| Autore |
 Discussione  |
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 01/01/2008 : 19:09:11
|
vai michal, detta!!!! io eseguo...
|
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 01/01/2008 : 22:03:06
|
Stampa questa pagina o salva tutto su file word.
Scarica CCleaner
Disconnesso da internet per tutta la procedura.
Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti
Apri il registro ed esportane una copia (File => esporta => salva dove vuoi). Chiudi il registro.
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla quello in rosso:
registry keys to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{07b4d2d6-a1a3-11db-8fcc-edf5e607e99d}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{546862ba-887e-11dc-9260-a77da7df529b}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5c564024-b613-11dc-9318-e87a9ad61299}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\shopknights[.com]
HKEY_LOCAL_MACHINE\SOFTWARE\Knight
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\shopknights[.com]
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Riapri il registro e percorri fino a cliccare su quanto evidenziato in rosso => cliccaci sopra con il tasto destro del mouse ed elimina:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache => "G:\Knight.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache => "J:\Knight.exe"
HKEY_CURRENT_USER/Software/Microsoft/Search Assistant/ACMru/5603 => fasttrack
queste credo sia NoTrace + ricerche. Se vuoi pupoi cancellarle:
HKEY_CURRENT_USER/Software/S[www]TIE/Toolbar/Historysim_search_combo
FASRTTRACK netvision forum
HKEY_CURRENT_USER/Software/S[www]TIE/Toolbar/Historysim_search_combo
forum netvision
Chiudi il registro.
Esegui CCleaner e ripulisci sia i file temporanei e cookie che il registro.
Vai in "Opzioni Internet" => Connessioni e controlla che non ci sia connessione chiamata Fasttrack, Netvision..o altri nomi che non ti appartengono. Se la trovi, selezionala e clicca su "Rimuovi".
Usa la funzione cerca e..cerca Passepartout, Fasttrack e Netvision. Non importa se l'hai già fatto. Rieseguilo.
Se li trovi, prima di eliminarli, controlla non siano attivi nel task manager. Se si, termina il processo ed elimina il file.
Riavvia il pc.
..procedi e fammi sapere come va dopo. Sibi'
|
Modificato da - Sibilla in data 02/01/2008 18:53:55 |
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 17:35:59
|
ok, aspetto la conferma di Michal
|
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 19:56:54
|
scusa l'ignoranza Sibilla, mi esce di selezionare il boot...  come faccio a scegliere modalità provvisoria?
e cmq il ripristino già è disattivato... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/01/2008 : 20:47:00
|
modalità provvisoria:
start\esegui\ apri msconfig ok\boot.ini\spunta casella SAFEBOOT\applica ( per ritornare in mod. normale stesso percorso e togliere la spunta)
la soluzione di Sibilla non neccessita di mie conferme, fidati di lei: sei in buone mani. |
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 03/01/2008 : 15:08:06
|
qst è il log di avenger dopo aver esegiuto lo script in modalità provvisoria!
errorlog.txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/01/2008 : 15:31:54
|
errore mio. avenger non opera li'.
Devi farlo a mano... |
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 03/01/2008 : 17:22:16
|
HKEY_LOCAL_MACHINE\SOFTWARE\Knight non me lo fa eliminare!
lo elimino cn avenger???
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache => "G:\Knight.exe" non esiste più, non c'è...
su G c'è solo G:\.\recycled\info.exe
x il resto tutto ok! anche su cerca non ho trovato nnt...
ho fatto un'altra ricerca x knight cn regseeker!
logg.txt
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/01/2008 : 17:34:51
|
Citazione:
Messaggio inserito da ekeneso
HKEY_LOCAL_MACHINE\SOFTWARE\Knight non me lo fa eliminare!
lo elimino cn avenger???
si
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Knight
______
ci sono ancora queste:
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\shopknights[.com]]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\shopknights[.com]]
|
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 04/01/2008 : 16:09:24
|
| ok, ho eliminato qnke qst ma continua a disconnettersi... formatto tutto? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/01/2008 : 16:31:47
|
no.
Posta il report di FindAWF (scegli opzione "1") secondo le regole del forum
..vediamo cosa dice michal (e vedo se hai la googletoolbar1)
EDIT: ti avevo gia' chiesto di fare questo controllo (1^ pag.)
vai in C:\Documents and Settings\<user>\[red]explorer.exe[red] <= controlla di non avere questo file. Se presente, eliminalo. |
Modificato da - Sibilla in data 04/01/2008 16:47:57 |
|
|
|
ekeneso
Junior Member
57 Messaggi |
Inserito il - 04/01/2008 : 18:34:34
|
no, non c'è!!! cn hijack c'è O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
ma l'ho disabilitato dal pannello di controllo\strumenti di amministrazione\servizi... l'avvio era impostato su manuale ma se lo fixavo tornava sempre!!! non c'è nex1 explorer.exe...
anke cn la ricerca ce ne sono 4 ma sono tutti nella cartella windows!!!
awf3.txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/01/2008 : 18:55:39
|
ok...
Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now".
Finita la scansione, riattiva l'antivirus, posta il rapporto che trovi in C:\Suspectfile.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed eseguilo. Riavvia e riprova con SystemScan. |
Modificato da - Sibilla in data 04/01/2008 19:01:00 |
|
|
|
ekeneso
Junior Member
57 Messaggi |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/01/2008 : 03:57:46
|
Ci sono altre cose che devo solo controllare ma credo siano ok.
1) Scarica e scompatta questo file hosts => clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
(NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).
2) C:\WINDOWS\system32\jphysk.exe (23 days old):
- controllalo su Virustotal e posta il risultato
- cercalo nel registro con Registry Search Tool
3) nel registro cerca anche: 08B0E5C0-4FCB-11CF-AAA5-00401C608500 (fai copia/incolla e non lasciare spazi). Posta i risultati. Rif.1 Sophos, Rif.2 Symantec
edit: scusa avevo dimenticato di dirti che jphysk devi cercarlo senza estensione.. |
Modificato da - Sibilla in data 05/01/2008 12:22:10 |
|
|
|
Discussione |
|
FASTTRACK netvision
Forum Bloccato
