[WinXP] No Desktop, no Modalità Provvisoria

[fromy]

Una settimana fa, dopo una giornata infame (un paio di chiavette "insicure" arrivate sul mio pc, cosa che non succede MAI), il comp ha dato segni di rallentamento. Il giorno dopo, alla riaccensione, al momento di digitare lo username, mi compare una finestra "userinit.exe - impossibile avviare l'applicazione specificata - xul.dll non è stato trovato". Do ok e mi compare un'altra finestra identica alla prima, ma con msjhxl32.exe al posto di userinit. Do ok e desktop senza icone e barre.
Cerco di entrare in 'modalità provvisoria' e stesse finestre. Realizzo che posso far comparire il desktop passando da task manager: c'è tutto, posso lavorare tranquillamente.
Ho utilizzato Vir.it che mi ha detto che C:\WINDOWS\SYSTEM32\USERINIT.EXE che è in esecuzione automatica è programma "sospetto", ma non dice come devo fare ad eliminarlo.
Effettuo scansioni con a-squared e Malwarebytes che mi trovano diversi trojan. Poi praticamente nulla, dai controlli successivi con altri software non scaturisce più nulla.
Però il desktop e la modalità provvisoria non ritornano.

Allego i log e l'immagine richiesti:

http://wikisend.com/download/457292/log-a-squared 06.05.2010.jpg
http://wikisend.com/download/482918/mbam-log-2010-05-07 (06-55-25).txt
http://wikisend.com/download/480368/cureit filtrato.txt
http://wikisend.com/download/467420/...00507-2127.xml
http://wikisend.com/download/481130/hijackthis.log
http://wikisend.com/download/558762/prevx.log
http://wikisend.com/download/463522/prevx09.10.2010.jpg

Chiedo scusa ma il log di a-squared non l'ho trovato salvato e quindi ho inviato un'immagine del log stesso. Per F-Secure ho effettuato la scansione online e non mi ha trovato nulla, ma dovevo inviare qualcosa?

[wjmat]

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.4
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

R3 - URLSearchHook: P2P MAX IT Atube Toolbar - {8c2f6d41-2583-424f-a88b-46d5401b5a96} - C:\Programmi\P2P_MAX_IT_Atube\tbP2P1.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msjhxl32.exe,
O2 - BHO: P2P MAX IT Atube Toolbar - {8c2f6d41-2583-424f-a88b-46d5401b5a96} - C:\Programmi\P2P_MAX_IT_Atube\tbP2P1.dll
O3 - Toolbar: P2P MAX IT Atube Toolbar - {8c2f6d41-2583-424f-a88b-46d5401b5a96} - C:\Programmi\P2P_MAX_IT_Atube\tbP2P1.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O16 - DPF: {156BF4B7-AE3A-4365-BD88-95A75AF8F09D} - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuwe b_site.cab?1262113413234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1262113398937
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-a3159a90c56dab05.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Fai Start → Esegui → digita regedit (invio)
naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nel pannello di destra doppio click su Userinit e nella finestra che si apre elimini tutto quello che viene dopo C:\WINDOWS\system32\userinit.exe, (anche la virgola deve rimanere) e batti invio.
Qui sotto un esempio


non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[fromy]

Quote:

Originariamente inviato da wjmat

Fai Start → Esegui → digita regedit (invio)
naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nel pannello di destra doppio click su Userinit e nella finestra che si apre elimini tutto quello che viene dopo C:\WINDOWS\system32\userinit.exe, (anche la virgola deve rimanere) e batti invio.
Qui sotto un esempio

La chiave di registro è già così, solo che è scritta C:\WINDOWS\SYSTEM32\Userinit.exe,
con le maiuscole insomma.

[fromy]

Azz... letto ora

Ho scansionato il mio pc con tutti i programmi proposti dalle Regole di Sezione ma...
ho saltato la "PRIMA ANALISI - PRELIMINARE"!!

E' tutto da rifare?

[wjmat]

era meglio farlo prima per avere meno file da scansionare
come sta il pc ora?

[fromy]

Quote:

Originariamente inviato da wjmat

era meglio farlo prima per avere meno file da scansionare
come sta il pc ora?

Il desktop non compare all'avvio, mi compare sempre la finestra "userinit.exe - impossibile avviare l'applicazione specificata - xul.dll non è stato trovato". Non mi compare più la seconda finestra quella con msjhxl32.exe al posto di userinit.
Io non ho fatto nient'altro che quello che mi hai indicato tu con HijackThis.
Sul registro non sono intervenuto, come spiegato sopra.

Che devo fare? Devo disattivare il ripristino configurazione di sistema e procedere di nuovo ai test?

[fromy]

Cercando di ingannare il tempo in attesa di risposte, ho sottoposto al mio pc diversi antivirus e antimalware: non trovano più nulla.

Allora adesso si tratta di tornare alla normalità ripristinando il desktop e la modalità provvisoria.

Sono andato a questo thread http://www.hwupgrade.it/forum/showthread.php?t=1555416
ma mi sono bloccato subito al primo passaggio: io in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options non ho la cartella explorer.exe

[st4nny]

guarda risolvi semplicemente sostituendo il tuo userinit.exe ormai compromesso.. noterai l'icona di firefox vedendolo

quindi portati in c:\windows\system32

prendi userinit.ex_

espandilo nel promt dei comandi cosiì:

expand userinit.ex_ userinit.exe

cancella quello che c'è e sostituiscilo con la versione buona.

la versione originale dovrebbe andare ~ 25kb mentra quella che ti trovi nel sistema dovrebbe essere più pesante..

ti allego la mia da espandere .. il mio è un windows xp SP3 (lo dico nel caso possa essere differente nelle varie versioni) userinit.zip

[fromy]

Quote:

Originariamente inviato da st4nny

guarda risolvi semplicemente sostituendo il tuo userinit.exe ormai compromesso.. noterai l'icona di firefox vedendolo

quindi portati in c:\windows\system32

prendi userinit.ex_

espandilo nel promt dei comandi cosiì:

expand userinit.ex_ userinit.exe

cancella quello che c'è e sostituiscilo con la versione buona.

la versione originale dovrebbe andare ~ 25kb mentra quella che ti trovi nel sistema dovrebbe essere più pesante.

Devi avere pazienza, che vuol dire "prendi userinit.ex_ ecc."
Rinomino? presumo di no. Lo espando, cioè vado in 'esegui' e digito il comando che mi hai detto. Perché non succede nulla? E soprattutto cos'è che dovrebbe succedere? dove lo trovo lo userinit.exe espanso?

[st4nny]

allora prendi userinit.ex_ :
prendilo da dove ti pare..
-dal tuo cd di windows xp nella cartella i386..
non lo so se c'è differenza tra uno userinit sp1 sp2 o sp3 ..
-o quello che ho allegato io che ripeto essere di un sp3

poi bisogna espanderlo ..cioè da .ex_ farlo diventare .exe
appunto come dici tu non è rinominare il file..

quindi fare - start - esegui - cmd (invio)


portarsi nella cartella dove si trova il file userinit.ex_
e digitare:
expand userinit.ex_ userinit.exe

in questo modo abbiamo il nostro userinit.exe (originale) da andare a sostituire con la versione che si trova in c:\windows\system32 che è compromessa.

fammi sapere se qlcs nn ti è chiaro

[fromy]

Il problema è che penso di aver capito, ma non funziona!

Ho visto che il tuo userinit è in maiuscolo: ho provato tutte le possibilità, trattarlo in maiuscolo, rinominarlo in minuscolo e poi tentare di espanderlo, ma dopo l'esegui non trovo mai nulla in quella cartella oltre il file che mi hai linkato

L'ultimo cmd che ho digitato in 'esegui' è stato questo:
expand C:\Documents and Settings\utente\Documenti\userinit.ex_ C:\Documents and Settings\utente\Documenti\userinit.exe

e niente da fare...

[Chill-Out]

E' stato fatto un pò di pasticcio, vediamo di sistemare, fai girare questo tool

● ComboFix Download al termine del download premuratevi di rinominarlo in explorer.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su explorer.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

[st4nny]

tieni te l'ho compresso direttamente in exe così lo devi solo sostituire a quello che si trova in system32

non pensavo che un passaggio in più ti potesse portare fuori strada diciamo ..e non te l'ho passato all'istante così perchè io utilizzo linux.. e non avevo nessuno strumento per espandertelo, invece stamattina ho notato che wine me lo metteva a disposizione.. ed ecco fatto.

tranquillo che io ho risolto così su altri computer

userinitexe.zip (questo è il solito sp3)

poi solo a scopo didattico, il comando expand non produce niente se il file che hai scaricato non lo metti in Documents..

facci sapere.

[fromy]

Quote:

Originariamente inviato da st4nny

tieni te l'ho compresso direttamente in exe così lo devi solo sostituire a quello che si trova in system32.

Non so come ringraziarti. Ho fatto, riavviato ed il desktop c'è con icone e tutto il resto.
Non ho ancora controllato la modalità provvisoria. Farò domani.

Ora mi voglio dare una bella letta al "Trattamento post disinfezione".

grazie!

[Chill-Out]

Ma che bizzarria, dal momento cha dal log di SysInspector si evince

Quote:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msjhxl32.exe,"

come ce la spieghiamo?

[fromy]

Quote:

Originariamente inviato da Chill-Out

Ma che bizzarria, dal momento cha dal log di SysInspector si evince



come ce la spieghiamo?

Intendi dire che prima di procedere al "Trattamento post disinfezione" devo terminare di disinfettare?

[fromy]

Chill-Out, allarmato dal tuo appunto allego il log di ComboFix:

http://wikisend.com/download/945774/ComboFix.txt


Una volta che ComboFix ha fatto il suo lavoro lo devo rimuovere?

[fromy]

Presumo tutto ok...

[xcdegasp]

sì tutto ok