Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mi controllate il log ( x a.rosselli, alfonso, pidue e r16) Opzioni
r16
Inviato: Saturday, March 21, 2009 6:41:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao
Prova questa operazione:
Apri il TaskManager (ctrl + alt + canc), termina il processo explorer.exe; Probabilmente spariranno le icone del desktop; è normale.
Sempre da Task Manager,da file->Nuova operazione, digita explorer.exe oppure solo explorer e dai l'OK.
Riavvia il pc.
*********************************************************************************************************
La chiave che Malwarebytes segnala, effettivamente non è regolare.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe (manca una virgola finale)
La voce segnata in rosso, dovrebbe essere scritta cosi:
Userinit"="C:\WINDOWS\system32\userinit.exe, (virgola finale compresa)
Sei in grado di seguire il percorso della chiave per verificare come è scritto quel userinit.exe ?
SystemScan me lo dà regolare, e cioè con la virgola finale.
*********************************************************************************************************
Altra cosa:
Seguendo il percorso della chiave segnalata da Malwarebytes,arrivato alla cartellina Winlogon, invece di cliccare sopra la cartellina, clicca sul + e vedi se c'è, sotto, per caso la cartellina Userinit
Se c'è, quello è il problema. (non dovrebbe esserci)



ciccillo
Inviato: Sunday, March 22, 2009 1:07:18 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Scusami ma il ppercorso del file userinit.exe è
"c:\windows\system32\userinit.exe" oppure è
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit".
Nel primo caso so come andarlo a repire nel secondo non ne ho idea.
r16
Inviato: Sunday, March 22, 2009 2:16:54 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao ciccillo .
Mi sono spiegato da cani, e scusami.
Il problema stà tutto nella chiave:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit".
Vediamo se mi spiego meglio:
1)Fai:
Start\Esegui|digita:regedit\ok.
Clicca sul + di HKEY_LOCAL_MACHINE
Clicca sul + di SOFTWARE
Clicca sul + di Microsoft
Clicca sul + di Windows NT
Clicca sul + di CurrentVersion
Scorri finchè trovi la cartellina Winlogon
Quando l'hai trovata, cliccaci sopra una volta.
Sulla destra, (quasi a fondo pagina) trovi: Userinit = C:\windows\system32\userinit.exe,
Vorrei sapere se è scritta esattamente come la scritta in verde,(compresa la virgola finale) oppure se ci sono diversità.
Oppure se trovi più Userinit.
*********************************************************************************************************
2)
Seguendo lo stesso percoso citato sopra, quando arrivi alla cartellina Winlogon, invece di cliccarci sopra come hai fatto prima, clicca sul +.
Controlla se nelle voci che appaiono sotto, trovi una voce ,o una cartellina chiamata Userinit.
Spero di essere stato più chiaro questa volta.


ciccillo
Inviato: Sunday, March 22, 2009 2:50:33 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Ti sei spiegato in maniera chiarissima, il nome del file è solo Userinit ma nella fila dati c'è scritto
C:\WINDOWS\system32\userinit.exe,.
Mentre non vi è nessuna sottocartella di winlogon con il nome USERINIT.
Intanto però avevo fatto come da te scritto nel post precedente cancellando explorer etc, ma nel riavviare il pc le icone non sono comparse.
Altra precisazione Nod32 continua a dirmi che ci sono file infetti, che fare?
steven75
Inviato: Sunday, March 22, 2009 4:10:41 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao,

prova a controllare se hai questa chiave;

da task manager apri Nuova operazione e digita regedit; così ti apre il registro di sistema;

controlla se c'è la chiave riportata in grassetto
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
r16
Inviato: Sunday, March 22, 2009 4:12:58 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao steven75 .
Magari ci fosse...nel log di SystemScan non c'è.
Anche perchè MBAM avrebbe segnalato quel percorso.
Comunque costa niente controllare.
steven75
Inviato: Sunday, March 22, 2009 4:17:13 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao r16,

ah ok, io il log non l'ho controllato.... quindi ci vuole altro per il nostro amico ciccillo...
r16
Inviato: Sunday, March 22, 2009 4:44:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
steven75 ha scritto:
ciao r16,

ah ok, io il log non l'ho controllato.... quindi ci vuole altro per il nostro amico ciccillo...

Se ti riferisci a ripristinarlo, non penso che risolva, in quanto il suo "Userinit" è regolare.
Ci deve essere qualche "bastardo"(Rootkit?) che : o lo usa, oppure si è sostituito.
E che si rigenera al riavvio.

Per ciccillo :
Per favore puoi scrivere il nome e il percorso dei virus che Nod ti trova?
P.S:
Elimina questi 2 programmi che mi risultano ancora installati:
C:\Programmi\MyPlayCity
C:\Programmi\MyPlayCity.com
steven75
Inviato: Sunday, March 22, 2009 6:46:50 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
oltre ai consigli di r16 (no no, io al format ci ricorro proprio quando tutto il resto é stato provato)

* Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) metti la spunta su: Visualizza file e cartelle nascoste
2) Disattiva: nascondi file protetti di sistema

elimina anche questo
C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\MyPlayCity

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp -->> da svuotare
C:\Windows\Tasks --> da svuotare
C:\Windows\Temp --> da svuotare

* Fai anche uno scan online Kaspersky e posta il suo log
ciccillo
Inviato: Tuesday, March 24, 2009 9:06:22 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Ragazzi la situazione si è aggravata, quando accendo il portatile, mi porta automaticamente nella schermata di xp administator ( quella in cui si può cambiare account etc.) se clicco sul mio account non mi fa accedere mentre l'unica opzione che mi è possibile è quella di spegnere ravviare o di standby. Se riavvio mi ritrovo di nuovo nella stessa posizione.
Sarà saltato qualche file di sistema?
Conoscete qualche modo per riprendere la situazione?
Aiutatemi!!!!!!!!!
r16
Inviato: Tuesday, March 24, 2009 9:56:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
ciccillo ha scritto:
Ragazzi la situazione si è aggravata, quando accendo il portatile, mi porta automaticamente nella schermata di xp administator ( quella in cui si può cambiare account etc.) se clicco sul mio account non mi fa accedere mentre l'unica opzione che mi è possibile è quella di spegnere ravviare o di standby. Se riavvio mi ritrovo di nuovo nella stessa posizione.
Sarà saltato qualche file di sistema?
Conoscete qualche modo per riprendere la situazione?
Aiutatemi!!!!!!!!!


Quale "tuo" account ciccillo .
Dal log di Systemscan, tu non hai nessun account abilitato, tranne quello di " Administrator".


Users on this computer:
Is Admin? | Username

Yes | Administrator
| Guest
| HelpAssistant (Disabled)
| SUPPORT_388945a0 (Disabled)

Clicca su quello.
ciccillo
Inviato: Tuesday, March 24, 2009 10:13:43 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
si io clicco su ADMINISTRATOR ma non mi succede proprio nulla e proprio questo il problema.
r16
Inviato: Tuesday, March 24, 2009 10:23:27 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Entra in Modalità provvisoria, e fai una scansione con il tuo antivirus .
E se ci riesci anche con Combofix.
ciccillo
Inviato: Tuesday, March 24, 2009 11:22:25 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Come posso fare per entrare in modalità provvisoria nel classico modo (premendo f8) non me lo dà cioè inizia a caricare e nella schermata mi esce (tipo):

Intel Undi (etc)
For realtek (etc)
client mac addr:
etc etc.
r16
Inviato: Tuesday, March 24, 2009 11:31:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Questa è una guida per entrare in modalità provvisoria.
Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122
Immediatamente al termine del caricamento del BIOS devi premere ripetutamente il tasto F8

Se non riesci a entrare in modalita provvisoria, siamo messi davvero male.
Si dovrà procedere in un'altro modo.
ciccillo
Inviato: Tuesday, March 24, 2009 11:55:52 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
allora siamo messi proprio male perchè non mi fa entrare!!!!
ciccillo
Inviato: Thursday, March 26, 2009 2:50:34 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Qualcuno mi aiuti....
Se leggete i post precedenti capite il problema che ho, sono costretto a formattare oppure posso ancora provare qualche altra strada?
Vi ripeto non mi fa entrare in modalità provvisoria.
r16
Inviato: Thursday, March 26, 2009 5:24:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
ciccillo ha scritto:

Vi ripeto non mi fa entrare in modalità provvisoria.

Non è quello il problema vero e proprio.
Il problema è che non riesci a caricare il Sistema Operativo. (è cosi' o no...)
Comunque, se scrivi, vuol dire che stai usando un'altro pc, e allora prova cosi.
Esegui alla lettera queste indicazioni, senza saltare (o dimenticare) nessun passaggio:

Scarica:
AVIRA AntiVir Rescue System:
http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html
Clicca sul bottone Download presente nella pagina e salva il file sul desktop
Doppio click sul file appena salvato sul Desktop.
Inserisci un CD vuoto nel masterizzatore selezionato e clicca su Burn CD
Al termine della creazione,ti comparirà una finestra in cui ti dice (in inglese) che il cd è stato masterizzato con successo.
Estrai il CD.
*********************************************************************************************************
Inserisci il CD che hai masterizzato nel computer infetto .
Avvia il PC.
Comparirà una schermata di avvio del CD.
Dopo pochi minuti, comparirà la videata per l'impostazione dei parametri:
Clicca sul bottone con la bandiera inglese per far comparire i messaggi in inglese .
Dopodiché, clicca su Configuration e imposta le voci come indicato in seguito:

Metti la spunta in : Scan all files.
Metti la spunta in : Try to Repair infected files
Metti la spunta in : Renane files, 1f thej cannot be removed?
Metti la spunta in : Scan for dialers
Metti la spunta in : Scan for joke program ( Jokes)
Metti la spunta in : Scan for games
Metti la spunta in : Scan for spyware (SPR)

Clicca su Virus Scanner e attendi che vengano caricati tutti i moduli.

Clicca su Start Scanner e lascia che il programma scansioni tutto il pc alla ricerca dei virus.

Al termine della scansione, clicca Miscellanous e poi su Shutdown

Estrai il CD e riavvia normalmente il PC.

Forse è meglio che ti stampi le indicazioni, per non sbagliare.
ciccillo
Inviato: Monday, March 30, 2009 9:58:21 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Scusami se ti rispondo dopo qualche giorno ma non mi risulta facile trovare un computer con cui collegarmi.
Cmq in windows mi fa entrare solo che dopo mi porta autamaticamente nella finestra degli account lì l'unico inserito è administator, cliccandoci sopra inizia a caricare ma mi riporta sempre nella stessa pagina.
Cmq io inizio a fare quello che mi hai chiesto e appena riesco ti do notizie......
ciccillo
Inviato: Tuesday, March 31, 2009 6:38:19 PM
Rank: Member

Iscritto dal : 1/25/2009
Posts: 17
Ho eseguito alla lettera tutte le tue istruzioni ma il problema persiste. Hai qualche altra via da provare?
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.