#31
14-09-10 17:31
è che lasciare un eventuale userinit.exe infetto o simili, potrebbe portare solo auna finta pulizia e a problemi che tornano fuori, a quel punto tanto cvarrebbe reinstalalre..
direi fai pulire tutto, se dovesse sul serio implodere windows pace, formatterai e vaffambagno, almeno ci hai provato.. ma soprattutto, di per sè hai recuperato i dati, la cosa più importante
|
#32
14-09-10 17:55
Eh difatti sono anch'io per questa ipotesi, viste anche le volte che si impalla e tutti i problemi con le applicazioni che mi sta dando in questi 3-4 giorni e che non aveva mai fatto prima. A questo punto hai ragione, o la va o la spacca.
|
|
#33
14-09-10 18:17
o la va o la spacca.incrocia IDDITI (
) e facci sapere dopo tutte le pulizie..cerca di farle tutte nella stessa sessione
|
|
#34
14-09-10 18:51
Mi è andata male ancora prima di cominciaremErLoZZo
Stavo finendo di fare una scansione completa con spyware doctor in modalità provvisoria, alla fine mi ha rilevato un trojan con livello di rischio alto e dopo averlo rimosso mi ha chiesto di riavviare...prima ancora di rientrare in windows mi esce la schermata blu di fatal error (STOP: c000021a etc. etc.). Adesso googlando un attimino ho trovato questo link e vedrò di trovare qualcosa che mi serva...decisamente non ho un buon rapporto con i riavvii dopo l'eliminazione di un malware
|
|
#35
14-09-10 18:59
in primis, non avrei usato quel programma, che forse una volta ha fatto qualcosa di buono, le altre in cui l'ho usato, è sempre stato se andava bene inutile
e secondo.. ehm.. fare tutte le scansioni con X programmi per POI andare a riavviare, significa usarne un altro e riavviare subito? non è proprio la stessa cosa, anzi..
|
|
#36
14-09-10 19:34
Nono aspè, non è che ho usato il tool che avevo già sul pc da tempo immemore in sostituzione della tua procedura, anzi. È che per un riavvio del pc mi era già uscita la schermata delle varie modalità di avvio e quindi ho iniziato a vedere (anche un po' per curiosità, lo ammetto) se facendo una scansione completa con le cose che avevo già sarei riuscito a dare già una seppur minima miglioria.
Visto che mi ha trovato un trojan non pensavo che sarebbe stato un crimine toglierlo, anche perchè di lì a poco avrei iniziato comunque la tua procedura (e infatti ho chiesto un parere sulla cosa migliore da fare) e quindi mal che fosse andato (cioè non trovando niente) avrei eliminato lo schifo con gli altri programmi.
Di informatica di sicuro ne sai molto più tu di me, però dando una lettura alla wiki inglese non sembra che il programma che ho usato io sia il male assoluto.
Per il resto ripeto, non prendere quello che è successo come un voler fare di testa di mia ignorando i consigli altrui, perchè fidati è tutt'altro
|
|
#37
14-09-10 19:57
ok, meglio
quella procedura che hai trovato pare abbastanza generica; si sa mai che possa aiutare, ma se fossi io..dopo massimo un'ora a sbatetrci la testa, infilerei il dvd di win..per reinstallare e vafangùl
se vista/seven avessero il RIPARA INSTALL che aveva xp sarebbe una bella cosa!
|
|
#38
14-09-10 20:09
Sì adesso voglio sbollire un po' stando il più possibile lontano dal pc, stasera faccio un po' di tentativi di accesso (finora ho provato solo quello normale e quello provvisorio con rete) e vedo come sono messo.ok, meglio
quella procedura che hai trovato pare abbastanza generica; si sa mai che possa aiutare, ma se fossi io..dopo massimo un'ora a sbatetrci la testa, infilerei il dvd di win..per reinstallare e vafangùl
Se la situazione è davvero critica non mi vengono in mente altre alternative al formattone.
Sempre sia lodato.se vista/seven avessero il RIPARA INSTALL che aveva xp sarebbe una bella cosa!
|
|
#39
19-09-10 14:21
Allora, dopo un po' di giorni rocamboleschi sono riuscito a recuperare un recovery disc di vista (thanks again megaupload) che mi ha fixato i problemi di avvio.
Sto seguendo la procedura di rimozione malware ma il topic di HJT sembra essere semideserto, quindi provo a postare qui il mio log (l'analyzer su internet è down):
Spoiler:
Se qualcuno ci capisce qualcosa è il benvenuto, altrimenti tra un paio d'ore al massimo faccio riavviare il pc a mbam e bona.
|
|
#40
19-09-10 17:34
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.imesh.com/sidebar.html?src=ssb
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
R3 - URLSearchHook: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSoft.dll
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSoft.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
queste sono toolbar che puoi tranquillamente levare dalle palle, potresti anche farlo da programmi e funzionalità; servono a niente e sono troppo spesso presenti quando il sistema è inmerdato... com'è che io non me ne trovo mai di installate non lo so ma vabbè
pulisci tuoutente\appdata\local\temp (a mano cancellando i file dalle cartelle, che son nascoste dico) e fixa queste voci (probabilmente te le fixerebbe mbam al riavvio ma già che siam qui fallo tu)
O4 - HKLM\..\Run: [IAdHideeoxmrwnsca] C:\Users\SANDRO~1\AppData\Local\Temp\owLo.exe
O4 - HKLM\..\Run: [escnorwxamBackWeb6.3.262] c:\users\sandro&angiola\appdata\local\temp\owlo.exe
O4 - HKLM\..\Run: [IAdHideescnorwxam] c:\users\sandro&angiola\appdata\local\temp\owlo.exe
O4 - HKLM\..\Run: [IAdHideBackWeb6.3.262] c:\users\sandro~1\appdata\local\temp\owlo.exe
e anche
O4 - HKLM\..\Run: [SetupInstaller] C:\Program Files\HP\Temp\{448A600B-9BBB-4b2b-9E4C-3F10E03AB8BE}\InstallerSETUP120061.exe
O4 - HKLM\..\Run: [wtsp61msColtecs] C:\Program Files\Common Files\microsoft shared\TRANSLAT\Dictionarieswtsp61ms12.0.4518.1014.exe
usi un traduttore microsoft? questa potrebbe esser buona ma boh, non son sicuro
O4 - HKLM\..\Run: [msb1starWTSP61MS] c:\program files\common files\microsoft shared\translat\dictionarieswtsp61ms12.0.4518.1014.exe
poi altre NOVE entrate caratterizzate dalla presenza di [LvPYPiejlo e dal partire dalle temp
O4 - HKLM\..\Run: [LvPYPiejlozR] C:\Users\SANDRO~1\AppData\Local\Temp\xlasyku9.exe
O4 - HKLM\..\Run: [LvPYPiejlotc] C:\Users\SANDRO~1\AppData\Local\Temp\hexdump.exe
O4 - HKLM\..\Run: [LvPYPiejlsPc] C:\Users\SANDRO~1\AppData\Local\Temp\nvsvc32.exe
O4 - HKLM\..\Run: [LvPYPiejluNb] C:\Users\SANDRO~1\AppData\Local\Temp\ozt8ge2nm.exe
O4 - HKLM\..\Run: [LvPYPiejlq+] C:\Users\SANDRO~1\AppData\Local\Temp\win16.exe
O4 - HKLM\..\Run: [LvPYPiejlqW] C:\Users\SANDRO~1\AppData\Local\Temp\drweb.exe
O4 - HKLM\..\Run: [LvPYPiejlrxc] C:\Users\SANDRO~1\AppData\Local\Temp\spoolsv.exe
O4 - HKLM\..\Run: [LvPYPiejlqb] C:\Users\SANDRO~1\AppData\Local\Temp\winamp.exe
O4 - HKLM\..\Run: [LvPYPiejlotc(Windows; U; Windows NT 6.0; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3] C:\Users\SANDRO~1\AppData\Local\Temp\hexdump.exe
poi ci sono ancora alcune entrare simili sicuramente merdee e anche altre che paiono partire da programmi giusti solo ad una prima occhiata ma in realtà sono eseguibili sconosciuti, quindi ti faccio fixare anche tutta sta merdazza qua
O4 - HKLM\..\RunServices: [BackWebIAdHide] c:\users\sandro&angiola\appdata\local\temp\owlo.exe
O4 - HKLM\..\RunServices: [QuickTimeResourcesQuickTime] c:\program files\quicktime\qtsystem\quicktimestreamingextras.resource s\pl.lproj\quicktimere sourcesquicktime.exe
O4 - HKLM\..\RunServices: [DockPrinter] C:\Program Files\Kodak\Printer Dock\PrinterResource.exe
O4 - HKLM\..\RunServices: [dcprScheduler] c:\program files\java\jre1.6.0_02\bin\kinitdtsocket.exe
O4 - HKLM\..\RunServices: [HPZ01Setup] C:\Program Files\HP\Temp\{448A600B-9BBB-4b2b-9E4C-3F10E03AB8BE}\InstallerSETUP120061.exe
O4 - HKLM\..\RunServices: [wtsp61msColtecs] C:\Program Files\Common Files\microsoft shared\TRANSLAT\Dictionarieswtsp61ms12.0.4518.1014.exe
O4 - HKLM\..\RunServices: [QuickTimeQuickTimeResources] c:\program files\quicktime\qtsystem\quicktimestreamingextras.resource s\pl.lproj\quicktimere sourcesquicktime.exe
O4 - HKLM\..\RunServices: [IAdHideIAdHide] c:\users\sandro~1\appdata\local\temp\owlo.exe
O4 - HKLM\..\RunServices: [dictionarieswtsp61ms12.0.4518.1014] c:\users\sandro&angiola\desktop\virus\dictionarieswtsp61ms 12.0.4518.1014.exe
e più in là
O4 - HKCU\..\Run: [LvPYPiejlozR] C:\Users\SANDRO~1\AppData\Local\Temp\xlasyku9.exe
O4 - HKCU\..\Run: [LvPYPiejlotc] C:\Users\SANDRO~1\AppData\Local\Temp\hexdump.exe
O4 - HKCU\..\Run: [LvPYPiejlsPc] C:\Users\SANDRO~1\AppData\Local\Temp\nvsvc32.exe
O4 - HKCU\..\Run: [LvPYPiejluNb] C:\Users\SANDRO~1\AppData\Local\Temp\ozt8ge2nm.exe
O4 - HKCU\..\Run: [LvPYPiejlq+] C:\Users\SANDRO~1\AppData\Local\Temp\win16.exe
O4 - HKCU\..\Run: [LvPYPiejlqW] C:\Users\SANDRO~1\AppData\Local\Temp\drweb.exe
O4 - HKCU\..\Run: [LvPYPiejlrxc] C:\Users\SANDRO~1\AppData\Local\Temp\spoolsv.exe
O4 - HKCU\..\Run: [LvPYPiejlqb] C:\Users\SANDRO~1\AppData\Local\Temp\winamp.exe
O4 - HKCU\..\Run: [LvPYPiejlotc(Windows; U; Windows NT 6.0; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3] C:\Users\SANDRO~1\AppData\Local\Temp\hexdump.exe
metà delle entrate segnate, dall'analyzer vengon viste come legali ma... se c'è una serie di file sicuramente impestati che parte con le stesse caratteristiche di altri, e con la stessa "firma", c'è buona probabilità che sian merda anche loro..
spero di esser arrivato in tempo con sta analisiiiiiiii
|
|
#41
19-09-10 17:55
Sì non ho ancora riavviato, mi sono aiutato un po' con l'analyzer quando è tornato up e un po' di quelle cose (temp e toolbar soprattutto) le ho già fixate, adesso sto scaricando autoruns ma posso benissimo far ripartire HJT nel frattempo.
EDIT: no non uso traduttori ms, però questo pc è usato da tutta la famiglia (e anche da qualcuno fuori) quindi può darsi che sia stato effettivamente usato.
|
|
#42
19-09-10 19:01
Un paio di domande su autoruns: i programmacci che si avviavano li ho deletati, però ho visto che ho altri programmi che voglio tenere ma che non mi interessa che partano all'avvio (tipo clonecd). Per questi basta spuntare la casella?
Ho visto che alcuni programmi (winrar e zipgenius) si ripetono più volte nelle sezioni di registro, è normale o c'è qualcosa che non va?
Una volta fatto tutto e clicco su salva mi chiede dove piazzare il file .arn, dove lo ficco? (ammesso che lo debba salvare)
|
|
