| Autore |
 Discussione  |
|
nicks_87_
Average Member
.jpg)
Città: Padova
73 Messaggi |
 Inserito il - 17/01/2008 : 14:09:14
|
..aiutatemi per favore...vi allego il log di hijack...
help1.txt
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/01/2008 : 15:35:25
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programmi\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O4 - HKUS\S-1-5-18\..\RunServices: [Compaq32 Service Drivers] msnt32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [Compaq32 Service Drivers] msnt32.exe (User 'Default user')
O16 - DPF: {18CD2FD8-81CE-44C3-99E1-0822E1C7116C} (EARTPatch8X Class) - htt*://files.ea[.com]/downloads/rtpatch/v4/EARTP8X .cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - htt*://67.15.101.33/g_bin/eng/poker_2_0_0_49 .cab
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
c:\secure32.html
C:\Programmi\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\System32\msnt32.exe
C:\WINDOWS\msnt32.exe
C:\WINDOWS\System32\hwclock.exe
C:\WINDOWS\sysmgr64.exe
folders to delete:
C:\Programmi\MyWay
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Esegui htt*://[www].cexx.org/LSPFix.exe
Ti si aprirà una schermata con due pannelli...
Spunta "I know what I’m doing".
Premettendo che devi lasciar stare a sinistra (keep) mswxxx, rsvxxx e winxxx.. devi spostare a destra (remove) solo file attinenti a bmnet (vedi nomi files) utilizzando freccia >>.
Fatto questo, premi "finish".
Dovessero comparire sin dall'inizio dei files nella schermata di destra (remove), premi direttamente "finish".
Riavvia il pc...
Infine Scansiona con virit (htt*://[www].tgsoft.it/files/vnlt6252.exe)
Riposta nuovo log di hijack 
|
Modificato da - Leleago in data 17/01/2008 15:59:59 |
 |
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
 Inserito il - 17/01/2008 : 16:18:47
|
Scusami tanto.........ma dopo aver postato il log di hijack ho fatto la scansione con avg anti-spyware e ha trovato 147 file infetti....quindi ora posto il nuovo log......PERDONAMI!!!!!!!!
htt*://[www].freefilehosting.net/download/3afb8
grazie ancora......... |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/01/2008 : 16:40:33
|
ha ancora tutti i virus il og di hijack.....
fa TUTTA la procedura che ti ho detto ALLA LETTERA e poi riposta un nuovo log di hijack |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
Inserito il - 17/01/2008 : 19:26:43
|
Ecco...fatto tutto....ecco il log!
htt*://[www].freefilehosting.net/download/3affb
Spero sia a posto..... |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
Inserito il - 17/01/2008 : 22:39:05
|
Ma *****...........mi compare ancora il cid!!!!!!!!!!!!!!!!!!!! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/01/2008 : 07:31:47
|
In installazione applicazioni disinstalla il programma sponsor installato con MSN.
Se hai problemi, disinstalla completamente messenger e reinstallalo senza sponsor
avvia il pc in modalità provvisoria (Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
riapri hijack e spunta:
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
vai su start, esegui e digita il seguente testo: sc delete hwclock
Riavvia il pc normalmente e rifai la scansione con hijack e dimmi se appare nuovamente hwclock.exe |
Modificato da - Leleago in data 18/01/2008 07:37:43 |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
Inserito il - 18/01/2008 : 10:50:58
|
Ok...non compare più!!!Per curiosità che file era!?Così cerco di capirne un pò anche io se posso....ti posto il nuovo log...così mi dici se ci sono altri problemi magari....
htt*://[www].freefilehosting.net/download/3ag4b
Ah.......ho disinstallato messenger...plus e live......e.........mi compaiono ancora i cid!!!
Inoltre non riesco a disinstallare completamente internet explorer....e in background ho costantemente attivi 2 o più "iexplore.exe"...che ricompaiono puntualmente pochi secondi dopo se provo a interrompere i processi...!!!Credo che siano collegati ad una cartella che nessun programma riesce ad individuarmi come virus\malaware...ossia la cartella "that face camp shim", contenuta in C:\Documents and Settings\All Users\Dati applicazioni...che contiene il file eseguibile "32 blue".
...è bello tosto il mio pc ad arrendersi... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/01/2008 : 11:01:11
|
Questa perchè la lasciate?
O4 - HKCU\..\Run: [sign phone] C:\DOCUME~1\ALBERT~1\DATIAP~1\PURECO~1\Proxy Stupid.exe
non mi pare sia una cartella buona.... 
Poi, il CID a volte modifica anche l'hosts, quindi scarica e scompatta questo file hosts
=> clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
(NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).
Per ripristinare la Trusted Zone scarica DelDomains e salvalo sul desktop.
=> clic con tasto destro del mouse e scegli "Installa". |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/01/2008 : 11:14:41
|
nicks vedi cosa contiene C:\DOCUME~1\ALBERT~1\DATIAP~1\PURECO~1
 forse altri .exe?? |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
Inserito il - 18/01/2008 : 11:20:25
|
Ehm....ne contiene ben 6!!!!!!!Bello eh!!??!?
Che devo fare?!? Tutti con bei nomi invitanti poi.......(tra cui anche il proxy stupid)
Cmq nn riesco a fare l'ultimo passaggio che mi hai detto di deldomains......... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/01/2008 : 11:24:42
|
Nomi simpatici?  Si, tutti i cid hanno files con nomi particolati..
.. se vuoi tenerla x ricordo lasciala.. oppure fixa la voce ed eliminna la cartella... :D
Cosa non riesci a fare di delDomanins? Hai fatto esattamente come sta scritto? |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
Inserito il - 18/01/2008 : 11:47:31
|
| Mi si apre una pag binaca...non ci sono file da scaricare...ma al massimo stringhe da copiare...ma nn so cosa devo fare....... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/01/2008 : 11:51:38
|
c'è scritto:
=> clic con tasto destro del mouse e scegli "Installa". |
|
|
|
nicks_87_
Average Member
Città: Padova
73 Messaggi |
 Inserito il - 18/01/2008 : 12:01:25
|
| Ma tesoro.....click dove?????????????????????????? scusa ma nn capisco..... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/01/2008 : 12:05:43
|
ok, ripeto... così ci accertiamo meglio..
scarica DelDomains e salvalo sul desktop.
Verrà salvato un file.. ha l'incona con.. una rondella di ingranaggio.
fai clic con tasto destro del mouse su questo file e scegli "Installa".
edit: se poi proprio non te lo fa fare lascia stare. Basta che hai eliminato la cartella del CID (PURECO~1) e ripristinato l'hosts. Sono le cose più importanti. |
Modificato da - Sibilla in data 18/01/2008 12:09:02 |
|
|
|
Discussione |
|
Computer in bomba!
Forum Bloccato
