|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ciao Raga. Da ieri sera il mio pc pare non vada piu bene. Inserendo un mp3 tramite pen drive si è riavviato da solo. Dal quel momento qualsiasi programma antivirus, antispyware o anche tentando di aprire Hijackthis per inviare il logo da controllare non si aprono pi. Neppure disattivando il ripristino di configurazione per entrare in modalità provvisoria mi lascia fare, si riavvia sempre in modalità normale o torna sull'avvio. In pratica nessun programma che riguarda la sicurezza si apre e a tutti mi dà questo errore :  Chi mi può aiutare? Spero di risolvere senza formattare . Ciao Salvo
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Devi aprire il registro. Start >> Esegui, scrivi (o copia e incolla regedit), Ok, apri il registro, espandi le seguenti chiavi (clic sul segno "+"): HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Seleziona quest'ultima chiave e leggi a detra le voci relative. Individua il valore Userinit , copia e incolla e pubblica la stringa che vedi alla sua destra (colonna Dati).. La prossima volta salva l'mmagine in jpg. Quella che hai pubblicato pesa 1,28 MB.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ecco la stringa:
C:\WINDOWS\system32\userinit.exe
Resto in attesa di soluzione.
Grazie Pidue
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
La stringa è qualla giusta, ma ci dovrebbe essere una virgola finale. HijackThis e gli altri programmi antisicurezza sono bloccati da qualche processo infetto. Apri il Task Manager (Ctrl + Alt + Canc) e, tra i processi, individua quelli il cui nome ricorda hardware o software (tipo : nortoncenter.exe, compaq-service.exe, seagate. exe, storage.exe ecc..). Sono indicati col tuo nome e non come system. Dimmi se c'è qualcuno di questi processi, al limite li terminiamo tutti. Guarda questa lista.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ciao Pidue, scusa il ritardo am il lavoro....si hai ragione cè la virgola.
ho aperto il Task Manager e ti riporto tutti gli exe con il mio nome vicino:
LVComser.exe
CLI.exe (ne sono presenti 3 in totale)
COCIManager.exe
SkypePm.exe
WLLoginProxy.exe
ehmsas.exe
Skype.exe
msnmgr.exe
ctfmon.exe
SMax4.exe
Quikcam.exe
hpztsbo4.exe
smax4pnp.exe
ehtray.exe
explorer.exe
iexplore.exe
ISUSPM.exe
+ naturalmente il Tsak manager.
Resto in attesa di una tua risposta. Grazie Salvo
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ciao, quei processi sono tutti legittimi. Facciamo un'altra prova. Scarica VirIt e fai due scansioni. Se non riesci in modalità provvisoria, falle normalmente. Se anche VirIt si blocca, vai su c:\vexplite\gotgsoft.bat ed esegui il file GOTGSOFT.BATSe non ti parte nemmeno VirIt, mi sa che dovrai formattare.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ciao Pidue. Niente da fare. Ho provato a scaricare virt ma alla fine del setup si blocca. Sono andato alla ricerca del file nella cartella per farlo partire ma niente. Qualsiasi programma si blocca. Che dici mi tocca formattare per forza?
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
salizzi69 ha scritto: Che dici mi tocca formattare per forza? Ciao, a questo punto penso proprio che sia la soluzione più sensata. Pensavo di poterti far avviare almeno VirIt, ma probabilmente l'infezione è troppo estesa. Mi dispiace. Ciao.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ecco il processo che mi blocca l'antivirus e i programmi per la sicurezza: flec006.exe. Pare sia un Bagle.
C'è un mondo per eliminarlo senza formattare? Ho provato a chiudere il processo ma niente, mi da accesso negato. Da qualke parte ho letto che si puo scovarlo ed eliminarlo. Pidue ne sai qualkosa?
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Sì, è il Bagle, i sintomi c'erano tutti. Fai così: BACKUP REGISTROaccedi al registro e fanne un backup: Start >> Regedit>> Ok. Clic col tasto destro sull'iconcina Risorse del computer >> Esporta. Salva il registro da aqualche parte Nota:Se non riesci ad aprire l'editor del registro è possibile che la fetecchia lo abbia modificato per impedirvi l'accesso. In questo caso, scarica sul desktop ed esegui questo strumento, (clic col tasto destro e Installa)quindi prosegui con la procedura di rimozione. RIMOZIONE CHIAVI INFETTEEspandi le chiave come sotto descritto: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Elimina il seguente valore nel riquadro di destra: mule_st_key" = "%UserProfile%\Application Data\m\flec006.exeElimina la chiave in rosso: HKEY_CURRENT_USER\Software\ MuleAppData1Se riesci a rimuovere le chiavi, poi elimina il file flec006.exe. Dovrebbe trovarsi in C:\Documents and Settings\utente\ flec006.exeSe ce la fai, poi i programmi antivirus dovrebbero partire.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Ciao Pidue. Ho eseguito quanto da te descritto ma non trovo la chiave
mule_st_key" = "%UserProfile%\Application Data\m\flec006.exe
Che debbo fare?
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Facciamo l'ultimo tentativo: Scarica elibagla : vai in fondo alla pagina e clicca su Descargar " elibagla11.59Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata. Lancia Elibagla in modalità provvisoria, se non funziona, vai in mod normale. Dopo la scansione riavvia il pc e pubblica il log che trovi in: C:\InfoSat.txt Scarica Combofix , salvalo sul desktop, disabilita l'antivirus e chiudi la connessione a internet. Lancialo in mod normale e segui scrupolosamente le istruzioni a video. Al termine, verrà creato un file log in C:\ComboFix.txt, che tu pubblicherai qui.
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Cias Pidue ecco il log di ebalgia. C'è solo un problema: ad un certo punto la scansione sparisce. Mi sà che non mi permette di farla completamente. Questo è quello che è riusito a fare:
Thu Jul 24 12:48:24 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SALVATORE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 24 12:49:09 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SALVATORE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 24 12:49:28 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SALVATORE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 24 12:49:31 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jul 24 13:02:04 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SALVATORE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Jul 24 13:02:07 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
Lista de Acciones (por Exploración):
Explorando Unidad C:\
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ciao, eligabla non ha isolto nulla. Usa ComboFix, come ti ho sopra suggerito. Poi carica Gmer , uno dei più efficaci e usati anti rootkit, decomprimilo e lancialo. Fatto ciò ti potrà sembrare che il tool sia bloccato, in realtà sta facendo una scansione preliminare del sistema. Nel 90% dei casi, se presente, il rootkit viene rintracciato in questa fase e se pericoloso lo vedi scritto in rosso seguito dalla scrita ***hidden*** sempre in rosso. Le scritte in nero non sono un chiaro sintomo di rootkit. Premi sul pulsante Scan che trovi in basso sulla destra e aspetta il responso. Lascia le impostazioni di default ( le spunte sulle voci a destra) Poi vedi se HijackThis si degna dio avviarsi.
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ciao, forse ci siamo. Prova se ti riesce di rimuovere i sguenti file in rosso in modalità provvisoria.
C:\WINDOWS\SYSTEM32\ WINTEMS.EXE C:\WINDOWS\SYSTEM32\DRIVERS\ SROSA.SYSC:\WINDOWS\SYSTEM32\DRIVERS\ HLDRRR.EXE C:\DOCUMENTS AND SETTINGS\SALVATORE\DATI APPLICAZIONI\M\ FLEC006.EXE
Se non riesci a entrare in provvisoria, Scarica Unlocker, leggi bene le istruzioni di Alfonso ed elimina i file secondo la procedura descritta. ATTENZIONE: devi rendere visibili le cartelle di sistema, nel modo seguente: da Risorse del computer: Strumenti >> Opzioni cartella >> visualizzazione; metti la spunta su: Visualizza file e cartelle nascoste; togli la spunta da: Nascondi file protetti del sistema(consigliato)Riferiscimi l'esito delle operazioni e prova se HijackThis si degna di avviarsi.
|
|
Rank: AiutAmico
Iscritto dal : 10/27/2006
Posts: 9,615
|
P2 sei proprio un neurochirurgo!!!!
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
giza ha scritto:P2 sei proprio un neurochirurgo!!!!  Pidue è un grande!
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
|
|
Rank: Member
Iscritto dal : 4/6/2006
Posts: 20
|
Pidue il paziente ha molta pazienza....  solo che devo trovare il modo di trovare quei file cha hai descritto in rosso. In modalità provvisoria non mi fà entrare. Sono andato in opzione cartella e ho tolto la spunta su nascondi file sistema, ma non trovo visualizza tutti i file nascosti. Comunque non trovo i file in rosso da tè indicati...
|
|
|
Guest |
