Ciao a tutti

è da circa un'anno che ho problemi nel visualizzare le pagine o i forum di hwupgrade dal vecchio pc dell'ufficio dove lavoro :(

" impossibile visualizzare la pagina " :muro: sia che vada nella homepage , si che trovi un link a una discossione in questo forum tramite google

penso sia una protezione o una impostazione di explorer attivata per errore

per favore aiutatemi :help: :help:

o infezione da gromozon :asd:

riesci ad andare all'indirizzo http://www.prevx.com ?

prova a controllare che il gateway e dns server corrispondano al router ;)

sono infetto :D

basta restare lontano dai forum per qualche mese che ti infettano e non te
ne accorgi neanche :O

mi sai consigliare un efficace removal tool ?

grazie mille in anticipo

sono infetto :D

basta restare lontano dai forum per qualche mese che ti infettano e non te
ne accorgi neanche :O

mi sai consigliare un efficace removal tool ?

grazie mille in anticipo

Intanto puoi leggere qui: http://www.hwupgrade.it/forum/showthread.php?t=1271721
il Mod. eventualmente provvederà a spotare la discussione nella sezione Aiuto sono infetto! Cosa faccio?

scarica questo:
http://in.solit.us/archives/download/69328

è il removal tool della prevx che ho uppato :)

grazie mille raga

ho rimosso lo gnomo:D

però continuo ad avere problemi con la visualizzazione di hwupgrade :(

adesso riesco ad entrare nel sito tranquillamente ma però appena mi

collego con il forum explorer si chiude e ritorno al desktop :muro:

che può essere ?.........

Scarica HIJACKTHIS dalla mia firma (qua sotto) mettilo in una cartella in C: o in C:\Programmi. Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note) e copia e incolla INTERAMENTE qui e aspetta nuove istruzioni.

...e sopratutto serve un log di gmer

grazie mille raga

ho rimosso lo gnomo:D

però continuo ad avere problemi con la visualizzazione di hwupgrade :(

adesso riesco ad entrare nel sito tranquillamente ma però appena mi

collego con il forum explorer si chiude e ritorno al desktop :muro:

che può essere ?.........

Start -> Esegui -> digita Regedit
Controllare la presenza della chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =
se c'è annotati il percorso del file chiamato

Scarica quest'altro http://www.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99 lancialo e clicca su scan alla fine anche per questo copi ed incolli il log relativo
Scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
una volta estratti i files Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso
C:\Programmi\File comuni\System
C:\programmi\file comuni\microsoft shared
C:\programmi\file comuni\services
C:\Programmi\Windows NT
e cancella uno per uno tutti file verdi che trovi,per ciasscuno ti dirà
Do you want to continue?"
Clicca su Yes e fallo con tutti quelli verdi.
Poi Fai start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" nè "sevizio locale" ma un altro nome strano.Se lo trovi cliccaci due volte e nelle propietà vedi il percorso dell'eseguibile e lo cancelli sempre come hai fatto con i file verdi di prima.
pOi fai start>esegui>regedit>ok
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"
se trovi qulache altro eseguibile oltre ad userinit.exe dopo la virgola cancellalo sempre con lo stesso tool di prima.

allora la cosa allucinante ...... almeno per mè:p

è questa , ho provato a installare HIJACKTHIS ma quando tento di farlo partire tutto torna al desktop :eek:

la chiave di registro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =

non c'è :rolleyes:

allora mi sono detto visto che juninho85 ha scritto log di gmer , scaricherò gmer ..... :)

vado su google scrivo gmer sulla barra ........ puf!! torno al desktop:eek:

allora dico lo frego io il virus o presunto tale .... scarico gmer da un programma p2p ...... bene scaricato in formato .zip provo a estrarlo ..........
puf! torno al desktop :cry:

non pensavo di essere così grave :doh:

ora provo il resto ......... sperem

allora dico lo frego io il virus o presunto tale .... scarico gmer da un programma p2p ...... bene scaricato in formato .zip provo a estrarlo ..........
puf! torno al desktop :cry:


prova a rinominare il file .zip in CIAO.ZIP e anche il file .exe al suo interno in CIAO.exe e vedere se parte!

ciò che ti succede con hthis e gmer è normalissimo,gromozon in pratica è come se ti installasse un pseudo firewall nel pc che ti blocca programmi e siti che potrebbero portarti alla risoluzione del problema,quindi alla sua distruzione...
in parole povere si autodifende...e ci riesce bene direi...:D

ciò che ti succede con hthis e gmer è normalissimo,gromozon in pratica è come se ti installasse un pseudo firewall nel pc che ti blocca programmi e siti che potrebbero portarti alla risoluzione del problema,quindi alla sua distruzione...
in parole povere si autodifende...e ci riesce bene direi...:D

Appunto, quindi come ti ho detto sopra, prova a rinominare i file :D

si difende troppo bene :mad:

perchè non riesco neanche a rinominarli , ma scusa ....... ho installato ed eseguito il removal tool ...... tutto ok con quello , :p

a adesso che cosa ho ? non so' neanche come spiegarvi ..........

per BEY0ND il primo link non funge :) il secondo si ho scaricato e installato il programma .... ma non capisco cosa intendi per " tutti i files verdi che trovi " :eek:

intendi dire i file .dll e quelli con gli ingranaggi giallo e verde ? :p

no, nelle cartelle che ti ho detto ci dovrebbero essere dei file .exe con le scritte verdi,prima individuale da risorse del computer e poi cancellali col tool
tra poco correggo il primo link;)
edit:corretto il link!

fai prima la procedura dei file verdi e poi prova a scaricare i tool dovresti riuscirci....

allora ragazzi ho provato o per meglio dire tentato di fare quello ce mi avete detto ........
1 ) il tool della symantec eseguito in modalità provvissoria non ha trovato niente :muro:

2 ) ho paura a cancellare file .exe da dove mi dite perchè non vedo niente di verde tutto a colori :muro:

3) il removal tool della prevx è stato avviato, prima mi ha detto di averlo camcellato ed ora mi dice che i rootkit dei gromozon non sono stati trovati nel sistema :muro:

continuo a non riuscire a far partire ne HIJACKTHIS ne gmer anche rinominando i loro file eseguibili , oltretutto mi sà che non funziona neanche spybot 1.5 ........

aiutatemi perfavore non so più cosa fare.........:cry:

allora vi aggiorno su quello che sto facendo ..........

visto che non riesco a fare le cose che mi avete suggerito ho provato a scaricare alcuni sw , ora sto facendo un deepscan con a-sqared free aggiornato , appena lo termino mi racconto cosa ha trovato ......

spero qualcosa perchè non sò neanche da che cosa sono infetto :muro:

malware spyware virus ? boo.........

certo che ormai è una battaglia continua ......:O

a proposito mi consigliate un antivirus free che non sia avast :mad:

visto che ce l'avevo aggiornato e tutto ma non mi ha mai visto niente :cry:

saluti

finito con a-squared installa Prevx2.0 (la trial) hai 30 giorni di provaepoi continua a funzionare, e puoi usarlo tranquillamente, solo che si limiterà a individuare eventuale malware.

un ottimo antivirus, ma free solo per utente privato senza fini commerciali (come del resto Avast e AVG) è Avira Antivir-Classic.
la versione a pagamento di antivir costa 20€.
l'unico free anche in ambito commerciale è ClamWin che è rilasciato su licenza GNU/GPL.

:)

Scarica quest'altro http://www.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99 lancialo e clicca su scan alla fine anche per questo copi ed incolli il log relativo
Scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
una volta estratti i files Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso
C:\Programmi\File comuni\System
C:\programmi\file comuni\microsoft shared
C:\programmi\file comuni\services
C:\Programmi\Windows NT
e cancella uno per uno tutti file verdi che trovi,per ciasscuno ti dirà
Do you want to continue?"
Clicca su Yes e fallo con tutti quelli verdi.
Poi Fai start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" nè "sevizio locale" ma un altro nome strano.Se lo trovi cliccaci due volte e nelle propietà vedi il percorso dell'eseguibile e lo cancelli sempre come hai fatto con i file verdi di prima.
pOi fai start>esegui>regedit>ok
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"
se trovi qulache altro eseguibile oltre ad userinit.exe dopo la virgola cancellalo sempre con lo stesso tool di prima.

ce l'ho fatta ...... ho trovato qualcosa di anomalo :D
e l'ho cancellato con quel tool per eliminare i robi verdi :p

ora riesco a usare HJT e Gmer appena finisco le scannate vi posto i risultati

grazie mille per ora :cool:

ce l'ho fatta ...... ho trovato qualcosa di anomalo :D
e l'ho cancellato con quel tool per eliminare i robi verdi :p

ora riesco a usare HJT e Gmer appena finisco le scannate vi posto i risultati

grazie mille per ora :cool:

bene quando hai finito tutto coi file posta il log...
scarica questo http://p-nand-q.com/download/pserv_cpl.html
e cancella il servzio anomalo

allora ho terminato le scansioni e vi stò scrivendo dal pc dell'ufficio , strano ma non riesco a inserire le faccine .... come mai ?

non riesco neanche a inserire allegati come mai ?

per ora faccio copia incolla :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.36.48, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: (no name) - {DF35D4CB-7894-D4ED-CB3C-37D79982E58E} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187113884902

--
End of file - 3600 bytes

non riesco a inserirli in altro modo .... quello di gmer è troppo lungo da copiare e incollare

O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: (no name) - {DF35D4CB-7894-D4ED-CB3C-37D79982E58E} - (no file)

penso che questi andrebbero fixati,aspetta cmq qualcuno che confermi...

e forse anche questo
O4 - Global Startup: BTTray.lnk = ?

:muro: :cry: :cry: :cry: :cry:

non è possibile il pc mi si riavvia di continuo :cry: :cry:

volevo andare in modalità provvisoria per sistemare e ripulire da lì

cosa è successo : vado su msconfig e siccome in un'altra maniera non riuscivo ad andare in modalità provvisoria ho impostato la cosa da lì :mad:

adesso la situazione è drammatica ....... il pc si riavvia di continuo mi fà sciegliere la modalità che voglio ....... carica i file di sistema

poi viene scritto :" PRESS ESC to CANCEL LOADING A347bus.sys "

sia che lasci fare sia che prema esc lui si riavvia e ricomincia da capo :cry:

come posso fermarlo adesso , le ho provate tutte

sono riuscito a vedere una schermata blu ..........

dice : si è verificato un probl e windows è stato arrestato per impedire danni al computer .

effettuare CHKDSK/F ( cos'è ........ :eek: )

info tecniche .

***stop:0x0000007B(0xf7AC0528,0XC0000034,0X00000000,0X0000000)

bello eh ..... sono riuscito ad ucciderlo ? :cry:

vi prego di spostare la discussione

su : Addio sono terminale :cry:

ciao a tutti ci vediamo quando mi fratello tenterà di rianimare lo psicopatio

non è possibile il pc mi si riavvia di continuo ......
come posso fermarlo adesso , le ho provate tutte
● Start
● Esegui
● nella finestra di dialogo digita (o fai un copia/incolla) questo comando shutdown -a
per impedire il riavvio del sistema.
Fammi sapere se il problema del riavvio si risolve e poi vediamo come risolvere il resto e rimuovere, definitivamente, la belva che ha deciso di occupare, in maniera del tutto arbitraria ed abusiva (senza neppure pagare il parcheggio ;) ) nel tuo P.C. -.

dovrebbe essere il 347 bus.sys che ti crea il problema.Il 347 e un driver relativo ad Alcohol...anche se dal log di hijack non sono riuscito a vederlo....Se effettivamente c'è il soft in questione, dovresti in gestione periferiche disattivare il driver relativo ad Alcohol.

per Lancetta e Riverside ....

vi ringrazio delle informazioni tecniche ma il mio problema , forse mi sono espresso male :p

è che non riesco più ad entrare nel sistema operativo , mi si riavvia prima di caricare winzoz:muro:

la colpa deve essere stata mia :stordita: non del virus che ero riuscito a eliminare :p

ora il Pc è in coma e mio fratello proverà a sistemare il registro di sistema per rianimarlo , vi terrò informati perchè la gente deve sapere ! :Prrr:

che se uno non è esperto non deve mai , e sottolineo mai toccare i files di sitema .......... vero ? :doh:

che se uno non è esperto non deve mai, e sottolineo mai toccare i files di sitema .......... vero ?
Verissimo: quel che è peggio è che tu lo sapevi :muro:

per Lancetta e Riverside ....

vi ringrazio delle informazioni tecniche ma il mio problema , forse mi sono espresso male :p

è che non riesco più ad entrare nel sistema operativo , mi si riavvia prima di caricare winzoz:muro:

la colpa deve essere stata mia :stordita: non del virus che ero riuscito a eliminare :p

ora il Pc è in coma e mio fratello proverà a sistemare il registro di sistema per rianimarlo , vi terrò informati perchè la gente deve sapere ! :Prrr:

che se uno non è esperto non deve mai , e sottolineo mai toccare i files di sitema .......... vero ? :doh:

dì a tuo fratello di controllare inanzitutto il file userinit.exe che penso si sia cancellato o corrotto
Il percorso è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

:cry: :cry: :cry: :cry: :cry: :cry:

dopo sette anni di instabile ma efficace lavoro il pc è stato
dichiarato celebralmente morto :cry: :cry: :cry:

alle 15:30 di oggi è stata staccata per sempre la spina

grazie a tutti lo stesso

ai prossimi casini sul nuovo pc:sofico: