[Risolto] Virus ctccw32.dll

**hein** · 28-10-2007, 14:06

ragazzi aiutatemi!!!
scaricando photoshop da emule mi è entrato il virus su ctccw32.dll...dopo averlo isolato mi è rimasta la chiave di registro che ogni volta che accendo il pc mi si carica su un sito russo!!!! ho provato a risolvere il problema usando hijackthis e fissando:
O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
ma al riavvio del pc mi ricompare sempre lo stesso problema.
forse perchè quando mando hijackthis mi compare questo messaggio:
"for some reason your system denied write access to the hosts file. if any hijacked domains are in this file, hijackthis may not be able to fix this.if that happens, you need to edit the file yourself".
sta di fatto che nn riesco a risolvere il problema
FORSE ANCHE PERCHè HO WINDOWS VISTA
aiutatemi

**tecnico24** · 28-10-2007, 20:10

potresti per cortesia,farcelo vedere anche a noi,un log di "hijackthis."

**hein** · 29-10-2007, 12:13

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.11.12, on 29/10/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Log rimosso

ho cercato anche di calcellarlo manualmente dagli hosts...ma nn si apre proprio...non riesco a venirne a capo

**tecnico24** · 29-10-2007, 14:21

Disabilita' il ripristino configurazione di sistema:

www.sicurezzainrete.com/disabilitare_system_restore.htm -

avvia hijackthis,seleziona l'opzione do a system scan only,spunta a sinistra su queste voci:

Codice:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

e poi sotto su fix checked.

**hein** · 29-10-2007, 16:02

non mi si apre il sito che mi hai detto
ho provato a disabilitare ma vista è diverso da xp e da nessuna parte mi dice che è possibile disabilitarlo!! mi chiede solo da che punto voglio partire per ripristinare il sistema

**tecnico24** · 29-10-2007, 21:40

ah,gia dimenticavo che avevi vista.....

facendo una ricerca non c'e metodo di disattivarlo?????allora fixa le voci in modalita provvisoria e vedi come va...

**hein** · 30-10-2007, 14:28

avviando il computer in modalità provvisoria e facendo la scansione con hijackthis non mi rileva le voci che devo cancellare:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

non ci sono proprio!!!!
però ho trovato nel menu di configurazione di sistema (vista è diverso non devo premere f8 per andare in modalità provvisoria ma entrare in config sistema) una casella di avvio in cui ci sono queste 2 voci.... insieme ad altre che hanno come percorso tutte HKLM.... secondo te posso provare a cancellarle da qui?
o è meglio che lascio perdere se no rischio di combinare un disastro???

grazie per la pazienza

**tecnico24** · 30-10-2007, 16:12

Meglio non fare niente,rischi qualche guaio.
scarica avenger http://swandog46.geekstogo.com/avenger.zip
clicca su Input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci questo:

Files to delete:
C:\WINDOWS\system32\osa9.exe

clicca su Done,poi sul semaforo,due volte si,riavvia il pc e posta qua il log di avenger,che lo trovi in c:/.
poi scaricati spybot http://www.spybot.info/
fai una bella scansione ed elimina le traccie individuate.

**hein** · 31-10-2007, 18:00

non c è nulla da fare....non mi apre avenger perchè è supportato solo da windows 2000 e xp....penso proprio che dovrò continuare a tenermi questa favolosa chiave di registro!!!!
se hai qualche altra idea fammi sapere
grazie cmq

**tecnico24** · 31-10-2007, 19:18

Controlla se c'e questo file:
C:\WINDOWS\system32\ctccw32.dll
se c'e,eliminalo
poi,per cortesia,fai uno scan online da qui:
http://www.pandasoftware.com/actives..._principal.htm
e posta il relativo log di esso

**hein** · 02-11-2007, 13:12

non ho trovato il windows system32 nessuna voce uguale...ho provato a scannerizzare il pc con il programma del sito che mi hai dato ma anche questo non è supportato da vista

**tecnico24** · 02-11-2007, 14:17

Apri Il registro di sistema(start,esegui e digita regedit e su ok.)
portati nella seguente chiave:
HKLM\
Software\
Microsoft\
Windows\
CurrentVersion\
Run<---- a questo punto qui,dovresti trovare ctccw32.dll.elimina questo valore,riavvia il pc e dovresti essere al sicuro da questo malware.

**hein** · 03-11-2007, 17:20

grazie mille il problema si è più o meno risolto.... prima infatti all avvio di windows mi si apriva questa finestra in cui mi nominava questo cctcw32.dll e poi mi si caricava un sito in russo....
ora, dopo aver eliminato cctcw32.dll come mi hai detto tu mi si apre solo il sito in russo...
bè è già un passo avanti...se cmq hai qualche idea su come fare con questo sito russo in costruzione fammi sapere (è un certo NIENTE LINK E NEMMENO IL NOME DEL SITO. o roba del genere!)
grazie mille ancora

**tecnico24** · 03-11-2007, 17:28

riposta un log aggiornato di hijackthis

**hein** · 03-11-2007, 19:46

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.43.53, on 03/11/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Log rimosso

Lista Utenti taggati

Discussione: [Risolto] Virus ctccw32.dll

LinkBack

Strumenti Discussione

Visualizzazione

[Risolto] Virus ctccw32.dll

log

vista è un impiccio

grattacapi

passi avanti

Informazioni Discussione

Utenti che Stanno Visualizzando Questa Discussione

Discussioni Simili

Combofix e virus sfcfiles.dll

[Risolto] errore rundll grooveUTIL.dll

Virus jkkjj.dll-virtumunde

Virus bxsll1.dll , aiuto!

Rilevato virus trojan horse in virtualDNS.dll

Permessi di Scrittura