| Autore |
 Discussione  |
|
Artemisia
Average Member
74 Messaggi |
 Inserito il - 07/06/2007 : 12:32:12
|
Buongiorno a tutti.
Innanzitutto complimenti e grazie per l'utilissimo lavoro che svolgete! Sono una persona inesperta in materia, ma molto preoccupata per la salute del suo pc....ora cerco di spiegarvi il problema.
Piccola premessa: da un bel po' di tempo a questa parte le impostazioni del mio desktop quali effetti icone grandi e spaziatura orizzontale e verticale icone non vengono salvate all'uscita, e ogni volta che le ricambio da proprietà me le ativa sì,ma se ci rivado subito le ritrovo cambiate(icone grandi disattivate e le spaziature con un surplus di 16 "spazi" ciascuno).Ho fatto un po' di scansioni anche in provvisoria con sysclean e avast,sysclean mi rileva degli errori94 in file di sistema, ma non riesce a correggerli,comunque apparentemente niente virus....così ho accantonato il problema..
Da ieri sera ho notato nel task manager questo processo Explorer.EXE che mi pareva fosse scritto in minuscolo prima, e che assorbe il 100% del cpu mentre cerco invano di eliminare un file dalla cartella download di idc++2.01. Ho cercato di eliminarlo da percorsi diversi sia a programma aperto che chiuso (il file video in questione), ma ogni volta che provo a spostarlo nel cestino mi appare l'errore "impossibile eliminare il file,file in uso da un altro programma,chiudere prima il programma ecc..." e contemporaneamente nella task manager Explorer.EXE(scritto proprio così) schizza al 99 o giù di lì, assorbendo il 100% della cpu.
Ho fatto una pulizia con ccleaner e poi ho cercato di fare il ripristino di configurazione di sistema all'altro ieri...ma una volta avviata la procedura e riavviata la macchina mi dice che è stato impossibile completare il ripristino.
Ho trovato tramite windows update degli aggiornamenti della protezione che mancavano e li ho installati, ma nulla è cambiato.
Inoltre guardando nella task manager e confrontandomi con la lettura delle vostre discussioni ho notato che sono presenti 3 processi cli.exe a nome del mio account e ben 8 svchost.exe di cui: 4 SYSTEM; 2 SERVIZIO DI RETE; 2 SERVIZIO LOCALE.
Un'ultima domanda: se termino un processo dal task manager, da dove lo riattivo poi?(non ci ho mai provato per paura di non poter tornare indietro,sono ignorante in materia,così normalmente all'avvio ho tra i 66 e i 73 processi in esecuzione,a seconda se sono collegata o meno). Purtroppo non uso hijacks, se dalla mia descrizione riuscite a capirci qualcosa bene...altrimenti se è necessario per la diagnosi che io lo installi fatemi sapere....
Perdonate la lunghezza del post e la mia inesperienza, vi ringrazio anticipatamente.
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 12:51:02
|
Ah! Dimenticavo di dirvi che il mio sistema operativo è windows xp...spero che riuscirete ad "illuminarmi".
Un caloroso saluto a tutti.
P.S. per sicurezza intanto magari vado a scricarmi hijachthis e spybot search & destroy.... |
 |
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 14:10:43
|
htt*://freefilehosting.net/download/MjE2ODg1
questo è il log che mi ha dato hijack, spero che con questo potrete aiutarmi.
Vorrei chiedervi la cortesia di dirmi passo per passo cosa fare per fixare le voci eventualmente (tipo se devo aprire il programma da quale voce devo entrare per fixare...o se per fixare devo rifare lo scan....so che per tutti voi sono cose ovvie, ma io vedo questo programma oggi per la prima volta).Grazie ancora per la pazienza...spero che questa avventura abbia un lieto fine.... |
|
|
|
Artemisia
Average Member
74 Messaggi |
 Inserito il - 07/06/2007 : 14:20:54
|
| ...Ho messo hijack in una cartella a lui dedicata ma in documenti...ora leggo qua e là che dovevo metterlo in programmi...devo spostarlo e rifare la scansione?(ripostandola naturalmente)? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 14:43:06
|
no nn serve che lo sposti e rifai la scansine 
disattiva ripristino configurazione di sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://[www].tiscali.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [E07IXLRD_20133484] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
alla fine clicca su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\system32\ToolBand.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
disinstallati l'avast e tieniti solo avg che è meglio! a volte 2 antivirus in un pc possono dare conflitti!!
ti consiglio di scaricarti infine spybot un antispyware (htt*://[www].safer-networking.org/it/mirrors/index.html), lo aggiorni e scansioni! scaricati anche superantispyware (htt*://[www].superantispyware[.com]/downloadfile.html?productid=SUPERANTISPYWAREFREE) lo aggiorni e scansioni
|
Modificato da - Leleago in data 07/06/2007 17:46:34 |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 15:52:23
|
 bello grazie finalmente qualcuno mi ha risposto!!!
Allora, sono stata assente un po' perchè sto svenendo dalla fame e credo sia meglio che mangi qualcosa prima di mettermi ad eseguire la procedura, intanto prima di iniziare vorrei chiederti un paio di chiarimenti e scambiare un'opinione...
1) Il mio hard disk esterno è il packard bell secure, eliminando questa voce che mi hai detto(O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe) funzionerà ancora? Stessa omanda per "nero" "msn" ed " encarta". (In ogni caso se è comunque necessario eliminare quelle voci posso recuperare di nuovo i programmi, ma per limitare al minimo nuove installazioni volevo chiedere prima a te.)
Dimenticavo: come anti spyware ho ad-aware, devo disinstallarlo prima di installare quelli che mi hai consigliato?
2) In quale punto della procedura sarebbe meglio eliminassi il file "incriminato" che ho scaricato da idc++2.01 ?
Infine lo scambio di opinioni:
AVG ed avast li ho insieme da un annetto e non mi hanno mai dato problemi, pensavo di tenerli perchè mi pare che avg non mi faccia la scansione in tempo reale mentre avast sì, dìaltra parte avg ogni mattina fa partire una scansione completa del pc mentre ad avast devo dire io quando farla....inoltre avg non mi ha praticamente mai rilevato un virus, mentre avast sì e li ho potuti eliminare....
Ora in attesa dei tuoi utilissimi chiarimenti mangio qualcosa, così mi metto in forze per portare a termine la procdua da te descritta.....Grazie mille della pazienza e dell'attenzione!!! |
Modificato da - Artemisia in data 07/06/2007 16:29:01 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 16:27:40
|
dato che si riferisce all'hard disk esterno allora nn fixare questa voce
O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
le altre cm quella di nero ecc fixale tranquillamente
io toglierei adaware nn perchè dà problemi con gli altri due ma perchè secondo me nn trova molte delle minacce che trovano i due programmi antispyware che ti consigliato io!
che file hai scaricato da idc++2.01 ? |
Modificato da - Leleago in data 07/06/2007 16:34:19 |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 16:41:40
|
Riguardando le voci ho visto che ce ne è anche una che riguarda gli aggiornamenti HP, la mia stampante è HP, non fixo neanche quella voce?
Il file è un filmato che sotto un altro nome invece era un pezzo un po' sporco.... Ho letto su altre discussioni che ad altri è successo lo stesso problema (Explorer.EXE a 99)scaicando file da programmi del genere. Sinceramente ci sono rimasta male visto che uso idc da quando ho la connessione(che tra parentesi è alice adsl)e non mi aveva mai dato problemi...
....Picco d'ansia: dovrei considerare l'ipotesi di un rootkit??? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 17:05:24
|
la voce degli update della stampante la puoi fixare tranquillamente cm le altre che ti ho detto!
dato che potresti aver un rootkit non riattivare allora il ripristino configurazione di sistema!
intanto hai seguito tutta la procedura eseguendo anche le scansioni?? |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 17:22:56
|
Sto scaricando spybot e l'altro, ho fixato le voci che mi avevi detto ma ho fatto la cavolata di fixare prima di disattivare il ripristino...(nel panico mi era sfuggito perdono!)ora vado avanti con la procedura (tocca ad avenger),se poi alla fine nel log che ti riposterò c'è qncora qualcosa che non va ricomincio daccapo...spero di non combinare casini!!
Grazie ancora per l'assistenza che mi stai dando, sono consapevole che ci vuole molta pazienza con me... |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 18:22:55
|
Ho fatt tutto tranne il super anti spyware, perchè durante l'installazione mi chiede di scrivere qualcosa sotto "organization" o roba simile.....lo posso lasciare in bianco o devo scriverci qualcosa??
per il resto ho provato a cancellare quel file e nada,non si cancella, e per il desktop è tutto come prima.....
Se mi dai un dettaglio di cosa fare con superantispyaware lo faccio e poi ti posto un altro log di hijackthis....magari stavolta lo sposto prima nella cartella programmi e lo facio "girare" da là...fammi sapere.
Grazie. |
Modificato da - Artemisia in data 07/06/2007 18:24:52 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 18:25:25
|
| si nn mettere niente nel campo organization per il resto dopo averlo scaricato, clicchi su update e poi scansioni |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 19:37:51
|
C'è voluto un po' ma alla fine sono riuscita a completare la procedura, le scansioni mi hano rilevato una 3 e l'alra 2 oggetti che hanno eliminato, in più per ogni programma che me ne ha dato la possibilità ho fatto un backup (dimmi se ho sbagliato,al massimo li elimino e male che va mi rassegno a ripetere tutto daccapo)...
Comunque ti posto il log hijack attuale.
htt*://freefilehosting.net/download/MjE3MDkx
Il file "incriminato" sono riuscita ad eliminarlo alla fine (almeno così pare) con un rucchetto che prima non avevo pensato: invece di aprire la cartella download e cancellare il file, ho cancellato direttamente la cartella con il contenuto e l'ho ricreata nuova (mi sono ricordata che questa procedura a volte si fa anche sulle code o altre cartelle di idc, adoro questo programma e te lo consiglio spassionatatmente nonostante la mia inesperienza nel campo ).
Per il desktop oramai mi sto rassegnando  comunque le risorse del sistema non sembrano più dar problemi da quando ho cancellato il file maledetto dopo l'ultima scansione di superantispyware....speriamo bene!!
In attesa di un tuo responso sul follow-up del log rinnovo i miei ringraziamenti e la mia gratitudine....e se i problemi persisteranno.....vorrà dire che bisognerà aventurarsi nell'uso di sophos anti-rootkit (l'ho scaricato oggi tra le altre cose, non si sa mai tornasse utile ) |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 20:22:51
|
ok il log è pulito!
scarica GMER (un anti-rootkit) htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
Artemisia
Average Member
74 Messaggi |
Inserito il - 07/06/2007 : 20:36:56
|
Scusami,una domandina di routine:1 quando scarico gmer lo metto in una cartella sul desktop (così magari il log blocco note lo metto nella stessa cartella)o proprio senza nulla? E soprattutto: devo scaricare solo gmer.zip o anche Userland rootkit detector e altri..??
|
Modificato da - Artemisia in data 07/06/2007 20:45:25 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/06/2007 : 20:49:35
|
|
si lo puoi mettere cm dici te sul desktop! si scarica solo gmer.zip |
|
|
|
Discussione |
|
Explorer.EXE 100%CPU!
Forum Bloccato
