dalla cina con furore

[gigitabarelli]

mi chiamo gigi, benchè iscritto da un paio d'anni è la mia prima volta, ringrazio i tecnici che hanno risolto un piccoloproblema con il mio account, dunque veniamo al problema, ho un vetusto pIII a 1GHz con 1.5Gb di ram, e winXp-sp2, uso avast free, zone alarm free, spybot1.4 spywareblaster e hijackthis1.99, mi sono trovato probabilmente, acquisito da una pendrive di un cliente il virus gload che mi ha sostituito notepad.exe, lo ho eliminato e sostituito quel file con un notepad alternativo trovato in rete, quel virus o altro mi hanno però creato un account utente fantasma con caratteri cinesi, l'ho eliminato editando dalla linea di comando con control userpassword2, resta però traccia di questa cosa quando inserisco qualsiasi unità dati nelle varie porte usb, allego la classica immagine che appare quando viene inserito un drive, vorrei sapere come fare per eliminare la presenza di quella opzione, allego anche il log che mi ha fatto hijack e chiedo cortesemente se qualcuno può aiutarmi in tal senso
grazie a tutti

[FOXYLADY]

Prova nel tuo log a fixare queste voci
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Poi fai una pulizia del sistema con Advanced Windows Care
http://www.download.com/Advanced-Win...-10407614.html
e con Ccleaner
http://www.ccleaner.com/download/

[gigitabarelli]

grazie foxy lady seguirò i tuoi consigli, di quanto citato finora ho usato solo ccleaner ma non ha trovato nulla, invece ho seguito il consiglio di eraser ed ho scaricato e usato drweb, questo mi ha trovato pochi file nel systemvolumefolder restore infetti da win32.hllw.agobot, domanda stupida: se mi sono beccato questa schifezza vuol forse dire che avast free non è affidabile ? o viene bypassato come ho letto a volte mentre si effettua l'update ?
appena eseguite le operazioni che mi hai detto faccio un resoconto e lo posto
ciao e ancora grazie

[gigitabarelli]

ti ringrazio foxy lady i tuoi consigli software mi hanno rimesso la macchina a nuovo come se avessi dato la cera all'autimobile, lo startup è molto più rapido e tanti piccoli problemi di svariati malfunzioanmenti sistemati, purtroppo però quell'opzione non è sparita dalla finestra di scelta azioni quando utilizzo la usb, ho proceduto con il fix di hijack, con ccleaner, con doctorweb, con Advanced WindowsCare V2 Personal, inoltre ho utilizzato il tool di rimozione per il win32.HLLW.Agobot-gaobot-kaspersky della symantec che non ha trovato nulla, la finestra è ancora lì, per sicurezza ho protetto da password tutti gli account, in modo che non ne vengano creati di fittizi in automatico, altra nota che prima avevo dimenticato, i malfunzionamenti sono iniziati dopo che sono iniziate ad arrivarmi mail sempre con caratteri cinesi o jap, le ho prontamente filtrate come indesiderate, chiedo se possibile ancora aiuto a foxy o ad altri riassumendo:
infezione da win32.HLLW.Agobot (apparentemente eliminata)
infezionw da Gload (elimiata)
finestra azioni connessione ad usb modificata (non risolto)

p.s. credo si debba intervenire sul file di registro ma ciò mi mette in ansia

[bReAkDoWn]

Apri regedit..
Poi vai qua:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers

e intanto guarda se in tutte le voci (chiavi) presenti qua dentro ne trovi una che sembri aver a che fare con i caratteri cinesi.
Se la trovi guarda se il nome della chiave appena trovata compare fra i valori di una delle chiavi di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\EventHandlers che poi sarebbe la chiave che precede Handlers, è subito lì sopra. I valori sono tutti i dati presenti all'interno di una chiave, e vengono elencati nella parte destra di regedit.

A quel punto devi cancellare la chiave (le chiavi sono elencate nella parte sinistra di regedit, con l'icona della cartella gialla) dentro \Handlers e il VALORE corrispondente alla chiave appena trovata, se esiste in una delle chiavi sotto \EventHandlers

[gigitabarelli]

ebbene grazie breakdown ho appena letto con interesse le tue indicazioni, solo che sto crollando di sonno perchè sto bonificando e controllando tre macchine dalle 20 di ieri sera, se non fosse per tutto il software oem registrato avrei rasato a zero tutto e ci avrei messo meno, comunque dopo un paio d'ore di sonno riprendo (lunedì deve essere tutto operativo) la cosa che mi fa rabbrividire è che l'infezione è riuscita a disabilitare circa un quinto delle protezioni attivate da spywareblaster che ho sempre in tiro, proverò da fresco e con molta cautela a mettere mano al registry, resta il fatto che sono sempre più esasperato a passare la vita a coprirmi le chiappe per colpa della bill-win-dabbenaggine, non è possibile perdere almeno 1 ora al giorno di lavoro per tenere su con delle stampelle delle macchine che dovrebbero servire a fare soldi e non a rubare tempo, appena potrò permettermelo utilizzerò sicuramente solo linux per connettermi al web e rigorosamente staccato dalla rete locale !!!
grazie ancora

[gigitabarelli]

gentilissimo breakdown ho seguito i tuoi consigli ed ho cercato oltre dove dicevi tu a caso se esistevano caratteri cinesi non ho trovato nulla e l'opzione è sempre lì a prendermi in giro, il pc è stabile e va bene facendo gli scongiuri dovrei essere a posto, la cosa infastidisce un pò se hai altre ipotesi di soluzione fammi cortesemente sapere
ciao e grazie

[bReAkDoWn]

Quote:

Originariamente inviato da gigitabarelli

gentilissimo breakdown ho seguito i tuoi consigli ed ho cercato oltre dove dicevi tu a caso se esistevano caratteri cinesi non ho trovato nulla e l'opzione è sempre lì a prendermi in giro, il pc è stabile e va bene facendo gli scongiuri dovrei essere a posto, la cosa infastidisce un pò se hai altre ipotesi di soluzione fammi cortesemente sapere
ciao e grazie

Ho trovato un programma che potrebbe fare al caso tuo: http://windowsxp.mvps.org/autoplayhandlers.htm

Un altro ancora è questo: http://www.microsoft.com/windowsxp/p.../powertoys.asp e il programa è tweakui, con l'opzione my computer -> autoplay -> handlers.
Quest'ultimo non permette di cancellare gli handlers, ma selezionando edit potrebbe fornirci qualche dato per provare a cercare la voce nel registro.

[gigitabarelli]

caro breakdown hai fatto centro con il primo programma che mi hai proposto ho lanciato lo scan&fix e ha tolto l'opzione, con il secondo ho generato un report come segue:
CleanHandlers v2.3 - Problem Report
***********************************
Orphaned handlers
-----------------
<--- none found --->
Handlers with missing information
---------------------------------
<--- none found --->
<--- End of Report --->
fra le altre cose in quella pagina di microsoft c'è di tutto e di più mi sono scaricato anche la calcolatrice che fà gli studi di funzione, l'avessi avuta quando facevo ingegneria forse avrei passato analisi II

un bacio in fronte

grazie a tutti

p.s. da quando ho bonificato seguendo i consigli breakdown+foxylady hanno smesso di arrivarmi le email con caratteri cinesi, le tre cose cioè handler+gload-kaspersky+emailcinesi probabilmente erano legate e pare che tutto sia risolto per il meglio come nelle fiabe e nei film western