Quando il forum … serve per risolvere un problema …per adesso … le prime 12 pagine :O)
Il problema virus …. Risol … vibile con aiuto chiesto al forum fra
Nero …. ….. Che ha il problema
Blu ………….. che stà cercando di aiutarlo
pipiripì …… altri che si intrufolano
nero ..............dopo aver fatto un antivirus sul suo pc … si accorge che ha un problema di un virus, anzi no! … un rootokit che si chiama fccfc8d0.sys e si trova in WINDOWS\System32\drivers\fccfc8d0.sys
Nero …. aiuto aiuto ho un problema !
Blu … puoi dirmi quali programmi hai usato?
Nero … ho usato ad-aware e glary utilyties, agv antirootkit e spyboot s$d
Nero …. controlla se hai questo C:\WINDOWS\service32.exe NON TOCCARLO dimmi solo se e' nel pc
Blu … …. mi sembra non ci sia, perlomeno nella c:/windows e nemmeno nel system 32
Nero …. Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema … controlla ora se vedi C:\WINDOWS\service32.exe
… nella cartella windows devi vedere se c'e' service32.exe
Blu … non la vedo
Nero …. non vedi la cartella o il file?... hai messo la spunta su visualizza cartelle file nascosti ?
Blu … in risorse del computer, strumenti, opzioni cartelle, visualizzazioni, questa voce non la vedo
Nero … devi seguire il percorso - start\risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema e poi cercare nella cartella WINDOWS il file service32.exe … e' quello che bisogna eliminare … ma se lo vedi, non toccarlo
Blu … chiedo scusa per il ritardo
ho seguito perfettamente ciò che mi hai detto ma la spunta visualizza file nascosti non c'è
Nero …. devi mettere la spunta altri menti non riesci a vederli
pipiripi … ……… Ha ragione nero e blu: devi mettere la spunta (o, meglio, il "pallino") come lui t'ha suggerito. La casella c'è, te l'assicuro. Sta verso l'inizio dell'elenco (in alto, insomma). Più in basso (quadrata, questa volta) c'è pure la casella "Visualizza files protetti dal Sistema".
Blu … ciao pipiripì come va'? sto cercando di fargli trovare questi due file … sono molto pericolosi
Nero …. visualizza file nascosti non c'è
Blu … probabilmente il virus ha cambiato qualche chiave nel registro clicca start \esegui\ regedit e vai a KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
nel riquadro di destra c'è un chiave di nome CheckedValue di tipo REG_DWORD doppio click sopra e in dati valore metti 1 se non sei capace fermati facciamo in un altro modo
pipiripi … Scusa, Scilipoti: non so come tu faccia a non vederlo: ma certo che c'è! (dovrebbe esser la seconda o la terza riga partendo dall'alto [in questo momento sto usando Cucciolinux e pertanto non posso controllare]) ... A meno che tu non abbia un Sistema Operativo differente da quello che immagino (che Sistema Operativo hai? Linux, forse? Macintosh?... Però, se hai Windows, quel comando c'è!)
Nero …. fatto, comunque c'era già 1 grazie
pipiripì … se non li trova dovremo fare a mano....tra l'altro non lo si puo' lasciare col rookit nel pc
Blu … hai trovato il file service32.exe ??
pipiripì … Sì, certo: concordo... Adesso passo a Windows: magari -andando a vedere i comandi- riesco ad essere un filino più d'aiuto...
Nero ……………………. beato te PIPIRIPì ….' che puoi permetterti due sistemi operativi :)
Blu…. vedo solo cerca automaticamente cartelle e stampanti di rete - esegui le finestre delle cartelle in processo separato
scilipoti riesci ad aprire il registro? sei capace? devi controllare dei valori qui … KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Nero ….… nooooo non lo trovo
Nero … service.32 exe introvabile
Blu … adesso ti invio due file … clicca sul primo questo
http://wikisend.com/download/529522/1.bat... se ti appare una scritta tipo END OF FILE dimmelo … ok???
Blu … vogliamo togliere le infezioni NERO ? … lo facciamo a mano o con un programma? … dimmi come preferisci
Nero …. mi appare un download 1.bat
Nero … non ho preferenze, faccio ciò che voi ritenete più opportuno
Blu … clicca sul file .bat e dimmi se ti esce scritto qualcosa
Nero …. mi ha scaricato dei file in dos
Blu … c'e' scritto qualcosa?
Nero ….provo a inviarti questo log se ti può servire Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.02.36, on 06/10/2008
Platform: Windows XP SP3 (WinNT 5.01 ( 2 pagine :O)
Blu … niente, mi ha scaricato un file di nome batch ms-dos …. facciamo una cosa per volta … metti un attimo da parte quel file che ti ho inviato … controlla con virustotal questo …. C:\Documents and Settings\Albano.CASA-Z5QSXQXYF4\Dati … applicazioni\UpdateStar\UpdateStar.exe …. copia il risultato e postalo
Nero ….File UpdateStar.exe ricevuto il 2008.10.06 12:27:32 (CET)
Stato corrente: Carico ... in coda attesa scansione finito NON TROVATO INTERROTTO
Risultato: 0/36 (0%)
Carico informazioni server...
Il tuo file è in coda in posizione: 1.
Tempo stimato inizio tra 37 e 53 secondi.
Non chiudere la finestra fino al ter …….. ( 2 pagine :O)
Pipiripì … insegna come avere 2 sistemi operativi ( 1 pagine ma siccome conosco pipiripì 1 …. Avrà impiegato almeno un’ora a scrivere :O) e poi interviene nuovamente dicendo … Direi che il file NON è stato affatto analizzato da VirusTotal: c'è stato qualcosa che ha interrotto dall'inizio (e poi ad ogni successivo tentativo di ripresa) i tentativi d'inizio della scansione.
Condivido la scelta di provare con Gmer. Ho appena controllato (sono in Windows, adesso): l'opzione "Visualizza cartelle e files nascosti" è -per l'esattezza- la seconda riga della lista.
NERO A Risposta a piripipì … ho scaricato gmer....bene... appena faccio scan mi spegne il pc e lo riavva (messaggio- pc riavviato a seguito grave errore )
BLU A Risposta a pipiripì … probabilmente il rookit non lo fa' vedere ed e' per questo che e' meglio far girare gmer- avrei voluto toglierli a mano
Blu ….. che si riavvia dovrebbe essere normale … devi vedere se trova delle voci in rosso … se ti dice di riavviare, non farlo semmai ti segni il percorso e li togliamo a mano
Nero ….gmer - anche in modalità provvisoria fa il riavvio
pipiripì … Dato che non gli fa girare neanche Gmer (gli fa spegnere il computer, per impedirlo), direi che si può tentare di farlo fuori da Modalità Provvisoria (posto che, in Modalità Provvisoria, il fetecchione non sia così forte da impedire lo stesso le scansioni) oppure usando allo scopo un CD-Live (in questo caso, il rootkit s'attacca: non può spegnere il computer perché nemmeno lui -essendo Windows totalmente addormentato- può essere "attivo")...
Ma, innanzitutto, direi di provare ad agire da Modalità Provvisoria: che ne dici?
Blu a pipiripì … sono daccordo monse' ma io vorrei farli togliere a mano dal registro
Pipiripì a blu …. Prova a fare così: vai in Modalità Provvisoria e apri il Task Manager (non lanciare Gmer!)...
Controlla se fra i Processi c'è, attivo, un servizio riconducibile a quel file: se c'è, "terminalo" senza pietà. Dopo di che, avvia Gmer…. scarica Avenger da qui …
http://swandog46.geekstogo.com/avenger.zip ... lo installi e lo lanci … Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto: … Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs …… Files to delete:
C:\WINDOWS\syst32.dll ….. Spunta "Automatically disable any rootkits found" … clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente … posta il log di avenger che trovi in c:\
Pipiripì …. Se nero se la sente, mi par sia un'ottima idea...
Risposta di blu a pipiripì … proviamo prima con avenger …. se dovesse fallire, passiamo al piano B, il tuo … comunque deve trovare i due file piu' pericolosi …. C:\WINDOWS\service32.exe …. e questo … C:\WINDOWS\syst32.dll
Nero …. scusa, a qual file ti riferisci
Blu … vai con avenger e vediamo se lo toglie
pipiripì … Dai, nero : l'idea di Shapiro par buona; dovrebbe (almeno, spero) funzionare. Facci sapere. …… ……………………………………….
Nero …. fatto....?????....Beginning to process script file: … Rootkit scan active. … No rootkits found!
Error: file "C:\WINDOWS\syst32.dll" not found!
Deletion of file "C:\WINDOWS\syst32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Completed script processing. … *******************
Finished! Terminate.
Blu … se non ti riesce cosi' dovremo eliminare i file a mano
una delle chiavi e' questa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Blu … riesci a vedere i file nascosti ora?
Nero … in policies non c'è la voce explorer
pipiripì risponde ad una vecchia affermazione … Penso che i files esistano, ma che abbiano altri nomi. Ho postato un link, più sopra, ad una discussione in cui vendon fatti -per questo stesso rootkit- un bel po' di altri nomi. Fra l'altro, questo fetecchio pone, ad ogni avvio, in C:/WINDOWS, un file nnnnnnn.exe (spesso: 9129837.exe)...
Nero …. spesso: 9129837.exe)... non lo vedo o perlomeno non so come trovarlo
Blu … Dalla cartella di WINDOWS dovrebbero eserci questi
service32.exe
syst32.dll
syshost.dll
623958248.exe
anche questi vanno eliminati
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolvs32.dll
a questo punto converrebbe a mano
Nero …. provo a inviarvi il contenuto della cartella windows - C:\WINDOWS\$hf_mig$
C:\WINDOWS\$MSI31Uninstall_KB893803v2$
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
C:\WINDOWS\$NtUninstallbasecsp$
C:\WINDOWS\$NtUninstallKB835409$
C:\WINDOWS\$NtUninstallKB842773$
C:\WINDOWS\$NtUninstallKB873333$
C:\WINDOWS\$NtUninstallKB873339$
C:\WINDOWS\$NtUninstallKB885835$
C:\WINDOWS\$NtUninstallKB885836$ ………… ( 2 pagine :O)
Blu … vai su START - ESEGUI e digita regedit
Si apre l'editor, clicchi sui + accanto alle singole voci di questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
se c'e' cancella la chiave 1 = C:\WINDOWS\service32.exe (click col destro e scegli Elimina)
Segui poi questo percorso:HKEY_LOCAL_MACHINE\SOFTWARE\
doppio click su quest'ultima cartella, se trovi:
9F65E3H10M\
click con il dx e scegli Elimina.
Chiudi il registro
Riavvia il pc
scarica >>
http://research.pandasoftware.com/blogs/images/AntiRootkit.zipScansiona il pc e posta il risultato
Blu … bentornato. Eseguito il tutto ma la voce .........policies\Explorer\Run non c'è
Nero …. segui bene il percorso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
devi vedere molto bene, come fossi un chirurgo col bisturi
controlla di nuovo molto attentamente.....a volte sfugge anche un piccolo particolare
Nero …. in policies ci sono 3 cartelle solo : non enum- ratings- system non vedo altro
Blu … panda anti rootkit eseguito NON HA TROVATO NIENTE::::
Blu … Dimmi cortesemente se mi conviene formattare. Se si come fare per tenere windows aggiornato. L''originale registrato è vecchio
Nero …. scusa ma comincio ad avere qualche dubbio sul fatto che sia un rookit
prova a fare una scansione online con kaspersky
http://www.kaspersky.com/virusscanner1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
Per la scansione è richiesta l'installazione del java.
NO NON SI FORMATTA!!!
Popof interviene … scusatemi ... ma hai provato a fare una scansione in modalità provvisoria ? ... sempre premettendo tutte le cose da farsi come disattivare il ripristino etc etc etc etc ? .... poi scusa ma è stato scritto giusto il tragitto di questo virus ? ...ciaux e grazie
Blu … risponde a popof …. Ciao papof - Provata anche la scansione in modalità provvisoria, Quando premi run o start riavvia il PC ???????????????? questo per i vari anti rootecc...
Fatto anche Avast - result - no virus fount
Nero …. Sto facendo Kaspersky.......speriamo bene
Nero …. Risponde a popof …Il problema è che mi esce un avviso di Avast che dice... Trovato rootkit in C:\windows\ system32\drivers\ FccFc8d0.sys
Questa cartella non la trovooooooooo.... perchè.
come avrai letto la casella " visualizza files nascosti" è sparita.....
E come mai eseguendo i vati anti spyware ( adaware 2008) o ad esempio trova problemi con ccleaner il PC ri riavvia senza permettere ciò?
Nero …. se Kaspersky mi trova qualcosa (come sembra abbia trovato ) che faccio?
Blu … salva il log e postalo poi ci penso io
altra cosa
prova ad eseguire questa operazione
start -> esegui -> digita regedit e dai OK -> raggiungi la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden -> seleziona nel pannello di dx il valore "Type", clicca col dx su "Modifica" e in "Dati valore" inserisci group e dai OK, poi premi il tasto F5
Nero …. fatto!!!!!!!
Blu … hai modificato la chiave? se si ora prova a vedere se funziona con la visualizzazione dei file nascosti
Popof interviene e siccome lo conosco e usa un solo dito e quando và bene 2 …ci ha impiegato 2 ore per scrivere …. scusami tanto .... quà sono due le cose
.... o avast è diventato matto che ti dice che c'è una cartella fantasma .... oppure tu non la trovi
di tutto avast può essere colpevole ... ma dirti che una cartella è di un'altro pc .... mi sembra impossibile
allora fai start .... risorse del pc .... c ..... windows ... clikkkaci .... vai su system 32 e poi su drivers ....visualizza ( in alto ^ ) disponi dettagli e in un punto vuoto clicca F .... ti verrà segnalato tutti i file che cominciano con F ... guarda se questo maledetto FccFc8d0.sys esiste .... non lo toccare ! adesso vai su cartelle ( sulla barra ^ in alto ) e cliccaci ..... vai nella cartella drive e clicca per aprirla ... ci sono tre cartelle ... aprile ad una ad una e guarda se ci sono file con scritta in nero .... se si .... ripotala ( fammela vedè ... ) senza toccare nulla ..... poi aspetta un attimo che sono stanco .... :O) .... clicca sopra la cartella drivers con il dx vai sull'icona di avast e fai scan antivirus ... e vedi cosa ti dice .... se non ti dice nulla ...vai allora su …………………………..
Nero …. hai modificato la chiave?
riesci a visualizzare i file nascosti?
posta il log di kaspersky
Nero …. A popof …. il fatto è che su windows sistem 32 la cartella drivers non la trovo------
Nero… grazie, ma visualizza file nascosti non è uscito. Il log di kasperky subito, ( 98 %)
Blu … nemmeno con quella chiave?
Nero …. no.............
Popof ….. .... scusa ... fregatene .... fai scansione con antivirus solo per quella cartella system 32 con avast come ti ho consigliato .... poi al limite usi questo
http://www.ilsoftware.it/querydl.asp?ID=1005 .... ma fai prima quello che ti ho detto disattivi etc etc .... ciaux
Blu … ma hai apportato o no le modifiche giuste?
possibile che nemmeno cosi' funziona?
molto strano,comincio a pensare al peggio
posta il log al piu' presto
Nero …. chiedo scusa ma non connetto più. Forse è meglio che ci risentiamo domani.
Per errore ho cancellato il log. di kasp... lo rifarò domani
Grazie
Blu … ved nei documenti se ne hai una copia
Nero …. l'ho cancellato.....lo rifaccio domani. Chiedo scusa ma è così
prima vedo quel log e prima risolviamo
cerca di farlo entro stasera (se puoi)
ciao Blu …
Nero …. Buongiorno blu... eccomi di nuovo. alle 3 è terminato kasperky e purtroppo ,,,sorpresa,,,c'è qualcosa. Ti invio il log:
Tuesday, October 7, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program …………………………………. 1 pagina ancora :O)
Blu … Disattiva il ripristino:
1. Clic su Start
2. Clic con tasto destro su "Risorse del computer" e sceglere "Proprietà"
3. Seleziona "Ripristino configurazione di sistema", quindi metti il segno di spunta su "Disattiva Ripristino configurazione di sistema" (o "Disattiva Ripristino configurazione di sistema su tutte le unità")
4. Clic su "Applica"
ti apparira' il messaggio che ti dice ''SI E' SCELTO DI DISATTIVARE RIPRISTINO ecc...ecc.. DISATTIVARE RIPRISTINO?
6. Clic su "Si" per confermare.
7. Fare clic su OK.
scarica Avenger da qui
http://swandog46.geekstogo.com/avenger.ziplo installi e lo lanci
Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto:
files to delete:
C:\Programmi\Trend Micro\HijackThis\backups\backup-20080220-155450-903.dll
C:\Scaricati\Webroot.Spy.Sweeper.v5.0.7.1608.incl.serials.and.BigScott_27.updater.by.ChingLiu.rar
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger che trovi in c:\
Quando hai finito, riattiva il ripristino
Nero …. Fatto.... ma...Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
Beginning to process script file:
Rootkit scan active.
No rootkits found ………………………….
Nero …. una premessa.... le cartelle a cui si riferisce il log ( C:\scaricati.....) è stata da me cancellata da tanto tempo!!!!!!!!!!!!!!
Blu … hai notato qualche miglioramento?
riesci a vedere i file nascosti ?
Nero …. infatti non l'ha trovata
Blu … riesci a vedere i file nascosti?
Nero …. miglioramenti no...la casella visualizza file nascosti non è uscita....
Gli altri virus come li cancello????????????????
Nero …. Nooooooo
Blu … gli altri sono stati cancellati erano nei punti di ripristino
Nero …. grazie..... mi rirsce di nuovo l'allarme di avast..... che fare? Lo disintallo e ne metto un'alto?
fai una cosa
prima di disinstallarlo, portati su questa chiave
Start - esegui - regedit e posizionati sulla chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
Nel frame di destra assicurati che il Valore Reg_Dword "Hidden" sia
impostato a "1"Blu …
Nero …. nella cartella da te indicata c'è un reg-Dword su taskbar size move............. "hidden non c'è
Blu … BENE
adesso chiudi il registro e posizionati su quest'altra chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Nero …. fatto
Blu … vedi cosa e' scritto nella finestra alla tua destra
dovrebbe essere cosi'
Nome CheckedValue => Tipo REG_DWORD => Dati 0x1
DIMMI SOLO COSA VEDI SCRITTO
NON TOCCARE NIENTE
Nero… 0x00000001
Blu …. OK
ora vai su questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden " => deve essere 01
"ShowSuperHidden " => deve essere 01
Nero …. non c'è nessun idden..............e nemmeno Show superHidden - c'è solo predefinito reg-sz (in rosso)e taskbar size move regdword 0x00000001
Blu … ASPETTA controllo sul mio pc
Blu … su reg-sz e' scritto VALORE NON IMPOSTATO oppure no ?
Nero …. nessun valore
Nero …. non c'è scritto niente
Blu … ok
chiudi tutto e NON TOCCARE NIENTE
lascia tutto come hai trovato
a questo punto disinstalla avast e metti avira free (ottimo)
emmai dopo puoi sempre tornare ad avast
Blu … va bene sarà fatto.... grazie
Blu … quando avrai cambiato, fai una scansione e vedi cosa trova
dobbiamo continuare
Nero …. ecco il risultato di avira....The file 'C:\WINDOWS\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavuninstall.exe'
contained a virus or unwanted program 'TR/Agent.65536.W' [trojan]
Action(s) taken:
The file was deleted!
Blu … quindi avira ha rilevato il trojan
postami un log di hjt
Nero …. scusa puoi spiegarti meglio? il log è quello che vedi sopra - The file 'C:\WINDOWS\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavuninstall.exe'
contained a virus or unwanted program 'TR/Agent.65536.W' [trojan]
Action(s) taken:
Nero … forse è questo....Username: SYSTEM
Computer name: CASA-Z5QSXQXYF4
Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL ….. una pagina :O)
Nero …. ho sempre odiato i programmi che lanciano solo report in inglese
sembra che abbia trovato un virus ed e' stato meso in quarantena
onestamente non conosco avira
Nero …. consiglio????
Blu … cancella tutto quello che ti ha trovato
se vuoi un buon consiglio, ho un programmino che veramente ti trova di tutto
fammi sapere
Nero …. cancellato......qual è il programmino???????????
Blu … adesso controlla se riesci a vedere i file nascosti e dimmi se noti qualche miglioramento
Nero …. ho trovato per caso questo programma, che ne dici................. Ecco strumento gratuito chiamato Strumento di eliminare le restrizioni (rRT), che è in grado di ri-consente a tutti quello che il virus era precedentemente disattivato, e vi dà indietro il controllo sul proprio computer
Nero …. è una balla??????????????????????????????????????
Blu … non posso dirti di usarlo se non lo conosco
a tuo rischio e pericolo
riesci o no a vedere sti benedetti file nascosti???
Blu … dimmi il nome del programma e ti dico se ne vale la pena di rischiare
Nero …. no, la casella non è uscita. Ho fatto una ricerca per ripristino "visualixzza file nascosti" ma ci capisco poco, prova a vedere tu e se puoi fammi sapere.Ti ringrazio per la tua pazienza , ma cosa vuoi a 60 anni non si è più tanto lucidi, almeno io.Grazie
Blu … Apri il registro (start -> esegui -> digita regedit e clicca su ok).
Nel registro, clicca su "Risorse del computer", poi su "file", su "esporta" e salva la copia del registro in C:\
Nero …. si chiama remove restrictions tools /RRT v.2.0
Blu …. si ho visto- per il momento lascialo da parte e fai come ti ho detto
Nero … fatto............
Blu … scarica questo file .reg cliccaci su accetta le modifiche al registro
http://wikisend.com/download/520444/folderproperties.regNero …. fatto......
Nero …. devo forse riavviare????
Nero …. … mi è uscito che il file è stato inserito nel sistema
Blu … si scusa …….RIAVVIa
Blu … dopo che avrai riavviato, prova a vedere se riesci a visualizzare file nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema
Nero …. non si vede la caselllaaaaaaaaaaaaaaaaaa
Blu … vediamo che tipo di virus hai nel pc
scarica
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exeappena lanciato fara' uba scansione rapida
finita quella scegli quella completa
Nero …. trovato intanto - Processi in memoria: C:\WINDOWS\system32\services.exe:636 Trojan.Spambot.3434Eradicato.
lo cancello????
Blu … vuoi tenere un trojan nel pc??
Nero …. chiedo scusa come lo elimino sto trrrrrrrrrrrrrrrr
Blu … lo cancella il programma ……. accetta se dice CANCELLA
Blu … cureit te lo chiede …,, ogni volta che dice elimina\sposta\cancella tu scegli CANCELLA
Nero …. scusa......... le caselle cura rinomina sposta cancella mi rimangono srmpre chiare non si selezionano
Nero …. mi dice fatto virus trovati............... ma non si selezionano
Blu … devi selezionare l'infezione e poi cliccare su cancella(se non te lo chiede prima)
Nero …. non funziona
Nero …. provo a fare la completa....forse alla fine funziona
Blu … togli quello che rileva
fammi sapere se riesci a visualizzare i file nascosti
se il colpevole e' un virus (come credo) dovresti vederli, altrimenti dobbiamo ripristinare
Nero …. buongiorno. Partiamo con ordine.............. ho fatto drweb...1 trovato e uno cancellato. Ho scaricato da il software.it SUPERantispyware ( mi mandano le newsletter) l'ho eseguito.................... 21 adware-11 trojan- 1 rootkit..........
Cancellati!!!!!!!! ma la casella " visualizza file nescosti" non esce
Fatto un tentativo di ripristino a un mese fa.... non lo accetta.....Ora sto facendo di nuovo Gmer (me lo fa partire) e poi ti mando il log.....CHE DICI !!!!!!!!!!!
Nero … ecco il log di gmer.................GMER 1.0.14.14536 -
http://www.gmer.netRootkit scan 2008-10-08 11:00:07
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.14 ----
SSDT F7B85804 ZwCreateThread
SSDT F7B857F0 ZwOpenProcess
SSDT F7B857F5 ZwOpenThread …………………….. 2 pagine :O)
Blu … quindi SUPERantispyware ha trovato un rootkit
hai visto se sono uscite delle voci in rosso quando hai fatto la scansione con gmer?
Nero …. :O) … no...nessuna voce rossa....menomale
Blu … il log di gmer e' pulito
Nero …. questo mi fa piacere ...........Ora????????????
Blu … dimmi se rispetto a prima ora vedi dei miglioramenti
Nero …. in che senso....... riesco a lavorare bene.....peròmanca ancora quella casella dospunta in opzioni cartella. Per il resto mi sembra bene
Blu … probabilmente il virus ha cambiato qualche chiave nel registro
allora....adesso fai come ti dico e fai molta attenzione
clicca start esegui regedit ed espandi fino a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
nel riquadro di destra c'è un chiave di nome CheckedValue di tipo REG_DWORD
doppio click sopra e in dati valore metti 1
controlla anche
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
la chiave Hidden doppio click sopra e in dati valore metti 1
riavvia il pc e vedi se nel registro sono rimaste così le impostazioni se sono rimaste dovresti aver risolto altrimenti se sono tornati i valori che c'erano prima vuol dire che il virus è ancora attivo e bisogna eliminarlo
Nero …. secondo è fatto.
nel primo non trovo la voce folder (in advance )
Nero… stamattina ho rifatto avira......nessun virus
Blu … non capisco che vuoi dire con ''il secondo e' fatto … la voce folder deve esserci per forza
ho visto sul mio e c'e' … guarda bene, fai di nuovo il percorso attentamente
Nero …. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
la chiave Hidden doppio click sopra e in dati valore metti 1
FATTO.............
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL La voce folder non c'è e di conseguenza ne hidden e showall............Non so il perchè
Blu … attendi in linea :)
Blu … ti sto' preparando il file per modificare la chiave
manca folder
infatti vuol dire CARTELLA e probabilmente per quello non riesci ad accedere ai file nascosti
MANCA!!!!!
Nero …. Che tu sia un genio lo avevo capito e quindi attendo con fiducia............
Blu … allora.....
Apri il registro (start -> esegui -> digita regedit e clicca su ok).
Nel registro, clicca su "Risorse del computer", poi su "file", su "esporta" e salva la copia del registro in C:\
scarica questo file .reg
http://wikisend.com/download/522268/modifica.regdoppio click- accetta le modifiche - riavvia
Nero …. Fatto.... Nel registro di sistema le cartelle sono apparsee e ho eseguito quanto sopra.
Nessuna casella "visualizza file nascosti" in opzioni cartella.
i file esportati in c:| che faccio? li lascio li o devo far qualcosa.
Nero …. la modifica 1 in esadecimale o decimale?????????????
Blu … Comunque tutti i programmi che prima facevano riavviare il PC ora vanno bene, non lo fanno più
Nero …. allora.....
a chiave di registro ha funzionato
devi seguire il percorso e modificare questo >>>> =dword:00000001
il valore deve stare a 1
cosi' [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Nero …. ora è così CheckedValue"=dword:0x00000001(1)
Nero …. una curiosità........... il ripristino configurazione di sistema deve essere abilitato o disabilitato???????????????
Blu … lascialo cosi' ……………… ora riavvia e vedi se funziona
Nero …. putroppo quella benedetta casella ancora non c'è
Blu … quale casella.....??
Blu … segui di nuovo il percorso e vedi se manca qualcosa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Nero …. Strumenti - opzioni cartella - visualizza file nascosti................. l'incriminata
Blu … hai visto bene se nel percorso manca qualche voce?
Nero … da quanto mi risulta mi avevi chiesto a pag.6 se in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced...................
c'era hidden e showsuper hidden ............. ebbene mi pare che non ci sono. c'è solo taskbar sizemove reg-dword 0x00000001.
hidden e super hidden sono su HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder.
Blu … HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
quando arrivi qui ► SHOWALL devi cliccare e cercare la voce da modificare
a chiave corretta e' questa ► HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Nero …. cekedcalue reg-dword 0x00000001 (1)
Nero …. ripeto..............SU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL a desta ci sono due
cose...... 1)reg-sz valore non impostato -2)cekedvalue reg-dword 0x00000001 (1) -,,,,,,,,,,,,,, nient'altro
Blu … vanno bene- deve essere impostato cosi' reg-dword 0x00000001 (1)
Blu … ascolta
se vai su questa chiave ► HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
nel frame di destra dove e' scritto HIDDEN che valore hai?
dimmi anche se hai un valore reg_sz "Hidden" (non dovresti averlo) ma se lo trovi NON TOCCARE NIENTE
voglio solo che tu risponda, senza toccare
scrivilo e postalo
Nero …. Buongiorno.............HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced ..................... A DESTRA NON C'E HIDDEN
Blu … vai nel registro e copiami la chiave
fai cosi'
quando sei sulla chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
tasto destro su HKEY_CURRENT_USER
clicca su ESPORTA
dai un nome (esempio chiave 22)
salvala sul desktop e inviala
caricala qui ►
http://wikisend.com/Nero …. Ho commesso io un errore..................... io andavo su Hkey LocalMachine ( sbagliavo)
SU...HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced la chiave Hidden c'è ed è 1
Comunque ho inviato la ciave (chiave 21) dove da te indicato
Blu … attento a non sbagliare
basta un errore anche piccolissimo e provochi instabilita' al sistema
se non sei sicuro, fai sempre un back up
Nero …. grazie del consiglio ma non so come si fa back up
Nero …. Purtroppo ora devo andare in ospedale........ci sentiamo più tardi. Grazie
Comunque inviami le soluzioni
Blu … devi inviarmi il file .reg altrimenti come faccio a darti la soluzione?
er il back up fai cosi':
Apri il registro (start -> esegui -> digita regedit e clicca su ok).
Nel registro, clicca su "Risorse del computer", poi su "file", su "esporta" e salva la copia del registro in C:\
metti se possibile anche la data quando lo salvi
Nero …. Inviato ciò da te chiesto.......backup eseguito
Ho notato comunque una cosa.......aprendo c:\ sono apparse delle caetelle chiare di sistema. la casella di spunto su ozioni cartella "visualizza file nascosti"ancora non c'è
Blu … devi inviarmi il file .reg
http://wikisend.com/quello che hai fatto e' solo il back up del registro ….. serve a te
Blu … devi andare qui ► HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
tasto destro su HKEY_CURRENT_USER
clicca su ESPORTA
dai un nome (esempio chiave 22)
salvala sul desktop e inviala
Nero …. Fatto....................... ( c23)
Blu … devi inviarmi il file .reg
Popof scrive … scusatemi .... WINDOWS\System32\drivers\fccfc8d0.sys .... un root .... ? ... ma chi ve lo ha detto avast ? al net nessuno lo conosce oppure se mi date delle dritte di questo root ... vi ringrazio anticipatamente .... ciaux
Nero …. inviato ( spero giusto ) 22.reg
Blu … risponde a popof …. voglio solo controllare se la chiave che ha non e' corrotta dal rootkit
Nero …. SCILIPOTI!!!!!!!!
quando lo salvi in estensione reg lo devi mettere sul desktop e poi inviarmelo come si invia un normalissimo file
se ti mi posti il numero che ci faccio??
Nero …. Ho salvato sul desktop l'ho chiamato 22 e inviato a
http://wikisend.com/ ....E' GIUSTO??????????????????????
Blu … ascolta
seguimi
vai sulla chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
quando sei li' clicca col tasto destro su HKEY_CURRENT_USER
clicca su esporta
salvi il file chiamandolo come ti pare e me lo invii
capito???
Nero …. l'ho reinviato col nome 21 su
http://wikisend.com/Nero …. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Blu … per inviarlo devi scegliere upload
Nero ….ma è quello che ho fatto.........................
Blu … nooooo …. tu hai fatto download ….. devi fare upload quando lo invii
Blu … SFOGLIA ….. scegli il file ………………. UPLOAD
Blu … ♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪ ♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪♪
Nero …. rifatttttttttttooooooooooooo l'ho chiamato 23
Si intromettono i 3 rompi …. BLU ….risponde … una soluzione finale..... ce l'avete voi???????????????
Blu … vai sul registro
segui attentamente
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
quando sei su Folder (tasto destro > esporta > salva con nome)
lo salvi sul registro e me lo invii
Chi vivrà vedrà …… perché non è ancora finita .....
