| Autore |
 Discussione  |
|
Io27
Junior Member
54 Messaggi |
 Inserito il - 29/12/2007 : 14:25:49
|
Citazione:
Messaggio inserito da Sibilla
prova a mano perchè avenge non l'ha cancellato, se non sbaglio.
Visualizza i file nascosti
edit: ok, riavvia il pc e controlla che non ci siano più sia nel registro che nel pc come file. Usa il programma x le ricerche nel registro, ovviamente.
e crea un nuovo punto di ripristino!
controllato su i files nascosti e in c: windows quel files non c'e piu.......anche le chiavi penso perche mi dice solo ricerca effettuata ma non me li rileva ^___^
speriamo......^___P ......cmq come ho gia scritto prima (forse non hai letto), ora alice si connette al primo colpo :-D
grazie! |
Modificato da - Io27 in data 29/12/2007 14:28:42 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 15:18:04
|
si che ho letto ma prima di darti l'ok aspetto :P
restano queste:
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"h"="C:\\WINDOWS\\iun6002.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"h"="C:\\WINDOWS\\iun6002.exe"
e iun6002 l'ho trovato come Spy. Il file è cancellato quindi eliminale... quando passi da quelle parti
vedi cosa ti dice michal ma per me puoi eliminare anche:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ALCMTR.EXE
file compreso.
..e non mi hai fatto sapere a cosa si riferiscono le voci del punto 3 nella pagina precedente.
Sono dati che non trovo... voglio solo sapere se vedi qualche file strano richiamato o se appartengono a qualche gioco o programma Tuo
Scusa se ti faccio fare mille ricerche.. |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 17:59:43
|
Citazione:
Scusa se ti faccio fare mille ricerche..
figurati........^____P
cmq se intendevi queste chiavi;
Citazione:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{364d9d8a-64e5-11db-bc1c-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5076125e-6484-11db-9e41-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
..e questo lancio.bat a cosa si riferisce?
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5416fdb2-7337-11db-986c-806d6172696f} => \Shell\AutoRun\command - E:\lancio.bat
Controlla anche non sia più presente nel pc in c:\setup.exe (lo aveva eliminato combofix)
4) altro dai report..
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ALCMTR.EXE
R0 Nou23;Nou23;C:\WINDOWS\system32\Drivers\Nou23.sys [2007-12-19 03:02]
recent files in C:\WINDOWS\system32\drivers\: 19/12/2007 03.02.53 21760 byte 8 days old -- Nou23.sys
le avevo gia controllate, non ci vedo nessuna informazione in piu che tu non abbia gia scritto.......^____^ |
Modificato da - Io27 in data 29/12/2007 18:00:32 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 18:26:55
|
elimina
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr
e il file (C:\WINDOWS\ALCMTR.EXE )
uhmm ovviamente non hai nemmeno più il file c:\setup.exe che ti ha eliminato combofix
..chissà a cosa apparteneva...
Se ti va di fare altri controlli fai così: cerca con il programma regsrch
364d9d8a-64e5-11db-bc1c-806d6172696f
5076125e-6484-11db-9e41-806d6172696f
5416fdb2-7337-11db-986c-806d6172696f
c:\setup.exe
lancio.bat
 ..ci faccio caso ora.. 11db-bc1c-806d6172696f è uguale per tutti. ..e allora E:\lancio.bat cos'è?! Hai qualcosa che colleghi al pc?
ok, cerca quelle voci.. oppure fermati, come vuoi..  |
Modificato da - Sibilla in data 29/12/2007 18:33:22 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/12/2007 : 19:12:49
|
io non servo Sibilla, stai andando benissimo da sola.
Unica raccomandazione: fare la copia della chiave quando di intervine su di essa.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 19:24:14
|
Citazione:
Messaggio inserito da michal
fare la copia della chiave quando si intervine su di essa.
..non farei mai eliminare qualcosa senza certezze.
cmq gli faccio fare una copia del registro non appena il nostro utente ci dice cosa desidera fare.. Magari il setup che gli ha eliminato combofix apparteneva a qualche giochino.. che ne so.. un cellulare.. Per capirlo serve (e spero basti) il contenuto delle chiavi. Vedremo..
 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 19:37:58
|
cmq;
Citazione:
e allora E:\lancio.bat cos'è?! Hai qualcosa che colleghi al pc?
al computer ho collegato tre cavi usb, webcam, modem alice, e l'atomic pc per collegare i gamepad della play su pc.
per il resto ho installato anche programmi che clonano i cd-dvd rom, ho piu periferiche di quelle che dovrei avere........
una cosa strana e che alcune volte con zone allarm mi si inchioda tutto il pc e mi vieni una X sul icona del programma in questione, e la connessione si blocca.....e mi da un errore di windows chiamato true Vector? che e?
edit: dimenticavo.....
Citazione:
restano queste:
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"h"="C:\\WINDOWS\\iun6002.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"h"="C:\\WINDOWS\\iun6002.exe"
e iun6002 l'ho trovato come Spy. Il file è cancellato quindi eliminale... quando passi da quelle parti
posso eliminarle allora queste voci? ^___^ |
Modificato da - Io27 in data 29/12/2007 21:39:03 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 20:35:01
|
allora.. modifica il post cliccando sulla terza icona in capo al pm e cancella le ricerche effettuate nel registro. Le trovi qui => registro.txt.
Le voci riferite a iun6002, si, puoi ripulirle, non servono più.
Nelle ricerche che hai effettuato non ho trovato nulla. Per capirci qualcosa dovresti entrare nelle chiavi e controllarne in contenuto. Probabilmente mancherà un setup.exe di qualche dispositivo ma non so dirti quale. Considerando il numero dei dati ricavati, dubito si tratti di un'infezione.
L'errore che vedi dovrebbe essere un errore del firewall. Con calma provo a fare qualche ricerca in merito e ti faccio sapere. |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 21:40:49
|
Citazione:
Messaggio inserito da Sibilla
allora.. modifica il post cliccando sulla terza icona in capo al pm e cancella le ricerche effettuate nel registro. Le trovi qui => registro.txt.
Le voci riferite a iun6002, si, puoi ripulirle, non servono più.
Nelle ricerche che hai effettuato non ho trovato nulla. Per capirci qualcosa dovresti entrare nelle chiavi e controllarne in contenuto. Probabilmente mancherà un setup.exe di qualche dispositivo ma non so dirti quale. Considerando il numero dei dati ricavati, dubito si tratti di un'infezione.
L'errore che vedi dovrebbe essere un errore del firewall. Con calma provo a fare qualche ricerca in merito e ti faccio sapere.
ok grazie mille sibilla  .......senza di voi ero fritto.......
buon capodanno e buon 2008 ^____P |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 21:55:20
|
Ma di che.. non devi nemmeno dirlo..
Però per il prossimo.. sceglietene uno semplice semplice  mi raccomando..
Buon anno nuovo anche a te ;)
Sibilla |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 30/12/2007 : 10:29:01
|
come promesso..
Il crash del True Vector Engine dipende dal firewall in sè, non ci sono cause esterne.
Aspettando che venga risolto a monte, puoi disabilitare l' Alert Advisor e abilitare solo gli aggiornamenti manuali. Questo è quanto.
Ciao :) |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 19/01/2008 : 17:21:33
|
Citazione:
Messaggio inserito da Sibilla
come promesso..
Il crash del True Vector Engine dipende dal firewall in sè, non ci sono cause esterne.
Aspettando che venga risolto a monte, puoi disabilitare l' Alert Advisor e abilitare solo gli aggiornamenti manuali. Questo è quanto.
Ciao :)
hoi chi si rivede.......ciao.........
adesso e tanto che non mi capita l'errore in questione (non escludo quindi che era il virus), mi succedeva spesso quando scaricavo tanto con utorrent.......ciao cara.....;) |
Modificato da - Io27 in data 19/01/2008 17:23:34 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 19/01/2008 : 17:49:30
|
Bisognerebbe creare una sezione: "solo per saluti" (per poco non m'è venuto un colpo..)
Meglio così..
Ciao :) |
|
|
|
Discussione |
|
Virus Xpack.gen non ne posso piu ^___^
Forum Bloccato
