|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao.
Non hai disistallato Windows Live Messenger.....
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
pensavo di aver fatto tutto quello che mi hai detto,ho letto e riletto
tutto.scaricato il prog.microsoft ma lui non vedeva windows live messnger.
non l'ho trovato nella lista.
se vuoi cosa devo fare d'altro
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Vai in :
C:\Programmi\Messenger\msmsgs.exe
Elimina la cartella in rosso.
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
fatto ,poi ho svuotato il cestino.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Hai ancora Avenger vero?
Copia -incolla queste righe in neretto:
files to delete:
C:\WINDOWS\system32\dinput8t.dll
c:\windows\system32\ycqvimj.dll
Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xzkuhibg
Clicca su "Execute"
Se Avenger ti chiede il Riavvio, clicca SI, altrimenti riavvialo tu
Postami il log
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sat Dec 13 18:52:43 2008 18:52:23: Error: Invalid syntax in command: "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xzkuhibg" Skipping line. (Registry value deletion mode) ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.comPlatform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: could not open file "C:\WINDOWS\system32\dinput8t.dll" Deletion of file "C:\WINDOWS\system32\dinput8t.dll" failed! Status: 0xc0000022 (STATUS_ACCESS_DENIED) Error: could not open file "c:\windows\system32\ycqvimj.dll" Deletion of file "c:\windows\system32\ycqvimj.dll" failed! Status: 0xc0000022 (STATUS_ACCESS_DENIED) Completed script processing. ******************* Finished! Terminate.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Non li elimina.........nega l'accesso. A questo punto lecoq51, vorrei seguire il consiglio di amvinfe1 , per vedere se SystemScan può dirmi il perchè non si eliminano quei file. Segui le istruzioni: scarica sul desktophttp://www.suspectfile.com/systemscanaprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare. Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata. NB la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così ;) SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
nel rapporto ho trovato questi files.
sono questi che devo postarti?
so di essere noioso in certi momenti ma se non sono sicuro preferisco consultarti prima di fare una gaffe.
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
lecoq51 ha scritto:nel rapporto ho trovato questi files.
sono questi che devo postarti?
so di essere noioso in certi momenti ma se non sono sicuro preferisco consultarti prima di fare una gaffe. ===================== SUSPICIOUS FILES ===================== EXE and DLL files packed with runtime packers, found in: C:\; C:\WINDOWS\; C:\WINDOWS\system32\ C:\WINDOWS\NIRCMD.exe --> is compressed with UPX C:\WINDOWS\SWREG.exe --> is compressed with UPX C:\WINDOWS\SWSC.exe --> is compressed with UPX C:\WINDOWS\system32\dinput8t.dll --> is compressed with UPX ===================== UNINSTALL LIST =====================
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Mi servono tutti e 2 i log completi.
Segui le indicazioni del post.
Poi, sei sicuro di averla fatta questa scansione?
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
devo mandarti tutto il report?
sono 3MB
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Devi fare cosi per mandarmeli. Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare. Per amvinfe1: Se ritieni di intervenire (visto che SystemScan lo conosci bene) io non ho niente in contrario. Oppure se hai capito il perchè di queste eliminazioni negate, meglio ancora. Non sono il tipo che vuole saperne una pagina più del libro.
|
|
Rank: Newbie
Iscritto dal : 12/11/2008
Posts: 3
|
ciao,
riguardo i file
C:\WINDOWS\NIRCMD.exe --> is compressed with UPX
C:\WINDOWS\SWREG.exe --> is compressed with UPX
C:\WINDOWS\SWSC.exe --> is compressed with UPX
sono file legittimi, se non ricordo male di SmithFraudFix integrato in ComboFix.
Riguardo il file da allegare è quello con estensione .zip sul desktop presente nella cartella suspectfile. Solo se la scansione è stata interrotta prima che il tool avesse finito, si potrebbe avere solo il file di testo. Basta zipparlo e "uplodare" quello.
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
copy & paste links: direct link
o forum link
quale dei due copio?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
amvinfe1 ha scritto:ciao,
riguardo i file
C:\WINDOWS\NIRCMD.exe --> is compressed with UPX
C:\WINDOWS\SWREG.exe --> is compressed with UPX
C:\WINDOWS\SWSC.exe --> is compressed with UPX
sono file legittimi, se non ricordo male di SmithFraudFix integrato in ComboFix.
Riguardo il file da allegare è quello con estensione .zip sul desktop presente nella cartella suspectfile. Solo se la scansione è stata interrotta prima che il tool avesse finito, si potrebbe avere solo il file di testo. Basta zipparlo e "uplodare" quello. Si lo sapevo che quei file erano legittimi, (SWREG.exe )è di Combofix. Però abbinava anche quella Stramaledetta dll.
|
|
Rank: Newbie
Iscritto dal : 12/11/2008
Posts: 3
|
direct link
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
*********************************************************************************************************
Segui questo percorso e elimina il file in rosso.
C:\Documents and Settings\User\Impostazioni locali\Dati applicazioni\61B455B1-2A98-45C7-81F3-043BFAD57AFF.txt
C:\Documents and Settings\User\Impostazioni locali\Temporary Internet Files\Content.IE5\B76NGMON\sys7132[1].exe
Poi fai.
Start\Esegui\ copia-incolla questo comando: %temp% svuota la cartella TEMP.
Poi vediamo se amvinfe1 trova il resto.
|
|
Rank: Member
Iscritto dal : 7/30/2007
Posts: 23
|
auguro a tutti una buona notte,rimango in attesa della risposta .
vi ringrazio per l'aiuto e la pazienza
|
|
Rank: Newbie
Iscritto dal : 12/11/2008
Posts: 3
|
Disattiva il "Ripristino di configurazione di sistema" e successivamente riabilitalo. Al link i passaggi per effettuare le operazioni. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823151930924Non connesso e con l'antivirus disabilitato: Apri SystemScan>Clicca su "Removal Script". All'interno del box bianco copia ed incolla i valori riportati qui sotto Commenta:
Files to delete:
C:\WINDOWS\system32\dinput8t.dll
c:\windows\system32\ycqvimj.dll
C:\sqmnoopt15.sqm
C:\sqmdata15.sqm
C:\sqmnoopt14.sqm
C:\sqmdata14.sqm
C:\sqmdata13.sqm
C:\sqmnoopt13.sqm
C:\sqmnoopt12.sqm
C:\sqmdata12.sqm
C:\sqmnoopt11.sqm
C:\sqmdata11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmdata19.sqm
C:\sqmnoopt07.sqm
C:\sqmdata07.sqm
C:\windows\system32\drivers\utehinhp.sys
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xzkuhibg
HKEY_LOCAL_MACHINE\system\controlset002\services\utehinhp
HKEY_LOCAL_MACHINE\system\controlset003\services\utehinhp
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61B455B1-2A98-45C7-81F3-043BFAD57AFF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3984EB67-F783-46F3-885B-FB57400006F1}
ora clicca su "Proceed with removal" e poi su OK. Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente Portati in C:\ posta il contenuto del log generato da Avenger (avenger.txt) ed un nuovo link per scaricare una nuova scansione fatta con SystemScan edit: l'antivirus deve essere disabilitato (click destro sull'icona "K" che hai vicino l'orologio => Esci) ricordati prima di collegarti di riattivarlo.
|
|
|
Guest |