[Risolto] Virus ctccw32.dll

hein · 28 Ottobre 2007

:boh: ragazzi aiutatemi!!!
scaricando photoshop da emule mi è entrato il virus su ctccw32.dll...dopo averlo isolato mi è rimasta la chiave di registro che ogni volta che accendo il pc mi si carica su un sito russo!!!! ho provato a risolvere il problema usando hijackthis e fissando:
O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
ma al riavvio del pc mi ricompare sempre lo stesso problema.
forse perchè quando mando hijackthis mi compare questo messaggio:
"for some reason your system denied write access to the hosts file. if any hijacked domains are in this file, hijackthis may not be able to fix this.if that happens, you need to edit the file yourself".
sta di fatto che nn riesco a risolvere il problema
FORSE ANCHE PERCHè HO WINDOWS VISTA
aiutatemi

tecnico24 · 28 Ottobre 2007

potresti per cortesia,farcelo vedere anche a noi,un log di "hijackthis."

hein · 29 Ottobre 2007

log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.11.12, on 29/10/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Log rimosso

ho cercato anche di calcellarlo manualmente dagli hosts...ma nn si apre proprio...non riesco a venirne a capo

tecnico24 · 29 Ottobre 2007

Disabilita' il ripristino configurazione di sistema:

www.sicurezzainrete.com/disabilitare_system_restore.htm -

avvia hijackthis,seleziona l'opzione do a system scan only,spunta a sinistra su queste voci:

Codice:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

e poi sotto su fix checked.

hein · 29 Ottobre 2007

vista è un impiccio

:help: non mi si apre il sito che mi hai detto
ho provato a disabilitare ma vista è diverso da xp e da nessuna parte mi dice che è possibile disabilitarlo!! mi chiede solo da che punto voglio partire per ripristinare il sistema

tecnico24 · 29 Ottobre 2007

ah,gia dimenticavo che avevi vista.....:doh:
facendo una ricerca non c'e metodo di disattivarlo?????allora fixa le voci in modalita provvisoria e vedi come va...

hein · 30 Ottobre 2007

grattacapi

avviando il computer in modalità provvisoria e facendo la scansione con hijackthis non mi rileva le voci che devo cancellare:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

non ci sono proprio!!!!
però ho trovato nel menu di configurazione di sistema (vista è diverso non devo premere f8 per andare in modalità provvisoria ma entrare in config sistema) una casella di avvio in cui ci sono queste 2 voci.... insieme ad altre che hanno come percorso tutte HKLM.... secondo te posso provare a cancellarle da qui?
o è meglio che lascio perdere se no rischio di combinare un disastro???:blush:

grazie per la pazienza

tecnico24 · 30 Ottobre 2007

Meglio non fare niente,rischi qualche guaio.
scarica avenger http://swandog46.geekstogo.com/avenger.zip
clicca su Input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci questo:

Files to delete:
C:\WINDOWS\system32\osa9.exe

clicca su Done,poi sul semaforo,due volte si,riavvia il pc e posta qua il log di avenger,che lo trovi in c:/.
poi scaricati spybot http://www.spybot.info/
fai una bella scansione ed elimina le traccie individuate.

hein · 31 Ottobre 2007

non c è nulla da fare....non mi apre avenger perchè è supportato solo da windows 2000 e xp....penso proprio che dovrò continuare a tenermi questa favolosa chiave di registro!!!!
se hai qualche altra idea fammi sapere
grazie cmq

tecnico24 · 31 Ottobre 2007

Controlla se c'e questo file:
C:\WINDOWS\system32\ctccw32.dll
se c'e,eliminalo
poi,per cortesia,fai uno scan online da qui:
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
e posta il relativo log di esso

hein · 2 Novembre 2007

:doh:non ho trovato il windows system32 nessuna voce uguale...ho provato a scannerizzare il pc con il programma del sito che mi hai dato ma anche questo non è supportato da vista :boh:

tecnico24 · 2 Novembre 2007

Apri Il registro di sistema(start,esegui e digita regedit e su ok.)
portati nella seguente chiave:
HKLM\
Software\
Microsoft\
Windows\
CurrentVersion\
Run<---- a questo punto qui,dovresti trovare ctccw32.dll.elimina questo valore,riavvia il pc e dovresti essere al sicuro da questo malware.

hein · 3 Novembre 2007

passi avanti

grazie mille il problema si è più o meno risolto.... prima infatti all avvio di windows mi si apriva questa finestra in cui mi nominava questo cctcw32.dll e poi mi si caricava un sito in russo....
ora, dopo aver eliminato cctcw32.dll come mi hai detto tu mi si apre solo il sito in russo...
bè è già un passo avanti...se cmq hai qualche idea su come fare con questo sito russo in costruzione fammi sapere (è un certo NIENTE LINK E NEMMENO IL NOME DEL SITO. o roba del genere!)
grazie mille ancora

tecnico24 · 3 Novembre 2007

riposta un log aggiornato di hijackthis;)

hein · 3 Novembre 2007

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.43.53, on 03/11/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Log rimosso

[Risolto] Virus ctccw32.dll

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo

tecnico24

hein

Utente Attivo