| Autore |
 Discussione  |
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 23:01:58
|
Operazioni fatte:
- eseguito services.msc con successo
- spuntato la disattivazione ripristino di sistema
- riavviato
- non trovato alcun file wauclt.exe
- fatto regedit: nessun kernel32, ma si' un nvctl.qualcosa che, memore (o esasperato!), ho preso l'iniziativa di cancellare
- fixate le voci indicate
La finestra pop up nella barra delle appliczioni Rimane, costante.
Aggiungo una cosa che non avevo detto.
Se accedo in modalita' provvisoria come amministratore e non come "die lights", mio account,
la suddetta finestra NON compare.
Ho lanciato in provvisoria anche ETRemover aggiornato.
Mi da un messaggio che dice che non puo' accedere ad un file xche' usato da un altro processo chiamato DFSAIB.TMP
e mi chiede se voglio S/N fare una cosa che io,
si, certo che la voglio fare.
Poi mi dice che una tale elitetoolbar dovrebbe essere stata rimossa dal mio sistema.
Ma al riavvio tutto rimane uguale.
Ora torno in provvisoria faccio regSeek che avevo scordato e poi posto un log.
|
 |
|
|
n/a
deleted
1470 Messaggi |
 Inserito il - 17/01/2006 : 23:13:03
|
Disabilita il ripristino di sistema
Clik col Dx del mouse su risorse del computer-proprietà-ripristino di configurazione e metti la spunta su disabilita ripristino.
Svuota il cestino,i file temporanei e i cookies.
Riavvia,e ripeti l'operazione al contrario(togli la spunta e riattivi il ripristino).
Così dovresti risolvere |
|
|
|
generalmente no
Junior Member
55 Messaggi |
 Inserito il - 17/01/2006 : 23:36:24
|
Fatto tutto.
La finestra pop up persiste.
Solo due domande:
"creare un punto di risristino" e' equivalente a togliere la spunta nella finestra proprieta'?
e poi : perche' se accedo in provvisoria come amministratore non compare il maldito pop up?
Intanto ecco qui il log.
Alexsandra se 'sto virus si toglie ti regalo il mio computer. :)
Logfile of HijackThis v1.99.1
Scan saved at 23.34.10, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\VVIRIT\MONLITE.EXE
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InfoMyCa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WUSB54Gv4] C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VVIRIT\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 18/01/2006 : 13:50:40
|
e' un problema di configurazione di IE.
In XP SP2 il blocco dei pop up viene attivato per default,comunque controlla
Apri Internet explorer,vai sul menù Strumenti,la 2° voce del menù a discesa è"Blocco popup",vacci sopra e a fianco ti compare un'altro menù, scegli "Blocco popup" (come ti ho detto per default è già attivato se lo è trovi "Disattiva blocco popup" e "impostazioni blocco popup")
Se non lo hai attivo clicca su "attivare Blocco popup",altrimenti clicca su "Impostazioni blocco popup" nella schermata che ti appare vedi a che siti hai concesso di eseguire i popup,devi solo negare al sito che ti manda il popup di farlo(nel box centrale "siti a cui consentire i popup" clicca su "Rimuovi tutti".Poi vai in fondo al box e trovi "Livello filtro" fai clik sopra e impostalo su "Alta"
Start-pannello di controllo-opzioni Internet
Nella schermata che ti appare nella linguetta "Generale" imposta la pagina iniziale (es. [www].google.it)(ti manca nel log)
per ulteriori configurazioni ti rimando a questa pagina htt*://support.microsoft[.com]/default.aspx?scid=kb;it;843015
Inoltre sempre in opzioni internet alla linguetta "protezione" clicca su livello personalizzato e accertati di avere tutte le voci ActiveX e script ActiveX (sono le prime) su "Disattiva" puoi accettare solo la voce (clicca su "Attiva") "....con firma elettronica" (è 1 sola). con queste impostazioni i popup spariscono,io fossi in tè installerei Firefox,ma consigliare software è sempre molto soggettivo.
Prova queste impostazioni,il log è pulito,hai delle voci inutili in avvio ma non ti creano problemi. |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 18/01/2006 : 14:40:50
|
Alexsandra, forse non ho usato i termini corretti, mi spiego meglio:
dalla scomparsa di mssearchnet.exe non si aprono piu' finestre pop up di IE durante la navigazione.
Quello che proprio non si toglie e' un avviso giallino (fatto per intenderci a mo'di fumetto...) che compare da un'iconcina sulla barra delle applicazioni in basso a destra.
L'iconcina e' omparsa con il virus e "mima" quella di Windows, alternandosi con una crocetta rossa e dice: "Your computer is infected!" (e altre righe) Cliccandoci su porta ad un sito di anti-spyware fantomatici. |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 18/01/2006 : 16:47:03
|
Sono i file temporanei
riavvia in provvisoria (F8 al boot) e vai quì Start-Esegui e digita cmd dai invio e sei nel prompt del dos
digita questo comando
deltree /y c:\windows\tempor~1
dai invio e riavvia il sistema oppure usa Questo
PS. quel simbolo prima di 1 è Tilde lo ottieni tenendo premuto il tasto Alt e digitando 126 sul tastierino numerico |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 18/01/2006 : 17:01:20
|
Ok ora lo faccio.
Ma mentre mi apprestavo, chiudo la finestra di IE e mi ritrovo sul desktop una delle icone di quel fantomatico anti-spyware e nel menu' start la reltiva voce (scelto delle 3 la disinstallazione).
Nel taskmanager non vedo comunque mssearchnet.exe.
Ora provo e ti dico. |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 18/01/2006 : 17:20:13
|
Brutta roba.
Faccio per postare un msg e IE si chiude.
Capisco che e' tornato.
Control alt canc mi dice che si', e' tornato.
mssearchnet.exe
Ca**o.
Improvvisamente Virit lo riconosce, ma dice che non riesce a toglierlo.
In modalita' provvisoria avevo fatto alt 126 ma la tilde non esce (manco in mod.normale).
Forse perche' e' un portatile e non ha un "tastierino numerico" ma solo i numeri in "doppia fila" in alto?!
Intanto mi hnno appena invitato a un casino'... |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 18/01/2006 : 17:56:45
|
sempre da modalità provvisoria prova questo: ETRemover_v212 e : Ciao e auguri, scarica Ewido Security Suite htt*://[www].ewido.net/en/download/ e CCleaner ultima versione da qui htt*://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
Installa ewido security suite
Lancia ewido, doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Una volta che l'aggiornamento sarà completato :
disattiva ripristino configurazione di sistema
Riavvi il sistema in modalità provvisoria
Avvia Ewido. Click su scanner Assicurati che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
proviamole tutte!!! |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 18/01/2006 : 18:31:25
|
E allora proviamole tutte!
(al casino' non avevano rubamazzetto e cosi' me ne sono andato)
Ho rifatto tutte le operazioni consigliatemi da Alexsandra e Lollo in precedenza, con la differenza che stavolta ho trovato kernel32.dll nel regedit (...explorer/run) e l'ho cancellato.
Scasionato con Adaware (trovati 8 elementi e cancellati), Spybot(trovato un Vcodec, cancellato), ETR utlima versione, VirIT (cancellato una chiave di registro), CCleaner, Regseeker.
Cosa strana: in provvisoria ho cancelato manualmente nvctrl.exe ma non c'era mssearchnet.exe (l'aveva forse tolto Virit pur dicendo di non averlo rimosso?)
Riavviato in modalita' normale mssearchnet.exe non appare.
Apare invece la solita finestrella nella Tray. (Ho trovato il modo per lo meno di nasconderla, ma e' un po' come travestirsi da struzzo...)
Intanto qualcuni sa dirmi come si fa la tilde su un notebook?!
Mo'scarico pure l'ultimo che m'ha detto Lollo, cosi' faccio l'en plein. |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 18/01/2006 : 19:18:13
|
| aspetto notizie su questo: Intanto qualcuni sa dirmi come si fa la tilde su un notebook?! non so aiutarti.... |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 18/01/2006 : 20:13:44
|
Alle 20 di oggi, dopo due giorni e mezzo di lotta,
pare per la prima volta che ce l'ABBIAMO FATTA!
Incredibile, non sembra vero, mentre carica la tray vederlo smettere senza che appaia l'odiata finestrella gialla!
Questo EWIDO, e' stato lui il salvatore meccanico.
Quelli invece umani siete stati Alexsandra e Lollo.
Il suddetto programma, dopo 80 minuti e 1 secondo di scansione
trova ed elimina 10 file, la maggiorparte .tmp.
Posto di seguito il rapporto finale, nel caso possa essere utile a qualcuno o per semplice curiosita'.
Ingiusto, chiamare "fado" un file malevolo, ingiusto!
---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------
+ Creato il: 20.06.11, 18/01/2006
+ Report-Checksum: B778CE7B
+ Risultati scansione:
[728] C:\WINDOWS\system32\wiatwain.dll -> Not-A-Virus.Hoax.Win32.Renos.at : Pulito con Backup
C:\WINDOWS\system32\1024\ldFAD0.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\1024\ld48DD.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\1024\ld6973.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\1024\ld2972.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\1024\ld62B8.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\1024\ld54AD.tmp -> Downloader.Zlob.dd : Pulito con Backup
C:\WINDOWS\system32\wiatwain.dll -> Not-A-Virus.Hoax.Win32.Renos.at : Pulito con Backup
C:\Documents and Settings\die lights\Cookies\die lights[ presso ]statcounter[2].txt -> Spyware.Cookie.Statcounter : Pulito con Backup
C:\Programmi\Save -> Adware.SaveNow : Pulito con Backup
::Fine Rapporto |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 19/01/2006 : 16:53:52
|
 ce l'abbiamo fatta!!! |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 19/01/2006 : 16:59:47
|
Non mi fido tanto "Pulito con backup" nel senso che ti ha sì pilito il sistema ma di quel "Backup" non mi fido.
Scarica CCleanerse non lo hai.
Avvia in provvisoria, visualizza file e cartelle nascosti (vai in start-impostazioni-pannello di controllo-opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK.(per il tuo problema non sarebbe necessario,ma meglio esagerare nelle precauzioni)
Poi lancia CCleaner (lascia le impostazioni di default, vai in opzioni-avanzate, lascia la spunta a backup ,a "chiedi backup delle voci di registro" e togliela a "cancella file windows solo se più vecchi di 48 ore") così elimini i file temporanei di windows, quelli di IE, cookies, cestino.
Finita la scansione ,disabilita il ripristino di sistema (clik col Dx su "Risorse del computer" - proprietà,clic sulla linguetta "ripristino configurazione di sistema" e metti la spunta su "disabilita ripristino di sistema".
Riavvia e ripeti l'operazione al contrario (lo riattivi) e crea un nuovo punto di ripristino (Start-programmi-accessori-utilità di sistema-ripristino configurazione di sistema) clicca sulla voce "crea nuovo punto di ripristino. |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 22/01/2006 : 16:26:19
|
Eseguiti anche gli ultimi "lasciti" informatici.
Dal giorno della Waterloo virale comunque nessun problema si era piu' presentato.
Mozilla aveva sostituito IE, Norton detronizzato e sostituito da un ombrello e una orgogliosa E gialla campeggia nella tray.
Grazie di nuovo.
(soprattutto per la chiarezza delle indicazioni, non facile da trovare presso certi ambienti)
Una piccola domanda che non c'entra: sapete se le barre che visualizzano pubblicita' pagandoti per questo(tipo "euro barre") creano problemi o installano spyware et similia?
Ewidamente,
dav.
|
|
|
|
Discussione |
|
ancora mssearchnet.exe!
Forum Bloccato
