Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

NON APRO I LINK

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

NON APRO I LINK

Postdi sgruntina » 01/11/06 14:57

Salve,
come mai non riesco ad aprire i link per disinfettarmi? Mi dice impossibile visualizzare la pag....
sgruntina
Utente Junior
 
Post: 52
Iscritto il: 01/11/06 01:12

Sponsor
 

Postdi Luke57 » 01/11/06 15:28

Ciao, da che cosa vuoi disinfettarti? Quali sono i link che non visualizzi? Riesci a usare hijackthis?
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgruntina » 01/11/06 15:38

si lo riesco ad usare...ecco il log..


Logfile of HijackThis v1.99.1
Scan saved at 15.37.11, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TEMP\wcsr1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {8095FCD1-DEF8-5047-5444-B9EF0E882216} - C:\WINDOWS\inmkd1.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wcsr1.exe] C:\WINDOWS\TEMP\wcsr1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinMX] C:\Documents and Settings\Utente\Desktop\winmx3.54\WinMX.exe -m
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = F:\office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CE8C0D7-9405-4C5C-8DD9-6AD96BF9BF6C}: NameServer = 85.37.17.5 85.38.28.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CE8C0D7-9405-4C5C-8DD9-6AD96BF9BF6C}: NameServer = 85.37.17.5 85.38.28.77
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Utente\IMPOST~1\Temp\hpdj.exe (file missing)
sgruntina
Utente Junior
 
Post: 52
Iscritto il: 01/11/06 01:12

Postdi Luke57 » 01/11/06 15:58

Ciao, quindi presumo che non riesci ad aprire i link per i tools di rimozione di linkoptimizer?
prova da qui con virit:
http://www.mytempdir.com/1022171
lo installi ma una volta finita l'installazione aspetta ad usarlo.
Riavvii in modalità provvisoria (premi ripetutamente il tasto F8 all'accensione del computer prima che si carichi windows, nella schermata che appare scegli modalità provvisoria e confermi la scelata premendo invio).
Poi vai nella cartella
C:\VEXPLITE e lanciare il file Gotgsoft.bat, che a sua volta lancerà una versione modificata di Virit.
Dopo riprova a usare i tools specifici (presumo che sai dove trovarli).

Posta in un log i vari report che riesci ad ottenere.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgruntina » 01/11/06 16:35

Forse ci siamo....

ho rifatto il log....

Logfile of HijackThis v1.99.1
Scan saved at 16.32.46, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\wcsr1.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5B8D4FA2-DFC9-E519-A8A3-83E19A88F090} - C:\WINDOWS\inmkd1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wcsr1.exe] C:\WINDOWS\TEMP\wcsr1.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinMX] C:\Documents and Settings\Utente\Desktop\winmx3.54\WinMX.exe -m
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = F:\office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF:
â‘|ðá -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CE8C0D7-9405-4C5C-8DD9-6AD96BF9BF6C}: NameServer = 85.37.17.5 85.38.28.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CE8C0D7-9405-4C5C-8DD9-6AD96BF9BF6C}: NameServer = 85.37.17.5 85.38.28.77
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Utente\IMPOST~1\Temp\hpdj.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
sgruntina
Utente Junior
 
Post: 52
Iscritto il: 01/11/06 01:12

Postdi Luke57 » 01/11/06 16:41

Ciao, il log di haijckthis è uguale all'altro. Che cosa ha trovato Virit?
Inoltre, i tools per linkoptimizer (prevx e symantec) hai provato ad usarli?
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgruntina » 01/11/06 16:46

allora ho usato il virit e ho eliminato cosa mi faceva elimanare poi ho usato avenger e qui ti copio il log creato da avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xpfoomeh

*******************

Script file located at: \??\C:\WINDOWS\kmumcqag.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\service32.exe not found!
Deletion of file C:\WINDOWS\service32.exe failed!

Could not process line:
C:\WINDOWS\service32.exe
Status: 0xc0000034



File C:\WINDOWS\kqbsg1.dll not found!
Deletion of file C:\WINDOWS\kqbsg1.dll failed!

Could not process line:
C:\WINDOWS\kqbsg1.dll
Status: 0xc0000034



File C:\WINDOWS\SYSHOST.DLL not found!
Deletion of file C:\WINDOWS\SYSHOST.DLL failed!

Could not process line:
C:\WINDOWS\SYSHOST.DLL
Status: 0xc0000034


Completed script processing.

*******************
sgruntina
Utente Junior
 
Post: 52
Iscritto il: 01/11/06 01:12

Postdi Luke57 » 01/11/06 16:52

Ciao di nuovo, prova a usare questi tools da qui:
http://www.pc-facile.com/forum/viewtopic.php?t=49816
disattiva momentaneamente il tuo antivirus, durante la scansione.
Quello della prevx fa riavviare il computer e al termine della scansione rilascia il report in C:\Gromozon_Removal.log.
Se non ti riuscisse usarlo, prima di lanciare la scansione rinominalo con un nome a caso, lasciando sempre ovviemnte l'estensione .exe.
Quello della symatec eseguilo in mod.provvisoria; anch'esso rilascia un report nella stessa cartella dove hai collocato il file.
Posta ambedue i report e informa di eventuali problemi.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgruntina » 01/11/06 18:12

ecco il file log del virit

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.O
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
01/11/2006 - 16:15:42

[SCANSIONE DEL REGISTRO]
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Utente\Impostazioni locali\Temp\1C4.tmp Infetto da BHO.Agent.BM
* * * RIMOSSO * * *
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
01/11/2006 - 16:22:22

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\inmkd1.dll Infetto da BHO.LinkOptimizer.I
Il file sarà spostato nella cartella di quarantena.
C:\WINDOWS\system32\rxaa.dll Infetto da BHO.Agent.BM
* * * RIMOSSO * * *
C:\WINDOWS\Temp\wcsr1.exe Infetto da Trojan.Win32.Agent.ADM
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 15715.
Files Totali: 15715.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.

Adesso puoi RIAVVIARE il computer per spostare il file nella cartella di quarantena.
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
01/11/2006 - 16:41:46

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\QUARANTENA_VIRIT\inmkd1.dll Infetto da BHO.LinkOptimizer.I
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 15301.
Files Totali: 15301.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
sgruntina
Utente Junior
 
Post: 52
Iscritto il: 01/11/06 01:12

Postdi Persea » 02/11/06 10:31

Ho lo stesso problema,nn so' se dovuto al LinkOptimizer,ma il pc nn mi fa' accedere a pagine al sito della Prevx,ne' a link di siti che trattano la sicurezza informatica o offrono tool di rimozione(tipo Symantec e Tgsoft),per tutti mi dice "impossibile visualizzare la pagina".
Vado su altri siti e tt "funziona",nel senso che me li apre...
HijackThis e' k.o. nn me lo apre...
Tra l'altro accanto alla traybar dell'orologio mi e' apparsa pure,nn dentro alla tray,esterna ad essa,sulla barra insomma,una scritta "Collegamenti" ed una mini iconcina di I.E. fatta identica cm qll di e1xplorer ...microsoft.com/isapi/redir.dll?
Chi mi puo' aiutare o dare qualche buon suggerimento?
Thanxs.
Persea
Utente Junior
 
Post: 22
Iscritto il: 29/09/06 07:06

Postdi Luke57 » 02/11/06 11:33

@Persea
Ciao, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):
http://www.safer-networking.org/files/runalyz.exe
lasciagli caricare le informazioni, poi vai su "Rapporti" e clicca su "Crea Rapporto stile HJT",salvalo cliccando sull'icona apposita.
Poi lo incolli in un post.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 02/11/06 11:34

@sgruntina
Ciao mi puoi dire se hai eseguito i tools e postare i report delle scansioni?
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Persea » 02/11/06 13:05

Luke57 ha scritto:@Persea
Ciao, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):
http://www.safer-networking.org/files/runalyz.exe


Ti ringrazio Luke57,ma cliccando pure su qst link mi dice:"impossibile visualizzare la pagina" :cry: :cry: :cry:
Persea
Utente Junior
 
Post: 22
Iscritto il: 29/09/06 07:06

Postdi Luke57 » 02/11/06 15:34

Persea ha scritto:
Luke57 ha scritto:@Persea
Ciao, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):
http://www.safer-networking.org/files/runalyz.exe


Ti ringrazio Luke57,ma cliccando pure su qst link mi dice:"impossibile visualizzare la pagina" :cry: :cry: :cry:

Ciao, prendilo da qui:
http://www.mytempdir.com/1033570
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Persea » 02/11/06 16:33

Ho scaricato il programma runanalyzer dal sito che mi hai linkato,ma qnd clicco su Esegui mi appare qst:

Errore
The setup files are corrupted.Please obtain a new copy of the program.
> OK

:aaah
Persea
Utente Junior
 
Post: 22
Iscritto il: 29/09/06 07:06

Postdi Luke57 » 02/11/06 17:26

Ciao, non so che dire....
Se hai xp professional, lancia questo comando:
start>esegui>cmd (lo digiti nello spazio)>OK
Aperto il prompt dei comandi, da dove è posizionato il cursore digiti
tasklist------- > premi Invio
Riporti in un post la schermata dei processi.
Inoltre, apri il registro di sistema:
start>esegui>regedit>OK
Aperto l'editor del registro, cliccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, click su quest'ultima cartella, all'interno sulla parte destra controlla che cosa riporta la voce Userinit , la dicitura corretta dovrebbe essere
Userinit = C:\Windows\system32\userinit.exe,
Se c'è qualcosa di diverso riportalo esattamente.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Persea » 02/11/06 20:18

Luke57 ha scritto:Ciao, non so che dire....
Se hai xp professional, lancia questo comando:
start>esegui>cmd (lo digiti nello spazio)>OK
Aperto il prompt dei comandi, da dove è posizionato il cursore digiti
tasklist------- > premi Invio
Riporti in un post la schermata dei processi.


Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\JOLLY>tasklist

Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 240 K
smss.exe 520 Console 0 372 K
csrss.exe 568 Console 0 3.892 K
winlogon.exe 592 Console 0 8.268 K
services.exe 644 Console 0 5.168 K
lsass.exe 656 Console 0 1.624 K
ati2evxx.exe 824 Console 0 2.492 K
svchost.exe 844 Console 0 6.088 K
svchost.exe 944 Console 0 6.052 K
svchost.exe 1012 Console 0 55.240 K
svchost.exe 1108 Console 0 4.272 K
svchost.exe 1220 Console 0 7.012 K
spoolsv.exe 1448 Console 0 8.296 K
ati2evxx.exe 1476 Console 0 3.400 K
Macromedia-Storage.exe 1512 Console 0 6.756 K
explorer.exe 1552 Console 0 66.956 K
ASWLSVC.exe 1672 Console 0 5.416 K
guard.exe 1808 Console 0 936 K
service32.exe 1896 Console 0 3.112 K
HControl.exe 1904 Console 0 5.856 K
wdfmgr.exe 164 Console 0 2.068 K
ASWL2K.exe 176 Console 0 3.288 K
svchost.exe 496 Console 0 6.532 K
alg.exe 1048 Console 0 4.528 K
ATKOSD.exe 1284 Console 0 4.096 K
Internet Access.exe 3112 Console 0 6.252 K
AcroRd32.exe 3476 Console 0 39.412 K
msnmsgr.exe 1588 Console 0 6.960 K
IEXPLORE.EXE 3352 Console 0 39.420 K
notepad.exe 3848 Console 0 8.780 K
cmd.exe 740 Console 0 3.036 K
tasklist.exe 3860 Console 0 5.440 K
wmiprvse.exe 1320 Console 0 6.880 K

C:\Documents and Settings\JOLLY>



Luke57 ha scritto:Inoltre, apri il registro di sistema:
start>esegui>regedit>OK
Aperto l'editor del registro, cliccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, click su quest'ultima cartella, all'interno sulla parte destra controlla che cosa riporta la voce Userinit , la dicitura corretta dovrebbe essere
Userinit = C:\Windows\system32\userinit.exe,
Se c'è qualcosa di diverso riportalo esattamente.


Userinit REG_SZ
c:\windows\system32\userinit.exe,"c:\windows\macromedia-storage.exe",
Persea
Utente Junior
 
Post: 22
Iscritto il: 29/09/06 07:06

Postdi Luke57 » 03/11/06 22:40

Ciao , scarica Avgpfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

e tienilo da parte.
Poi stampa la pagina ed esegui il tutto con le applicazioni e programmi chiusi, disconnessa da internet.

Apri il taskmanager (Ctrl+Alt+anc), cerchi questo processo:
service32.exe
lo evidenzi e premi Termina processo.
Evidenzi ancora questo processo
macromedia-storage.exe
clicchi su termina processo.
Poi, apri il registro di sistema
da START\ESEGUI digita regedit>OK

Ciccando sul segno + accantio alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\, click su quest’ultima cartella e sulla parte destra della finestra dovresti trovare:
1 = C:\WINDOWS\service32.exe
click tasto dx sulla voce e scegli Elimina.

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, potrebbe anche non esserci))
se c’è la cancelli con la stessa modalità indicata sopra.



Chiudi e riapri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio)>OK
Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, click su quest’ultima cartella
Sulla parte destra troverai
userinit= REG_SZ c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,
doppio click sulla voce, nella finestra Modifica stringa che ti appare
nello spazio bianco troverai:
c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,

seleziona
c:\windows\macromedia-storage.exe, (virgola compresa)
in modo da lasciare nello spazio solamente:
c:\windows\system32\userinit.exe, (virgola compresa)
premi canc>OK
(ATTENZIONE a non cancellare userinit.exe, il computer non si riavvierà).

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Con AVgpfix, elimina i seguenti file:
c:\windows\macromedia-storage.exe
C:\WINDOWS\service32.exe
(questi l’hai di sicuro)
questi potresti non averli tutti, ma se li trovi li elimini:
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\623958248.exe

C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\scrss32.dll


Dalla cartella dei file temporanei /sia di Windows che del browser
elimina tutti i files (con stensioni .tmp e .temp


Fatto ciò, riprova a utilizzare i tools e hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Persea » 04/11/06 10:38

Apri il taskmanager (Ctrl+Alt+anc), cerchi questo processo:
service32.exe
lo evidenzi e premi Termina processo.
Evidenzi ancora questo processo
macromedia-storage.exe
clicchi su termina processo.
Poi, apri il registro di sistema
da START\ESEGUI digita regedit>OK


Fatto!
service32.exe nn c'era


Cliccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\, click su quest’ultima cartella e sulla parte destra della finestra dovresti trovare:
1 = C:\WINDOWS\service32.exe
click tasto dx sulla voce e scegli Elimina.


Fatto!

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, potrebbe anche non esserci))
se c’è la cancelli con la stessa modalità indicata sopra.


Qst chiave io nn l'ho trovata in SOFTWARE c'era solo
0D92R7F92J
28DHD2GQ4P
Nn sapendo che fare e per paura di sbagliare NON le ho cancellate!



Chiudi e riapri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio)>OK
Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, click su quest’ultima cartella
Sulla parte destra troverai
userinit= REG_SZ c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,
doppio click sulla voce, nella finestra Modifica stringa che ti appare
nello spazio bianco troverai:
c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,

seleziona

c:\windows\macromedia-storage.exe, (virgola compresa)
in modo da lasciare nello spazio solamente:
c:\windows\system32\userinit.exe, (virgola compresa)
premi canc>OK
(ATTENZIONE a non cancellare userinit.exe, il computer non si riavvierà).


Fatto!

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK


Fatto![color=blue]

[/quote]
Con AVgpfix, elimina i seguenti file:
c:\windows\macromedia-storage.exe
C:\WINDOWS\service32.exe
(questi l’hai di sicuro)
questi potresti non averli tutti, ma se li trovi li elimini:
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\623958248.exe


C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\scrss32.dll [/quote]

[color=blue]Dunque ho aperto lo zip e dentro c'e' AGVPFIX.exe che cliccandolo mi apre un programma col tasto Start,cliccando su Start apre
Please, select the infected file to ...
Risorse del Computer
+ Disco locale(:C)
Pannello di Controllo
+ Documenti condivisi
+ Documenti Persea


Cliccando sul segno + di Disco locale(:C) mi appaiono tnt voci cn accanto il segno del + cm nell'Editor di Registro...dove devo cliccare?
Nella stessa cartella del programma scaricato trovo AGVPFIX.exe.org cliccandoci sopra col mouse sx,mi apre una finestra con una voce scritta in cirillico. :-?



[/quote]Dalla cartella dei file temporanei /sia di Windows che del browser [/quote]

? :oops:
Persea
Utente Junior
 
Post: 22
Iscritto il: 29/09/06 07:06

Postdi Luke57 » 04/11/06 13:01

Ciao, una volta lanciato Avgpfix clicchi sul segno + di C, poi su quello di Windows, poi apri la cartella windows e da lì dovresti vedere i file da eliminare (infatti il loro percorso è in C:\Windows) .
Ci clicchi sopra e confermi con Ok. Fai così fino a che non li hai eliminagti tutti (quelli che ci sono, naturalmente).
Per eliminare i file temporanei di windows e di Internet explorer (è quello il browser ;) ) scarica CCleaner da qui:
http://www.ccleaner.com/download/
versione 1.34, una volta installato , lo apri, lasci le impostazioni come sono, solo che in Opzioni>Avanzate, togli la spunta a "cancella ile temp windows solo se più vecchi di 48 ore".
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "NON APRO I LINK":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti