| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 21/02/2008 : 13:14:26
|
Ci ho fatto caso ora guardando gmer..
Effettivamente l'svchost manca anche nelle "loaded Dlls" di systemscan... Non capisco 
Ovviamente tu lo trovi come file, giusto?
C:\Windows\system32\svchost.exe
Mi posti un nuovo rapporto di systemscan?
|
 |
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 21/02/2008 : 13:45:01
|
In effetti questo file non riesco a trovarlo nella cartella win32..
Comunque l'ultimo invio l'ultimo systemscan effettuato.
Mah...
htt*://[www].freefilehosting.net/download/3cb7e
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/02/2008 : 13:52:49
|
ecco... non mi era mai capitato..
Cmq questo e' il file di un XP Pro (aziendale ma credo sua lo stesso).
svchost.zip
inseriscilo al suo posto (system32) e prova a lanciare excel. Non so se e' necessario riavviare ma per ora vedi solo se funziona si' facendo.
Piu' tardi (da casa) provo a vedere quale dimensione devrebbe avere (sempre per scrupolo...)
Ps prima avevo dimenticato di dirti che la chiave winlogon\notify\WLCtrl32 era stata eliminata. Ora non vedo nemmeno piu' il file C:\WINDOWS\system32\WLCtrl32.dll..
|
Modificato da - Sibilla in data 21/02/2008 13:56:43 |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 21/02/2008 : 18:52:18
|
Va mooooolto meglio.
Adesso controllo gli altri programmi ma credo che forse ci siamo.... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/02/2008 : 18:58:47
|
quindi davvero ti mancava quel file.. Aglia.. 
ok, intanto fammi una cortesia.. controlla nuovamente i files che dovevano essere eliminati (cioè se li trovi nella cartella system32) perchè se da avenger la chiave in winlogon\notify\WLCtrl32 (vedi sopra) risultava eliminata.. in systemscan la rivedo lì.
In particolare, controlla:
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\LogCrypt.dll
c:\windows\System32\Drivers\Msy74.sys
(visualizza anche i files nascosti). Fammi sapere
Ora quali problemi restano da risolvere? |
Modificato da - Sibilla in data 21/02/2008 18:59:32 |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 21/02/2008 : 19:27:12
|
Ho cercato nelle cartelle ma non ho rievato nessuno di quei files.
Al momento mi funziona tutto salvo la connessione in rete (sia locale che, credo, internet. Se chiedo di visualizzare le connessioni di rete il cpu si blocca e devo chidere il preograama con alt+contr+canc.
Grazie ancora. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/02/2008 : 19:48:30
|
...non vorrei mai dire che se mancava un file, allora forse si arriva a due.. più che altro perchè mi chiedo come troverei il secondo.
Ora che posso, controllo il log di hjt che avevi postato e tutto il resto.. magari noto qualcosa..
"magari"... |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 27/02/2008 : 10:27:28
|
Allora,
la situzione attuale è questa. Il cpu funsia ad eccezione delle schede di rete. Ho provato a disinstsallarle e a reinstallarle di nuovo senza grossi risultati. Potrebbe darsi che continua a mancare qualche altro file...
Come trovarlo? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/02/2008 : 11:23:52
|
| Vai nel visualizzatore eventi (pannello di controllo / strumenti di amministrazione), controlla nelle tre senzioni e vedi quali messaggi di errore trovi. Se manca qualche files e se questo crea erorri, con un po' di fortuna li' troverai le info necessarie. |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 27/02/2008 : 12:50:45
|
Nelle applicazioni ho trovato diversi errori di applicazione in stallo di rundll32.exe (ID 1002)più un altro errore non classificato (ID 0) su FLEXIm. Inoltre ho trovato un ID 1000 (applicazione che ha provocato l'errore avant.exe, mpodulo che ha provocato l'errore kernel32.dll...) e un ID 1002 (applicazione in stallo avant.exe, modulo iun stallo hungapp...)
Nella protezione mi trova un'unica chiave datata 31/05/2001 (?) dove dice che il registro di controllo è stato cancellato...
Ho trovato diversi errori ricorrenti nella cartella del sistema legati al service control manager (ID 7000, 7001, 7023, 7026) al plug and play (ID 12) al DCOM (ID 1010) e un altro che non ho ben capito (ID 8003).
Mi sembrano tanti (troppi) per essere riparati ma ho visto che anche in cpu perfettamente funzionanti si ritrovano errori.. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/02/2008 : 13:12:31
|
Buon giorno a tutti, per quanto concerne gli errori nei servizi concordo che anche su pc funzionanti possono trovarsi errori simili, in ogni caso risolto il problema virus controllerai se continuano, in relazione a avant.exe deriva da questo C:\Programmi\Avant Browser\avant.exe presente nel primo log di hijack che hai postato.
Per quanto concerne flexlm
FLEXlm is a common software license manager from Macrovision which implements license management and is often used in corporate environments to provide floating licences to multiple end users of computer software.
|
Modificato da - death in data 27/02/2008 13:15:34 |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 27/02/2008 : 15:12:15
|
| Ora credo che il problema virus sia finito (ho risultati negativi per antivir, spybot e ad-aware). Purtroppo non ho un punto di ripristino prima del "danno" ... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/02/2008 : 16:04:57
|
volevo andare a scaricare gmer rootkit... ed ho visto che non eri riuscito ad eseguirlo.
Puoi rifare entrambe le scansioni? |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 27/02/2008 : 16:51:21
|
Grazie ancora a tutti per l'aiuto..
Questo è il risultato dello scan su autostart
htt*://[www].freefilehosting.net/download/3cjcd
Continuo invece ad avere problemi con lo scan su rookit/malaware. Se lascio tutte le opzioni con la spunta la scansione non parte. Ho dovuto eliminare la spunta su "files" per farlo funzionare.
htt*://[www].freefilehosting.net/download/3cjd5 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/02/2008 : 19:12:15
|
..mancano davvero dei files, credo.
Una prima soluzione è quella di provare con la funzione sfc /scannow [scf+spazio+slash+scannow ] (devi avere il cd d'installazione di windows originale a portata di mano)
Oppure si può procedere per confronti. Qualcosa già lo feci quando scoprimmo che mancava un file... ma vanno verificati se i files trovati sono di windows e comunque non so se come criterio possa funzionare, tieni presente che il rapporto di systemscan più aggiornato è quello in cui manca l'svchost.
Se vuoi fare una prova (così sappiamo se validare la ricerca o no) verifica se hai:
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\spoolsv.exe
(*)C:\WINDOWS\system32\umdmxfrm.dll (non ho capito cosa sia)
Mi dici una cosa? Ma cosa successe, esattamente? Non l'dai detto..
|
|
|
|
Discussione |
|
BIG troubles
Forum Bloccato
