Salve a tutto il forum,
credo che la mia situazione sia davvero disperata.
Come annunciato brevemente nel titolo del post sul mio pc non posso avviare nessun eseguibile.

breve cronologia del problema.
Il pc in questione (SO Win XP) era (e credo lo sia tutt'ora) infetto da varie schifezze. Dopo aver installato l'antivirus Karspersky ed eseguito una scansione completa del sistema mi sono ritrovato ad aver ancora a che fare con un dialer piuttosto insistente.

Cercando allora su internet qualcosa che potesse aiutarmi ad eliminarlo mi sono imbattuto sulla guida pubblicata sul questo sito.

[piccola parentesi
Oltre al dialer (su winlogon.exe) oggi ho avuto un altro problema: non riuscivo ad accedere (con IE) alla pagina principale del forum. Durante il caricamento della pagina il browser veniva chiuso senza dare nessuna segnalazione.
Ho pensato allora di risolvere il problema installando firefox, ma non è cambiato nulla.
]

Seguendo quanto indicato nella guida ho installato bit defender e successivamente ho provato ad aggiornarlo.
primi problemi:
un eseguibile (perdonatemi ma non ricordo quale) ha cominciato a dare delle segnalazioni del tipo " ...la memoria non poteve essere read/written..."

non sono sicuro che l'aggiornamento di BitDefender sia andato a buon fine ma comunque, stando alle info fornite dalla GUI del programma si direbbe di si.

Allora lancio la scansione del sistema ma non viene trovato assolutamente nulla. A questo punto torna insistete il dubbio che il programma non fosse riuscito ad aggiornarsi e decido di eseguire la scansione online...

...ed ecco che mi accorgo del fatto che firefox non parte (firefox.exe genera un errore del tipo " ...la memoria non poteve essere read/written..."), stessa cosa per IE e per qualunque altro programma presente sul sistema. In pratica non posso disinstallare nulla, non posso avviare il task manager e, tanto per gradire, non riesco più ad aver accesso al sistema.

cha faccio butto via tutto? :cry:

ho l'impressione che siano successi casini con il registro di sistema :mbe:

esiste un modo per recuperare la situazione senza dover formattare il sistema?

qualcuno saprebbe indicarmi una strada da seguire?

:help: :help: :help:

spero che riuscite ad aiutarmi

grazie a tutti

salvador

puoi navigare sulle cartelle??

no, purtroppo non riesco neanche a far ripartire il sistema.
mi da questo rincuorante errore:

STOP: c000021a {Errore Irreversibile di Sistema}
Processo di sistema Windows logon Process terminato in modo inatteso constato di 0xc0000005 (0x00000000 0x00000000)
Il sistema è stato chiuso.

:mc: :cry: :muro: :help: :mbe:

salvador

no, purtroppo non riesco neanche a far ripartire il sistema.
mi da questo rincuorante errore:

STOP: c000021a {Errore Irreversibile di Sistema}
Processo di sistema Windows logon Process terminato in modo inatteso constato di 0xc0000005 (0x00000000 0x00000000)
Il sistema è stato chiuso.

:mc: :cry: :muro: :help: :mbe:

salvador

http://support.microsoft.com/kb/811193/it

in provvisoria riesci ad entrare?

si :D

Mazda RX8, grazie per la tempestività.

[edit
ed ora coma procedo?]

si :D

Mazda RX8, grazie per la tempestività.

[edit
ed ora coma procedo?]

vai in provvisorie e vai su FileComuni-->System e vedi se ci sono tanti file di diverso nome segnati in verde

es: PYE.exe

Ok,
ho trovato i seguenti file:
cKr.exe
cKUPi.exe
cso.exe
FIk.exe
ggn.exe
LXu.exe
MPb.exe
WmD.exe

Cosa sono questi file? :mbe:

Ok,
ho trovato i seguenti file:
cKr.exe
cKUPi.exe
cso.exe
FIk.exe
ggn.exe
LXu.exe
MPb.exe
WmD.exe

Cosa sono questi file? :mbe:

Gromozon...;) cancellali, (uno nn si potrà cancellare)

ben tornato Mazda RX8,

li ho eliminati tutti (proprio tutti)

ps: ho letto proprio adesso un bell'articolo su gromozon su hwupgrade.
vado ad imporre a tutti l'uso di firefox :doh:

Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano...

Nell'attesa che arrivino i rinforzi(quindi al momento salvador non fare nulla di ciò che dico) io intanto propongo questa procedura...
1)scarica questo tool http://info.prevx.com/gromozon.asp lancialo,disattiva av,antispy e firewall ti chiederà che la scan partirà al riavvio successivi,clicchi yes,il pc si riavvierà e in auto partirà la scan,terminata la quale vai in risorse del computer>c: e copia e incolla qui sul forum il log che ti lascia il tool prevx removal gromozon...
2)scarica quest'altro http://www.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99
lancialo e clicca su scan alla fine anche per questo copi ed incolli il log relativo
3)scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
una volta estratti i files Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso
C:\Programmi\File comuni\System
Adesso seleziona il file cKr.exe
Una finestra si aprirà "File cKr.exe selected for cleaning."
Do you want to continue?"
Clicca su Yes
Una finestra ti avviserà dell'operazione conclusa,ripeti questa operazione per tutti i files verdi che trovi in queste 2 directory
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared

io intanto farei questi 3 passaggi per poi passare dopo a controllare e disabilitare eventuali servizi,correggere userinit e dare una passata con virit...
che ne dite?

ho trovato questo:

Nome: LogWgq
Tipo di avvio: Automatico
Connessione: .\QGGjeHx

ho trovato questo:

Nome: LogWgq
Tipo di avvio: Automatico
Connessione: .\QGGjeHx

bingo!!!
se ci clicchi due volte su vedi se in connessioni è presente un account protetto da password...

cerca in
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

... intanto cliccando due volte sopra il servizio ho trovato che:

l'eseguibile si trova in C:\Programmi\File comuni\System\KflB.exe

ed esiste il seguente accout protetto da password: .\QGGjeHx

ora faccio l'altra cosa k mi hai detto... :D

... intanto cliccando due volte sopra il servizio ho trovato che:

l'eseguibile si trova in C:\Programmi\File comuni\System\KflB.exe

ed esiste il seguente accout protetto da password: .\QGGjeHx

ora faccio l'altra cosa k mi hai detto... :D

risolveremo...;)

... intanto cliccando due volte sopra il servizio ho trovato che:

l'eseguibile si trova in C:\Programmi\File comuni\System\KflB.exe

ed esiste il seguente accout protetto da password: .\QGGjeHx

ora faccio l'altra cosa k mi hai detto... :D

doppio bingo!!!
oggi sbanco ragazzi:D

ciao socio!!!ben arrivato,sto cercando di avere un quadro generale per sguinzagliare l'armamentario(post 11,virit escluso per ora,che ne dici?)

scusami ma non ho capito dove devo cercare "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"

:stordita:

doppio bingo!!!
oggi sbanco ragazzi:D

ciao socio!!!ben arrivato,sto cercando di avere un quadro generale per sguinzagliare l'armamentario(post 11,virit escluso per ora,che ne dici?)

dico di mettere il tool della prevx e dopo un log di HiJackThis :D

dico di mettere il tool della prevx e dopo un log di HiJackThis :D

mi sa che il secondo non glielo fa partire se non lancia il tool della nod per fixare i files verdi,soprattutto quello responsabile del servizio...

mi sa che il secondo non glielo fa partire se non lancia il tool della nod per fixare i files verdi,soprattutto quello responsabile del servizio...

vediamo se prevx risolve...;)

vediamo se prevx risolve...;)

aspettiamo che ci dica qualcosa su userinit e poi lanciamo prevx:oink:

aspettiamo che ci dica qualcosa su userinit e poi lanciamo prevx:oink:

ok...:)

scusatemi ma io nn ho ben capito cosa devo fare (vedi post 18) :confused:

ma te guarda sto beyond.....:D :D :D

scusami ma non ho capito dove devo cercare "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"

:stordita:

start>esegui>regedit>ok
clicca su key local machine>Software\Microsoft\Windows NT\CurrentVersion\Winlogon
e poi dimmi quello che ti ho detto prima riguardo userinit...

cerca in
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

*

ma te guarda sto beyond.....:D :D :D

e stavolta è tutta farina del mio sacco:sofico: ...quasi quasi mi candido per l'apertura del thread anti-gromozon...:stordita:

start>esegui>regedit>ok
clicca su key local machine>Software\Microsoft\Windows NT\CurrentVersion\Winlogon
e poi dimmi quello che ti ho detto prima riguardo userinit...

doppio clic su winlogon e guardi la schermata di dx crca "userinit" doppio clic su esso e leggi i dati valore senza modificare niente...

quasi quasi mi candido per l'apertura del thread anti-gromozon...:stordita:

ottima idea...:p

doppio clic su winlogon e guardi la schermata di dx crca "userinit" doppio clic su esso e leggi i dati valore senza modificare niente...

ma che mi quoti a me???:ahahah:
chiudi un pò di tab dai...:D

e stavolta è tutta farina del mio sacco:sofico: ...quasi quasi mi candido per l'apertura del thread anti-gromozon...:stordita:

piccoli soci crescono:D :D :D

piccoli soci crescono:D :D :D

:rotfl:

visto il nick del malcapitato(salvador )propongo come sottofondo questa song per allietare l'attesa http://www.youtube.com/watch?v=FByYltVvzZI .:D :D :D

ho la netta impressione che è partito un altro thread mitico...!!!!:mc: :oink: :mc:

ecco qua:

dati valore di userinit:

c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe :what:

ecco qua:

dati valore di userinit:

c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe :what:

triplo bingo!!!
a questo punto soci penso che si possa partire,la diagnosi è completa!!!

ho la netta impressione che è partito un altro thread mitico...!!!!:mc: :oink: :mc:

ank'io...:D

ecco qua:

dati valore di userinit:

c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe :what:

se segui qsto percorso troverai un virus, cancellalo cn il tool della NOD

il tool è questo esatto?...

...ed il percorso, se non ho interpretato male, dovrebbe essere questo c:\windows\system32\macromedia-lan.exe.

giusto?:stordita:

il tool è questo esatto?...

...ed il percorso, se non ho interpretato male, dovrebbe essere questo c:\windows\system32\macromedia-lan.exe.

giusto?:stordita:

fai così scarica il tool numero 3 al mio post(11) e segui la procedura e in più gli aggiungi il file trovato in userinit...

porcaccia la miseriaccia:muro:
devo andare:muro: :muro: :muro:
con una volta che stavo facendo bella figura:cool:
ragazzi ve lo consegno;)
al mio ritorno deve essere tutto pulito,ok???:D
peccato perchè avevo postato una bella procedura e la dovevo completare con altri 3 passaggi...il destino mi è avverso oggi...:(
saluti;)

:doh: dimenticavo di dire una cosa:"Ciao riverside,visto come sono diventato bravo grazie ad arduer apgreid!!!":cool:

mi dispiace per BEY0ND :D

scusa te ma non ho le idee chiare e vorrei evitare di far casini. Mi sembra di averne già abbastanza :stordita:

1) io ho gia cancella to manualmente tutti i file verdi presenti in c:\programmi\file comuni\system come mi è stato indicato da Mazda RX8

quindi adesso se il vado in c:\programmi\file comuni\system non vedo più file *.exe verdi ma solo 3 cartelle e 3 dll.

il tool della nod però trova in quel percorso numerosi file .exe dai nomi molto strani:
AxC
bejJv
cNCn
CvaMDC
dZU
exp
Gsw
gxEHcZ
hLBcu
iLQBCk
JEg
jUx
jyl
LMsO
nhW
OiU
pDC
PRm
Qsx
RKjV
RwKx
sAwOK
shRr
TcEq
ujG
VQH
WST
ysr

devo cancellarli tutti?

2)BEY0ND
fai così scarica il tool numero 3 al mio post(11) e segui la procedura e in più gli aggiungi il file trovato in userinit...

qual'è il file in questione? macromedia-lan?

porcaccia la miseriaccia:muro:
devo andare:muro: :muro: :muro:
con una volta che stavo facendo bella figura:cool:
ragazzi ve lo consegno;)
al mio ritorno deve essere tutto pulito,ok???:D
peccato perchè avevo postato una bella procedura e la dovevo completare con altri 3 passaggi...il destino mi è avverso oggi...:(
saluti;)

:doh: dimenticavo di dire una cosa:"Ciao riverside,visto come sono diventato bravo grazie ad arduer apgreid!!!":cool:

ma n'do ca**o vado,qua c'è il diluvio universale...:sofico:

salvador fai così:
attiva le due opzioni per la visualizzazione di cartelle e files nascosti, Tasto dx su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione -Metti la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti" -Togli la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema)
dopo averlo fatto dimmi se c'è la presenza di un nuovo utente nascosto in Document and Setting con un nome strano...

mi dispiace per BEY0ND :D

scusa te ma non ho le idee chiare e vorrei evitare di far casini. Mi sembra di averne già abbastanza :stordita:

1) io ho gia cancella to manualmente tutti i file verdi presenti in c:\programmi\file comuni\system come mi è stato indicato da Mazda RX8

quindi adesso se il vado in c:\programmi\file comuni\system non vedo più file *.exe verdi ma solo 3 cartelle e 3 dll.

il tool della nod però trova in quel percorso numerosi file .exe dai nomi molto strani:
AxC
bejJv
cNCn
CvaMDC
dZU
exp
Gsw
gxEHcZ
hLBcu
iLQBCk
JEg
jUx
jyl
LMsO
nhW
OiU
pDC
PRm
Qsx
RKjV
RwKx
sAwOK
shRr
TcEq
ujG
VQH
WST
ysr

devo cancellarli tutti?

2)

qual'è il file in questione? macromedia-lan?

si...;)

macromedia-lan anke e fai una scansione cn AVG

ma n'do ca**o vado,qua c'è il diluvio universale...:sofico:

dove abiti??

il tool è questo esatto?...

...ed il percorso, se non ho interpretato male, dovrebbe essere questo c:\windows\system32\macromedia-lan.exe.

giusto?:stordita:

si...;)

dove abiti??

per farmi questa domanda scommetto 1000 euro che sei siciliano...:sofico:
ti ho beccato???:D

per farmi questa domanda scommetto 1000 euro che sei siciliano...:sofico:
ti ho beccato???:D

cazzo, di ke zona??:eek: :eek:

cazzo, di ke zona??:eek: :eek:

sicilia orientale...prepara la mazda che stasera andiamo a trovare lancetta e poi lui con suo mezzo catorcio a disel ci porta da river...:mc:

sicilia orientale...prepara la mazda che stasera andiamo a trovare lancetta e poi lui con suo mezzo catorcio a disel ci porta da river...:mc:

ti ho mandato un PVT...;)

ok, tutto fatto.
oh cancellato tutti i file e trovato la presenza di un utente non gradito:QGGjeHx :D

aspetto vostre ulteriori indicazioni

salvador

PS: la volete sapete una cosa, anche io sono della sicilia orientale. Magari riesco asdebitarmi con una birrozza :cincin: :gluglu: :asd:

ok, tutto fatto.
oh cancellato tutti i file e trovato la presenza di un utente non gradito:QGGjeHx :D

aspetto vostre ulteriori indicazioni

salvador

PS: la volete sapete una cosa, anche io sono della sicilia orientale. Magari riesco asdebitarmi con una birrozza :cincin: :gluglu: :asd:

si avvia in mod normale??

doh: dimenticavo di dire una cosa:"Ciao riverside,visto come sono diventato bravo grazie ad arduer apgreid!!!":cool:
:eek: non ci posso credere :confused: tra ieri sera ed oggi mi sarei perso tutto questo? :mbe:
@ Mazda, Beyond: ho appena notato che, il vostro cliente ha smesso, improvvisamente di postare alle ore 18,11 (ecco la prova fotogratica :D ):

http://img234.imageshack.us/img234/8595/screenshot065qw1.jpg

Siete sicuri di non avergli fatto formattare il P.C. o fulminare l’H.D.?? :doh:

Qui, necessita, un urgente intervento di Lancetta ;)

:eek: non ci posso credere :confused: tra ieri sera ed oggi mi sarei perso tutto questo? :mbe:
@ Mazda, Beyond: ho appena notato che, il vostro cliente ha smesso, improvvisamente di postare alle ore 18,11 (ecco la prova fotogratica :D ):

http://img234.imageshack.us/img234/8595/screenshot065qw1.jpg

Siete sicuri di non avergli fatto formattare il P.C. o fulminare l’H.D.?? :doh:

Qui, necessita, un urgente intervento di Lancetta ;)

nn credo...:stordita:

Quote:
Originariamente inviato da BEY0ND Guarda i messaggi
doh: dimenticavo di dire una cosa:"Ciao riverside,visto come sono diventato bravo grazie ad arduer apgreid!!!"
non ci posso credere tra ieri sera ed oggi mi sarei perso tutto questo?
@ Mazda, Beyond: ho appena notato che, il vostro cliente ha smesso, improvvisamente di postare alle ore 18,11 (ecco la prova fotogratica ):



Siete sicuri di non avergli fatto formattare il P.C. o fulminare l’H.D.??

tranquilli, tutto a posto, sono semplicemente dovuto andar via :D

domani si riprende, ora nn posso...

colgo l'occassione per ringraziare Mazda RX8 e BEY0ND per l'aiuto che mi stanno dando, senza di loro avrei già formattato da un pezzo :lamer: :bsod: :ave: ragazzi :asd:

tranquilli, tutto a posto, sono semplicemente dovuto andar via :D

domani si riprende, ora nn posso...

colgo l'occassione per ringraziare Mazda RX8 e BEY0ND per l'aiuto che mi stanno dando, senza di loro avrei già formattato da un pezzo :lamer: :bsod: :ave: ragazzi :asd:

se vuoi il mio aiuto mi devi promettere ke nn formatterai...:D :D

colgo l'occassione per ringraziare Mazda RX8 e BEY0ND per l'aiuto che mi stanno dando, senza di loro avrei già formattato da un pezzo ....
e' il meno tu possa fare, visto che ti hanno dato le dritte giuste.

bè per una birrozza questo ed altro:D buonasera soci....:D

bè per una birrozza questo ed altro:D buonasera soci....:D

buonasera! :mano:

colgo l'occassione per ringraziare Mazda RX8 e BEY0ND per l'aiuto che mi stanno dando, senza di loro avrei già formattato da un pezzo :lamer: :bsod: :ave: ragazzi :asd:

capitooooooo soci malfidati:D
c'è gente che apprezza e ringrazia!!!

bè per una birrozza questo ed altro:D buonasera soci....:D

ecco,abbiamo scoperto chi è l'alcolizzato della comitiva:hic: :hic: :gluglu:
:gluglu:
e sappiamo anche come finisce :Puke: :Puke:

@ salvador
procediamo per gradi,intanto fai questi 2 semplici passaggi:
1)disabilita il ripristino di configurazione del sistema così:tasto destro del mouse su Risorse del Computer>Proprietà>Ripristino configurazione di Sistema>seleziona Disattiva ripristino configurazione di sistema>Applica>Ok
2)scarica ccleaner da qui http://www.filehippo.com/download_ccleaner/
clicca su download latest version,installalo,lancialo e della schermata principale vai su Impostazioni metti la spunta a "Cancellazione sicura",poi vai su
avanzate, togli la spunta a Cancella solo file più vecchi di 48 ore,infine clicca su pulizia>analizza e quando ha finito fai avvia pulizia...
Questo serve per preparaci per quello che verrà dopo:Perfido:

@ salvador
Poi prosegui con questi passaggi:
3)scarica questo tool http://info.prevx.com/gromozon.asp lancialo,disattiva av,antispy e firewall ti chiederà che la scan partirà al riavvio successivi,clicchi yes,il pc si riavvierà e in auto partirà la scan,terminata la quale vai in C:\gromozon_removal.log dove trovi il log,lo copi e lo incolli qua
4)scarica quest'altro http://www.symantec.com/security_res...092316-4153-99
lancialo e clicca su scan alla fine anche per questo copi ed incolli il log Symantec che trovi nalla cartella dello stesso programma] \FixLinkop.txt.
5)attiva le due opzioni per la visualizzazione di cartelle e files nascosti, Tasto dx su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione -Metti la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti" -Togli la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema)
6)scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
una volta estratti i files Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso
C:\Programmi\File comuni\System
Adesso seleziona il file cKr.exe
Una finestra si aprirà "File cKr.exe selected for cleaning."
Do you want to continue?"
Clicca su Yes
Una finestra ti avviserà dell'operazione conclusa,ripeti questa operazione per tutti i files verdi che trovi in queste 2 directory
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared

cancellati quindi tutti i file verdi che trovi su file comuni,vai su servizi start>esegui>services.msc e arresta e disabilta,se ci riesci,quel servizio strano che hai trovato, quindi devi cancellare sempre con quest'ultimo tool anche quello del percorso dell'eseguibile di quel servizio strano,cioè questo:
C:\Programmi\File comuni\System\KflB.exe

oltre questo file devi cancellare anche quest'altro c:\windows\system32\macromedia-lan.exe sempre col tool della nod

e infine sempre col tool della nod cancella i file verdi che trovi in C:\Programmi\Windows NT (grazie lancetta!)

socio hai un pm....e svuota sta cacchio di cartella messaggi...!!!!:mbe: sempre il solito......:D

salve a tutti,
il PC ancora non si avvia normalmente.

adesso procedo seguendo le indicazioni fornite da BEY0ND negli ultimi due post

ho eseguito i punti1, 2 e 3.

quando ho avviato gromozon removal tool mi ha segnalato che:
"The Trojan.Gomozon rootkit component was not found on the system"

io glio ho fatto fare cmq la scansione ed ho ottenuto un file di log vuoto.

Non so se la cosa vi torna. Cmq torno a sottolineare che il pc parte ancora in modalità provvisoria. Non so se questa cosa può interferire con il corretto funzionamento del tool :rolleyes:

vado al punto 4

anche in questo caso non è stato trovato niente :mbe:

ecco il log:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.


procedo con i passi 5 e 6 (anche se li avevo già fatti ieri) :eh:

non ho trovato nessun file verde ed il servizio incriminato risultava già disabilitato.

anche macromedia-lan lo avevo già cancellato :stordita:

adesso tocca a voi ;)

aspetto le vostre direttive.

PS: ma voi come ve lo spiegate il fatto che il pc ancora non parte normalmente? :mbe:

non ho trovato nessun file verde ed il servizio incriminato risultava già disabilitato.

anche macromedia-lan lo avevo già cancellato :stordita:

adesso tocca a voi ;)

aspetto le vostre direttive.

PS: ma voi come ve lo spiegate il fatto che il pc ancora non parte normalmente? :mbe:

scansione cn AVG e vedi se ci sono file simili a Macromedia-lan (es: toshiba-word o macromedia-sensor)

@ salvador
procediamo così:
7)scarcica virit http://www.tgsoft.it/italy/index_ita.html installalo e riavva,ti dovrebbe comparire l'icona sulla barra delle applicazioni,cliccaci 2 volte vai su menù TOOLS->Esecuzione Automatica ti verrà visualizzata la lista dei programmi in esecuzione automatica,la key che devi controllare è la 17 con valore AppInit_DLLs,come dato dovrebbe esserci una voce strana tipo \\?\C:\WINDOWS\system32\lpt?.???
oppure: Dato: \\?\C:\WINDOWS\system32\com?.???.
poi sempre da menu TOOLS->Aggiornamenti OnLine lo aggiorni,finito l'update riavvii e aspetti 5 minuti.Vai nuovamente sui servizi e disabilita quello strano,riavvia,se non dovessi riuscire a disabilitarlo vai nel registro con regedit e fai questo percorso HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO modifica il vaolre di start da 2 a 4 e riavvia.
adesso sempre con regedit fai il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows riduci ad icona il regedit ed esegui questo file c:\vexplite\GOVIRITEXPSVC.BAT,da VirIT eXplorer clicca sul menu TOOLS->Process Manager,e nel box relativo a "Terminare i thread in base all'indirizzo" inizia a scrivere uno per volta questi valori
2a93671a
3ee85b73
2bb34c8c
2a2a3889
3e1e6857
3e524cd7
2a1969d5
2aa24da7
3ebb5852
3e56420a
3e4f7328
3e3439b4
2b8d6697
3e975c61
3e3a48c6
e per ognuno clicca su "Kill Thread".
adesso riapri il regedit che avevi ridotto ad icona e nel campo a destra seleziona con tasto destro il nome AppInit_DLLs clicca su MODIFICA, compare la finestra Modifica stringa, scrivi nel campo Dati valore: prova.dll e confermi,premi quindi per aggiornare il tasto f5 per vedere se ti rimane scritto prova.dll
riavvia e sempre dallo stesso percorso portati nuovamente su AppInit_DLLs per vedere se a lato ti compare prova.dll
adesso ritorna sui servizi,vai in quello incriminato e vedi il file eseguibile,se ancora te lo ritrovi presente e non sei riuscito a cancellarlo col tool della nod fai così:Seleziona il file con il tasto destro e clicca su PROPRIETA>PROTEZIONE>AVANZATE>PROPRIETARIO>seleziona account di ADMINISTRATORS>applica>ok e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientra su PROPRIETA>PROTEZIONE>AVANZATE>AGGIUNGI da AUTORIZZAZIONI
e aggiungi l'account di ADMINISTRATOR, dopo seleziona da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clicca su PROPRIETA' del file e togli i flags di "SOLO LETTURA" e NASCOSTO.
adesso riprova a cancellarlo col tool della nod...
se hai win xp pro per vedere la scheda protezione del file fai così:da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".
adesso apri virit e lancia la scansione,seleziona l'unità c e la fai partire...terminata ti dovrebbe spuntare il log della stessa nella cartella di virit,altrimenti cpoi ed incolli la schermata finale della scansione.
per quanto riguarda la modalità provvisoria,mi sembra che dal posto 3 era l'unico modo per avviare windows,quindi a questo punto non ti resta che seguire la procedura per vedere se riusciamo ad entrare in normale,anche se in provvisoria i tool che lanci hanno più efficacia...
sinceramente sono ottimista,e ti consiglio di esserlo anche tu,considera questo tentativo che stiamo facendo come un'ultima spiaggia per evitarti il format,quindi forza e coraggio;)

e poi fai così:
8)risorse del computer>tasto destro>proprietà> controlla se il file system è ntfs,se è così(come credo) scarica questo http://www.nod32.it/tools/adsrevealer.php crea una nuova cartella sul desktop (chiamala nod) ed estrai i file lì dentro clicca sull'eseguibile e fai partire la scan quando termina rimuovi gli ads che trova...

beyond, secondo me si confonde...:stordita:

beyond, secondo me si confonde...:stordita:

se si confonde non lo estirpa di certo...;)
è questione di buona volontà,io così feci col pc di altea...
cmq se salvador ha qualche dubbio lo faccia presente,non ci sono problemi...;)

@ BEYOND
7)scarcica virit http://www.tgsoft.it/italy/index_ita.html installalo e riavva,ti dovrebbe comparire l'icona sulla barra delle applicazioni,cliccaci 2 volte vai su menù TOOLS->Esecuzione Automatica ti verrà visualizzata la lista dei programmi in esecuzione automatica,la key che devi controllare è la 17 con valore AppInit_DLLs,come dato dovrebbe esserci una voce strana tipo \\?\C:\WINDOWS\system32\lpt?.???
oppure: Dato: \\?\C:\WINDOWS\system32\com?.???.

non trovo nessun "Esecuzione Automatica" sotto Tool :confused:

procedo oltre? :stordita:

non trovo nessun "Esecuzione Automatica" sotto Tool :confused:

procedo oltre? :stordita:

com'è possibile?:confused:
procedi oltre vedrai che aggiornadolo o riavviando il pc comparirà;)

hai scaricato questo,Vir.IT eXplorer Lite,giusto?

@ salvador
<snip>
poi sempre da menu TOOLS->Aggiornamenti OnLine lo aggiorni,finito l'update riavvii e aspetti 5 minuti.Vai nuovamente sui servizi e disabilita quello strano,riavvia,se non dovessi riuscire a disabilitarlo vai nel registro con regedit e fai questo percorso.....<snip>

il servizio è già disabilitato ed il relativo file non esiste più :confused:

hai scaricato questo,Vir.IT eXplorer Lite,giusto?

si, ho la versione 6.2.19

il servizio è già disabilitato ed il relativo file non esiste più :confused:

allora completa la guida con quello che non hai fatto,l'importante è che risolvi la cosa dell'esecuzione automatica e che fai la scansione...

allora completa la guida con quello che non hai fatto,l'importante è che risolvi la cosa dell'esecuzione automatica e che fai la scansione...

te lo lascio, io vado a studiare!! :ops:

:D

@ BEYOND
adesso sempre con regedit fai il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows riduci ad icona il regedit ed esegui questo file c:\vexplite\GOVIRITEXPSVC.BAT,da VirIT eXplorer clicca sul menu TOOLS->Process Manager,e nel box relativo a "Terminare i thread in base all'indirizzo" inizia a scrivere uno per volta questi valori
2a93671a
3ee85b73
2bb34c8c
2a2a3889
3e1e6857
3e524cd7
2a1969d5
2aa24da7
3ebb5852
3e56420a
3e4f7328
3e3439b4
2b8d6697
3e975c61
3e3a48c6
e per ognuno clicca su "Kill Thread".
adesso riapri il regedit che avevi ridotto ad icona e nel campo a destra seleziona con tasto destro il nome AppInit_DLLs clicca su MODIFICA, compare la finestra Modifica stringa, scrivi nel campo Dati valore: prova.dll e confermi,premi quindi per aggiornare il tasto f5 per vedere se ti rimane scritto prova.dll
riavvia e sempre dallo stesso percorso portati nuovamente su AppInit_DLLs per vedere se a lato ti compare prova.dll

fatto tutto questo e prova.dll è rimasto anche dopo il riavvio :)


procedo oltre...

fatto tutto questo e prova.dll è rimasto anche dopo il riavvio :)


procedo oltre...

bene,adesso se non sbaglio ti rimane solo la scan,dai che ce la facciamo...:D
non ce la facciamo,non ce la facciamo...:doh: :stordita:
dopo la scan dimmi cosa ti trova e procedi col punto successivo...;)

dopo il punto 8 procedi cosi:
9)scarica questo http://p-nand-q.com/e/pserv.html installalo e lancialo,ti apparirà la schermata con tutti i servizi attivi,cerca quello malato selezionalo,fai tasto destro del mouse,ti si apre un menù,tu devi selezionare delete o remove,insomma devi cancellare definitivamente quel servizio...
vedi anche prima di fare questo se nelle propietà del servizio ti fa eliminare l'account truffaldino,mi sembra che lo devi selezionare e fare rimuovi...

questo è il risultato della scansione con virit


[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 32834.
Files Totali: 32834.
Chiavi Registro rimosse: 1.
Virus Rimossi: 0.



procedo con il punto 8...

queste altre 3 cosuccie e poi abbiamo quasi finito...
10)scarica panda antirootkit da questo link http://www.megalab.it/articoli.php?id=1029&pagina=2
lancia l'eseguibile,aggiornarlo e fai partire la scan,vedi quello che trova...
11)scarica questo http://www.trendmicro.com/download/dcs.asp
creagli sul desktop una cartella personale e li metti lì dentro,poi scarica le definizioni dei virus da qui http://it.trendmicro-europe.com/enterprise/support/pattern.php
scompattalo sempre nella stessa cartella che hai creato,a questo punto lo esegui e fai partire la scansione da provvisoria e col ripristino sempre disabilitato
12)scarica questo http://www.superantispyware.com/ la versione free,una volta installata aggiornala dal menù principale e poi dalla sezione scan lancia la deep scan,dovrebbe essere performe complete scan se non sbaglio...

@ BEYOND
9)scarica questo http://p-nand-q.com/e/pserv.html installalo e lancialo,ti apparirà la schermata con tutti i servizi attivi,cerca quello malato selezionalo,fai tasto destro del mouse,ti si apre un menù,tu devi selezionare delete o remove,insomma devi cancellare definitivamente quel servizio...
vedi anche prima di fare questo se nelle propietà del servizio ti fa eliminare l'account truffaldino,mi sembra che lo devi selezionare e fare rimuovi...

eliminato il servizio...

...però mi sono accorto dopo che dovevo anche provare ad eliminare l'account indesiderato :doh: :stordita:

eliminato il servizio...

...però mi sono accorto dopo che dovevo anche provare ad eliminare l'account indesiderato :doh: :stordita:

su document and setting c'è una cartella strana nascosta?

si, è ancora lì...

eliminato il servizio...

...però mi sono accorto dopo che dovevo anche provare ad eliminare l'account indesiderato :doh: :stordita:

dai non ti preoccupare si vede hai letto la metà del post:fagiano: ...con virit la storia dell'esecuzione automatica lo hai risolto?
cmq continua con la guida..

si, è ancora lì...

cancella l'account e poi la cartella

cancella l'account e poi la cartella

esatto....:D
ammazza mazda già finito con lo studio:D

esatto....:D
ammazza mazda già finito con lo studio:D

si si, dovevo fare solo 2 materie...:)

cancella l'account e poi la cartella

devo farlo manualmente?

devo farlo manualmente?

si:)

ok, account rimosso con successo :D

ragazzi io per oggi devo salutarvi :mano:

vi ringrazio tantissimo per l'aiuto che mi state dando ;)

mancherò per qualche giorno quindi non state in pensiero se non mi vedete da queste parti :D :D :D

a presto

salvador limones ;)

viva la revolution!!!

ok, account rimosso con successo :D

ragazzi io per oggi devo salutarvi :mano:

vi ringrazio tantissimo per l'aiuto che mi state dando ;)

mancherò per qualche giorno quindi non state in pensiero se non mi vedete da queste parti :D :D :D

a presto

salvador limones ;)

viva la revolution!!!

prima di andare mi puoi dire se in mod normale riesci ad entrare? :)

W i soci Mazda RX8 e BEY0ND superstar:D :D

W i soci Mazda RX8 e BEY0ND superstar:D :D

ooohhhhhhhhh yyyeeesssssssssss....:D

W i soci Mazda RX8 e BEY0ND superstar:D :D

:yeah:

@ salvador
visto che mancherò dal forum per un bel pò di tempo ti posto l'ultima procedura che potrai eseguire solo se tutto quello fatto in precedenza è andato per il verso giusto...;) quindi è come una prova del 9:D

13)scarica questo http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis in versione executable o la zip(in quseto caso lo scompatti all'interno di una unova cartella da te creata(chiamala hthis))...poi lo lanci e clicci su "do a system scan and save a logfile" ti si apre il blocco note con il log,lo copi e lo incolli qui in modo che gli altri possano analizzarlo...

ciao e buona fortuna:)

prima di andare mi puoi dire se in mod normale riesci ad entrare? :)

salve a tutti,

adesso riparte in modalità normale :)

Adesso procedo con le indicazioni di BEYOND e poi vi faccio sapere...


salvador

queste altre 3 cosuccie e poi abbiamo quasi finito...
10)scarica panda antirootkit da questo link http://www.megalab.it/articoli.php?id=1029&pagina=2
lancia l'eseguibile,aggiornarlo e fai partire la scan,vedi quello che trova...


non è stato trovato nulla...

salve a tutti,

adesso riparte in modalità normale :)

Adesso procedo con le indicazioni di BEYOND e poi vi faccio sapere...


salvador

ottimo:)

non è stato trovato nulla...

bene adesso procedi con le altre due procedure del post,cioè trend micro sysclean e superantispyware...;)

salve a tutti,

adesso riparte in modalità normale :)

Adesso procedo con le indicazioni di BEYOND e poi vi faccio sapere...


salvador

ottimo!!:D

11)scarica questo http://www.trendmicro.com/download/dcs.asp
creagli sul desktop una cartella personale e li metti lì dentro,poi scarica le definizioni dei virus da qui http://it.trendmicro-europe.com/enterprise/support/pattern.php
scompattalo sempre nella stessa cartella che hai creato,a questo punto lo esegui e fai partire la scansione da provvisoria e col ripristino sempre disabilitato


questo è il risultato:Damage Cleanup Engine (DCE) 5.3(Build 1103)
Windows XP(Build 2600: Service Pack 2)

Start time : lun ott 01 2007 12:48:54

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Administrator\Desktop\tsc\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Administrator\Desktop\tsc\tsc.ptn" (version 898) [success]
Damage Cleanup Engine (DCE) 5.3(Build 1103)
Windows XP(Build 2600: Service Pack 2)

Start time : lun ott 01 2007 13:26:33

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Administrator\Desktop\tsc\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Administrator\Desktop\tsc\tsc.ptn" (version 898) [success]

Complete time : lun ott 01 2007 13:33:45
Execute pattern count(2917), Virus found count(0), Virus clean count(0), Clean failed count(0)


prossimo punto... :)

12)scarica questo http://www.superantispyware.com/ la versione free,una volta installata aggiornala dal menù principale e poi dalla sezione scan lancia la deep scan,dovrebbe essere performe complete scan se non sbaglio...

non riesco ad installarlo "a causa dei criteri impostati dall'amministratore del sistema" :what:

sapreste dirmi a quale impostazione fa riferimento?

non riesco ad installarlo "a causa dei criteri impostati dall'amministratore del sistema" :what:

sapreste dirmi a quale impostazione fa riferimento?

hai l'account limitato...:(

hai l'account limitato...:(

direi di no, sono in mod provvisoria ed ho fatto il login da Admistrator...

:confused:

direi di no, sono in mod provvisoria ed ho fatto il login da Admistrator...

:confused:

no, è il gromozon ke crea sti problemi...:muro: :muro:

no, è il gromozon ke crea sti problemi...:muro: :muro:

quinidi non è stato ancora rimosso (?) :mbe:

mentre invece non ci dovrebbe più essere :incazzed:

devo ricominciare tutto da zero? :(

quinidi non è stato ancora rimosso (?) :mbe:

mentre invece non ci dovrebbe più essere :incazzed:

devo ricominciare tutto da zero? :(

l'85% è stato tolto, ankora xò ci sono dei residui...:muro:

potremmo fare una prova...
si crea un nuovo account con privilegi di amministartore e protetto da password
si logga con questo scarica superantispyware e prova ad installarlo,nel caso non dovesse andare a buon fine,potrebbe sempre cliccare col destro sull'eseguibile e fare esegui come...e mette il nome e la pass dell'account appena creato...
che ne dici mazda?

ok, e guerra sia :mad:

come procedo?

potremmo fare una prova...
si crea un nuovo account con privilegi di amministartore e protetto da password
si logga con questo scarica superantispyware e prova ad installarlo,nel caso non dovesse andare a buon fine,potrebbe sempre cliccare col destro sull'eseguibile e fare esegui come...e mette il nome e la pass dell'account appena creato...
che ne dici mazda?

ci ho provato cn un mio amico ma nn andava...:( dava sempre limitato...:muro: :muro:

ci ho provato cn un mio amico ma nn andava...:( dava sempre limitato...:muro: :muro:

beh intanto potrebbe provare...cosi ci togliamo il dubbio

beh intanto potrebbe provare...cosi ci togliamo il dubbio

mah, speriamo...:sperem:

se non risolve sto fatto dell'account,questa è la volta buona che testiamo il tool dei quartieri spagnoli(quello dei privilegi),con o senza il permesso di lancetta:fiufiu:
come possibili alternative potremmo:
1)lanciare il tool per rustock
2)lancuiare eleibagla
3)lanciare elistarta
questi 3 per dare una maggiore pilizia...
oppure ancora provare prima ad installare a.squared come prova per vedere s lo fa installare...
oppure ancora fargli fare una scan-online con f-secure e bitdefender...

ma io alla fine sono più propenso per il tool spagnolo...il primissimo che ho detto

se non risolve sto fatto dell'account,questa è la volta buona che testiamo il tool dei quartieri spagnoli(quello dei privilegi),con o senza il permesso di lancetta:fiufiu:
come possibili alternative potremmo:
1)lanciare il tool per rustock
2)lancuiare eleibagla
3)lanciare elistarta
questi 3 per dare una maggiore pilizia...
oppure ancora provare prima ad installare a.squared come prova per vedere s lo fa installare...
oppure ancora fargli fare una scan-online con f-secure e bitdefender...

ma io alla fine sono più propenso per il tool spagnolo...il primissimo che ho detto

quoto, ank'io penso sia il + adatto...;)

potremmo fare una prova...
si crea un nuovo account con privilegi di amministartore e protetto da password
si logga con questo scarica superantispyware e prova ad installarlo,nel caso non dovesse andare a buon fine,potrebbe sempre cliccare col destro sull'eseguibile e fare esegui come...e mette il nome e la pass dell'account appena creato...
che ne dici mazda?

risolto :)
la prova che mi avete indicato non ha funzionato,
allora ho fatto una prova ed ho capito che non gradiva la mod provvisoria.

[edit: ho installato in mod normale e poi sono ripassato alla mod provvvisoria per la scansione]

adesso è in corso la scansione, vi faccio sapere appena finisce...

risolto :)
la prova che mi avete indicato non ha funzionato,
allora ho fatto una prova ed ho capito che non gradiva la mod provvisoria.

adesso è in corso la scansione, vi faccio sapere appena finisce...

ok:)

risolto :)
la prova che mi avete indicato non ha funzionato,
allora ho fatto una prova ed ho capito che non gradiva la mod provvisoria.

[edit: ho installato in mod normale e poi sono ripassato alla mod provvvisoria per la scansione]

adesso è in corso la scansione, vi faccio sapere appena finisce...

infatti andava installato in modalità normale...;)
ormai ci siamo:cool:

13)scarica questo http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis in versione executable o la zip(in quseto caso lo scompatti all'interno di una unova cartella da te creata(chiamala hthis))...poi lo lanci e clicci su "do a system scan and save a logfile" ti si apre il blocco note con il log,lo copi e lo incolli qui in modo che gli altri possano analizzarlo...


ecco a voi il log:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.21.45, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe
O2 - BHO: Class - {020ABACD-FABF-184F-4CA2-089F8C36D30C} - C:\WINDOWS\mnitc1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://simon-rule.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F34E23-4FE6-42D5-9EAC-AD2BA3981518}: NameServer = 151.99.125.2,193.70.192.100
O20 - AppInit_DLLs: prova.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5113 bytes


aspetto il vostro verdetto ;)

ecco a voi il log:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.21.45, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe
O2 - BHO: Class - {020ABACD-FABF-184F-4CA2-089F8C36D30C} - C:\WINDOWS\mnitc1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://simon-rule.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F34E23-4FE6-42D5-9EAC-AD2BA3981518}: NameServer = 151.99.125.2,193.70.192.100
O20 - AppInit_DLLs: prova.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5113 bytes


aspetto il vostro verdetto ;)

fixa:

O20 - AppInit_DLLs: prova.dll :confused:

O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"

io direi di fixare:
O2 - BHO: Class - {020ABACD-FABF-184F-4CA2-089F8C36D30C} - C:\WINDOWS\mnitc1.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O20 - AppInit_DLLs: prova.dll

questo invece lo devi far analizzare su virustotal.com
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe

aspetta che qualcuno confermi prima e poi lo fai....

fixa:

O20 - AppInit_DLLs: prova.dll :confused:



ma questo non è quello che mi ha fatto rinominare BEYOND? :rolleyes:

scusate, non vorrei aprire una discussione sul significato delle varie voci del log di HijackThis, ma le due voci sottostanti non fanno riferimento a quei file eliminati? perchè sono presenti nel log? :confused: :mbe:


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe

ma questo non è quello che mi ha fatto rinominare BEYOND? :rolleyes:

si ma quello si sapeva che spuntava...e cmq puo essere eliminato

scusate, non vorrei aprire una discussione sul significato delle varie voci del log di HijackThis, ma le due voci sottostanti non fanno riferimento a quei file eliminati? perchè sono presenti nel log? :confused: :mbe:


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe


ma i due file tu li hai eliminati col tool della nod?
prova a rinominare la chiave,cioè togli tutto ciò che c'è dopo la virgola...

prova a rinominare la chiave,cioè togli tutto ciò che c'è dopo la virgola...

di entrambi le voci?

scusate, non vorrei aprire una discussione sul significato delle varie voci del log di HijackThis, ma le due voci sottostanti non fanno riferimento a quei file eliminati? perchè sono presenti nel log? :confused: :mbe:


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-lan.exe",userinit.exe


sarà un vekkio log...;)

di entrambi le voci?

la seconda,io la prima la fixerei a gamba tesa a sto punto...
al limite la recuperiamo...

sarà un vekkio log...;)

vecchio :confused:

la seconda,io la prima la fixerei a gamba tesa a sto punto...
al limite la recuperiamo...

aspetto che voi mi diate il via libera...:cool:

vecchio :confused:

sii!:)

aspetto che voi mi diate il via libera...:cool:

vai tranquillo...:stordita:
mi assuno io le responsabilità:O
la chiave è stata rinominata?
fai tutto e post il log

vai tranquillo...:stordita:
mi assuno io le responsabilità:O
la chiave è stata rinominata?
fai tutto e post il log

io ancora nn ho riminato nulla...

...cmq ora devo andare.
continuo domani :)

ok, sono pronto a procedere.

ditemi se ho ben capito casa fare:
1) rinominare la chiave relativa a macromedia-lan

2) fixare questi
O2 - BHO: Class - {020ABACD-FABF-184F-4CA2-089F8C36D30C} - C:\WINDOWS\mnitc1.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O20 - AppInit_DLLs: prova.dll

3) e far analizzare su virustotal.com
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe


Confermate?

ok, sono pronto a procedere.

ditemi se ho ben capito casa fare:
1) rinominare la chiave relativa a macromedia-lan

2) fixare questi
O2 - BHO: Class - {020ABACD-FABF-184F-4CA2-089F8C36D30C} - C:\WINDOWS\mnitc1.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [asussvc] "c:\windows\asussvc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [lanjet] "c:\windows\lanjet.exe"
O20 - AppInit_DLLs: prova.dll

3) e far analizzare su virustotal.com
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe


Confermate?

1)vai nella chiave userinit il percorso lo vedi nei post precedenti,ci clicchi due volte,ti si apre una finestrella dove nel campo devi lasciare solo quello che c'è prima della prima virgola, in pratica ti deve restare solo questo
C:\WINDOWS\system32\userinit.exe,
2)si
3)si

@salvador
e cmq già il fatto stesso che ti ha fatto lanciare hthis è la prova che il gromozon non c'è più,quelle cose che ti sono rimaste nelle chiavi sono solo valori passati a cui non corrispondono i rispettivi files...;)

fatto tutto...


questo è il risultato di virustotal
File NeroScoutOptions.exe ricevuto il 2007.10.03 09:06:34 (CET)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.10.3.0 2007.10.02 -
AntiVir 7.6.0.18 2007.10.02 -
Authentium 4.93.8 2007.10.03 -
Avast 4.7.1043.0 2007.10.02 -
AVG 7.5.0.488 2007.10.02 -
BitDefender 7.2 2007.10.03 -
CAT-QuickHeal 9.00 2007.10.02 -
ClamAV 0.91.2 2007.10.03 -
DrWeb 4.44.0.09170 2007.10.03 -
eSafe 7.0.15.0 2007.10.02 -
eTrust-Vet 31.2.5181 2007.10.02 -
Ewido 4.0 2007.10.02 -
FileAdvisor 1 2007.10.03 -
Fortinet 3.11.0.0 2007.10.02 -
F-Prot 4.3.2.48 2007.10.03 -
F-Secure 6.70.13030.0 2007.10.03 -
Ikarus T3.1.1.12 2007.10.03 -
Kaspersky 7.0.0.125 2007.10.03 -
McAfee 5132 2007.10.02 -
Microsoft 1.2803 2007.10.03 -
NOD32v2 2567 2007.10.02 -
Norman 5.80.02 2007.10.02 -
Panda 9.0.0.4 2007.10.03 -
Prevx1 V2 2007.10.03 -
Rising 19.43.10.00 2007.10.02 -
Sophos 4.22.0 2007.10.03 -
Sunbelt 2.2.907.0 2007.10.02 -
Symantec 10 2007.10.03 -
TheHacker 6.2.6.076 2007.10.03 -
VBA32 3.12.2.4 2007.10.02 -
VirusBuster 4.3.26:9 2007.10.02 -
Webwasher-Gateway 6.0.1 2007.10.02 -
Informazioni addizionali
File size: 208896 bytes
MD5: 519678bbd5363c5d4cb29585d34a712f
SHA1: 03a6014cca435fbfa35d1d0462153562287d7e9c



adesso posso considerarmi totalmente pulito?

posta di nuovo il log...
poi mi dici che av e firewall usi?
riguardo virit lo tieni ancora un pò e tra una settimana gli fai un update e una scansione da provvisoria e col ripristino disabilitato...se non trova niente lo disinstalli dal pannello di controllo e poi rimuovi manualmente la catrella che trovi in c:

ora faccio la scansione e t faccio sapere...

come av uso kaspersky internet security che dovrebba fare anche da firewall...

poco fa avviando in modalità normale virit mi ha rilevato il tentativo di alterazione della chiave relativa a userinit (adesso non so darti ulteriori dettagli). é normale :mbe:

ora faccio la scansione e t faccio sapere...

come av uso kaspersky internet security che dovrebba fare anche da firewall...

poco fa avviando in modalità normale virit mi ha rilevato il tentativo di alterazione della chiave relativa a userinit (adesso non so darti ulteriori dettagli). é normale :mbe:

controlla userinit e vedi se è normale...cioè se ha conservato il valore che gli hai dato ieri...
la suite è trial o già comprata?
la scan con virit la devi fare tra una settimana,adesso serve solo il log di hajkthis

questo è il nuovo log di HJ:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.34.02, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://"c:/Programmi/File%20comuni/System/KfIB.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://simon-rule.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F34E23-4FE6-42D5-9EAC-AD2BA3981518}: NameServer = 151.99.125.2,193.70.192.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 4749 bytes


@ BEYOND
controlla userinit e vedi se è normale...cioè se ha conservato il valore che gli hai dato ieri...

ha il valora che gli ho dato ieri (c:\windows\system32\userinit.exe,). Ho detto a virit di non consentire la modifica.

@ BEYOND
la suite è trial o già comprata?

virit è in trial...

per il log:vai tramite regedit nella chiave R1 e doppio click su ShellNext e metti in dati valore http://www.virgilio.it/

per la trial:volevo sapere se kaspersky lo hai in prova o è già acquistato?
ps:devi aggiornare adobe

per il log:vai tramite regedit nella chiave R1 e doppio click su ShellNext e metti in dati valore http://www.virgilio.it/


fatto


per la trial:volevo sapere se kaspersky lo hai in prova o è già acquistato?


acquistato


ps:devi aggiornare adobe

è un consiglio o la cosa comporta problemi di sicurezza?


Adesso posso considerarmi pulito (da virus, trojan e compagnia bella)?
Dovrei mettere il pc all'interno di una rete e vorrei evitare epidemie...

per abode è un consilgio per la sicurezza o lo aggiorni o metti foxitreader...
visto che hai la suite sei a posto cosi,superantispyware lo lasci e ogni tanto fai una scan
poi fai ogni tanto una pulizia del disco con ccleaner e del registro con reegseeker(cancella solo le voci verdi e spunta la voce per fare il backup)
per il log fallo partire un'altra volta,non c'è bisogno che lo posti,controlla solo se viriglio te lo ritrovi in R1...
direi che abbiamo finito:)

direi che abbiamo finito:)

quindi sono pulito!?

missione compiuta!? :winner:

grazie tante

per la birrozza sono sempre disponibile :yeah:

quindi sono pulito!?

missione compiuta!? :winner:

grazie tante

per la birrozza sono sempre disponibile :yeah:

missione compiuta:D
per la birrozza bevitene una alla mia salute:gluglu:

ciao:)

:lamer:

ancora problemi :muro: :muro:

:cry: :cry: :cry:

sono entrato in modalità normale e da msconfig ho riattivato gli antivirus (bitdefender e kaspersky) ed i servizi ad essi relativi...

dopo un po' le cose hanno ricominciato a prendere una brutta piega...

- virit mi ha segnalato una dll, sockspy.dll (spero di non sbagliarmi)
- gli eseguibili non vogliono saperne di partire, anche se devo dire che ho, perfettamente funzionanti nella barra delle applicazioni le icone di kaspersky, skype, ditdefender. Sono out invece spybot, controllo volume e quicktime.:mbe:

Il sistema cmq parte anche in modalità normale.

k fare? :help:

a questo punto credo che oltre al gromozon ti sei beccato altre schifezze...
io farei una passata coi tool elibagle,elistarta e rustock...

Ps:se qualcuno si trova a passare di qui e legge può confermare?
meglio ancora se qualcuno lo prenda in consegna,visto che con quei tool non ho tanta familiarità...io ancora li devo "studiare"...
grazie:)

Purtroppo nn posso lasciare il pc ancora per molto in stand-by perchè ne ho bisogno.

Quindi mi serve una mano in tempi brevi altrimenti mi vedo costretto a formattare :stordita: :nono: :eh:

e devo ammettere che dopo tutti gli sforzi compiuti da BEYOND e MAZDA mi sembra quasi irrispettoso....
:sob:
...senza considerare che se lo avessi fatto subito a quest'ora, in un certo senso, avrei già risolto la cosa... :mbe:

:muro:

salvador non ti preoccupare se vuoi formattare non ci sono problemi,io e mazda abbaimo rimosso il gromozon,il tutto è stato fatto con allegria...:)
se tu dici,visto che la soluzione è il format possiamo fare girare i tool che ti ho detto,male non fanno,nell'attesa che arrivi qualche rinforzo...;)
fammi sapere

e con quei tools non rischio di perdere i dati?

e con quei tools non rischio di perdere i dati?

no

...e sapresti darmi una stima orientativa del tempo che occorre per
applicare i tools che hai citato. :mbe:

Così valuto cosa mi conviene fare...

non ho molto tempo a disposizione ed ho bisogno di recuperare il pc prima che posso... :stordita:

...e sapresti darmi una stima orientativa del tempo che occorre per
applicare i tools che hai citato. :mbe:

Così valuto cosa mi conviene fare...

non ho molto tempo a disposizione ed ho bisogno di recuperare il pc prima che posso... :stordita:

i tool sono veloci,però dovremo sempre aspettare qualcuno che mi possa aiutare ad esaminare i log che ne scaturiranno...la scelta spetta a te...:)

i tool sono veloci,però dovremo sempre aspettare qualcuno che mi possa aiutare ad esaminare i log che ne scaturiranno...la scelta spetta a te...:)

io mancherò per alcuni giorni,
probabilmente potrò rimettere le mani ( :bsod: ) sul pc il prossimo mercoledì.

nel frattempo se ti va puoi stilarmi una lista delle cose da fare e, se li conosci, provare a coinvolgere ( :ubriachi: ) degli esperti di settore :D ...

...io quando torno valuterò la situazione e deciderò come procedere.

che ne dici?

tra l'altro ho un'ulteriore aggiornamento: adesso non riparte più in modlità normale :incazzed:
tutto è come quando abbiamo cominciato. :confused:

tu che idea ti sei fatto della situazione?

è mai possibile che tutte le cose che abbiamo fatto siano state assolutamente inutili?

è possibile che io abbia sbagliato ad eseguire qualche passaggio? :mc:

non ci capisco più nulla :confused:

comunque vorrei ringraziarti di nuovo per la tua disponibilità.

:) salvador

:eek:

Purtroppo nn posso lasciare il pc ancora per molto in stand-by perchè ne ho bisogno.

Quindi mi serve una mano in tempi brevi altrimenti mi vedo costretto a formattare :stordita: :nono: :eh:

e devo ammettere che dopo tutti gli sforzi compiuti da BEYOND e MAZDA mi sembra quasi irrispettoso....
:sob:
...senza considerare che se lo avessi fatto subito a quest'ora, in un certo senso, avrei già risolto la cosa... :mbe:

:muro:

noo!!! nn formattare!!!:eek: :eek:

salve ragazzi,
scusatemi per il lungo periodo di assenza....


volevo soltanto dirvi che per cause di forza maggiore
(avevo necessariamente bisogno di quel pc)
sono stato costretto a formattare..... :cry:

non sono il tipo da mollare la spugna di fronte alle difficoltà
e mi piace accettare delle sfide al limite del possibile,
ma questa volta sono stato costretto a saltare il fosso :mad:

comunque grazie tanto per l'aiuto che mi avete dato...
la birrozza ve la siete meritata lo stesso :cincin: ;)

salvador

salve ragazzi,
scusatemi per il lungo periodo di assenza....


volevo soltanto dirvi che per cause di forza maggiore
(avevo necessariamente bisogno di quel pc)
sono stato costretto a formattare..... :cry:

non sono il tipo da mollare la spugna di fronte alle difficoltà
e mi piace accettare delle sfide al limite del possibile,
ma questa volta sono stato costretto a saltare il fosso :mad:

comunque grazie tanto per l'aiuto che mi avete dato...
la birrozza ve la siete meritata lo stesso :cincin: ;)

salvador

peccato...:( :(

va vè, fa niente...:)