|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
C'e' qualcuno che conosce il processo SiemensLan.exe. Questo processo mi impedisce l'apertura di Hijackthis e di qualsiasi pagina Internet con tale note e/o collegamenti con tale nome. Mi sono accorto che è stata modificata la chiave di registro Userinit a cui è stato aggiunto il valore "c:\windows\system32\siemenslan.exe",Ho provato a rimuovere manualmente il file dopo aver interrotto il processo da task manager, ma ciò non è possibile. Qualcuno sa di cosa si tratta? Grazie a tutti
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
La chiave UserInit=<b>c:\windows\system32\userinit.exe,</b> non dovrebbe essere seguita da altre voci, per cui, in mancanza di HijackThis, tu devi eliminarla manualmente dal registro. Preventivamente fai un backup del registro per sicurezza. Da Start >> Esegui, digita regedit, comprimi tutte le chiavi in alto a sinistra in moda da vedere solo le Risorse del computer. Clicca col destro e scegli "Esporta". Salva con estensione reg dove vuoi. Poi espandi (clicca sul segno più) la chiave HKEY_LOCAL_MACHINE. Poi, nell'ordine: \SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon - Nella finestra di destra trova e apri Userinit; - Elimina la voce: <font color=red>,c:\windows\system32\siemenslan.exe,</font id=red> con la procedura descritta sotto; <b>ATTENTO</b>. Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi. <b>Devi eliminare solo la voce infetta, in questo modo:</b> - Fai doppio clic su Userinit: - Nella finestra che si apre evidenzia e cancella solo la voce ,<b>c:\windows\system32\siemenslan.exe,</b>(compresa la virgola iniziale). Eliminata la chiave, puoi rimuovere il file. SE HijackThis non parte c'è qualche altro processo che lo blocca. Dovresti terminare tutti i processi col nome utente uno alla volta e vedere quale processo blocca HJT. Edited by - pidue on 04/09/2007 14:44:06
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
grazie pidue; ho seguito il tuo suggerimento ed ho modificato manualmente la chiave Userinit. Sono andato a cancellare il file Siemenslan.exe nella cartella sistem32 ma non riesco ad eliminarlo mi dice: Impossibile eliminare accesso negato. Ho riavviato il computer, ho controllato il task manager ed il processo Siemenslan.exe non esiste più tanto è vero che ora Hijachthis funziona regolarmnete. Vorrei eliminare il file eseguibile, esiste un modo per farlo? Comunque grazie per il tuo consiglio
Edited by - pidue on 04/09/2007 14:44:06
[/quote]
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote> Sono andato a cancellare il file Siemenslan.exe nella cartella sistem32 ma non riesco ad eliminarlo mi dice: Impossibile eliminare accesso negato. <hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote> L'hai fatto in modalità provvisoria?
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
no, in modalità normale. Non riesco a riavviare il computer in modalità provvisoria, mi si spegne continuamente
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Devi assolutamente operare in modalità provvisoria, perchè in mod normale il file carica qualche processo. Prova così: Start >> esegui. Incolla la stringa <b>msconfig</b>. Nella finestra che si apre clicca su <b>BOOT.INI</b> e poi metti la spunta su <b>/SAFEBOOT</b>, applica e riavvia. Se nemmeno così riesci, significa che il tuo sistema è altamente compromesso e allora devi formattare.
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
Provando da start>>esegui e mettendo la spunta su Safeboot se anche così non riesco ad avviare in modalità provvissoria, poi posso tornare a riavviare in modalità normale per fare una copia di backup del disco prima di formattare? scusa ma per me questo è un campo minato.
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ciao, l'oiperazione è reversibile in ogni momento. Metti la spunta dove ti ho detto, clicca su "Applica", riavvia. Augurandoti che tu possa entrare in modalità provvisoria, fai come ti ho detto, poi togli la spunta e riavvia.
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
Ciao Pidue Sono riuscito ad entrare in modalità provvisoria ma anche in tale modalità non si riesce a cancellare il file eseguibile Siemenslan.exe, continua a dirmi "accesso negato controllare che il file sia protetto da scrittura o che sia in uso" Comunque il processo in task manager non è più attivo e HijachThis funziona normalmente. Come posso andare avanti? Grazie milla
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ciao, prova con <b>Unlocker</b>. Installalo, poi vai su Start >> Programmi >> Unlocker >> Start Unlocker Assistant. All'apprenza non succede niente, in realtà vedrai un'icona a forma di stella vicino all'orologio. Per cancellare il file in questione, trovalo, cliccaci sopra col destro, vai sulla voce <b>Unlocker</b>. Ti si aprirà una piccola finestra. Scegli la voce <b>Elimina</b> e conferma con <b>OK</b>. http://punto-informatico.it/download/scheda.asp?i=809
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
Ciao pidue ho provato con Unlocker come mi hai detto ma il file non viene eleminato anche se non ci sono handle che lo bloccano. Non so cosa altro fare, sono tentato a lasciarlo li sperando che non si riattivi il processo che mi creava problemi. Tu che dici? Grazie.
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote> ...Tu che dici? Grazie. <hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote> Ciao, io dico che è dal 9 di Aprile che ci danniamo per questo virus. Motivi di buon senso mi suggeriscono una sola parola: formattare. Lo so che è dura, ma se non sei masochista, concorderai con me che è la decisione più saggia. Io non sono un mago, il compuetr è una macchina complicata, alle volte bisoga avere l'umiltà di dire che ha vinto lui. Roselli suggerisce di formattare per molto meno. E forse ha ragione lui. Edited by - pidue on 04/14/2007 19:36:12
|
|
Rank: Member
Iscritto dal : 2/25/2007
Posts: 7
|
Ti ringrazio di tutto, prima o poi dovrò convincermi a fomattare, per adesso lascio le cose così, poi fra qualche giorno vedrò di seguire il tuo comsiglio anche se è dura.grazie ancora
|
|
|
Guest |
