| Autore |
 Discussione  |
|
robiurb
New Member
Città: pesaro
40 Messaggi |
Inserito il - 13/06/2007 : 13:38:21
|
htt*://[www].freefilehosting.net/download/MjIwOTMz
ecco il nuovo log,
ti prego dammi buone notizie!
ps. il desktop non c'è ancora! |
 |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 13/06/2007 : 13:54:40
|
| Scarica Robiurb questo fix.reg da (htt*://[www].pcalsicuro[.com]/fix.reg), cliccando col tasto destro del mouse sopra il link che ti ho messo e scegli nel menù che ti si apre la voce Salva con nome. Dopo averlo salvato dv vuoi te, eseguilo. Chiederà di importare all’interno del registro dei dati, dai ok |
Modificato da - Leleago in data 14/06/2007 06:55:24 |
|
|
|
tazenda
New Member
40 Messaggi |
 Inserito il - 13/06/2007 : 23:13:39
|
Leggendo le indicazioni che ho trovato ho visto che la procedura da seguire sarebbe quella di aprire una propria discussione. Per evitare confusione posto comunque qui sotto il mio log di HiJackThis salvo nuove indicazioni.
Questo è il log dopo aver eseguito le indicazioni che mi hai dato
hijackthis3.log
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 14/06/2007 : 07:05:31
|
x Tazenda
disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O4 - HKLM\..\Policies\Explorer\Run: [1] G:\WINDOWS\winsys.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] G:\WINDOWS\csrs.exe
O15 - Trusted Zone: htt*://[www].drunkendonkey.net
O15 - Trusted Zone: htt*://*.nyaatorrents.org
O23 - Service: DirectX Service (DirectHatl) - Unknown owner - g:\windows\system32\directx.exe (file missing)
alla fine clicca su FIX CHECKED
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
G:\WINDOWS\winsys.exe
G:\WINDOWS\csrs.exe
g:\windows\system32\directx.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Non hai nessun antivirus  Al giorno d'oggi è necessario averlo!! Cm antivirus ti consiglio antivir che protegge molto bene il pc ed è gratis ([www].free-av[.com])
Installati anche questi 2 software spybot (htt*://[www].safer-networking.org/it/mirrors/index.html) e superantispyware (htt*://[www].superantispyware[.com]/downloadfile.html?productid=SUPERANTISPYWAREFREE) Li aggiorni e scansioni 
Dopo queste operazioni installati SUBITO la Service pack 2 per windows xp (insieme di patch e aggiornamenti che correggono vulnerabilità del pc contro malware)..vai su questo link (htt*://[www].microsoft[.com]/downloads/thankyou.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=it e clicca su inizia download
Dopo averla installata ricordati di attivare gli aggiornamenti automatici. Clicchi col tasto destro su risorse del computer, proprietà, aggiornamenti automatici, seleziona automatico e clicca su ok
Alla fine di tutto riposta un nuovo log |
Modificato da - Leleago in data 14/06/2007 07:06:08 |
|
|
|
tazenda
New Member
40 Messaggi |
Inserito il - 15/06/2007 : 12:59:12
|
Intanto grazie per l'aiuto che mi stai dando.
Passando alla pratica ti dico che ho seguito tutti i passaggi da te indicati e fino ad Avenger tutto liscio. Dopo aver scaricato e evviato Avenger ho copiato lo script che mi hai scritto poi ho dato il DONE e infine il Semaforo. Subito dopo aver clikkato sul semaforo ho ottenuto questo messaggio
ERROR: Coud Not Create Zip File
Ho continuato ed ho ottenuto
Presse OK To Log Error And Continue Or Cancel To Abort
Ho continuato con OK e ho ottenuto
ERROR CODE: 0
Ho provato più volte anche dopo un riavvio ma il risultato è stato lo stesso. Non mi sono dato per vinto e ho continuato a seguire i passaggi successivi installato tutti i programmi che mi hai indicato. Li ho aggiornati e ho fatto le relative scanzioni riuscendo a togliere vari problemi. Alla fine ho scaricato il service pack 2 e ho lanciato l'installazione. Dopo diversi minuti tutto sembrava procedere bene ma all'improvviso un errore ha interrotto l'aggiornamento al service pack 2 e il sistema ha riportato tutto come stava prima o quasi infatti prima di riavviarsi ho ricevuto l'avviso che il service pack 2 era stato installato solo parzialmente e il PC avrebbe potuto non funzionare correttamente. Al riavvio non ci sono stati apparenti cambiamenti ne in negativo ne in positivo. Per ora il problema che ti ho originariamente posto c'è ancora.
Tutte le operazioni che ho fatto seguendo le tue istruzioni le ho fatte da XP caricato normalmente e non in modalità provvisoria. Credi che sia opportuno riprovare la procedura in modalità provvisoria?
L'unica cosa in cui non ti ho dato ascolto è quella di cancellare le due voci seguenti con HiJackThis:
O15 - Trusted Zone: htt*://[www].drunkendonkey.net
O15 - Trusted Zone: htt*://*.nyaatorrents.org
Questi sono due siti che per problemi (banner pubblicitari che davano una finestra di avviso di problemi con ActiveX)con internet Explorer ho dovuto inserire nei siti sicuri.
Qui sotto ti posto il log di HiJackThis dopo questa prima prova:
hijackthis1.log
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 16/06/2007 : 08:26:26
|
ok allora riavvia il pc in modalità provissoria!
poi apri hijack e fixa:
O4 - HKLM\..\Run: [xfkscrtt] G:\wbxywxay.bat
O4 - HKLM\..\Run: [nlfnlvxr] G:\sxwqliwg.bat
O4 - HKLM\..\Run: [hyitfdua] G:\pjpraqwb.bat
O4 - HKLM\..\Run: [vohysaex] G:\wbkupwwm.bat
O4 - HKLM\..\Run: [qhgxhiyi] G:\srhafsyd.bat
O4 - HKLM\..\Run: [ybsknpvk] G:\knsktpfl.bat
O4 - HKLM\..\Run: [sikrkbxm] G:\fhvtauyd.bat
O4 - HKLM\..\Run: [nabqxbik] G:\ufipsrjr.bat
O4 - HKLM\..\Run: [orjobnnh] G:\omhgmwhw.bat
O23 - Service: DirectX Service (DirectHatl) - Unknown owner - g:\windows\system32\directx.exe (file missing)
Prima di usare avenger puoi provare ad eliminare quei file manualmente!
Abilita la visualizzazione di file e cartelle:
vai su risorse del computer, strumenti, opzioni cartella, visualizzazione, seleziona visualizza file e cartelle nascoste e ok
vai su risorse del computer, disco g: e guarda se ci sn i file con estensione.bat! se ci sn eliminali!!
poi vai su disco g:, system32 ed elimina il file directx.exe se lo trovi! Infine vai su disco g:, windows ed elimina i file: winsys.exe e G:\WINDOWS\csrs.exe se ci sn ancora
Se nn riesci ad eliminare manualmente i file usa killbox!
Lo scarichi da qui: htt*://[www].killbox.net/downloads/KillBox.exe
Lo apri e clicchi sul primo dei 3 pulsanti a destra a forma di cartella aperta, vai ad esempio in disco g:, trovi wbxywxay.bat e infine clicca sul pulsante con la x bianca e fai questa procedura per tutti i file che ti ho indicato
Dimmi cm è andata
|
|
|
|
tazenda
New Member
40 Messaggi |
Inserito il - 17/06/2007 : 00:23:44
|
Ho eseguito e qui sotto c'è il nuovo log di HiJackThis.
hijackthis3.log
Ancora tutto come prima, niente desktop completo.
Killbox non ho l'ho usato perchè mi dava il messaggio
component MSCOMCTL.OCX or one of its dependencies not correctly registered : a file is missing or invalid
Quindi ho cancellato a mano i file che mi avevi detto.
Per quanto riguarda HiJackThis la voce
O23 - Service: DirectX Service (DirectHatl) - Unknown owner - g:\windows\system32\directx.exe (file missing)
ricompare sempre. Comunque ti dico che c'era molto prima che capitasse questo problema. Non credo che sia questa la causa.
Non ho ancora provato a fare una nuova installazione del service pack 2 per paura di fare macello.
Attendo nuove istruzioni. |
Modificato da - tazenda in data 17/06/2007 00:24:43 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/06/2007 : 07:56:04
|
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
Modificato da - Leleago in data 18/06/2007 07:35:28 |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 17/06/2007 : 17:12:47
|
buongiorno a tutti,
ho visto che la discussione iniziata con il mio "desktop vuoto" si è notevolmente implementata. Volevo dire che seguendo il consiglio di ARIS73 ho risolto il problema senza dover formattare, con installa/aggiorna dal cd di windowsXP+SP2.
Poichè il pc appare un po' lento volevo chiedervi se poteste verificarmi il log di Hijackthis, non vorrei avere ancora dei virus...i sintomi paiono quelli.
grazie GianPaolo
File hijackthis postato
htt*://freefilehosting.net/download/MjI0MzUx |
|
|
|
tazenda
New Member
40 Messaggi |
Inserito il - 17/06/2007 : 19:01:22
|
Ho fatto le due scanzioni con Gmer e qui sotto ho messo i due log.
Rootkit:
GMer Rootkit.txt
Autostart:
GMer Autostart.txt
Una cosa che mi sono scordato di scrivere, tanto per essere precisi, è che anche in modalità provvisoria il desktop non compare come del resto anche la barra di windows con il pulsante start.
Grazie ancora resto in attesa. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/06/2007 : 19:05:40
|
X GIDOVI il tuo log è pulito.....
ti consiglio di fare una bella deframmmentazione andando su accessori, utilità di sistema e deframmenta e poi dai una pulita con ccleaner |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/06/2007 : 19:09:50
|
x tazenda
ti appare ancora su hijack il servizio DirectHatl ??
se si vai su stard esegui e digita: sc delete directx.exe e ok
ora analizzo i tuoi log |
|
|
|
tazenda
New Member
40 Messaggi |
Inserito il - 17/06/2007 : 19:14:57
|
Eseguito il comando "sc delete directx.exe" ho fatto una nuova scanzione con HiJackThis e DirectHatl compare ancora. Se vuoi ti metto il log.
Mi allontano dal PC per mezzora devo riconsegnare dei DVD al videonoleggio. Spero che tu sia ancora qui quando torno.
Grazie dell'assistenza!! 
NEWS:
Su un altro forum ho trovato una discussione in cui parlavano proprio della rimozione di questo Malware. Qui sotto riporto il testo originale preso dal post di un utente e mi scuso in anticipo nel caso questa operazione vada contro le regole di questo forum. Spero di no!!
Citazione:
Ciao a tutti, questo dannato virus mi ha fatto letterelmente impazzire, e formattare il pc 2 volte prima di arrivare a una soluzione.
La souzione definitiva è questa:
Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.
Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)
andate a cercare ed eliminate queste 2 voci dal registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)
Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)
CIAO
Leleago cosa ne pensi?
NUOVA NEWS:
Allora ho provato questa soluzione e il mio desktop al riavvio del PC è tornato a funzionare regolarmente.
Ringrazio Leleago per tutta l'assistenza che mi a dato permettendomi di dare una bella ripulita al mio PC che aveva molti più problemi di quelli che credevo. Ora il mio PC è molto più agile.
Grazie e buona settimana a tutti!!  |
Modificato da - tazenda in data 17/06/2007 23:01:50 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/06/2007 : 07:35:00
|
sn contento che hai risolto....
hai fatto bene a postare quella soluzione..sarà sicuramenta utile per il futuro se qualcun altro avrà un problema simile al tuo |
|
|
|
Provasp
New Member
41 Messaggi |
Inserito il - 18/06/2007 : 17:29:23
|
Io in effetti ho riscontrato lo stesso problema ieri sul pc di un mio amico infetto da una marea di virus.
Sono riuscito a ripulire tutto ma al riavvio ho notato che explorer.exe non funzionava + e non era neppure attivabile da task manager -> esegui.
Questa sera ritorno sul luogo del delitto con i vostri preziosi consigli e spero di risolvere (l'alternativa iniziale era la formattazione...)
Se poi per voi non ci sono problemi inserirei anche io il log di Hijackthis per vedere se è tutto a posto... |
|
|
|
Discussione |
|
Desktop missing
Forum Bloccato
