regedit e taskmanager non partono

[j100]

Ho un bel portatile di un amico infetto!

sintomi:
-richieste di connessione anomale
-eventi strani in win
cose carine:
-avg6 non parte
-regedit non parte
-taskmanager non parte

per gli ultimi tre eventi è da specificare che: i programmi sembra che partino, ma immediatamente la finestra si chiude. per quanto riguarda il taskmanager, dopo aver premuto ctrl-alt-canc si apre la finestra, immediatamente dopo si chiude la finestra, poi compare l'icona sulla barra di stato in basso a destra, e poi scompare anche quella.

Ringrazio vivamente eraser che ha compilato un bel documento nel quale ha messo l'ABC ordinato, completo ed esauriente sul come comportarsi in questi casi.
ho seguito i vari punti.
disabilitato il system restore
non potendo far partire nessun antivirus ho fatto partire xp in modalità provvisoria e li ho usato
° il sysclean di trend che mi ha trovato un pò di worm e dialer, ha trovato chiavi di registro non consone, mi ha detto di avrle riparate ma in realtà non l'ha fatto.... ...l'HiJackThis ha provveduto a farlo veramente
° avast non ha trovato niente,
° ad-aware ha trovato altre tre chiavi di registro non consone le ho fatto mettere in quarantena ae poi cancellate
° il CWShredder non ha trovato niente

Risultato finale:
il computer apparentemente funziona bene; praticamente il regedit non funziona, il taskmanager non funziona ed ora viene la parte ridicola...

...ho fatto acquistare il McAfee virusscan 8.0.
Metto il cd, parte e mi fa vedere l'elenco dei programmi da installare, scelgo l'antivirus, mi compare la pagina della nazione che mi fa vedere il contratto, accetto il contratto, scompare tutto e non installa assolutamente niente!!!
Non contento, vado sul CD, trovo la cartella VSC e faccio partire direttamente l'installazione del virusscan: idem come sopra.

Cosa sta succedendo???

Cosa devo fare (che non sia riformattare) per mettere a posto la situazione?

Help Me! Aiuto! SOS

[j100]

dimenticavo

ho anche fatto partire lo stinger di mcafee ma non ha trovato niente. Questo, però, l'ho fatto partire con winxp in modalità normale.

[netquik]

lo stinger era l'ultima versione?

si tratta al 95% di virus

[j100]

purtroppo si, l'ho scaritata un'oretta fa

[j100]

Prove di questi minuti.

ho collegato il portatile ad un router adsl.
la connessione internet va lenta e a singhiozzo.. ..e non è il cavo di rete in quanto l'ho staccato da un'altro computer e funziona benissimo, non è l'ADSL inquanto con il mio computer vi sto scrivendo e internet va velocissimo.
l'idea di collegarlo al router serviva per fargli fare una sscansione online da trend o bitdefender o panda. Come vado sulla pagina e premo il tasto scan sembra che la macchina si blocchi e internet si blocchi (solo sul portatile).

[netquik]

per hijckThis hai fatto da solo?

posteresti il log per darci un occhiata?

[netquik]

inoltre leggi questo se non lo avevi già fatto

http://www.mvps.org/sramesh2k/ToolsQuit.htm

[RoMZERO]

per individuare processi anomali intanto puoi provare questo task manager alternativo

http://www.neuber.com/taskmanager/index.html

[j100]

Quote:

Originariamente inviato da RoMZERO
per individuare processi anomali intanto puoi provare questo task manager alternativo

http://www.neuber.com/taskmanager/index.html

sul link indicato da netquik, in fondo come ultima riga, c'è una bellissima e utilissima utlility che copia e rinomina i tre programmi di windows che vengono bloccati.
Nel mio caso particolare l'unico che non funziona è il taskmanager, ma rinominandolo brutalmente (io l'ho chiamato pippo.exe) l'operazione funziona egregiamente.
Grazie mille a netquik inquanto il virus beccato su quel computer non ha quei file indinacti nell'articolo, ma è pynat.exe; la cosa importante e che si comporta in modo perfettamente identico al netstatt.exe (indicato nell'articolo).
A titolo informanivo per la comunità, che ringrazio ancora, dall'msconfig si vede che c'è il prog pynat.exe attivo nonchè un'altro programma che non ha nome (o meglio compare un piccolissimo quadratino) con in incomprensibile descrizione di servizio anonimus.
Andando sul regedit questo si trova infestato da chiavi di registro con pynat.exe e una con questo quadratino. cancellate queste chiavi (previa rimozione del task pynat.exe) la macchina al riavvio funziona bene.
Grazie a tutti.
La lotta contro i virus è talmente vasta che solo in coro si riesce a fare in modo sistematico.

[netquik]

bravo j100 !

[FiorDiLatte]

Io ti consiglio di lasciar perdere lo Stinger, non toglie tutti i virus, solo alcuni, perlomeno i piu' comuni.

Usa il Trendmicro Sysclean.com ed i suoi file di pattern (ossia le definizioni aggiornate) e questo tool rimuovera' tutto dalla modalita' provvisoria.
Per risistemare la questione dei file eseguibili, devi scaricare questo file .reg da wintricks.it che dovrebbe rimettere tutto a posto (spero).

http://www.wintricks.it/faqreg/rcxp/xp_exe_fix.zip


byezzz Good Luck

[FiorDiLatte]

Quote:

Originariamente inviato da FiorDiLatte
Io ti consiglio di lasciar perdere lo Stinger, non toglie tutti i virus, solo alcuni, perlomeno i piu' comuni.

Usa il Trendmicro Sysclean.com ed i suoi file di pattern (ossia le definizioni aggiornate) e questo tool rimuovera' tutto dalla modalita' provvisoria.
Per risistemare la questione dei file eseguibili, devi scaricare questo file .reg da wintricks.it che dovrebbe rimettere tutto a posto (spero).

http://www.wintricks.it/faqreg/rcxp/xp_exe_fix.zip


byezzz Good Luck

Dimenticavo.......................

Il fix va fatto partire in modalita' provvisoria, poi dopo va fatta una scansione con questo software e segare tutte le chiavi nel registro di configurazione sospette. http://www.spychecker.com/download/d...ijackthis.html

Io in particolare ho trovato vari riferimenti a questo file "tymqx.exe" che veniva associato ad Outlook Express, in piu' ho trovato degli anonymus che ho segato al volo. Al riavvio successivo, il Norton e gli altri file con estensione .exe hanno rifunzionato normalmente.

byezzz

[j100]

Quote:

Io in particolare ho trovato vari riferimenti a questo file "tymqx.exe" che veniva associato ad Outlook Express, in piu' ho trovato degli anonymus che ho segato al volo. Al riavvio successivo, il Norton e gli altri file con estensione .exe hanno rifunzionato normalmente.

Quindi si tratta sicuramente di un virus camaleonte che però usa sempre lo stesso sistema:
nel link di netquik si parlava di un file netstatt.exe, io ho trovato pynat.exe, tu ha trovato tymqx.exe e tutti quanti abbiamo sempre trovato alcuni task anonymus!!!