HELP :trojan su winlogon

Bandit · 24-09-2010, 12:26

ciao a tutti ragazzi
mi servirebbe una mano per togliere questa specie di fastidio:
all'avvio di win, non mi compare nulla,se non lo sfondo, finchè antivir non mi segnala per circa una 10cina di volta la presenza di questo trojan, che io puntualmente ne impedisco l'accesso (altro non posso fare poichè mi da errore).

Ho visto che con Task manager il winlogon è un processo in esecuzione che non posso chiudere.
Ho provato ad eliminarlo con agvpfix, ma mi ha provocato il riavvio del pc

ho fatto uno scan con HijackThis , ma non compare nulla di strano

Quote:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Creative\Shared Files\CTAudSvc.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Documents and Settings\Vittorio\Documenti\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMONTRAY] C:\Programmi\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Tor Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programmi\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Vittorio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C4AD05-CB0A-4EBB-8D75-56D16D28E979}: NameServer = 212.216.112.222,212.216.172.162
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programmi\File comuni\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Programmi\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe

--

ho avviato in modalità provvisioria e antivir mi dice che non può fare nulla poichè è un file locked, o non ho abbastanza permessi

**Chill-Out** · 24-09-2010, 12:49

Allega il log di Avira su uno dei Server remoti, indicati nelle Regole di sezione in firma.

Bandit · 24-09-2010, 12:59

[/quote]

Quote:

Originariamente inviato da Chill-Out

Allega il log di Avira su uno dei Server remoti, indicati nelle Regole di sezione in firma.

ciao
mi spieghi i server remoti cosa sono? sono andato a leggere regole di sezione ma non h ocapito

ho fatto questa scansione del singolo file in modalità provvisoria , però non me lo faceva riparare, ora invece non mi ha detto nulla a riguardo, e credo l'abbia riparato: sbaglio?

Codice:

Version information:
BUILD.DAT       : 9.0.0.422     21701 Bytes  09/03/2010 10:29:00
AVSCAN.EXE      : 9.0.3.10     466689 Bytes  19/11/2009 15:34:05
AVSCAN.DLL      : 9.0.3.0       40705 Bytes  27/02/2009 07:28:24
LUKE.DLL        : 9.0.3.2      209665 Bytes  20/02/2009 08:05:49
LUKERES.DLL     : 9.0.2.0       12033 Bytes  27/02/2009 07:28:52
VBASE000.VDF    : 7.10.0.0   19875328 Bytes  06/11/2009 15:34:04
VBASE001.VDF    : 7.10.1.0    1372672 Bytes  19/11/2009 15:29:29
VBASE002.VDF    : 7.10.3.1    3143680 Bytes  20/01/2010 15:29:51
VBASE003.VDF    : 7.10.3.75    996864 Bytes  26/01/2010 15:03:39
VBASE004.VDF    : 7.10.4.203   1579008 Bytes  05/03/2010 16:49:41
VBASE005.VDF    : 7.10.6.82   2494464 Bytes  15/04/2010 15:47:51
VBASE006.VDF    : 7.10.7.218   2294784 Bytes  02/06/2010 14:46:47
VBASE007.VDF    : 7.10.9.165   4840960 Bytes  23/07/2010 13:39:14
VBASE008.VDF    : 7.10.11.133   3454464 Bytes  13/09/2010 14:45:10
VBASE009.VDF    : 7.10.11.134      2048 Bytes  13/09/2010 14:45:10
VBASE010.VDF    : 7.10.11.135      2048 Bytes  13/09/2010 14:45:11
VBASE011.VDF    : 7.10.11.136      2048 Bytes  13/09/2010 14:45:11
VBASE012.VDF    : 7.10.11.137      2048 Bytes  13/09/2010 14:45:11
VBASE013.VDF    : 7.10.11.165    172032 Bytes  15/09/2010 19:48:25
VBASE014.VDF    : 7.10.11.202    144384 Bytes  18/09/2010 13:48:33
VBASE015.VDF    : 7.10.11.231    129024 Bytes  21/09/2010 14:01:54
VBASE016.VDF    : 7.10.12.4    126464 Bytes  23/09/2010 14:17:05
VBASE017.VDF    : 7.10.12.5      2048 Bytes  23/09/2010 14:17:05
VBASE018.VDF    : 7.10.12.6      2048 Bytes  23/09/2010 14:17:05
VBASE019.VDF    : 7.10.12.7      2048 Bytes  23/09/2010 14:17:06
VBASE020.VDF    : 7.10.12.8      2048 Bytes  23/09/2010 14:17:06
VBASE021.VDF    : 7.10.12.9      2048 Bytes  23/09/2010 14:17:06
VBASE022.VDF    : 7.10.12.10      2048 Bytes  23/09/2010 14:17:06
VBASE023.VDF    : 7.10.12.11      2048 Bytes  23/09/2010 14:17:06
VBASE024.VDF    : 7.10.12.12      2048 Bytes  23/09/2010 14:17:06
VBASE025.VDF    : 7.10.12.13      2048 Bytes  23/09/2010 14:17:06
VBASE026.VDF    : 7.10.12.14      2048 Bytes  23/09/2010 14:17:07
VBASE027.VDF    : 7.10.12.15      2048 Bytes  23/09/2010 14:17:07
VBASE028.VDF    : 7.10.12.16      2048 Bytes  23/09/2010 14:17:07
VBASE029.VDF    : 7.10.12.17      2048 Bytes  23/09/2010 14:17:07
VBASE030.VDF    : 7.10.12.18      2048 Bytes  23/09/2010 14:17:07
VBASE031.VDF    : 7.10.12.22     19968 Bytes  23/09/2010 14:17:07
Engineversion   : 8.2.4.60 
AEVDF.DLL       : 8.1.2.1      106868 Bytes  29/07/2010 19:35:27
AESCRIPT.DLL    : 8.1.3.45    1368443 Bytes  18/09/2010 10:12:22
AESCN.DLL       : 8.1.6.1      127347 Bytes  13/05/2010 14:09:15
AESBX.DLL       : 8.1.3.1      254324 Bytes  24/04/2010 13:13:28
AERDL.DLL       : 8.1.9.2      635252 Bytes  22/09/2010 14:01:56
AEPACK.DLL      : 8.2.3.7      471413 Bytes  18/09/2010 10:12:21
AEOFFICE.DLL    : 8.1.1.8      201081 Bytes  22/07/2010 13:24:01
AEHEUR.DLL      : 8.1.2.26    2916727 Bytes  18/09/2010 10:12:20
AEHELP.DLL      : 8.1.13.3     242038 Bytes  26/08/2010 21:57:55
AEGEN.DLL       : 8.1.3.22     401780 Bytes  18/09/2010 10:12:17
AEEMU.DLL       : 8.1.2.0      393588 Bytes  24/04/2010 13:13:26
AECORE.DLL      : 8.1.16.2     192887 Bytes  21/07/2010 13:26:05
AEBB.DLL        : 8.1.1.0       53618 Bytes  24/04/2010 13:13:26
AVWINLL.DLL     : 9.0.0.3       18177 Bytes  12/12/2008 05:17:59
AVPREF.DLL      : 9.0.3.0       44289 Bytes  10/11/2009 18:49:12
AVREP.DLL       : 8.0.0.7      159784 Bytes  18/02/2010 11:54:09
AVREG.DLL       : 9.0.0.0       36609 Bytes  05/12/2008 07:02:09
AVARKT.DLL      : 9.0.0.3      292609 Bytes  24/03/2009 11:35:41
AVEVTLOG.DLL    : 9.0.0.7      167169 Bytes  30/01/2009 07:07:08
SQLITE3.DLL     : 3.6.1.0      326401 Bytes  28/01/2009 11:33:49
SMTPLIB.DLL     : 9.2.0.25      28417 Bytes  02/02/2009 04:51:33
NETNT.DLL       : 9.0.0.0       11521 Bytes  05/12/2008 07:02:10
RCIMAGE.DLL     : 9.0.0.25    2438913 Bytes  15/05/2009 12:09:58
RCTEXT.DLL      : 9.0.73.0      86785 Bytes  19/11/2009 15:34:02

Configuration settings for the scan:
Jobname.............................: ShlExt
Configuration file..................: C:\DOCUME~1\Vittorio\IMPOST~1\Temp\704c1531.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, 
Process scan........................: off
Scan registry.......................: off
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Deviating archive types.............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +JOKE,+SPR,

Start of the scan: venerdì 24 settembre 2010  15:36

Starting the file scan:

Begin scan in 'C:\WINDOWS\system32\winlogon.exe'
C:\WINDOWS\system32\winlogon.exe
    [DETECTION] Is the TR/Spy.549888.8 Trojan

Beginning disinfection:
C:\WINDOWS\system32\winlogon.exe
    [DETECTION] Is the TR/Spy.549888.8 Trojan
    [WARNING]   An error has occurred and the file was not deleted. ErrorID: 26003
    [WARNING]   The file could not be deleted!
    [NOTE]      Attempting to perform action using the ARK library.
    [NOTE]      The file was moved to '4d0a86d0.qua'!


End of the scan: venerdì 24 settembre 2010  15:37
Used time: 00:04 Minute(s)

The scan has been done completely.

      0 Scanned directories
      1 Files were scanned
      1 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      0 files were deleted
      0 Viruses and unwanted programs were repaired
      1 Files were moved to quarantine
      0 Files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      1 Warnings
      1 Notes

**Chill-Out** · 24-09-2010, 15:39

Server Remoti

Quote:

Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio filedropper.com, fileqube.com (utile anche per immagini), wikisend.com e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

attendo log di una scansione completa del sistema con Avira, successivamente controlla su http://www.virustotal.com/ winlogon.exe che trovi in C:\WINDOWS\system32\

per i risultati è sufficiente riportare l'URL rilasciata a fine scansione.

Bandit · 25-09-2010, 09:52

ciao
ma per una fortuita combinazione di venti non posso fare nulla più: ieri dopo pranzo, mi sono arrivate le nuove ram, che ho deciso subito di provarle. Da quel momento in poi non sono riuscito più a far avviare win (neanche mettendo le ram vecchie): arrivo alla barra di avanzamento di win, ma poi al momento di dover mettere la password, per far comparire il desktop, mi compare schermo nero e non posso fae nulla più.

Se puoi aiutarmi anche in questo te ne sarei grato

**Chill-Out** · 25-09-2010, 10:04

Quote:

Originariamente inviato da Bandit

ciao
ma per una fortuita combinazione di venti non posso fare nulla più: ieri dopo pranzo, mi sono arrivate le nuove ram, che ho deciso subito di provarle. Da quel momento in poi non sono riuscito più a far avviare win (neanche mettendo le ram vecchie): arrivo alla barra di avanzamento di win, ma poi al momento di dover mettere la password, per far comparire il desktop, mi compare schermo nero e non posso fae nulla più.

Se puoi aiutarmi anche in questo te ne sarei grato

Devi aver deletato winlogon.

Bandit · 25-09-2010, 10:36

Quote:

Originariamente inviato da Chill-Out

Devi aver deletato winlogon.

è possibile che abbia deletato il winlogon,
ma come ho scritto ieri lo ho eliminato col programma agvpfix, che mi ha provocato il riavvio del pc dove ho potuto mettere la password, dopo il riavvio.

Il pc ha funzionato, ed infatti ho allegato il responso di avira sul singolo file

però forse da come si legge il file è stato portato in un altra parte: estratto dal log di avira:
[NOTE] The file was moved to '4d0a86d0.qua'!

**Chill-Out** · 25-09-2010, 11:45

Hai il disco di installazione di XP?

Bandit · 25-09-2010, 11:53

Quote:

Originariamente inviato da Chill-Out

Hai il disco di installazione di XP?

si

**Chill-Out** · 25-09-2010, 12:19

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

digita:

expand X\i386\winlogon.ex_ C:\windows\system32 e batti invio

NB: sostituisci la X con la lettera assegnata al tuo lettore CD

digta exit per uscire, estrai il CD e riavvia.

Bandit · 25-09-2010, 12:40

un'altro comando non c'è?
non va

ho visto che nella directory c\window\system32 non c'è il winlogon
ma c'è il winlogon.manifest e un winlogon.bak

Bandit · 25-09-2010, 13:11

Quote:

Originariamente inviato da Bandit

un'altro comando non c'è?
non va

ho visto che nella directory c\window\system32 non c'è il winlogon
ma c'è il winlogon.manifest e un winlogon.bak

EVVIVA
ci sono riuscito, ora si avvia il pc

leges123 · 25-09-2010, 13:23

Quote:

Originariamente inviato da Bandit

EVVIVA
ci sono riuscito, ora si avvia il pc

Come? che hai fatto please?

Bandit · 25-09-2010, 13:40

Quote:

Originariamente inviato da leges123

Come? che hai fatto please?

ho utilizzato il comando di Chill
sbagliavo a non metter i due puntini dopo la x

pastrooker · 25-09-2010, 14:19

Questa discussione l'avrei aperta io...
Ho lo stesso problema di Bandit, soltanto con ho cambiato le ram; praticamente ieri sera Avira mi ha trovato un Trojan sul file "windowslog", e io come uno scemo l'ho cancellato. Stamattina quando ho acceso il computer, dopo la schermata di caricamento di Windows XP, invece di della schermata di inserimento pasword per entrare, mi viene la schermata nera e dopo un po si riavvia da solo e va avanti cosi....
Come posso fare per risolvere senza formattare?
Uso lo stesso procedimento proposto da Chill-Out?
Grazie....

Bandit · 25-09-2010, 15:29

Quote:

Originariamente inviato da pastrooker

Questa discussione l'avrei aperta io...
Ho lo stesso problema di Bandit, soltanto con ho cambiato le ram; praticamente ieri sera Avira mi ha trovato un Trojan sul file "windowslog", e io come uno scemo l'ho cancellato. Stamattina quando ho acceso il computer, dopo la schermata di caricamento di Windows XP, invece di della schermata di inserimento pasword per entrare, mi viene la schermata nera e dopo un po si riavvia da solo e va avanti cosi....
Come posso fare per risolvere senza formattare?
Uso lo stesso procedimento proposto da Chill-Out?
Grazie....

a questo punto credo di si, anche se dovresti cambiare il comando, con il file che appunto ti serve

leges123 · 25-09-2010, 15:44

@Bandit: A te al riavvio di windows funzionano i programmi di office e i browser?

Bandit · 25-09-2010, 15:57

Quote:

Originariamente inviato da leges123

@Bandit: A te al riavvio di windows funzionano i programmi di office e i browser?

ti riferisci al riavvio dopo, l'auto di Chill?
se si funziona tutto

leges123 · 25-09-2010, 16:01

A me invece il Microsoft security essential alert trova come trojan cmdagent.exe, che un file di comodo antivirus e dice:
Category: trojan
Description: this program is dangerous and executes commands from an attacker.
Protrebbe essere questo che blocca winlogon? o è un falso positivo?

Bandit · 25-09-2010, 16:07

Quote:

Originariamente inviato da leges123

A me invece il Microsoft security essential alert trova come trojan cmdagent.exe, che un file di comodo antivirus e dice:
Category: trojan
Description: this program is dangerous and executes commands from an attacker.
Protrebbe essere questo che blocca winlogon? o è un falso positivo?

non so mi spiace
però potresti scaricare qualche altro programma trova trojan e malaware

24-09-2010, 12:49	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Allega il log di Avira su uno dei Server remoti, indicati nelle Regole di sezione in firma. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

25-09-2010, 09:52	#5
Bandit Senior Member Iscritto dal: Sep 2003 Messaggi: 9434	ciao ma per una fortuita combinazione di venti non posso fare nulla più: ieri dopo pranzo, mi sono arrivate le nuove ram, che ho deciso subito di provarle. Da quel momento in poi non sono riuscito più a far avviare win (neanche mettendo le ram vecchie): arrivo alla barra di avanzamento di win, ma poi al momento di dover mettere la password, per far comparire il desktop, mi compare schermo nero e non posso fae nulla più. Se puoi aiutarmi anche in questo te ne sarei grato __________________ 1)P4 2.4-Asrock p4i65- Sapphire Hd3450 512mb agp- 2GB ddr400-Hd 80gb WD- Thermaltake Litepower 450W 2)Amd 3200-Msi K8n Neo4 Platinum - 2*512 MB pc3200-Asus N6600gt- HD WD 160GB-enermax noisetacker 370.

25-09-2010, 11:45	#8
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Hai il disco di installazione di XP? __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

25-09-2010, 12:19	#10
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS * Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY * Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive * A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows * Premi F10 per confermare ed uscire * Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM * Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza * Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK * Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO. digita: expand X\i386\winlogon.ex_ C:\windows\system32 e batti invio NB: sostituisci la X con la lettera assegnata al tuo lettore CD digta exit per uscire, estrai il CD e riavvia. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 25-09-2010 alle 12:25.

25-09-2010, 12:40	#11
Bandit Senior Member Iscritto dal: Sep 2003 Messaggi: 9434	un'altro comando non c'è? non va ho visto che nella directory c\window\system32 non c'è il winlogon ma c'è il winlogon.manifest e un winlogon.bak __________________ 1)P4 2.4-Asrock p4i65- Sapphire Hd3450 512mb agp- 2GB ddr400-Hd 80gb WD- Thermaltake Litepower 450W 2)Amd 3200-Msi K8n Neo4 Platinum - 2512 MB pc3200-Asus N6600gt- HD WD 160GB-enermax noisetacker 370. Ultima modifica di Bandit : 25-09-2010 alle 12:45.*

25-09-2010, 14:19	#15
pastrooker Member Iscritto dal: Aug 2008 Messaggi: 154	Questa discussione l'avrei aperta io... Ho lo stesso problema di Bandit, soltanto con ho cambiato le ram; praticamente ieri sera Avira mi ha trovato un Trojan sul file "windowslog", e io come uno scemo l'ho cancellato. Stamattina quando ho acceso il computer, dopo la schermata di caricamento di Windows XP, invece di della schermata di inserimento pasword per entrare, mi viene la schermata nera e dopo un po si riavvia da solo e va avanti cosi.... Come posso fare per risolvere senza formattare? Uso lo stesso procedimento proposto da Chill-Out? Grazie....

25-09-2010, 15:44	#17
leges123 Junior Member Iscritto dal: Mar 2009 Messaggi: 29	@Bandit: A te al riavvio di windows funzionano i programmi di office e i browser?

25-09-2010, 16:01	#19
leges123 Junior Member Iscritto dal: Mar 2009 Messaggi: 29	A me invece il Microsoft security essential alert trova come trojan cmdagent.exe, che un file di comodo antivirus e dice: Category: trojan Description: this program is dangerous and executes commands from an attacker. Protrebbe essere questo che blocca winlogon? o è un falso positivo?

Strumenti
Mostra una versione stampabile Invia questa pagina per email