| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 23/01/2009 : 10:15:14
|
|
Buon giorno, al momento quello che mi serviva dovrei averlo, i tool per finire le pulizie spero tu possa poi scaricarli direttamente dal tuo pc. |
 |
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 23/01/2009 : 21:20:27
|
Buonasera,
ecco winlogon sOutTmp20566winlogon.txt
Una domanda : Hijack sono io che non riesco a fare il download o succede spesso?
Ci provo ancora ma si chiude explorer |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/01/2009 : 21:37:38
|
Buona sera, passiamo a naso come si dice, ti sei fidata fino ad ora, hai passato indenne combofix per cui non ti spaventa più nulla, segui la procedura:
prova a scaricare questo hijackthis modificato
htt*://wikisend[.com]/download/607136/paperino.exe
scarica questo file sul desktop ed eseguilo dopo avenger, postami gli 8 files txt che troverai in c:\ da file1.txt a file8.txt
htt*://wikisend[.com]/download/404484/death.bat
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINNT\help\CSRSS.exe
C:\WINNT\security\CSRSS.exe
C:\WINNT\system\CSRSS.exe
C:\WINNT\CSRSS.exe
C:\csrss.exe
C:\WINNT\SERVICES.EXE
C:\services.exe
C:\autorun.inf
C:\WINNT\autorun.inf
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Explorer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Internet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Script di Sistema
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Host Info
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Discovery
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Help
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
Modificato da - death in data 26/01/2009 16:49:44 |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 23/01/2009 : 22:18:15
|
si che mi fido!
L'ho visto fare diverse volte su altri computer e una volta anche sul mio...certo che, ti devo confessare, mi allarmano questi tool graficamente basic:lavorando prevalentamente in ambiente windows si dimentica la schermata in dos!
Paperino ora ce l'ho, Avenger mi chiude il browser
ma è sufficiente rinominarli? posso chiederti di provare a rinominarlo?
ho riletto lentamente,
quindi: prima paperino, poi avenger ed infine death con gli otto .txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/01/2009 : 22:28:01
|
| Buona sera di nuovo, avenger quando sei in download rinominalo in knight.exe è il nome di un virus, se il tuo antivirus fà storie accossenti, vediamo se così bypassiamo il blocco ai programmi che è molto strano per il tipo di infezione che lamenti e che combofix non ha minimamente trovato, se non funziona nulla, attendo gli 8 txt. |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 23/01/2009 : 22:32:43
|
| ma la finestra si chiude appena clicco sul link, non mi da il tempo di salvare il file! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/01/2009 : 22:37:24
|
| Prova a farmi i txt, dovresti scaricarti tutto da un altro pc, non odiarmi, non ci ho pensato oggi di dirti che mi serviva avenger, poi prova a lanciarli, devi sempre comunque rinominarli. |
|
|
|
SilviaG
Average Member
75 Messaggi |
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 23/01/2009 : 23:04:09
|
| il file3 non c'è!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/01/2009 : 23:08:10
|
Buona sera, non preoccuparti, mancava la chiave di registro, avendo tu win 2000, bene mi hai lasciato i compiti per domani, buona notte e ci aggiorniamo domani appena posso...certo che preferivo un libro di poesie invece dei txt..posso cambiarli con "i fiori del male" di baudelaire?  |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 24/01/2009 : 10:33:37
|
Buongiorno,
" Il Diavolo regge i fili che ci muovono!
Gli oggetti ripugnanti ci affascinano;
ogni giorno discendiamo di un passo verso l'inferno,
senza provare orrore, attraversando tenebre mefitiche. "
(estratto di 'Al Lettore' - da 'Les Fleurs Du Mal')
Mi spiace ammorbarti con i miei txt, ma una bella notizia c'è!
All'accensione non compare più il messaggio services mancante.
Eì molto lungo il boot, rallentato direi.
... ho parlato troppo presto, arresto del sistema in corso
|
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 24/01/2009 : 10:44:50
|
| ora al boot mi dice ( ormai sembra che mi parli sto portatile) "Visual C++ runtime error,R6025, pure virtual function call" |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 10:58:57
|
Buon giorno, segui questa procedura con molta attenzione:
il primo intervento è molto delicato e devi farlo con molta attenzione.
Se stampi questa pagina è meglio.
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\
poi
apri il registro (start => esegui => digita regedit e dai l'ok).
portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su winlogon e, nella finestra a destra, trova "Userinit"
Nella colonna "dati" vedrai scritto:
c:\\winnt\\system32\\userinit.exe,\"c:\\winnt\\system32\\nokiautility.exe\",
Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene...
Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo
c:\winnt\system32\nokiautility.exe\,
(ricorda devi togliere anche la virgola finale)
Al termine della modifica, nella finestra deve esserci scritto esattamente :
c:\winnt\system32\userinit.exe,
(virgola compresa, mi raccomando)
ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi
Chiudi il registro, trova ed elimina il file:
c:\winnt\system32\nokiautility.exe
Se non vedi il file abilita la visualizzazione dei files nascosti seguendo questo specchietto (è per xp ma è simile a 2000):
Citazione:
Windows
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Riavvia il pc e prova hijackthis, ora dovrebbe funzionare.
|
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 24/01/2009 : 11:45:18
|
registro modificato con un pò di tensione
nokia utility non si lascia cancellare, "accesso negato, il file di origine potrebbe essere in uso" |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 12:05:27
|
|
Buon giorno di nuovo, controlla se è presente nel task manager, se lo vedi, selezionalo e terminalo poi rimuovilo, hai provato hijackthis? avenger? ecc ecc se non si riesce a rimuovere il files è quasi sicuro che tornerà a infestarti il registro e siamo al punto di prima, verifica se funziona avenger, se parte, ti ricreo uno script nuovo e te lo rimuovo io. |
|
|
|
Discussione |
|
services.exe - ms sys security - mswin.pif
Forum Bloccato
