Credo "dialer" idd.tmp, istallato permanentemente in windows\temp

Pubblicità
AndrewB

AndrewB

Utente Attivo
Messaggi
62
Reazioni
0
Punteggio
26
oggetto: Credo "dialer" idd.tmp, istallato permanentemente in windows\temp

Buongiorno a tutti,
desidererei avere informazioni da chi ha incontrato questo tipo di dialer che, oltre a creare ina icona sul tray per effettuara una connessione "guidata", apre spesso dei pop-up e (una volta) mi ha creato una connessione parallela adsl!
E' la prima volta che mi capita un dialer adsl e temo il peggio.
:cav:
Aggiungo di non essere un neofita e di aver provato HIJACK, KILLBOX, CCLEANER, NOD32, rispettivamente per eliminare inutili chiavi dal registro, le cartelle create in windows\temp etc etc.
:boh:
Ho anche provato in modalità provvisoria ma permangono le cartelle "clonate" di internet explorer che questo dialer crea in windows\temp.
:help:
PS: copie di queste cartelle-clone appaiono anche in documents and settings\impostazioni locali\temp

Attendo info + eventuali link per scaricare qualche programma epurante (si dice epurante?).
Ciao.
 
Ringrazio ROB ma l'articolo segnalato non mi fornisce istruzioni specifiche.
Satasera provo disattivando il "ripristino configurazione" e vi dico, nel frattempo una domanda.
Perché disattivare il rispristino per eliminare un virus?
Disattivando il ripristino evito che il programma sia "attualmente in uso"???

Ciao.
 
AndrewB ha detto:
Ringrazio ROB ma l'articolo segnalato non mi fornisce istruzioni specifiche.
Clicca per espandere...

ti ho linkato il tread perkè avevo appena risposto ad un problema simile..
disattiva il ripristino (pann. contr. > sistema > ripristino > disattiva)
fai una scansione con ewido (trial da 30gg) e spybot (free)
stampa un log con hijackthis, incollalo qui e guarda se ci sono ancora processi sospetti
una volta terminato, (se hai risolto) riattiva il ripristino di sistema

Rob

PS. se invece tutti i sospetti si concentrano su un file, puoi cancellarlo con unlocker
 
Purtroppo anche disattivando il "ripristino" i files in windows\temp e in documents...\impostazioni locali\temp sono bloccati.
Oltre che boicottare i pop-ups che si aprono (ci sono anche nomi famosi, posso farli?) come posso intervenire in modo irruento?
Esiste un programma che elimina apriori anche i files "attualmente in uso"?

PS se vi è utile: CREA UNA CONNESSIONE CHIAMATA "0202" AD UN NUMERO 899... Forse è innocua per ADSL?
 
il ripristino non sblocca i file ma ne "memorizza" una copia..
segui la procedura sopra..
puoi anke tentare di cancellare il file in modalità provvisoria o accedere al disco rigido con un cd live di linux (ex. ubuntu)..
la connessione di cui parli dovrebbe essere innocua, adsl è una connessione dedicata..

Rob
 
Ho tolto il ripristino, ho avviato in mod. provv. e all'interno dei profili "administrator" e del mio ho sparato in sequenza:
EWIDO, , Spybot, CCLEANER, ho ripulito le (poche) chiavi superstiti con Hijack e lanciato pure NOD32.
Le cartelle CLONE chiamate cookies, cronologia e temporary internet files permangono in windows\temp e impostazioni locali\temp nonostante tutto. Non si cancellano e ricreano l'IDD.TMP. Non si SHREDDANO!!!
Cosa altro posso fare?
 
AndrewB ha detto:
Ho tolto il ripristino, ho avviato in mod. provv. e all'interno dei profili "administrator" e del mio ho sparato in sequenza:
EWIDO, , Spybot, CCLEANER, ho ripulito le (poche) chiavi superstiti con Hijack e lanciato pure NOD32.
Le cartelle CLONE chiamate cookies, cronologia e temporary internet files permangono in windows\temp e impostazioni locali\temp nonostante tutto. Non si cancellano e ricreano l'IDD.TMP. Non si SHREDDANO!!!
Cosa altro posso fare?
Clicca per espandere...

Formattone ... ??? :cry: :cry: :cry:
 
Ecco una immagine della cartella "temp" coll'heuristic dialer.
Se scelgo una scansione diretta di idd.tmo ewido mi dice "ignore at once", ma che è matto?
Ovviamente questo file si elimina, le cartelle no.

(fortunatamente è il portatile, mi tengo il trojan e non formatto)
 
se non hai l' estensione dei file conosciuti attiva, può darsi ke si tratti di un file.exe (in rete si parla di idd32.tmp.exe)
prova a cancellarlo con unlocker, a cancellare SOLO le chiavi che contengono "idd32.tmp" dal registro di sistema (esegui > "regedit"), a fare delle scansioni online (credo siano pià performanti)..
detto ciò, credo si sia menzionato tutto il possibile..

Rob

PS. controlla anke di non avere file sopsetti nelal cartella esecuzione automatica (ke possano avviare l' eseguibile al riavvio) e prova ad informarti in rete sul file rasphone.pbk (si dice ke impostandolo in sola lettura vengano bloccate le modifike della connessione di default)
 
Si, evidentemente è tmp.exe ma non ce n'é traccia in esecuzione automatica e unlocker non lo toglie:coffee: o meglio, l'EXE si togli, non si tolgono le CARTELLE in temp che secondo me riproducono il virus
Credo possa essere importante trovare una soluzione... nessun'altra idea?

PS: cosa intendi per scansione online? con cosa?
 
Non so se sia di qualche utilità cmq ti dico la mia...Ho avuto a che fare anch'io con un cavolo di virus, spyware malware o quello che era che, nonostante lo cancellassi al riavvio del sistema si trovava nella stessa identica posizione...!!:mad:
Ma ho risolto facendo così...
Cioè sono diventato il proprietario della cartella di sistema (quindi nascosta a meno che tu non abbia messo in Strumenti -> opzioni cartella -> visualizza file di sistema & visualizza file nascosti ) 'System Volume Information' che si trova in C:\...
Per diventare proprietario guarda come si fa ( a meno che tu non lo sappia già fare) e poi fai uno scan accuarato (prova con tutti i tool possibili immaginabili!) e vedi se riesci a risolvere il problema!
Con me così ha funzionato, l'intruso si trovava proprio lì...:sisi:
Facci sapere!;)
 
Pubblicità
Pubblicità
Indietro
Top