problema pc della mia ragazza..

aeroxr1 · 15-04-2008, 12:32

volevo seguire le regole di questo forum per il pc della mia ragazza che è parecchio incasinato però non mi è reso possibile dal pc stesso.. In pratica se su google scrivo hijackthis e clicco invio la finestra del browser ( sia internet explorer sia firefox ) si chiude. Ho provato allora ad installarlo tramite chiavetta ma niente da fare , clicco sul file di installazione e si autorichiude.

Panda non gli rileva niente e internet explorer prova invano ad installare flash player ma questo non ne vuole sapersi di installarsi.

Inoltre incredimail non gli si avvia poichè manca flash player che però non c'è modo di installarlo...

edit : Come sotto mi avete consigliato ho fatto i log con i programmi che funzionano.

- questo qui è il log di prevxcsi che ha rilevato due rootkit e altri tre bad file ( però non so come eliminarli)
http://www.fileup.itadib.com/downloa...9nm6D9uMwhkTPi

- gmer non va e nemmeno hijackthis funziona quindi niente log di questi programmi.

- a-squared sto finendo la scansione e sto per eliminare le cose individuate. E questo è il suo rapporto in caso vi servisse :
http://www.fileup.itadib.com/downloa...jrf8TNP9vUXYGx

- dentro userinit c'è questa stringa : c:\windows\system32\userinit.exe,"c:\windows\system32\nortonspeed.exe",

- nessun file strano dentro services.msc e nessun file verde trovato

- ecco il log di eset sysspector http://www.fileup.itadib.com/downloa...Wov9n8HTCA3Cy1

- ecco il log di hijackthis ( mi è riuscito farlo grazie ai vostri aiuti

)

wjmat · 15-04-2008, 13:00

Se riesci a fare le altre scansioni carica da [ qui ] o da [ qui ] ogni log che produci.
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.

Altri sintomi?

aeroxr1 · 15-04-2008, 13:50

Quote:

Originariamente inviato da wjmat

Se riesci a fare le altre scansioni carica da [ qui ] o da [ qui ] ogni log che produci.
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.

Altri sintomi?

appena torno da lei faccio tutti i log che posso fare..

c.m.g · 15-04-2008, 16:43

presumo sia anche qui gromozon

aeroxr1 · 15-04-2008, 19:53

Quote:

Originariamente inviato da c.m.g

presumo sia anche qui gromozon

non ho ancora avuto tempo per fare tutti i log cmq i sintomi sono quelli di gromozon in parte ..

Il grosso del problema di quel pc li è che gli è stata cambiato processore e scheda madre senza esser formattato quindi è già lento di suo, però ultimamente all'avvio è lentissimo e inoltre presenta questi problemi :

- si chiudono le finestre del browser se si scrivono certe parole
- da errore quando si tenta di installare flash player
- mi è toccato reinstallare window installer perchè dava errrore pure quello..

wjmat · 15-04-2008, 23:45

LA tua guida/post di riferimento sarebbe questa
Comincia a disabilitare il ripristino di sistema.
Per diminuire i files da scansionare fai prima una bella pulizia con CCleaner come indicato [ qui ] al punto 2.
Scarica da [ qui ] ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Nel menù Firefox -> Select All -> NO -> Empty Selected

Poi comincia a fare una scansione con il tool della previx che trovi qui

BEY0ND · 16-04-2008, 00:07

-Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano...
-Poi vai in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared e vedi se trovi dei file colorati in verde
-Infine fai start>esegui>regedit>ok
key local machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

aeroxr1 · 16-04-2008, 18:51

Quote:

Originariamente inviato da BEY0ND

-Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano...
-Poi vai in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared e vedi se trovi dei file colorati in verde
-Infine fai start>esegui>regedit>ok
key local machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

ok stasera vado e guardo.. la palla è che lo devo fare poco alla volta.. se lo avevo qui a quest'ora avevo già fatto tutto..
ragazzi grazie , mi rifaccio sentire quando ho tutti i log ed ho fatto quello che mi avete detto di fare

aeroxr1 · 21-04-2008, 16:47

nel primo post ho inserito i log che sono riuscito a fare e vi ho dato qualche altra informazione sul problema..

ora vi do le informazioni che mi avete chiesto di darvi oltre ai log

p.s : aggiungo tutto al primo post di questo topic cosi potete vedere meglio

edit : ho aggiunto anche il log di a-squared

wjmat · 21-04-2008, 21:29

prevx ti trova questi

Codice:

C:\WINDOWS\system32\hlppifei.exe - [U1] >> Hidden Process: 356
C:\WINDOWS\system32\NortonSpeed.exe - [1] >> Hidden Process: 1128
C:\Documents and Settings\User 2004\Impostazioni locali\Temp\1233828.exe - [b] >> Trojan.Nudos
C:\Documents and Settings\User 2004\Impostazioni locali\Temp\jar_cache29510.tmp - [b] >> Downloader.Delf.12.AE

questa stringa sicuramente non va bene...

Codice:

c:\windows\system32\userinit.exe,"c:\windows\system32\nortonspeed.exe",

alcuni sintomi di gromozon dovrebbero esserci...

aeroxr1 · 21-04-2008, 22:19

Quote:

Originariamente inviato da wjmat

prevx ti trova questi

Codice:

C:\WINDOWS\system32\hlppifei.exe - [U1] >> Hidden Process: 356
C:\WINDOWS\system32\NortonSpeed.exe - [1] >> Hidden Process: 1128
C:\Documents and Settings\User 2004\Impostazioni locali\Temp\1233828.exe - [b] >> Trojan.Nudos
C:\Documents and Settings\User 2004\Impostazioni locali\Temp\jar_cache29510.tmp - [b] >> Downloader.Delf.12.AE

questa stringa sicuramente non va bene...

Codice:

c:\windows\system32\userinit.exe,"c:\windows\system32\nortonspeed.exe",

alcuni sintomi di gromozon dovrebbero esserci...

cosa devo fare per ripulire il tutto ?

ho avviato l'utility per la disinstallazione di gromozom ma non trova niente e dice se voglio riavviare cmq io clicco si però non trova niente..

cosa devo fare ?

p.s : può entrarci qualcosa tutto ciò con il fatto che non installa flash ?

xcdegasp · 21-04-2008, 22:35

fare tutte el scansioni e pubblicare tutti i log...

aeroxr1 · 21-04-2008, 22:37

Quote:

Originariamente inviato da xcdegasp

fare tutte el scansioni e pubblicare tutti i log...

le scansioni che sono riuscito a fare le ho già messe... gli altri programmi di cui chiedete le scansioni non vanno

xcdegasp · 21-04-2008, 22:39

se non ti costa troppo ti chiederei anche di fare la scansione con questo:
ESET SysInspector for Microsoft Windows 2000/XP/2003/Vista (32-bit) -> Download

oppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

aeroxr1 · 21-04-2008, 22:41

Quote:

Originariamente inviato da xcdegasp

se non ti costa troppo ti chiederei anche di fare la scansione con questo:
ESET SysInspector for Microsoft Windows 2000/XP/2003/Vista (32-bit) -> Download

oppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

ora siccome il pc lo sto controllando con ultravnc devo aspetta che finisca di nuovo la scansione con l'utility per rimuovere gromozom.. cmq dopo installo anche quella e provo.. speriamo quello vada..

murack83pa · 21-04-2008, 22:49

allora, andiamo con ordine:

1- riavvia in mod provvissoria e utilizza ccleaner, fai una pulizia completa

2- riavvia in mod normale e svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3- per un controllo,visto che asquared aveva rilevato obfuscated, scarica FINDAWF: clicca qui per il download
● posizionalo sul Desktop e lancialo
● si aprirà un finestra in stile dos: esegui la funzione 1
allega il log che verrà rilasciato

verifichiamo prima questo, poi procediamo con avenger...

aeroxr1 · 21-04-2008, 22:55

Quote:

Originariamente inviato da murack83pa

allora, andiamo con ordine:

1- riavvia in mod provvissoria e utilizza ccleaner, fai una pulizia completa

2- riavvia in mod normale e svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3- per un controllo,visto che asquared aveva rilevato obfuscated, scarica FINDAWF: clicca qui per il download
● posizionalo sul Desktop e lancialo
● si aprirà un finestra in stile dos: esegui la funzione 1
allega il log che verrà rilasciato

verifichiamo prima questo, poi procediamo con avenger...

ccclenar utilizzato pochi minuti fa come da guida

ora mi appresto a fare il resto delle cose che avete detto... sto facendo il log con eset sysspector

findawf dice che è impossibile caricare un modulo e la finestra dos si blocca... che scatole...

BEY0ND · 21-04-2008, 23:01

Abilita la visualizzazione dei file nascosti risorse del computer>strumenti>opzioni cartella>visualizzazione>visualizza cartelle e file nascosti>applica>ok
scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
una volta estratti i files Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso:
C:\WINDOWS\system32\ adesso selziona NortonSpeed.exe
Una finestra si aprirà "File NortonSpeed.exe selected for cleaning."
Do you want to continue?"
Clicca su Yes
fai la stessa cosa per quest'altro file:
C:\WINDOWS\system32\hlppifei.exe
riavvia il pc,quindi riportati su quella chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
quindi sulla destra vai su userinit cliccaci due volte e cancella tutto quello che c'è dopo la virgola,dovrebbe restare solo questo alla fine "C:\WINDOWS\system32\userinit.exe,"
riavvia e vedi se riesci a lanciare hijckthis
se non sbaglio il tool della eset avgpfix vale per qualsiasi rootkit.
cmq a scanso di equivoci attieniti ai suggerimenti degli altri utenti,nel caso qualcuno conferma la mia procedura puoi eseguirla.
ciao

murack83pa · 21-04-2008, 23:08

Quote:

Originariamente inviato da BEY0ND

..

hai utilizzato ccleaner in mod provvissoria?

posta il log di SysInspector

dopodicchè, fai quanto suggerito da beyond e vediamo se hijackthis ti funge di nuovo, cosi come gli altri programmi

aeroxr1 · 21-04-2008, 23:12

Quote:

Originariamente inviato da murack83pa

hai utilizzato ccleaner in mod provvissoria?

posta il log di SysInspector

dopodicchè, fai quanto suggerito da beyond e vediamo se hijackthis ti funge di nuovo, cosi come gli altri programmi

messo il log di syspector nel primo post.

si ho fatto tutto a dovere.. ora faccio come dice beyond

15-04-2008, 12:32	#1
aeroxr1 Senior Member Iscritto dal: Mar 2006 Messaggi: 2056	problema pc della mia ragazza.. volevo seguire le regole di questo forum per il pc della mia ragazza che è parecchio incasinato però non mi è reso possibile dal pc stesso.. In pratica se su google scrivo hijackthis e clicco invio la finestra del browser ( sia internet explorer sia firefox ) si chiude. Ho provato allora ad installarlo tramite chiavetta ma niente da fare , clicco sul file di installazione e si autorichiude. Panda non gli rileva niente e internet explorer prova invano ad installare flash player ma questo non ne vuole sapersi di installarsi. Inoltre incredimail non gli si avvia poichè manca flash player che però non c'è modo di installarlo... edit : Come sotto mi avete consigliato ho fatto i log con i programmi che funzionano. - questo qui è il log di prevxcsi che ha rilevato due rootkit e altri tre bad file ( però non so come eliminarli) http://www.fileup.itadib.com/downloa...9nm6D9uMwhkTPi - gmer non va e nemmeno hijackthis funziona quindi niente log di questi programmi. - a-squared sto finendo la scansione e sto per eliminare le cose individuate. E questo è il suo rapporto in caso vi servisse : http://www.fileup.itadib.com/downloa...jrf8TNP9vUXYGx - dentro userinit c'è questa stringa : c:\windows\system32\userinit.exe,"c:\windows\system32\nortonspeed.exe", - nessun file strano dentro services.msc e nessun file verde trovato - ecco il log di eset sysspector http://www.fileup.itadib.com/downloa...Wov9n8HTCA3Cy1 - ecco il log di hijackthis ( mi è riuscito farlo grazie ai vostri aiuti ) Ultima modifica di aeroxr1 : 21-04-2008 alle 23:52.

15-04-2008, 16:43	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	presumo sia anche qui gromozon __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

21-04-2008, 16:47	#9
aeroxr1 Senior Member Iscritto dal: Mar 2006 Messaggi: 2056	nel primo post ho inserito i log che sono riuscito a fare e vi ho dato qualche altra informazione sul problema.. ora vi do le informazioni che mi avete chiesto di darvi oltre ai log p.s : aggiungo tutto al primo post di questo topic cosi potete vedere meglio edit : ho aggiunto anche il log di a-squared Ultima modifica di aeroxr1 : 21-04-2008 alle 17:55.

21-04-2008, 22:35	#12
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	fare tutte el scansioni e pubblicare tutti i log... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-04-2008, 22:39	#14
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	se non ti costa troppo ti chiederei anche di fare la scansione con questo: ESET SysInspector for Microsoft Windows 2000/XP/2003/Vista (32-bit) -> Download oppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

15-04-2008, 13:00	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Se riesci a fare le altre scansioni carica da [ qui ] o da [ qui ] ogni log che produci. Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione. Altri sintomi?

15-04-2008, 23:45	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	LA tua guida/post di riferimento sarebbe questa Comincia a disabilitare il ripristino di sistema. Per diminuire i files da scansionare fai prima una bella pulizia con CCleaner come indicato [ qui ] al punto 2. Scarica da [ qui ] ATF Cleaner per una velocissima pulizia complementare. Nella prima schermata -> Select All -> Empty Selected Nel menù Firefox -> Select All -> NO -> Empty Selected Poi comincia a fare una scansione con il tool della previx che trovi qui

16-04-2008, 00:07	#7
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	-Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano... -Poi vai in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared e vedi se trovi dei file colorati in verde -Infine fai start>esegui>regedit>ok key local machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

21-04-2008, 22:49	#16
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	allora, andiamo con ordine: 1- riavvia in mod provvissoria e utilizza ccleaner, fai una pulizia completa 2- riavvia in mod normale e svuota la cache di JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al Pannello di controllo ● clicca sulla scheda Generale ● vai all'ultima sezione File temporanei Internet ● clicca sul pulsante Impostazioni ● clicca sul pulsante Elimina file e poi conferma con OK 3- per un controllo,visto che asquared aveva rilevato obfuscated, scarica FINDAWF: clicca qui per il download ● posizionalo sul Desktop e lancialo ● si aprirà un finestra in stile dos: esegui la funzione 1 allega il log che verrà rilasciato verifichiamo prima questo, poi procediamo con avenger...

21-04-2008, 23:01	#18
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	io farei cosi.... Abilita la visualizzazione dei file nascosti risorse del computer>strumenti>opzioni cartella>visualizzazione>visualizza cartelle e file nascosti>applica>ok scarica questo http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP una volta estratti i files Avvia il programma,clicca su Start Attendi e si apre una finestra(tipo risorse del computer) Clicca sul disco C:\ scorri l'albero fino a questo percorso: C:\WINDOWS\system32\ adesso selziona NortonSpeed.exe Una finestra si aprirà "File NortonSpeed.exe selected for cleaning." Do you want to continue?" Clicca su Yes fai la stessa cosa per quest'altro file: C:\WINDOWS\system32\hlppifei.exe riavvia il pc,quindi riportati su quella chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ quindi sulla destra vai su userinit cliccaci due volte e cancella tutto quello che c'è dopo la virgola,dovrebbe restare solo questo alla fine "C:\WINDOWS\system32\userinit.exe," riavvia e vedi se riesci a lanciare hijckthis se non sbaglio il tool della eset avgpfix vale per qualsiasi rootkit. cmq a scanso di equivoci attieniti ai suggerimenti degli altri utenti,nel caso qualcuno conferma la mia procedura puoi eseguirla. ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email