perchè subito se ne apriva un altro con quei nomi strampalati: provabilmente files creati dal trojan ecc....
Un primo grandissimo risultato l'ho ottenuto scaricando procexp.exe: è un gestore di processi che per i file in esecuzione legge tutto quello che può, comprese variabili e stringhe, e con questo programma ho scoperto che l'applicazione che rompeva era siglata "TODO". Una qualità di procexp che ho trovato utilissima, è la possibilità di sospendere l'esequzione dei programmi, il che mi restituiva la macchina ad un funzionamento normale; successivamente, facendo una ricerca con trova di tutti i file che contenevano la stringa TODO, sono arrivato alla radice del problema e utilizzando il prompot dei comandi in modalità provvisoria mi sono liberato del famigerato TODO. Con ripetute scansioni su diversi altri siti, sono arrivato a debellare altre porcherie, fino allo scoglio del famigerato Nail.exe.

Prima di preparare un file "cmd_mio.bat" per copiare e cancellare i file sopra esposti, attendo altre considerazioni.

Ancora, se qualcuno avrà la cortesia di fornirmi aiuto, manderò al forum le liste delle DLL di system32 e di system, per una ulteriore pulizia.

Cordialità Sandro
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Dylan666 » 06/05/05 19:39

Il concetto è semplice: se non ci sono più chiavi di avvio che facciano partire faile strani ci possono essere anche 10.000 virus sul tuo PC, ma se nessuno li lancia non possono fare nulla di male.

Detto questo, non è scluso che qualche rimasuglio (reso inoffensivo) del virus sia rimasto sul tuo PC. Però trovarlo è un bel casino se l'infezione non viene riconosciuta dai tuoi programmi di difesa. Perché mentre l'antivirus puù riconoscere il malware ed eliminare a colpo sicuro certi oggetti, basandosi sulla loro dimensione e sul loro contentuo, tu puoi usare come discriminante molto meno, ovvero sì è no il nome. Ma è già un inizio per documentarsi. Ne ho preso uno a caso: upwizun.exe. Il primo risultato di Google.it è questo:

http://securityresponse.symantec.com/av ... al@mm.html


Ecco uno dei virus che hai sul PC, W32.Blackmal@mm. Puoi provare a documentarti a mano per tutti i nomi che hai messo e seguire le eventuali istruzioni di rimozione , ma capirai pure tu che è un lavoraccio. Allora o aggiorni il tuo antivirus, metti la modalità provvisoria e fai una scansione completa, oppure, se questo lo hai già fatto, cambi antivirus con uno che risolva il tuo problema.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 06/05/05 23:55

Sono veramente esterrefatto. Tutti i problemi sono ritornati con la virulenza iniziale:
Ora nel computer sta girando un programma, zjhcufo,exe dell TOGO <company name>, vari programmi tra cui auroreco.exe e altri di cui non ricordo il nome, cercano di inviare dati verso l'esterno. Un altra cosa che ho scoperto è che la scansione con Norto in linea mi ha individuato altri file infetti:

D:\WINNT\questmod.dll è infettato con Adware.Sa
D:\WINNT\sasent.dll è infettato con Adware.Sa

poi scopro che il mio antivirus norton 2002 non è più supportato: «mi avessero avvertito con un e-mail».

Ma dovrò decidermi di rifare la macchina
e la cosa mi urta tremendamente.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Iperico » 07/05/05 08:05

Dylan666 ha scritto:Nella finestra che appare scrivendo CMD in Start > Esegui devi solo scrivere:

DEL D:\WINNT\downlo~1\5whzo\womve1.exe
Poi magari
RD D:\WINNT\downlo~1\5whzo

Puoi anche provare a dare ERASE invece di DEL e RMDIR invece di RD

cut


Poche settimane fà mi è capitata una cosa del genere: un file sospetto che non riuscivo a eliminare nemmeno in modalità provvisoria perchè risultava sempre "in uso".
Ho provato anche con questo metodo dal promp di dos (cosa che non avevo mai fatto prima), ma nulla il file era sempre lì!
Se da un lato mi consola il fatto di avere usato il promp di dos in modo appropiato (cioè ho fatto proprio come hai scritto tù) dall'altro mi viene una domanda.
Esiste un qualche modo per eliminare un file non facendo partire il S.O.?
Mi spiego meglio:
Se lavorassi con win 98 io caricherei il un boot di dos e agirei da A:
ma con win XP come si fa?
P.S.
Alla fine ho risolto con HjackThis
Iperico
Utente Junior
 
Post: 59
Iscritto il: 15/04/04 12:25

Postdi sanpap2000 » 07/05/05 15:28

Mi lancio in questa risposta, anche se io non ho mai buttato via i miei vecchi dischetti del DOS, credo che se fai partire una macchina con un disco di ripristino, ti vengono messi a disposizione i comandi fondamentali di Dos compresi il del e l'erase: in realtà viene copiato il vecchio command.com
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi tartara » 07/05/05 18:11

[quote="sanpap2000"]Sono veramente esterrefatto. Tutti i problemi sono ritornati con la virulenza iniziale:



Nail.exe mi ha annoiato per 2 giorni.
poi dopo aver seguito alcuni forum, provato innumerevoli spyware...

..ho fatto una ricerca nel registro inserendo nail e ho cancellato tutte le voci trovate (3 per l' esatezza).

Ora sono libero.

Non sono un' esperto di PC e so che modificare il registro può essere pericoloso. Non mi ricordo le chiavi tolte...fai tu...
tartara
Newbie
 
Post: 3
Iscritto il: 07/05/05 18:04

Postdi Dylan666 » 08/05/05 01:14

Qui c'è poco da fare: usa un bell'antivirus tosto
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi sanpap2000 » 08/05/05 19:16

In primo luogo ho fatto l'amara scoperta che il mio norto antivirus non serviva più a nulla, anche se inglobava e digeriva senza lamentarsi tutti gli aggiornamenti giornalieri (live update), nessuno (Norton) si è preso la briga di avvisare che la versione 2000 - 2002 non era più supportata. Acquistato Internet security e installato, alla prima scansione 10 file infetti; cancellati e fatto il riavvio del PC. Alla seconda scansione 4 file Infetti:

Il file D:\WINNT\system32\fbbwrd.exe è una minaccia Programmi pubblicitari.
Il file D:\WINNT\Nail.exe è una minaccia Programmi pubblicitari.
Il file D:\Documents and Settings\Sandro.SANDRO-Q5UBWWAO\Impostazioni locali\Temporary Internet Files\Content.IE5\TOO1Y54P\Nail[1].exe è una minaccia Programmi pubblicitari.
Il file D:\Documents and Settings\Sandro.SANDRO-Q5UBWWAO\Impostazioni locali\Temporary Internet Files\Content.IE5\OR4PA96N\Poller[1].exe è una minaccia Programmi pubblicitari.

Per ulteriori indagini fatte, è emerso che dalla finestra di utilità di configurazione del sistema è attivata la casellina per l'avvio automatico del file chiamato: zfalhx, CHE AVVIA APPUNTO IL FILE D:\WINNT\system32\fbbwrd.exe.

Stiamo parlando di file tutti marcati TODO, che pare essere una software house
spagnola.

Norton Internet security sembra lavorare bene e ora il pc pare riputilo.
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi Iperico » 09/05/05 07:58

sanpap2000 ha scritto:Mi lancio in questa risposta, anche se io non ho mai buttato via i miei vecchi dischetti del DOS, credo che se fai partire una macchina con un disco di ripristino, ti vengono messi a disposizione i comandi fondamentali di Dos compresi il del e l'erase: in realtà viene copiato il vecchio command.com


Purtroppo non è così semplice, il dos non vede le partizioni ntsf.
L'unico "programma" free l'ho trovato su bootdisk.com ma consente di creare un floppy di boot per leggere e spostare i file delle NTFS ma non per cancellarli.

http://www.pc-facile.com/download/recup ... e_boot_cd/
Questo pare faccia a caso mio, ma sinceramente speravo in qualcosa di molto più "snello".

Sì, lo sò, sono off-topic :P
Iperico
Utente Junior
 
Post: 59
Iscritto il: 15/04/04 12:25

Postdi sanpap2000 » 11/05/05 19:12

Sono sempre nelle peste. Ho anche provato a usare PestPatrol: ma nulla. Sarei curioso di avere notizie da Tartara perchè anch'io ho creduto per ben due volte di aver risolto il problema, ma siamo sempre da capo.
Simantec poi identifica i virus, chiamiamoli così per semplicità, come Adware BetterInternet, è gentile, perchè ora ti fa anche scaricare un programmino per la pulizia automatica: lo eseguo e non trova nulla!
sanpap2000
Utente Junior
 
Post: 32
Iscritto il: 29/04/05 16:05
Località: Padova

Postdi tartara » 12/05/05 18:46

[quote="sanpap2000"]Sono sempre nelle peste. Ho anche provato a usare PestPatrol: ma nulla. Sarei curioso di avere notizie da Tartara perchè anch'io ho creduto per ben due volte di aver risolto il problema, ma siamo sempre da capo.
Simantec poi identifica i virus, chiamiamoli così per semplicità, come Adware BetterInternet, è gentile, perchè ora ti fa anche scaricare un programmino per la pulizia automatica: lo eseguo e non trova nulla![/quote]


Eccolo!!!

PRIMO: ho seguito alcuni forum in inglese che suggerivano diversi spyware e antivirus...provati ma niente! Succedeva come col norton..mi trovava il file nail.exe, lo cancellava e poi d' accapo!

SECONDO: nemmeno Hijack this ha funzionato. mi trovava una voce di registro con nail ma non appena tolta..Zack! questa riappariva al successivo scan.

TERZO: il tool di Symantec per togliere nail.exe non funzionava neanche con me

QUARTO: UN MIO AMICO MI HA SUGGERITO LA PIù SEMPLICE: una ricerca nel registro con la parola nail. Detto fatto..ho cancellato 3 voci ( non chiedermi le chiavi esatte..non le ho segnate) e ora sono a posto.

Questo è quanto!
tartara
Newbie
 
Post: 3
Iscritto il: 07/05/05 18:04

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Nail.exe":

Virus Nail.exe
Autore: vivy
Forum: Sicurezza e Privacy
Risposte: 9
Aiuto nail.exe
Autore: Zel_pi80
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 43 ospiti