14/01/09 21:12
punkettone90
ciao, nel pc portatile di un mio parente si è inserito un virus il quale infetta con una copia di se stesso tutte le chiavette che vengono inserite in questo pc; l'antivirus non riesce a risolvere il problema.
senza dover fare continue scansioni con programmi diversi ho voluto provare a risolvere da solo il problema; con filemon ho individuato quale processo era responsabile di questo tentativo di continua proliferazione (svchost.exe tanto per cambiare) e poi con process explorer ho guardato quali erano i thread associati che potevano essere l'infezione; procedendo per tentativi ho individuato (lo stack delle chiamate era sempre lungo uguale) alcuni thread che poi ho visto essere l'infezione vera e propria; questi thread si chiamano "kernel32.dll!CreateThread+0x27", infatti quando li terminavo i file infetti non si creavano più.
Come si possono eliminare questi thread dalla libreria infettata?
grazie
senza dover fare continue scansioni con programmi diversi ho voluto provare a risolvere da solo il problema; con filemon ho individuato quale processo era responsabile di questo tentativo di continua proliferazione (svchost.exe tanto per cambiare) e poi con process explorer ho guardato quali erano i thread associati che potevano essere l'infezione; procedendo per tentativi ho individuato (lo stack delle chiamate era sempre lungo uguale) alcuni thread che poi ho visto essere l'infezione vera e propria; questi thread si chiamano "kernel32.dll!CreateThread+0x27", infatti quando li terminavo i file infetti non si creavano più.
Come si possono eliminare questi thread dalla libreria infettata?
grazie
aaa
