Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

pc si blocca lanciando hijack Opzioni
alfa19811983
Inviato: Monday, March 10, 2008 9:58:33 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
Penso di avere un bel guaio.
Come da titolo, lanciando hijack il pc si blocca. Non riesco a far partire il pc in modalità provvisoria, mi si riavvia chiedendomi sempre se modalità provvisoria, se con rete, con prompt dei comandi,normale, ultima configurazione. Parte soltanto se seleziono una delle ultime 2. Lanciando msconfig non è presente safeboot.
L'avast è scomparso dalla barra e se tento di farlo partire da programmi "non è un'applicazione di win32 valida"
O.S. xp home sp2
Se possibile non vorrei formattare, ma..... la cosa pare alquanto seria.
Sponsor
Inviato: Monday, March 10, 2008 9:58:33 PM

 
Rudewolf
Inviato: Monday, March 10, 2008 10:10:32 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Non credo che tu abbia molte alternative al format.Comunque aspetta l'opinione di qualcuno più esperto di me.
r16
Inviato: Monday, March 10, 2008 10:12:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prova con le scansioni on-line.
http://www.nanoscan.com/
http://it.trendmicro-europe.com/consumer/products/housecall_launch.php
http://www.bitdefender.co.uk/scan_uk/scan8/ie.html
http://www.kaspersky.com/virusscanner

Se riesci scarica Virit
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e lo fai girare in Modalità Provvisoria se ci riesci (è molto importante).

alfa19811983
Inviato: Monday, March 10, 2008 10:20:54 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
nanoscan rileva file pericoloso
windows\system32\wintems.exe
r16
Inviato: Monday, March 10, 2008 10:27:14 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai il Bagle, cancella tutto quello che ti rilevano pericoloso
Fai girare questo tooll, fallo girare varie volte. Vedi se ti sblocca la MOD PROV.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Clicca su DESCARGAR ELIBAGLA 11.12
alfa19811983
Inviato: Monday, March 10, 2008 10:37:09 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
trovato ma non rimosso (almeno così sembra) un file windows\system32\mdelk.exe
r16
Inviato: Monday, March 10, 2008 10:39:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
alfa19811983 ha scritto:
trovato ma non rimosso (almeno così sembra) un file windows\system32\mdelk.exe

Cancellalo a mano
Scarica il TOOLL è il piu importante
E non restare connesso accidenti ,SEI SENZA PROTEZIONI!!
alfa19811983
Inviato: Monday, March 10, 2008 10:45:15 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
dopo queste scansioni il pc posso farlo partire in modalità provvisoria. ho eliminato manualmente i 2 files incriminati entrambi sotto system32 (mdelk.exe e wintems.exe). Entrambi hanno come icona un mazzo di chiavi (l'ho precisato per dare maggiori info ad eventuali altri malcapitati)
r16
Inviato: Monday, March 10, 2008 10:47:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
IL TOOLL!!!!!!!! In MoD PROV !!!!
E anche il Virit Dopo
r16
Inviato: Monday, March 10, 2008 10:57:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
P2 lo segui tu che io devo scappare? (se vuoi e se puoi sia chiaro)
alfa19811983
Inviato: Monday, March 10, 2008 11:00:54 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
lanciato in modalità provvisoria. trovati:
6180750.exe
63625.exe
68156.exe
993093.exe
r16
Inviato: Monday, March 10, 2008 11:02:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Lancia il Virit in M.P
Poi Rifai le scansioni sempre in M.P
con ELIBAGLA., finchè non ti trova niente.
alfa19811983
Inviato: Monday, March 10, 2008 11:07:31 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
ok. grazie r16. va pure. intanto lancio le varie scansioni e posto eventuali anomalie. se nessun altro riesce ad aiutarmi do un'occhiata su internet. Grazie ancora
alfa19811983
Inviato: Monday, March 10, 2008 11:27:55 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
virit in modalità provvisoria ha al momento trovato e rimosso 4 files infetti. Che rogna sto virus!!!!
alfa19811983
Inviato: Tuesday, March 11, 2008 12:16:44 AM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
ho rilanciato elibagla sempre in m.p. e non ha trovato nulla, ma hijack anche in modalità provvisoria non parte. Stesso errore dell'avast "applicazione di win32 non valida"
alfa19811983
Inviato: Tuesday, March 11, 2008 12:54:15 AM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
Ho trovato sulla rete una nuova versione di hijack che parte anche in presenza di virus bagle. inserisco il log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.53.07, on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\ATKKBService.exe
H:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\VEXPLITE\viritsvc.exe
H:\WINDOWS\RTHDCPL.EXE
H:\Programmi\Multimedia Card Reader\shwicon2k.exe
H:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
H:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
H:\PROGRA~1\Keyboard\Ikeymain.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
H:\Programmi\Google\Google Updater\GoogleUpdater.exe
H:\Programmi\ATI Technologies\ATI.ACE\cli.exe
H:\Programmi\ATI Technologies\ATI.ACE\cli.exe
H:\WINDOWS\system32\wuauclt.exe
Q:\pulizia pc\MegaLab.it_HiJack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "H:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sunkist2k] H:\Programmi\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [iKeyWorks] H:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] H:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] H:\Programmi\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = H:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.co.uk/scan_uk/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://webchatportal.altervista.org/msnchat45.cab
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - H:\WINDOWS\ATKKBService.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - H:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

--
End of file - 6791 bytes
Sembra pulito.
alfa19811983
Inviato: Tuesday, March 11, 2008 9:13:20 AM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
Ultimi aggiornamenti:
i vari tools hanno rimosso i files infetti, ma secondo me è ancora rimasta qualche traccia. Per esempio l'antivirus non partiva e l'ho dovuto reinstallare (ora ok), hijack continua a darmi errore (almeno la versione scaricata da aiutamici). E' possibile che sia stata modificata qualche chiave di registro?
r16
Inviato: Tuesday, March 11, 2008 12:41:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disistalla Hijackthis,Pulisci tutto con CCleaner e prova a Reistallarlo.
Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
aprila ed, al suo interno, cerca la cartella Prefetch
aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

lancia Hijackthis

pulisci, prima di tutto, gli eventuali ADS quindi:

clicca sulla voce Open the Misc Tool section
clicca su Open ADS Spy
togli la spunta alla voce Quick scan (Windows base folder only)
lascia la spunta alla voce Ignore safe system info streams
togli la spunta alla voce Calculate MD5 Checksum of streams
clicca su Scan
se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Disattiva anche il Ripristino configurazione sistema.

alfa19811983
Inviato: Tuesday, March 11, 2008 1:42:16 PM

Rank: AiutAmico

Iscritto dal : 1/23/2006
Posts: 219
Stasera provo. Ti faccio sapere, grazie.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.