Condividi:        

Problema e1xplorer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problema e1xplorer

Postdi Fagio » 24/08/06 07:29

Ciao a tutti, come molta gente ho preso questo famigerato dialer e non riesco a rimuoverlo. Posto il log di hijackthis, se gentilmente qualcuno mi aiuta :)
Grazie

Logfile of HijackThis v1.99.1
Scan saved at 8.24.07, on 24/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0712FB8F-FE45-166D-F477-DDE972BE5CC5} - C:\WXPH\npbkp1.dll (file missing)
O2 - BHO: Class - {493C64A2-68D8-00DB-49B1-A424B3007DC4} - C:\WXPH\npbkp1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WXPH\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [feecp.exe] C:\WXPH\System32\feecp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WXPH\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Avvia Pc.lnk = C:\Sysadm\Pc-Start.bat
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8027531197
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\Software\..\Telephony: DomainName = plasticacesena.lan
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\System\CS1\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\System\CS2\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O23 - Service: Server RPC di eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Server Realtime di eTrust Antivirus (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Server Processi di eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Sponsor
 

Postdi Luke57 » 24/08/06 09:55

Ciao, il log sembra incompleto. Prova a rifarlo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 24/08/06 10:14

Ecco il log rifatto ;)

Logfile of HijackThis v1.99.1
Scan saved at 11.08.45, on 24/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0712FB8F-FE45-166D-F477-DDE972BE5CC5} - C:\WXPH\npbkp1.dll (file missing)
O2 - BHO: Class - {493C64A2-68D8-00DB-49B1-A424B3007DC4} - C:\WXPH\npbkp1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WXPH\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [feecp.exe] C:\WXPH\System32\feecp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WXPH\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Avvia Pc.lnk = C:\Sysadm\Pc-Start.bat
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8027531197
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\Software\..\Telephony: DomainName = plasticacesena.lan
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\System\CS1\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plasticacesena.lan
O17 - HKLM\System\CS2\Services\Tcpip\..\{38BAD992-0FEA-4017-B93B-713EE1AD01D7}: NameServer = 192.168.0.254
O23 - Service: Server RPC di eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Server Realtime di eTrust Antivirus (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Server Processi di eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 24/08/06 10:30

Ciao, è uguale a prima ;) , hai qualcosa che ti impedisce la visualizzazione dei processi.
scarica Gmer da qui:
http://www.gmer.net/gmer110.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart, con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.
Intanto con hijackthis, per adesso, premi "do a system scan only", cerchi e spunti:
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.sgrunt.biz
premi fix checked.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 24/08/06 14:37

OK ho fatto tutto, i log sono questi:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-24 15:30:35
Windows 5.1.2600

---- Processes - GMER 1.0.10 ----

Library C:\WXPH\npbkp1.dll (*** hidden *** ) @ C:\WXPH\Explorer.EXE [1268] 0x02930000 <-- ROOTKIT !!!
Library C:\WXPH\npbkp1.dll (*** hidden *** ) @ C:\Programmi\Internet Explorer\IEXPLORE.EXE [1508] 0x01080000 <-- ROOTKIT !!!

Process C:\WXPH\svchost.exe (*** hidden *** ) 1564 <-- ROOTKIT !!!

---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\0D92R7F92J
Reg \Registry\MACHINE\SOFTWARE\0D92R7F92J@0D92R7F92J 0x01 0x00 0x00 0x7E ...
Reg \Registry\MACHINE\SOFTWARE\0D92R7F92J@0D92R7F92J 0x01 0x00 0x00 0x7E ...

---- Files - GMER 1.0.10 ----

File C:\WXPH\system32\prn.iwv
File C:\WXPH\npbkp1.del
File C:\WXPH\npbkp1.dll

---- EOF - GMER 1.0.10 ----









GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-24 15:31:22
Windows 5.1.2600


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WXPH\system32\userinit.exe,
Windows@AppInit_DLLs = \\?\C:\WXPH\System32\prn.iwv

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
admcntrl /*Gestione Active Desktop Manager*/@ = C:\WXPH\Downlo~1\nvkwji\jehpclu.exe
InoRPC /*Server RPC di eTrust Antivirus */@ = "C:\Programmi\CA\eTrust Antivirus\InoRpc.exe"
InoRT /*Server Realtime di eTrust Antivirus */@ = "C:\Programmi\CA\eTrust Antivirus\InoRT.exe"
InoTask /*Server Processi di eTrust Antivirus */@ = "C:\Programmi\CA\eTrust Antivirus\InoTask.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Realtime MonitorC:\PROGRA~1\CA\ETRUST~1\realmon.exe -s = C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
@hppwrsavC:\SCANJET\PrecisionScanLT\hppwrsav.exe = C:\SCANJET\PrecisionScanLT\hppwrsav.exe
@feecp.exeC:\WXPH\System32\feecp.exe = C:\WXPH\System32\feecp.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WXPH\svchost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@CTFMON.EXE = C:\WXPH\System32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
@{DCED20BE-3645-11D4-BC95-00C04F0E0588} /*InoShell*/C:\Programmi\CA\eTrust Antivirus\InoShell.dll = C:\Programmi\CA\eTrust Antivirus\InoShell.dll
@{AF32DAFE-1358-4F35-A673-FB123BC6303F} /*Cutter 4.1 Shell Extension*/(null) =
@{310A0C95-EA11-42AE-A8E4-53E69E650310} /*ZipGenius Zip Drop handler*/C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL = C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL
@{FE8D01BF-610A-4261-9C6E-32D65A42C907} /*ZipGenius 5.5 DnD Extract handler*/C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL = C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL
@{3E307794-57B9-473A-98CC-4A039255063F} /*OpenOffice.org/ZipGenius Shell Extension*/C:\PROGRA~1\ZIPGEN~1\oodll.dll = C:\PROGRA~1\ZIPGEN~1\oodll.dll
@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} /*ZipGenius Shell Extension*/C:\PROGRA~1\ZIPGEN~1\contmenu.dll = C:\PROGRA~1\ZIPGEN~1\contmenu.dll
@{2E5AC2E0-406D-11D4-86B3-FA5861508E25} /*ZipGenius Zip InfoTip*/C:\PROGRA~1\ZIPGEN~1\zgtips.dll = C:\PROGRA~1\ZIPGEN~1\zgtips.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
InoShell@{DCED20BE-3645-11D4-BC95-00C04F0E0588} = C:\Programmi\CA\eTrust Antivirus\InoShell.dll
ZipGenius 5@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} = C:\PROGRA~1\ZIPGEN~1\contmenu.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
InoShell@{DCED20BE-3645-11D4-BC95-00C04F0E0588} = C:\Programmi\CA\eTrust Antivirus\InoShell.dll
ZipGenius 5@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} = C:\PROGRA~1\ZIPGEN~1\contmenu.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
@{0712FB8F-FE45-166D-F477-DDE972BE5CC5}C:\WXPH\npbkp1.dll = C:\WXPH\npbkp1.dll
@{493C64A2-68D8-00DB-49B1-A424B3007DC4}C:\WXPH\npbkp1.dll = C:\WXPH\npbkp1.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WXPH\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WXPH\System32\blank.htm = C:\WXPH\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WXPH\System32\msvidctl.dll
its@CLSID = C:\WXPH\System32\itss.dll
lid@CLSID = C:\WXPH\System32\msvidctl.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WXPH\System32\itss.dll
tv@CLSID = C:\WXPH\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WXPH\System32\msdxm.ocx
wia@CLSID = C:\WXPH\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@Domain = plasticacesena.lan

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{38BAD992-0FEA-4017-B93B-713EE1AD01D7} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.0.54 = 192.168.0.54
@NameServer192.168.0.254 = 192.168.0.254
@DefaultGateway192.168.0.254 = 192.168.0.254
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Microsoft Office.lnk = Microsoft Office.lnk
Avvia Pc.lnk = Avvia Pc.lnk

---- EOF - GMER 1.0.10 ----
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 24/08/06 15:07

Ciao, procedi con queste operazioni:

start>esegui>services.msc (lo scrivi nello spazio bianco)>OK
nella finestra dei Servizi controlla se ne hai uno che nella colonna Connessione invece di Servizio Locale o Sistema di rete riporta un nome casuale tipo GLQRsT. Se c’è segnati il nome e il percorso del file eseguibile (lo trovi cliccando sul servizio con tasto dx e scegliendo Proprietà).


Scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer se è sempre presente nel tuo computer (impossibile farlo da pannello di controllo, installazioni/applicazioni)
Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer, click con il dx e scegli Delected;

1)Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, dovresti avere un'utenza sospetta con nome casuale (oltre le consuete Administrators e Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

2) Rendi visibili file e cartelle nascosti:

da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK
Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa


3) Svuota il cestino

4) scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0712FB8F-FE45-166D-F477-DDE972BE5CC5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{493C64A2-68D8-00DB-49B1-A424B3007DC4}


Files to delete:
C:\WXPH\system32\prn.iwv
C:\WXPH\npbkp1.del
C:\WXPH\npbkp1.dll
C:\WXPH\svchost.exe


Folders to delete:
C:\WXPH\temp



Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 24/08/06 15:49

Con avenger mi da questo errore

Immagine
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 24/08/06 16:14

Ciao, prova a sostituire questa (ma invece di Windows la tua cartella si chiama WXPH?)

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0712FB8F-FE45-166D-F477-DDE972BE5CC5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{493C64A2-68D8-00DB-49B1-A424B3007DC4}


Files to delete:
C:\Windows\system32\prn.iwv
C:\Windows\npbkp1.del
C:\Windows\npbkp1.dll
C:\Windows\svchost.exe


Folders to delete:
C:\Windows\temp
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 08:03

Si la mia cartella di windows si chiama WXPH

Ho inserito il comando nuovo ma mi da sempre lo stesso errore, che devo fare?
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 28/08/06 08:30

Ciao, prova ad andare nel registro i sistema:
start>esegui>regedit (lo scrivi nello spzio)>OK
Segui questo percorso cliccando sui * accanto alle singole voci:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT, guarda se le cartelle si chiamano Windows o WXPH.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 09:11

dentro a windowsNT c'è un'altra cartella che si chiama CurrentVersion e dentro ci sono altre cartelle tra le quali windows
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 28/08/06 09:30

Ciao, elimina quella versione di Avenger che hai e scarica questa:
http://www.suspectfile.com/upload/files ... venger.zip

scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0712FB8F-FE45-166D-F477-DDE972BE5CC5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{493C64A2-68D8-00DB-49B1-A424B3007DC4}


Files to delete:
C:\WXPH\system32\prn.iwv
C:\WXPH\npbkp1.del
C:\WXPH\npbkp1.dll
C:\WXPH\svchost.exe


Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 09:42

Luke57 ha scritto:Ciao, elimina quella versione di Avenger che hai e scarica questa:
http://www.suspectfile.com/upload/files ... venger.zip

scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0712FB8F-FE45-166D-F477-DDE972BE5CC5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{493C64A2-68D8-00DB-49B1-A424B3007DC4}


Files to delete:
C:\WXPH\system32\prn.iwv
C:\WXPH\npbkp1.del
C:\WXPH\npbkp1.dll
C:\WXPH\svchost.exe


Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

Mi da il solito errore, il log è:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: {0712FB8F-FE45-166D-F477-DDE972BE5CC5}


Quando inserisco lo script il semaforo verde me lo fa premere solo una volta e poi compare la schermata in cui chiede se si vuol procedere è normale visto che mi hai detto di premere due volte il semaforo verde?
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 28/08/06 10:09

Ciao, ho sbagliato io, sull'icona del semaforo verde devi cliccare una volta, poi rispondi due volte consecutive.
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.
Ripeti l'operazione e poi riposta due log di GMer , se il report di Avenger fosse sempre uguale.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 28/08/06 10:10

Luke57 ha scritto:Ciao, ho sbagliato io, sull'icona del semaforo verde devi cliccare una volta, poi rispondi due volte consecutive.
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.
Ripeti l'operazione e poi riposta due log di GMer , se il report di Avenger fosse sempre uguale.

Intendevo dire, rispondi Yes due volte consecutive ;)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 10:46

purtroppo avenger mi da errore, non esegue niente della striscia di comando che gli digito. :roll: Una volta cliccato il semaforo mi chiede conferma, premo yes ma poi mi da l'errore che ti ho riportato prima...
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 28/08/06 10:56

Ciao, inserisci questa:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WXPH\system32\prn.iwv
C:\WXPH\npbkp1.del
C:\WXPH\npbkp1.dll
C:\WXPH\svchost.exe
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 11:06

Luke57 ha scritto:Ciao, inserisci questa:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WXPH\system32\prn.iwv
C:\WXPH\npbkp1.del
C:\WXPH\npbkp1.dll
C:\WXPH\svchost.exe

Striscia inserita e il pc si è riavviato da solo. Però al riavvio è comparso questo:
Immagine

Che devo fare?
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Postdi Luke57 » 28/08/06 15:10

Ciao, ma non si è aperto un file di testo automatico, dopo quella schermata?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fagio » 28/08/06 16:14

Luke57 ha scritto:Ciao, ma non si è aperto un file di testo automatico, dopo quella schermata?
no no si è aperto niente, è rimasta bloccata così.
Fagio
Utente Junior
 
Post: 12
Iscritto il: 24/08/06 07:23

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Problema e1xplorer":

problema blocco note
Autore: carlin
Forum: Software Windows
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti