|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao
Prova questa operazione:
Apri il TaskManager (ctrl + alt + canc), termina il processo explorer.exe; Probabilmente spariranno le icone del desktop; è normale.
Sempre da Task Manager,da file->Nuova operazione, digita explorer.exe oppure solo explorer e dai l'OK.
Riavvia il pc.
*********************************************************************************************************
La chiave che Malwarebytes segnala, effettivamente non è regolare.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe (manca una virgola finale)
La voce segnata in rosso, dovrebbe essere scritta cosi:
Userinit"="C:\WINDOWS\system32\userinit.exe, (virgola finale compresa)
Sei in grado di seguire il percorso della chiave per verificare come è scritto quel userinit.exe ?
SystemScan me lo dà regolare, e cioè con la virgola finale.
*********************************************************************************************************
Altra cosa:
Seguendo il percorso della chiave segnalata da Malwarebytes,arrivato alla cartellina Winlogon, invece di cliccare sopra la cartellina, clicca sul + e vedi se c'è, sotto, per caso la cartellina Userinit
Se c'è, quello è il problema. (non dovrebbe esserci)
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Scusami ma il ppercorso del file userinit.exe è
"c:\windows\system32\userinit.exe" oppure è
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit".
Nel primo caso so come andarlo a repire nel secondo non ne ho idea.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao ciccillo .
Mi sono spiegato da cani, e scusami.
Il problema stà tutto nella chiave:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit".
Vediamo se mi spiego meglio:
1)Fai:
Start\Esegui|digita:regedit\ok.
Clicca sul + di HKEY_LOCAL_MACHINE
Clicca sul + di SOFTWARE
Clicca sul + di Microsoft
Clicca sul + di Windows NT
Clicca sul + di CurrentVersion
Scorri finchè trovi la cartellina Winlogon
Quando l'hai trovata, cliccaci sopra una volta.
Sulla destra, (quasi a fondo pagina) trovi: Userinit = C:\windows\system32\userinit.exe,
Vorrei sapere se è scritta esattamente come la scritta in verde,(compresa la virgola finale) oppure se ci sono diversità.
Oppure se trovi più Userinit.
*********************************************************************************************************
2)
Seguendo lo stesso percoso citato sopra, quando arrivi alla cartellina Winlogon, invece di cliccarci sopra come hai fatto prima, clicca sul +.
Controlla se nelle voci che appaiono sotto, trovi una voce ,o una cartellina chiamata Userinit.
Spero di essere stato più chiaro questa volta.
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Ti sei spiegato in maniera chiarissima, il nome del file è solo Userinit ma nella fila dati c'è scritto
C:\WINDOWS\system32\userinit.exe,.
Mentre non vi è nessuna sottocartella di winlogon con il nome USERINIT.
Intanto però avevo fatto come da te scritto nel post precedente cancellando explorer etc, ma nel riavviare il pc le icone non sono comparse.
Altra precisazione Nod32 continua a dirmi che ci sono file infetti, che fare?
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
ciao,
prova a controllare se hai questa chiave;
da task manager apri Nuova operazione e digita regedit; così ti apre il registro di sistema;
controlla se c'è la chiave riportata in grassetto
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao steven75 .
Magari ci fosse...nel log di SystemScan non c'è.
Anche perchè MBAM avrebbe segnalato quel percorso.
Comunque costa niente controllare.
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
ciao r16,
ah ok, io il log non l'ho controllato.... quindi ci vuole altro per il nostro amico ciccillo...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
steven75 ha scritto:ciao r16,
ah ok, io il log non l'ho controllato.... quindi ci vuole altro per il nostro amico ciccillo... Se ti riferisci a ripristinarlo, non penso che risolva, in quanto il suo "Userinit" è regolare. Ci deve essere qualche "bastardo"(Rootkit?) che : o lo usa, oppure si è sostituito. E che si rigenera al riavvio. Per ciccillo : Per favore puoi scrivere il nome e il percorso dei virus che Nod ti trova? P.S: Elimina questi 2 programmi che mi risultano ancora installati: C:\Programmi\ MyPlayCityC:\Programmi\ MyPlayCity.com
|
|
Rank: Member
Iscritto dal : 5/8/2006
Posts: 0
|
oltre ai consigli di r16 (no no, io al format ci ricorro proprio quando tutto il resto é stato provato) * Assicurati di avere accesso a file e cartelle nascosti(Pannello di controllo-> Opzioni Cartella-> Visualizzazione) 1) metti la spunta su: Visualizza file e cartelle nascoste2) Disattiva: nascondi file protetti di sistemaelimina anche questo C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\MyPlayCity C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp -->> da svuotare C:\Windows\Tasks --> da svuotare C:\Windows\Temp --> da svuotare * Fai anche uno scan online Kaspersky e posta il suo log
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Ragazzi la situazione si è aggravata, quando accendo il portatile, mi porta automaticamente nella schermata di xp administator ( quella in cui si può cambiare account etc.) se clicco sul mio account non mi fa accedere mentre l'unica opzione che mi è possibile è quella di spegnere ravviare o di standby. Se riavvio mi ritrovo di nuovo nella stessa posizione.
Sarà saltato qualche file di sistema?
Conoscete qualche modo per riprendere la situazione?
Aiutatemi!!!!!!!!!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
ciccillo ha scritto:Ragazzi la situazione si è aggravata, quando accendo il portatile, mi porta automaticamente nella schermata di xp administator ( quella in cui si può cambiare account etc.) se clicco sul mio account non mi fa accedere mentre l'unica opzione che mi è possibile è quella di spegnere ravviare o di standby. Se riavvio mi ritrovo di nuovo nella stessa posizione.
Sarà saltato qualche file di sistema?
Conoscete qualche modo per riprendere la situazione?
Aiutatemi!!!!!!!!! Quale "tuo" account ciccillo . Dal log di Systemscan, tu non hai nessun account abilitato, tranne quello di " Administrator". Users on this computer: Is Admin? | Username
Yes | Administrator | Guest | HelpAssistant (Disabled) | SUPPORT_388945a0 (Disabled) Clicca su quello.
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
si io clicco su ADMINISTRATOR ma non mi succede proprio nulla e proprio questo il problema.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Entra in Modalità provvisoria, e fai una scansione con il tuo antivirus .
E se ci riesci anche con Combofix.
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Come posso fare per entrare in modalità provvisoria nel classico modo (premendo f8) non me lo dà cioè inizia a caricare e nella schermata mi esce (tipo):
Intel Undi (etc)
For realtek (etc)
client mac addr:
etc etc.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Questa è una guida per entrare in modalità provvisoria. Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122Immediatamente al termine del caricamento del BIOS devi premere ripetutamente il tasto F8 Se non riesci a entrare in modalita provvisoria, siamo messi davvero male. Si dovrà procedere in un'altro modo.
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
allora siamo messi proprio male perchè non mi fa entrare!!!!
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Qualcuno mi aiuti....
Se leggete i post precedenti capite il problema che ho, sono costretto a formattare oppure posso ancora provare qualche altra strada?
Vi ripeto non mi fa entrare in modalità provvisoria.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
ciccillo ha scritto:
Vi ripeto non mi fa entrare in modalità provvisoria.
Non è quello il problema vero e proprio. Il problema è che non riesci a caricare il Sistema Operativo. (è cosi' o no...) Comunque, se scrivi, vuol dire che stai usando un'altro pc, e allora prova cosi. Esegui alla lettera queste indicazioni, senza saltare (o dimenticare) nessun passaggio: Scarica: AVIRA AntiVir Rescue System: http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.htmlClicca sul bottone Download presente nella pagina e salva il file sul desktopDoppio click sul file appena salvato sul Desktop. Inserisci un CD vuoto nel masterizzatore selezionato e clicca su Burn CD Al termine della creazione,ti comparirà una finestra in cui ti dice (in inglese) che il cd è stato masterizzato con successo. Estrai il CD. ********************************************************************************************************* Inserisci il CD che hai masterizzato nel computer infetto . Avvia il PC. Comparirà una schermata di avvio del CD. Dopo pochi minuti, comparirà la videata per l'impostazione dei parametri: Clicca sul bottone con la bandiera inglese per far comparire i messaggi in inglese . Dopodiché, clicca su Configuration e imposta le voci come indicato in seguito: Metti la spunta in : Scan all files. Metti la spunta in : Try to Repair infected filesMetti la spunta in : Renane files, 1f thej cannot be removed?Metti la spunta in : Scan for dialersMetti la spunta in : Scan for joke program ( Jokes)Metti la spunta in : Scan for gamesMetti la spunta in : Scan for spyware (SPR)Clicca su Virus Scanner e attendi che vengano caricati tutti i moduli. Clicca su Start Scanner e lascia che il programma scansioni tutto il pc alla ricerca dei virus. Al termine della scansione, clicca Miscellanous e poi su ShutdownEstrai il CD e riavvia normalmente il PC. Forse è meglio che ti stampi le indicazioni, per non sbagliare.
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Scusami se ti rispondo dopo qualche giorno ma non mi risulta facile trovare un computer con cui collegarmi.
Cmq in windows mi fa entrare solo che dopo mi porta autamaticamente nella finestra degli account lì l'unico inserito è administator, cliccandoci sopra inizia a caricare ma mi riporta sempre nella stessa pagina.
Cmq io inizio a fare quello che mi hai chiesto e appena riesco ti do notizie......
|
|
Rank: Member
Iscritto dal : 1/25/2009
Posts: 17
|
Ho eseguito alla lettera tutte le tue istruzioni ma il problema persiste. Hai qualche altra via da provare?
|
|
|
Guest |