[risolto][WinXP] disk knight.exe

[ilpreve]

Non so come, ma il cavaliere mi si è reintrufolato nel computer.

ecco il log: http://www.zshare.net/download/12669776cdb1936c/

nell'elenco dei processi non c'è, ho tolto tutto quello che ho trovato in regedit e msconfig ma ogni volta che metto una chiavetta nuova ricompare. In più non fa più l'autoplay
che fastidio...

[Chill-Out]

Quote:

Originariamente inviato da ilpreve

Non so come, ma il cavaliere mi si è reintrufolato nel computer.

ecco il log: http://www.zshare.net/download/12669776cdb1936c/

nell'elenco dei processi non c'è, ho tolto tutto quello che ho trovato in regedit e msconfig ma ogni volta che metto una chiavetta nuova ricompare. In più non fa più l'autoplay
che fastidio...

Esegui HijackThis clicca su Do a sytem scan only - metti il segno du spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

O4 - HKLM\..\Run: [MATH DOES FIRST MODE] C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does\Delete win.exe
O4 - HKCU\..\Run: [FACE DELETE] C:\DOCUME~1\Nonsono\DATIAP~1\DrawCopy\bendamenball.exe

elimina anche le relative cartelle:

C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does
C:\Documents and Settings\Nonsono\Dati applicazioni\DrawCopy

Hai seguito queste istruzioni se si allega il log di VirIt
http://www.hwupgrade.it/forum/showpost.php?p=19629985

[ilpreve]

Quote:

Originariamente inviato da Chill-Out

Esegui HijackThis clicca su Do a sytem scan only - metti il segno du spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

O4 - HKLM\..\Run: [MATH DOES FIRST MODE] C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does\Delete win.exe
O4 - HKCU\..\Run: [FACE DELETE] C:\DOCUME~1\Nonsono\DATIAP~1\DrawCopy\bendamenball.exe

elimina anche le relative cartelle:

C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does
C:\Documents and Settings\Nonsono\Dati applicazioni\DrawCopy

Hai seguito queste istruzioni se si allega il log di VirIt
http://www.hwupgrade.it/forum/showpost.php?p=19629985

Fatto tutto, le cartelle nella directory di "dati applicazioni" non c'erano...

[Chill-Out]

Quote:

Originariamente inviato da ilpreve

Fatto tutto, le cartelle nella directory di "dati applicazioni" non c'erano...

Devi abilitare la visualizzazione delle Cartelle e file nascosti ==>> clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Allega un nuovo log di HijackThis e fammi il punto della situazione, thx.

[wjmat]

chill, ma virit è particolarmente indicato per questo tipo di infezione o può essere rimpiazzato da quelli in guida?

[ilpreve]

Quote:

Originariamente inviato da Chill-Out

Devi abilitare la visualizzazione delle Cartelle e file nascosti ==>> clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Allega un nuovo log di HijackThis e fammi il punto della situazione, thx.

Log in arrivo. Thx a te

[wjmat]

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi 1\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: avgrsstx.dll

[xcdegasp]

Quote:

Originariamente inviato da ilpreve

Log in arrivo. Thx a te

il log è pulito, ma hai programmi da aggiornare assolutamente... vai al link http://secunia.com/software_inspector/ e scansiona online il pc, ti segnalerà il software altamente critico obsoleto che è presente nel tuo pc

[xcdegasp]

la O20 è relativa ad AVG quindi la si può lasciare, mentre le O4 fixandole si disabilita lo startup di quei programmi

io lascerei fuori dai fix realplayer così si garantisce l'aggiornamento almeno di quel programma, ma si può benissimo fare manualmente

[wjmat]

avevo trovato questo...
http://www.prevx.com/filenames/X7567...RSSTX.DLL.html

[Chill-Out]

Diciamo che se puoi rinunciare a RealPlayer è ancora meglio, dicci come và il PC?

[ilpreve]

Quote:

Originariamente inviato da Chill-Out

Diciamo che se puoi rinunciare a RealPlayer è ancora meglio, dicci come và il PC?

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

[Chill-Out]

Quote:

Originariamente inviato da ilpreve

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

Non fixare questa voce

O20 - AppInit_DLLs: avgrsstx.dll

ma in sostanza il PC come và?

[xcdegasp]

Quote:

Originariamente inviato da ilpreve

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

installa allora Real Alternative

@ wjmat:
per toglierci i dubbi potremmo fargli fare una scansione con PrevxCSI

[ilpreve]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi 1\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: avgrsstx.dll

Intendi riavviare hijackthis o il computer proprio?

[Chill-Out]

Riallega un nuovo log di HJT, il Pc come và ( è la terza volta che telo chiedo )

[ilpreve]

Quote:

Originariamente inviato da Chill-Out

Non fixare questa voce

O20 - AppInit_DLLs: avgrsstx.dll

ma in sostanza il PC come và?

Il pc va bene, soliti rallentamenti quando maneggio troppi programmi insieme.
Stranezze: dopo lo startup mi si apre sempre il percorso C:Programmi, ma penso sia un problema ereditato dall'utility sony ericsson per trasferire i file (questa cosa sicuramente anteriore all'avvento di disk knight);
asus liveupdate dice di non riuscire a terminare la procedura per spazio insufficiente, ma sul C: ho 30 GB liberi;
Al momento non mi viene in mente altro

Nuovo log

[wjmat]

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
da cui aggiornamento di java
rimozione di avg in favore di antivir
rimozione virit
sfoltimento startup...con autorun puoi disattivare tutti i programmi inutili, se poi vedi che ti servono li riattivi

cosa sono questi?
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

[ilpreve]

Quote:

Originariamente inviato da wjmat

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
da cui aggiornamento di java
rimozione di avg in favore di antivir
rimozione virit
sfoltimento startup...con autorun puoi disattivare tutti i programmi inutili, se poi vedi che ti servono li riattivi

cosa sono questi?
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

il secondo un'utility x una stampante, suppongo, che uso poco ma cmq ce l'ho; l'altro non ne ho idea

[xcdegasp]

l'altro parrebbe un componente di windows... probabilmente hai installato un tool di componenti aggiuntivi