Condividi:        

Log pulito?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi andorra24 » 04/10/06 21:40

holifay ha scritto:Avenger non accetta le chiavi HKCU, ma solo quelle HKLM e HKU.

Per eliminare i valori delle chiavi di avvio, la sintassi giusta dovrebbe essere:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | FASTTRACKPassepartout

Ah e' vero! Grazie holifay, modifico il post precedente. :)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Sponsor
 

Postdi Ale89 » 04/10/06 21:49

ecco:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qwwhhier

*******************

Script file located at: \??\C:\Documents and Settings\jcavnhwi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Temp\gljh1.exe not found!
Deletion of file C:\WINDOWS\Temp\gljh1.exe failed!

Could not process line:
C:\WINDOWS\Temp\gljh1.exe
Status: 0xc0000034



File C:\WINDOWS\service32.exe not found!
Deletion of file C:\WINDOWS\service32.exe failed!

Could not process line:
C:\WINDOWS\service32.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe failed!
Status: 0xc0000034




e adesso?
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Ale89 » 04/10/06 21:52

andorra,questo è il log che riguarda la cosa che avevi postato,e però ti eri sbagliato,è successo qualkosa?devo fare quello che hai modificato?
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 21:58

Ale89 ha scritto:andorra,questo è il log che riguarda la cosa che avevi postato,e però ti eri sbagliato,è successo qualkosa?devo fare quello che hai modificato?

Quello che hai postato e' corretto, lo script era giusto, le voci failed sono riferite al fatto che quei files non sono stati trovati (not found).

Lo script errato era quello riguardante FASTTRACKPassepartout e adesso devi fare cosi:

andorra24 ha scritto:Fai anche questo script adesso:

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | FASTTRACKPassepartout

Files to delete:
C:\WINDOWS\Passepartout.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:03

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vscsdbuh

*******************

Script file located at: \??\C:\WINDOWS\system32\xfmveucf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Passepartout.exe not found!
Deletion of file C:\WINDOWS\Passepartout.exe failed!

Could not process line:
C:\WINDOWS\Passepartout.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FASTTRACKPassepartout deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 22:13

Ale89 sei in grado adesso di utilizzare i tools di rimozione che ieri non riuscivi ad usare? Prova con quello della symantec:

http://securityresponse.symantec.com/av ... inkopt.exe
L´esito viene salvato nel file FixLinkopt.log
Incolla il report in un post.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:30

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege

Trojan.Linkoptimizer has not been found on your computer.


in pratica,non c'è il linkoptimzer nel mio pc?!
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 22:35

Fai questi ultimi controlli adesso:

andorra24 ha scritto:Ci sono gli ultimi controlli da fare.

1)Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, controlla se c'e' un'utenza sospetta con nome strano (oltre le consuete Administrator, Utente, Aspnet). Se c'e' questa utenza dal nome molto strano eliminala (click con il destro e scegli elimina).

2) Rendi visibili file e cartelle nascosti:
Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su ''visualizza cartelle e file nascosti'' e togli la spunta da "nascondi file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, e se trovi una cartella con lo stesso nome dell'utenza del punto 1 eliminala.

3) Controlla nel pannello di controllo/installazione applicazioni se hai le seguenti voci ''LinkOptimizer'' e/o ConnectionServices''. Se le trovi non toccare nulla ma scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer e/o ConnectionServices.
Apri il programma, click su myuninst.exe, attendi che vengano elencate le applicazioni presenti, evidenzia Linkoptimizer e/o Connection Services , click con il dx e scegli ''Delete selected entries''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:38

c'è un utente che si chiama NUx,gruppo administrators....è questo?
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 22:46

Si eliminalo e controlla se in C:\Documents and Settings trovi una cartella con lo stesso nome dell'utenza (non dimenticarti di visualizzare cartelle e file nascosti).
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:47

ci ho guardato prima di eliminarlo,ma nn c'è!lo elimino lo stesso?oppure potrebbe comparire dopo averlo eliminato!??
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 22:48

Eliminalo lo stesso.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:50

fatto...adesso?
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 22:51

Controlla nel pannello di controllo/installazione applicazioni se hai le seguenti voci ''LinkOptimizer'' e/o ConnectionServices''. Se le trovi non toccare nulla ma scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer e/o ConnectionServices.
Apri il programma, click su myuninst.exe, attendi che vengano elencate le applicazioni presenti, evidenzia Linkoptimizer e/o Connection Services , click con il dx e scegli ''Delete selected entries''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 22:55

fatto,c'era ConnectionServices....
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi holifay » 04/10/06 22:56

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe

anche questa andrebbe così:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | gljh1.exe


scusa l´intromissione :)
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi andorra24 » 04/10/06 23:03

holifay ha scritto:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe

anche questa andrebbe così:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | gljh1.exe


scusa l´intromissione :)

E' da stamattina che analizzo log in 5 forum, e' inevitabile che a un certo punto il cervello inizia a fumare. :lol: :D
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 23:03

ora ho finito o devo fare qualkos'altro??
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi holifay » 04/10/06 23:05

E' da stamattina che analizzo log in 5 forum, e' inevitabile che a un certo punto il cervello inizia a fumare. :lol: :D


come ti capisco ;)
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi andorra24 » 04/10/06 23:09

Ale89 l'ultima cosetta e hai concluso:

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla la scritta in neretto:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | gljh1.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Log pulito?":

avvio pulito
Autore: valyfilm
Forum: Sistemi Operativi Windows
Risposte: 9

Chi c’è in linea

Visitano il forum: Nessuno e 41 ospiti

cron