| Autore |
 Discussione  |
|
enry1
Senior Member
Nota:
176 Messaggi |
 Inserito il - 26/02/2008 : 10:19:50
|
sono ancora alla disperazione.....
portatile con windows XP professional e media center e SP2.
NON AVESSI MAI FATTO IERI:
Ho scoperto con una scansione di Norman Malware, ben
21 infezioni da W32/zonebac o W32/delf.axut...
Li ha rimossi, ma ho notato che ha rimosso anche alcuni
credo programmi .exe tipo : RecGuard e Ehome ...
uno era : windows/sminst/recguard.exe
che non so a cosa servono? e come fare per riaverli ?
in genere ho visto che i W32/zonebac erano annidati nei prg,
mentre i W32/delf.axut ma anche i zonebac erano nel
System Volume information ... e infatti NON mi funzionano
piu i PUNTI DI RIPRISTINO ! avendo Norman malware cancellato
file in alcuni punti....
ma cosa grave era infetto anche un .exe della HP ma "non"
ricordo piu il nome del programma!
Ho il centro soluzioni HP perche penso ho una stampante
multifunzione della hp.
Ora,appena accendo il computer quando appare al accensione
il desktop, SUBITO appare Installer di windows che cerca di
caricare un programma!
E poi appare: "HPP Product assistant"
con una icona con disco e infatti dice:
"Insert Disk "HPP Product Assistant and clik ok"
e in basso in una finestra c'e un "1" che NON e' possibile
cambiare ... se faccio accanto BROWSE , non so in che
percorso del pc mandarlo ?
Da quello che ho capito sta' cercando di trovare (e installare?)
il file HPPproductassistant.msi ....
E infatti sembra che quando clikko su applicazioni HP , tipo il
Centro Soluzioni HP e magari seleziono "una scansione" o altro
riappare questa schermata di windows installer che cerca questo
HPP Product Assistant . msi !
Sicuramente questo file msi lo dovrei trovare (spero!) o nella
partizione nascosto in D: (fatta dalla hp per ripristinare o tutto
il pc o solo alcune applicazioni) o dai 2 dischi di ripristino che
ho creato al acqusito? ma non so come fare e dove trovare
questo HPP product assistant.msi ?
qualcuno conosce i sistemi HP e come fare in questo caso a
estrapolare un file dalla partizione nascosta o dai 2 dischi di
ripristino? infatti in questa partizione ci sono parecchi programmi
HP ma non so quale sia quello che serve a me?
ci mi sa' aiutare ?
p.s. e gli altri exe tipo RecGuard e Ehome ...che mi ha cancellato,
a cosa servivano? e casomai dove recuperarli ?
|
|
|
death
Moderatore
Cittā: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2008 : 10:43:32
|
Buon giorno a tutti, prima di disperare procedi in questo modo:
scarica findawf da qui:
htt*://noahdfear.geekstogo[.com]/FindAWF.exe
lo lanci, nella finestra dos che si apre premi 1, attendi lo scan e posti il report che troverai in C:\findawf
Scarica hijackthis (2° link in fondo al messaggio)
crea una cartella dedicata e scompattalo al suo interno
lancia il programma
nel menu' di destra clicca su "do a system scan and save a log file"
il programma ti rilascerā un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento (3° link in fondo al mio messaggio)
scarica superantispyware da qui htt*://[www].superantispyware[.com]/download.html
installalo, aggiornalo, lancia la scansione selezionando come opzione "profonda"
scarica ccleaner da qui htt*://[www].filehippo[.com]/download_ccleaner/ clicca a destra in alto sotto la freccia verde
installalo e clicca su "avvia pulizia", ripeti il procedimento 2 volte
La prima cosa da fare č findawf.
In quanto a windows/sminst/recguard.exe č sicuramente una voce dell'infezione, quindi non preoccuparti, finita la pulizia e rimosso tutto, puoi riscaricare il programma di controllo e i driver aggiornati per la tua stampante dal sito della hp, ma questo č il problema minore.
In ultimo i file trovati nei punti di ripristino non possono essere rimossi da nessun antivirus, vengono segnalati ma non č possibile rimuoverli, l'unica soluzione č eliminare tutti i punti di ripristino, ma per questo attendi il parere degli esperti nel proseguio della discussione.
|
Modificato da - death in data 26/02/2008 10:50:51 |
 |
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 10:55:27
|
ecco cosa mi dice normann:
vedi link sotto. |
Modificato da - enry1 in data 27/02/2008 08:58:00 |
|
|
|
death
Moderatore
Cittā: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2008 : 11:07:05
|
| Buon giorno a tutti, ho visto che ha fatto pulizia, trovo strano il fatto che rimuova file infetti dai punti di ripristino ma su questo argomento mi documento chiedendo il parere al mio fratellino esperto, procedi con il primo punto del mio post e vediamo cosa individua la scansione con findawf. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 11:30:30
|
ok ... procedo o oggi posto! Hijackthis dovrebbe essere gia ok!
avevo altri 4 trojan che erano pure loro nei punti di
ripristino ma sembrava tutto a posto! e non mi dava nulla...
a con AD-AWARE 2007
mi dice:
in privacy un oggetto: MRU OBJECT (privacy objet)
lo cancello o lo lascio ?
grazie x ora |
|
|
|
death
Moderatore
Cittā: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2008 : 11:34:46
|
| Buon giorno a tutti di nuovo, per ora lascia stare le scansioni con ad-aware, la cosa fondamentale č findawf e il log di hijack, altrimenti diventa impossibile procedere. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 14:04:25
|
ok ma NON so cosa scaricare? HPP Assistant ....no lo trovo ??
poi cosa volgiono dire questi BAK ? programmi persi o?
che devo fare re-installarli o ?
grazie
ecco il log del prg AWF:
vedi sotto... |
Modificato da - enry1 in data 27/02/2008 09:01:33 |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 14:06:53
|
ecco il log di Jiackthis ma credo sia pulito? grazie
vedi sotto... |
Modificato da - enry1 in data 27/02/2008 09:04:50 |
|
|
|
death
Moderatore
Cittā: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2008 : 14:10:37
|
| Buon giorno a tutti, non scaricare e non toccare nulla, attendi uno degli esperti che ti dirā come procedere. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 15:16:24
|
ok grazie.... attendo
htt*://h10025.[www]1.hp[.com]/ewfrf/wc/softwareList?os=228&lc=en&cc=us&lang=en&product=3319042&dlc=en
qui non li trovo? Chi mi aiuta ???
|
|
|
|
death
Moderatore
Cittā: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2008 : 15:59:29
|
Buona sera a tutti, non cercare nulla i file saranno ripristinati, per questo ti ho detto di non scaricare nulla, attendi che gli esperti analizzino i vari report.
htt*://[www].freefilehosting.net/download/3ci8i log awf
htt*://[www].freefilehosting.net/download/3ci8j log hijackthis
Modifica i tui messaggi precedenti con i log per esteso cancellandone il listato, li ho postati io rendendoli prelevabili dal web. Grazie
PS prima di postare il prossimo log leggi il regolamento del forum
Citazione:
Preparo lo script...
grazie, comincio ad essere troppo in debito sibilla... |
Modificato da - death in data 26/02/2008 16:16:09 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/02/2008 : 16:10:44
|
Preparo lo script...
-----
Scarica Avenger
Eseguilo e seleziona l'opzione "Input Script Manually".
Clicca sulla lente d'ingrandimento e all'interno del box bianco copia/incolla:
Citazione:
files to delete:
C:\Programmi\ATnotes\ATnotes.dat
C:\Programmi\ATnotes\ATnotes.exe
C:\Programmi\ATnotes\ATnotes.rbi
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
files to move:
C:\Programmi\ATnotes\bak\ATnotes.dat | C:\Programmi\ATnotes\ATnotes.dat
C:\Programmi\ATnotes\bak\ATnotes.exe | C:\Programmi\ATnotes\ATnotes.exe
C:\Programmi\ATnotes\bak\ATnotes.rbi | C:\Programmi\ATnotes\ATnotes.rbi
C:\Programmi\Unlocker\bak\UnlockerAssistant.exe | C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\ehome\bak\ehtray.exe | C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SMINST\bak\RecGuard.exe | C:\WINDOWS\SMINST\RecGuard.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\Default Settings\bak\cpqset.exe | C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\QuickPlay\bak\QPService.exe | C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\bak\6956090100.DAT | C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\6956090100.DAT
C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\bak\CRC95.EXE | C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\CRC95.EXE
C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\bak\CRCCHECK.VBS | C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\CRCCHECK.VBS
C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\bak\MSVBVM60.DLL | C:\Documents and Settings\Proprietario\Desktop\PROGRAMMI\AUDIO\PROGRAMMI\AMR prg\AMR programmi\AMR prg-\Lettori Mp3 MIEI\PacKard Bell\MSVBVM60.DLL
Clicca sul pulsante "Done", poi sul semaforo verde e rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato caricandolo su Freefilehosting e posta il link ottenuto.
Nota:
36975 10 Nov 2005 "C:\Programmi\Java-\jre1.5.0_06\bin\jusched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe"
mah
x Death: 
|
Modificato da - Sibilla in data 26/02/2008 16:32:00 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/02/2008 : 17:02:14
|
| Riposta anche (secondo le regole del forum) un nuovo log di FindAWF. |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 26/02/2008 : 17:30:56
|
provo...domani vi so dire! grazieeeee
Chi sa dove trovare questo HPP product assistant che cerca il mio pc ? aiutooooo
htt*://h10025.[www]1.hp[.com]/ewfrf/wc/softwareList?os=228&lc=en&cc=us&lang=en&product=3319042&dlc=en
buona serata miticiiiii !!! |
|
|
|
enry1
Senior Member
Nota:
176 Messaggi |
Inserito il - 27/02/2008 : 08:49:23
|
raga fatto.... ecco il link con il report di entrambi:
Logfile.doc
solo che mi pare alcuni NON siano stati corretti ???
attendo, grazieee |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/02/2008 : 10:00:52
|
non "alcuni" ma solo uno.. e non lo ha trovato perche' non c'era... infatti avevo visto una cosa nel log e l'avevo segnalata:
Citazione:
Nota:
36975 10 Nov 2005 "C:\Programmi\Java-\jre1.5.0_06\bin\jusched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe"
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
Esegui nuovamente una scansione con Kaspersky_virusscanner cosi' vediamo quali files infetti restano da eliminare. Posta il rapporto secondo le regole del forum.
Apri il pannello di controllo e in connessioni di rete e opzioni internet/connessioni elimina, se presente, una connessione chiamata "internet connection". Imposta la tua come predefinita.
Ti prego, inoltre, di non aprire nuove discussioni, ti conviene scrivere sempre qui, in modo da non perdere info.
Grazie :)
a dopo
le altre info postate |
Modificato da - Sibilla in data 27/02/2008 10:04:21 |
|
|
|
Discussione |
|
AIUTO... cancellato file .msi ??? che fare?
Forum Bloccato
