Ciao a tutti ho un problema che nonostante le vostre guide non sono riuscito a risolvere. Ieri mi hanno mandato un file .jpg.scr che per curiosità ho avviato. Probabilmente era un virus :muro: Ho perso i diritti di amministratore, non posso accedere alle utilità di sistema, al ripristino configurazioni, si è disabilitato il task manager che però sono riuscito a recuperare. Dice operazione annullata, sul computer sono attivate delle restrizioni. contattare l'amministratore del sistema ( che sarei io -.-)
aiuto!!! grazie anticipatamente a chiunque risponda!

Cioa e benvenuto, se hai seguito la Guida alla disinfezione sarebbe opportuno allegare i log per il controllo, diversamente segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Posto il link di mediafire dove ho caricato i vari log, sembrava quasi pulito ma un ulteriore scansione con prevx ha trovato ancora delle infezioni, posto entrambe le schermate e i log. Gmer non mi ha dato nessuna voce in rosso. Grazie per aver risposto ^^ spero che qualcuno ci capisca piu di me

http://www.mediafire.com/?sharekey=bb30596bb8638e976e7203eb87368129e04e75f6e8ebb871

Ciao, di seguito l'estratto del log di MBAM

Malwarebytes' Anti-Malware 1.41
Versione del database: 2863
Windows 5.1.2600 Service Pack 3

27/09/2009 2.12.38
mbam-log-2009-09-27 (02-12-29).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|)
Elementi scansionati: 214028
Tempo trascorso: 3 hour(s), 34 minute(s), 19 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 7
Valori di registro infetti: 4
Elementi dato del registro infetti: 6
Cartelle infette: 9
File infetti: 14

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{hho2w8ec-18x0-6hjw-wdr2-6e0pe7645d71} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.tb (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolbar.tb.1 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0cb66ba8-5e1f-4963-93d1-e1d6b78fe9a2} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d83a7b12-a4d4-4984-8f72-d41c6b4c1e6e} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Nvchost (Trojan.Goldun) -> No action taken.

No action taken -> significa che non hai eliminato nulla, cortesemente ripeti scansione completa ed allega il log


Riepilogo log da allegare:
MBAM
Nuovo log Prevx
Nuovo log HJT

link ai nuovi log

http://www.mediafire.com/?sharekey=bb30596bb8638e976e7203eb873681299975719f2b057b0ef7e866bfb1230ce0

link ai nuovi log

http://www.mediafire.com/?sharekey=bb30596bb8638e976e7203eb873681299975719f2b057b0ef7e866bfb1230ce0

Come detto nel post precedente aggiorna MBAM e ripeti scansione completa, il log allegato è datato 27/09/09, grazie.

Ho postato il log del 27 perchè era l'unico che mostrava i risultati dei virus rilevati, le altre scansioni non rilevavano niene fino ad oggi. Allego il nuovo log di mbam, gli altri non li aggiorno restano ad oggi ancora invariati.


http://www.mediafire.com/?sharekey=bb30596bb8638e976e7203eb873681299975719f2b057b0ef7e866bfb1230ce0

Dal log di MBAM

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{52c01a76-19e2-4a50-ae8a-38ffbccf9182} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{762ec429-1a5d-4ab8-844a-9a552e1241da} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a506ef88-9efc-4522-bfe1-a8e886a64d80} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b87799af-2ce9-4daa-93cf-65f002035369} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bbc73c94-337c-43cc-b52c-31eb9fa34013} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c406f816-318d-4f7d-81cb-ba93ca7b70d5} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d502d4a3-03e6-4eae-a14e-69606ca63430} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec22770d-3343-4c56-8a8d-3e560475f655} (Trojan.Agent) -> Quarantined and deleted successfully.

si evince che una seconda scansione era necessaria

- Da Start - Esegui - digita CMD

nella finestra DOS digita

sc stop mxrs
sc delete mxrs

digita exit per uscire

- Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Programmi/Fitness%20Frenzy/Images/stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Programmi/Fitness%20Frenzy/Images/armhelper.ocx
O23 - Service: MXRS(mxrs) (MXRS) - Unknown owner - C:\WINDOWS\system32\mxrs.exe (file missing)

- Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\documents and settings\cesco\dati applicazioni\1897125.tmp
c:\documents and settings\cesco\dati applicazioni\23996656.tmp
c:\documents and settings\all users\dati applicazioni\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\bash\clone\bhcb7.tmp
c:\documents and settings\all users\dati applicazioni\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\bash\clone\bhcb8.tmp
c:\documents and settings\all users\dati applicazioni\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\bash\clone\bhccb.tmp
c:\documents and settings\all users\dati applicazioni\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\bash\clone\bhccc.tmp
c:\documents and settings\cesco\dati applicazioni\javavrmachine5\ebostr .0xe
c:\documents and settings\cesco\dati applicazioni\javavrmachine5\ebostr.scr3849305383

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

- Abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguente file:

ebstrsv.exe che trovi in questo percorso c:\programmi\windowsnt\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

Riepilogo log da allegare:
Avenger
Nuovo log Prevx

nuovi log http://www.mediafire.com/?sharekey=bb30596bb8638e976e7203eb873681299975719f2b057b0ef7e866bfb1230ce0

url
http://www.virustotal.com/it/reanalisis.html?f9238f0457e17e182939f784b795da9f0bda2452b7ce239fc555cae77f06cf0b-1254437884

http://virscan.org/report/4bdc7afd71bce48c5c08e67d37d57608.html

Inserisci in Avenger questo script

Files to delete:
c:\programmi\windowsnt\ebstrsv.exe


dopodichè siamo a posto, ti suggerisco pertanto di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

meraviglia!!! sono pulito :D grazie!
Purtroppo sono bloccato gia al punto uno della guida, non posso ri attivare gli auto update perchè non sono piu l'admin del mio pc

meraviglia!!! sono pulito :D grazie!
Purtroppo sono bloccato gia al punto uno della guida, non posso ri attivare gli auto update perchè non sono piu l'admin del mio pc

Cosa vuol dire?

che sono l'unico utente del pc e ho perso tutti i privilegi, se apro qualsiasi applicazione di utilità di sistema mi esce il messaggio operazione annullata sul pc sono presenti restrizioni contattare l'amministratore.

che sono l'unico utente del pc e ho perso tutti i privilegi, se apro qualsiasi applicazione di utilità di sistema mi esce il messaggio operazione annullata sul pc sono presenti restrizioni contattare l'amministratore.

Questo problema quando si è presentato?

da quando ho aperto il virus ebstrsv.exe, mi era sparito il task manager, l'icona esegui dal pannello e gia non riuscivo a disattivare il ripristino configurazioni sistema. poi s'è riavviato da solo il pc per un file terminato in modo brusco e al riavvio ha caricato le impostazioni del virus e ho perso tutti i privilegi.. che mi abbia modificato anche le policy?

da quando ho aperto il virus ebstrsv.exe, mi era sparito il task manager, l'icona esegui dal pannello e gia non riuscivo a disattivare il ripristino configurazioni sistema. poi s'è riavviato da solo il pc per un file terminato in modo brusco e al riavvio ha caricato le impostazioni del virus e ho perso tutti i privilegi.. che mi abbia modificato anche le policy?

Avresto dovuto informarmi subito di questo problema, non ho capito però se il problema stesso ti impedisce di attivare gli aggiornamenti automatici oppure è sparito anche Task Manager - Editor Registro sistema etc........

nel primo post elencavo appunto questi problemi, il trovare tutti questi virus è venuto dopo. era sparito il tasto run, e il task manager e tutte le utilità di sistema non potevo lanciarle; task manager l'ho recuperato con un recovery e il tasto run con la scansione di hijack mi ha trovato chiavi infette e auto corretto. ora rimane cmq il problema di ritornare admin del mio pc :( non ho idea di come fare.

nel primo post elencavo appunto questi problemi, il trovare tutti questi virus è venuto dopo. era sparito il tasto run, e il task manager e tutte le utilità di sistema non potevo lanciarle; task manager l'ho recuperato con un recovery e il tasto run con la scansione di hijack mi ha trovato chiavi infette e auto corretto. ora rimane cmq il problema di ritornare admin del mio pc :( non ho idea di come fare.

Quindi mi confermi che Task Manager etc...sono a posto?

si apposto.

Avvia il PC in modalità provvisoria F8 e cliccca sull'icona "Amministratore" nella schermata di accesso di Windows, dopodichè da Pannello di controllo verifichi il tuo Account ed eventulmente ne crei uno con previlegi di Admin.

dunque il mio account lo legge come amministratore del pc. se cancello il mio account e ne creo un'altro come amministratore è possibile che vengano tolte le restrizioni o rimane comunque così?

dunque il mio account lo legge come amministratore del pc. se cancello il mio account e ne creo un'altro come amministratore è possibile che vengano tolte le restrizioni o rimane comunque così?

Prima crea un secondo Account Admin

fatto, mi da tutto ok, all'avvio mi carica le impostazioni personalizzate e posso accedere a tutto. ora?

fatto, mi da tutto ok, all'avvio mi carica le impostazioni personalizzate e posso accedere a tutto. ora?

Direi che siamo ok, puoi seguire la Guida precedentemente linkata :)

quindi cancello il mio precedente account? e lascio quello attuale di amministratore? riesco a recuperare tutte le preferenze dell'altro account facendo così?

quindi cancello il mio precedente account? e lascio quello attuale di amministratore? riesco a recuperare tutte le preferenze dell'altro account facendo così?

Prima di eliminarlo (non c'è nessuna fretta), fai un uso massivo del PC se non riscontri problemi lo elimini.

Leggi bene il Punto 8 della Guida a proposito di Account

Ciao.

ok! grazie per tutto !

Prego :)