| Autore |
 Discussione  |
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 11/06/2010 : 23:21:01
|
|
sistema operativo? |
 |
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 11/06/2010 : 23:23:04
|
| Windows XP Sp2 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
 Inserito il - 11/06/2010 : 23:26:40
|
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer .
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali .
Clicca una volta , sopra la cartellina Users ,e sulla destra della pagina,controlla se vedi l'account HelpAssistant.Se e' presente
clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà .
Nella finestra di dialogo metti la spunta, a l'opzione: Account disabilitato .
Poi, clicca nuovamente su: Proprietà , clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo , e premi il tasto "Rimuovi "
|
Modificato da - shang in data 11/06/2010 23:27:34 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 11/06/2010 : 23:33:33
|
| La casellina "account disabilitato" era già spuntata. Appena clicco sulla scheda "Membro di" mi compare il seguente messaggio di errore, col classico suono di errore di windows e X rossa: Errore durante il tentativo di lettura delle proprieta dell'utente Helpassistant. Il servizio workstation non è stato avviato. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 13/06/2010 : 09:56:38
|
prova ad avviare il servizio workstation
start\esegui\services.msc --- controlla se e' avviato
se non lo e' avvialo tu e mettilo su ''automatico'' |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 13/06/2010 : 13:47:07
|
E' su automatico, ma non è avviato. Appena provo ad avviarlo mi dice:
Impossibile avviare Workstation su computer locale. Per maggiori informazioni consultare il registro Eventi di Sistema. Se non si tratta di un servizio microsoft, contattare il fornitore del servizio, e fare riferimento al codice di errore 2250. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 13/06/2010 : 15:05:17
|
hai provato a metterlo in manuale?
controlla anche se in system32 hai il file wkssvc.dll
C:\windows\System32\wkssvc.dll |
Modificato da - shang in data 13/06/2010 15:16:53 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 13/06/2010 : 16:01:47
|
Citazione:
Messaggio inserito da shang
hai provato a metterlo in manuale?
controlla anche se in system32 hai il file wkssvc.dll
C:\windows\System32\wkssvc.dll
Non ho provato, in questo momento non ho modo di provare, forse non prima di domani. Sto seriamente pensando di formattare tutto e tagliare la testa al toro. Pensi che il pc possa tornare pulito e senza strascichi? A quanto vedo questo rootkit ha praticamente corrotto e devastato tutto. Vale davvero la pena provare a sistemarlo secondo te? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 13/06/2010 : 16:06:03
|
se segui i miei consigli hai molte probabilita' di avere il pc come prima, ma non devi far passare troppo tempo tra un post e un altro
se poi vuoi formattare, non posso impedirtelo |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 14/06/2010 : 00:49:52
|
No beh, anzi ti ringrazio ancora una volta per quello che stai facendo. Purtroppo il fatto di far passare troppo tempo tra un post e l'altro non dipende da me, ma dal fatto che il pc non è in mio possesso, potrei pensare di portarlo a casa mia e lavorarci in diretta.
Per il momento, se per te va bene, proviamo a sistemarlo, anche perchè al momento non ho un hd esterno disponibile per fare i backup prima di formattarlo. Quindi ormai proseguiamo per provare a farlo tornare come prima. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/06/2010 : 08:21:40
|
bene, possiamo proseguire
controlla se in system32 hai il file wkssvc.dll come da precedente post
poi esegui questo
da modalita' provvisoria
start => esegui => digita: c:\mbr.exe -f (fai un copia incolla)
posta il rapporto, lo trovi in c:\ |
Modificato da - shang in data 14/06/2010 10:39:57 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 14/06/2010 : 15:53:14
|
Allora. Ho provato ad avviare Workstation con manuale. Ma mi da sempre lo stesso errore:
Impossibile avviare Workstation su computer locale. Per maggiori informazioni consultare il registro Eventi di Sistema. Se non si tratta di un servizio microsoft, contattare il fornitore del servizio, e fare riferimento al codice di errore 2250.
Il file I:\windows\System32\wkssvc.dll è presente.
Ho avviato il comando i:\mbr.exe -f ma il log risultante è lo stesso del precedente, e cioè:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: error reading MBR |
Modificato da - stewie in data 14/06/2010 15:55:18 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/06/2010 : 16:41:38
|
elimina il vecchio log di combofix da C:\ e riesegui la scansione
postami subito il log
scarica gmer
Eseguilo, clicca su >>> e poi su "autostart" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Poi,clicca su "rootkit" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Posta anche questi due rapporti
edit
durante la scansione con gmer controlla se vedi delle voci in rosso e se ci sono dei riavvii |
Modificato da - shang in data 14/06/2010 17:00:33 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 14/06/2010 : 19:13:23
|
| Stasera porto il pc a casa mia, così da domani posso eseguire subito le tue istruzioni! |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 15/06/2010 : 17:26:33
|
|
Caspita ma la seconda scansione (rootkit/malware) con Gmer va avanti da oltre 2 ore. Possibile? Appena termina (se termina) ti posto i 3 log (due di gmer e uno di combofix). |
|
|
|
Discussione |
|
Rimuovere Rootkit
Forum Bloccato
