Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

processo SiemensLan.exe Opzioni
tatari
Inviato: Monday, April 09, 2007 1:19:52 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
C'e' qualcuno che conosce il processo SiemensLan.exe. Questo processo mi impedisce l'apertura di Hijackthis e di qualsiasi pagina Internet con tale note e/o collegamenti con tale nome. Mi sono accorto che è stata modificata la chiave di registro Userinit a cui è stato aggiunto il valore "c:\windows\system32\siemenslan.exe",Ho provato a rimuovere manualmente il file dopo aver interrotto il processo da task manager, ma ciò non è possibile. Qualcuno sa di cosa si tratta? Grazie a tutti
Sponsor
Inviato: Monday, April 09, 2007 1:19:52 PM

 
pidue
Inviato: Monday, April 09, 2007 2:37:57 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
La chiave UserInit=<b>c:\windows\system32\userinit.exe,</b> non dovrebbe essere seguita da altre voci, per cui, in mancanza di HijackThis, tu devi eliminarla manualmente dal registro.

Preventivamente fai un backup del registro per sicurezza.
Da Start >> Esegui, digita regedit, comprimi tutte le chiavi in alto a sinistra in moda da vedere solo le Risorse del computer. Clicca col destro e scegli "Esporta". Salva con estensione reg dove vuoi.

Poi espandi (clicca sul segno più) la chiave HKEY_LOCAL_MACHINE.
Poi, nell'ordine:
\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

- Nella finestra di destra trova e apri Userinit;
- Elimina la voce: <font color=red>,c:\windows\system32\siemenslan.exe,</font id=red> con la procedura descritta sotto;

<b>ATTENTO</b>. Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi. <b>Devi eliminare solo la voce infetta, in questo modo:</b>
- Fai doppio clic su Userinit:
- Nella finestra che si apre evidenzia e cancella solo la voce ,<b>c:\windows\system32\siemenslan.exe,</b>(compresa la virgola iniziale).

Eliminata la chiave, puoi rimuovere il file. SE HijackThis non parte c'è qualche altro processo che lo blocca. Dovresti terminare tutti i processi col nome utente uno alla volta e vedere quale processo blocca HJT.



Edited by - pidue on 04/09/2007 14:44:06



tatari
Inviato: Monday, April 09, 2007 5:42:07 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
grazie pidue; ho seguito il tuo suggerimento ed ho modificato manualmente la chiave Userinit. Sono andato a cancellare il file Siemenslan.exe nella cartella sistem32 ma non riesco ad eliminarlo mi dice: Impossibile eliminare accesso negato. Ho riavviato il computer, ho controllato il task manager ed il processo Siemenslan.exe non esiste più tanto è vero che ora Hijachthis funziona regolarmnete. Vorrei eliminare il file eseguibile, esiste un modo per farlo? Comunque grazie per il tuo consiglio



Edited by - pidue on 04/09/2007 14:44:06
[/quote]
pidue
Inviato: Monday, April 09, 2007 6:34:22 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Sono andato a cancellare il file Siemenslan.exe nella cartella sistem32 ma non riesco ad eliminarlo mi dice: Impossibile eliminare accesso negato.

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


L'hai fatto in modalità provvisoria?



tatari
Inviato: Monday, April 09, 2007 7:12:47 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
no, in modalità normale. Non riesco a riavviare il computer in modalità provvisoria, mi si spegne continuamente
pidue
Inviato: Monday, April 09, 2007 7:48:49 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Devi assolutamente operare in modalità provvisoria, perchè in mod normale il file carica qualche processo. Prova così:

Start >> esegui. Incolla la stringa <b>msconfig</b>. Nella finestra che si apre clicca su <b>BOOT.INI</b> e poi metti la spunta su <b>/SAFEBOOT</b>, applica e riavvia. Se nemmeno così riesci, significa che il tuo sistema è altamente compromesso e allora devi formattare.



tatari
Inviato: Tuesday, April 10, 2007 5:23:09 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
Provando da start>>esegui e mettendo la spunta su Safeboot se anche così non riesco ad avviare in modalità provvissoria, poi posso tornare a riavviare in modalità normale per fare una copia di backup del disco prima di formattare? scusa ma per me questo è un campo minato.
pidue
Inviato: Tuesday, April 10, 2007 7:31:00 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, l'oiperazione è reversibile in ogni momento. Metti la spunta dove ti ho detto, clicca su "Applica", riavvia. Augurandoti che tu possa entrare in modalità provvisoria, fai come ti ho detto, poi togli la spunta e riavvia.



tatari
Inviato: Thursday, April 12, 2007 1:05:26 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
Ciao Pidue Sono riuscito ad entrare in modalità provvisoria ma anche in tale modalità non si riesce a cancellare il file eseguibile Siemenslan.exe, continua a dirmi "accesso negato controllare che il file sia protetto da scrittura o che sia in uso" Comunque il processo in task manager non è più attivo e HijachThis funziona normalmente. Come posso andare avanti? Grazie milla
pidue
Inviato: Thursday, April 12, 2007 9:13:29 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, prova con <b>Unlocker</b>.
Installalo, poi vai su Start >> Programmi >> Unlocker >> Start Unlocker Assistant. All'apprenza non succede niente, in realtà vedrai un'icona a forma di stella vicino all'orologio. Per cancellare il file in questione, trovalo, cliccaci sopra col destro, vai sulla voce <b>Unlocker</b>. Ti si aprirà una piccola finestra. Scegli la voce <b>Elimina</b> e conferma con <b>OK</b>.

http://punto-informatico.it/download/scheda.asp?i=809



tatari
Inviato: Saturday, April 14, 2007 6:53:51 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
Ciao pidue ho provato con Unlocker come mi hai detto ma il file non viene eleminato anche se non ci sono handle che lo bloccano. Non so cosa altro fare, sono tentato a lasciarlo li sperando che non si riattivi il processo che mi creava problemi. Tu che dici? Grazie.
pidue
Inviato: Saturday, April 14, 2007 7:33:53 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
...Tu che dici? Grazie.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao, io dico che è dal 9 di Aprile che ci danniamo per questo virus. Motivi di buon senso mi suggeriscono una sola parola: formattare.
Lo so che è dura, ma se non sei masochista, concorderai con me che è la decisione più saggia. Io non sono un mago, il compuetr è una macchina complicata, alle volte bisoga avere l'umiltà di dire che ha vinto lui. Roselli suggerisce di formattare per molto meno. E forse ha ragione lui.

Edited by - pidue on 04/14/2007 19:36:12



tatari
Inviato: Saturday, April 14, 2007 8:28:55 PM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 7
Ti ringrazio di tutto, prima o poi dovrò convincermi a fomattare, per adesso lascio le cose così, poi fra qualche giorno vedrò di seguire il tuo comsiglio anche se è dura.grazie ancora
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.