Eliminare Totour Exe

[destino]

Ciao, avast mi trova il virus totour exe, ma non riesco a eliminarlo, perchè ritorna a ogni avvio. Ho letto in giro che è difficile, ma spero che voi abbiate la soluzione.

hijackthis.log

sysclean.log

[Kuma]

Ciao...

scarica

KILLBOX e tienilo sul desktop

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Scarica SUPEANTISPYWARE ed installalo (versione FREE for home users)

http://www.superantispyware.com/

Con il default settings per l'installazione

Avvialo dall'icona creata sul desktop e rispondi YES per avviare l'aggiornamento delle firme

Se non dovesse aggiornarsi, prima di fare la scansione clicca su "Check for Updates"

Se hai problemi a scaricare gli aggiormenti puoi prelevarli da QUI

1. in Configuration and Preferences", clicca sul pulsante Preferences .
   
2. Clicca sulla scheda Scanning Control
   
3. In Scanner Options assicurati che siano selezionati: (lascia gli altri deselezionati):
   

• Close browsers before scanning.
  
• Scan for tracking cookies.
  
• Terminate memory threats before quarantining.
  

1. Clicca "Close" per tornare all'interfaccia principale
   
2. Su "Scan for Harmful Software" clicca Scan your computer
   
3. Assicurati che a sinistra sia selezionato C:\Fixed Drive
   
4. Seleziona: Perform Complete Scan
   
5. ed avvia la scanzione
   

Al termine,

Avvia Killbox

Inserisci il percorso completo in Full Path: c:\windows\SYSTEM32\TOTOUR.EXE

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra:

se ricevi un messaggio "PendingFileRenameOperations Registry Data has been Removed by External Process!" Riavvia il Pc Manualmente.

è probabile che al riavvio ti esca un messaggio di kilbox che il file non esiste

[destino]

ciao, fatto tutto come suggerito, ma il totour exe ritorna!

[$angelique!?]

Ciao destino,

la scansione con SUPEANTISPYWARE ha trovato qualcosa??

puoi postare il report??

totour.exe (vero nome: Trojan.Spam-RUCrzy) un malware modifica un file di sistema, alterando il codice preesistente o inserendone del proprio, e quando Windows chiama tale file, non fa altro che eseguire istruzioni che ricreano - nella fattispecie - il file totour.exe.

In questi casi molto spesso non c'è altra "cura" se non la sostituzione del file patchato con quello originale. Il problema è che i malware di questo tipo si attaccano a dll o a eseguibili sempre diversi, e quindi per ciascun virus occorre agire in modo appropriato.

proviamo in questo modo:

Scarica Prevx1 installalo > scegli lingua italiano > attiva periodo di prova.

Riavvia il pc > scarica gli aggiornamenti > fai una scansione.

posta il risultato.

Fai anche una ricerca sul computer per il file CP1041.NLS se c'è, cancellalo.

(start > cerca > file cartelle > spunta opzioni avanzate ed inserisci il file da cercare)

[destino]

ciao, Prevx mi trova e mette i "cella", totour.exe 0 Bytes - Malware inattivo c:\ windows system32 totour exe...e non riesce a metterlo in "prigione" il file CP1041.NLS lo trovo in C:

[Kuma]

Ciao...Scarica il file che ti allego

Decomprimilo in C: (senza usare nessuna cartella)

Scarica e decomprimi avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue:

---

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:

c:\ windows\system32\totour.exe

c:\CP1041.NLS

files to move:

C:\ndis.sys | C:\WINDOWS\system32\drivers\ndis.sys

---

Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

[destino]

ciao, eseguito il lavoro, ma al riavvio, appena mi connetto il totour ritorna.

Modificato May 6, 2007 da destino

[Kuma]

posta il log di Avevger che controlliamo che non ci sia stato qualche errore

Mi fai anche una ricerca inserendo questa parola:

*.NLS

Disinstalla per il momento AVAST

al suo posto mettici Antivir Pe Classic

dopo laggiornamento fai una scansione completa (meglio se la esegui in Modalità Provvisoria)

[yamaha311]

Ciao a tutti.

Ho anch'io gli stessi problemi con questo virus.

ho seguito tutti i passi, oltre all'ultimo, e non ho svuto risultati..

Ora avvio Antivir Pe Classic e poi vi dirò.

Se volete apro una nuova discussione.

Grazie,

Mirco.

Modificato May 6, 2007 da mircob85

[Kuma]

Ciao a tutti.

Ho anch'io gli stessi problemi con questo virus.

ho seguito tutti i passi, oltre all'ultimo, e non ho svuto risultati..

Ora avvio Antivir Pe Classic e poi vi dirò.

Se volete apro una nuova discussione.

Grazie,

Mirco.

Ciao e Ben arrivato/a nel forum, ...mircob85

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale;

se non sai come fare clicca qui

Se non lo hai già fatto, e vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

Ciao...

sì, grazie è meglio se apri una nuova discussione (se riscontri ancora il problema) altrimenti tra domande e risposte varie, si crea troppa confusione

[destino]

ciao, ho risolto, seguendo questa procedura: in mod. provv. ho cancellato il file ndis e lo ho sostituito con quello che mi hai allegato...Grazie e speriamo che serva anche agli altri.

totour.exe (vero nome: Trojan.Spam-RUCrzy)

Il continuo ritorno del virus è dovuto ad un malware che attacca il file ndis.sys presente in C:\WINDOWS\system32\drivers.

Recupera una versione non patchata del file (dovrebbe essere 179 kb) e sostituisci quella che trovi in suddetta cartella

In questi casi molto spesso non c'è altra "cura" se non la sostituzione del file patchato con quello originale. Il problema è che i malware di questo tipo si attaccano a dll o a eseguibili sempre diversi, e quindi per ciascun virus occorre agire in modo appropriato.

Ho anche dimenticato di dire che, contestualmente alla creazione del file totour.exe, dovrebbe anche generarsi in C: il file CP1041.NLS: se c'è, cancellatelo. Se non riuscite, provate dalla modalità provvisoria

[Kuma]

Ciao e felice che hai risolto...

Grazie dell'info (che conoscevo già )

in pratica è quello che Avenger avrebbe dovuto fare in automatico seguendo le istruzioni che ti ho dato sopra... Però visto che non mi hai allegato il log, non riesco a capire perchè la procedura automatica non abbia funzionato ... sai comè, moltissima gente preferisce un tool che fa tutto in automatico, pittosto che fare tutto manualmente... ho ricontrollato lo script che ti avevo postato, ma mi pare che sia tutto a posto...

Comunque l'importante è che tu sia riuscito a risolvere ...

Ciao e buon proseguimento...

[simoelle]

Ciao a tutti, sono Simone, e da oggi sono dei vostri!

Ah, anche io ho dei mega problemi con totour.exe...

spybot e AVG non servono a nulla... <_<

Mi consigliate di procedere come sopra?

Grazie!

[Steve75]

Ciao a tutti, sono Simone, e da oggi sono dei vostri!

Ah, anche io ho dei mega problemi con totour.exe...

spybot e AVG non servono a nulla... <_<

Mi consigliate di procedere come sopra?

Grazie!

[ben]simo elle[/ben]

per non creare confusione fai cosi;

apri un nuovo topic appositamente per i tuoi problemi nella sezione HiJackThis - Posta qui i Log

- metti un titolo attinente al problema e NON generico come "aiuto", "help" etc...

- metti in atto i consigli riportati sopra e nel nuovo post riportaci i riscontri

- allo stesso tempo postaci anche un log hijackthis -> Guida e Download