| Autore |
 Discussione  |
|
|
Andreuccios
New Member
39 Messaggi |
 Inserito il - 12/07/2006 : 23:34:48
|
Beh, questa volta voglio dichiarare GUERRA TOTALE ai virus del mio PC e ho bisogno di voi.
Ho letto un pò il forum e mi sono reso conto che siete gentili oltre che ferrati e se si tratta di portare pazienza per avere le vostre risposte lo farò con piacere!
Eccomi qui, ho un portatile aziendale (Win 2000) con un programma potente installato e non avendo alcuna voglia di perderlo, spero di non dover formattare tutto.
L'antivirus installato dalla mia ex azienda è il VirusScan Enterprise 7.0.0 McAfee Security.
Sto maledetto non mi permette nemmeno di scaricare l'ultima versione di HijackThis perchè me lo cancella appena lo estrapolo con winzip, prendendolo per un virus!
Perciò vi posto il link con il log file della versione 1.99.0
htt*://freefilehosting.net/?id=rdn1kqra/A==
Vi racconto cosa succede.
Anzitutto mi collego con un Motorola E1070 tramite UMTS dalle 17 alle 9 di mattina.
Finisco una ricerca tramite google su un sito di nome RapidShare.De che permetterebbe di scaricare (ma me non lo ha mai permesso infatti è un sito di m..) dei file zippati e mentre cerco di uscire senza nemmeno toccare un link di quel sito, l'antivirus mi segnala che nel mio pc è entrato il maledetto NEWWIN32 e che non ha potuto cancellarlo, ma l'ho ha messo in quarantena.
Non mi scompongo, ma dopo 5 minuti di navigazione normale, mi salta il collegamento e non riesco più ad accedere ad internet.
Quando premo sull'icona con il telefono infatti il pc invece di aprirmi la pagina con la user e la password ed il numero con il quale mi voglio collegare, semplicemente mi dice "Motorola UMTS Tim (il nome con cui avevo nominato il collegamento) Cannot Be Found".
Il problema è piuttosto serio perchè per un ben non precisato motivo (se ne sapete qcsa aiutatemi!!) il pc andando su Connessioni di rete e Dial-UP nelle impostazioni mi impedisce di creare una nuova connessione, per cui non riesco nemmeno a ricrearmi una nuova pagina di attivazione.
Avevo il collegamento che facevo con libero, ho rinominato il tutto per collegarmi con il Motorola, ma dopo 5 minuti il pc mi ha disinserito anche quella, cercando di far comporre al cellulare alcuni numeri 899!!
Nel frattempo in quei 5 minuti di vita buona mi sono scaricato ed installato uno spyware su internet trovato tramite Google di nome XoftSpySE con in foto un ghepardo.
Il risultatlo è NULLO, mi dice che ho un sacco di schifezza dentro il pc, ma dovrei PAGARE per poterle cancellare.
Vado subito ad installarmi AntiVir e scarico anche Avira la versione aggiornata.
Dopo di che è il casino!
Mentre sto installando Avira, Luke Firewalker mi segnala l'entrata di un dangerous virus di cui non ricordo il nome e lo cancello, ma quando vado ad effettuare il reset del pc per l'installazione con successo di Avira, il pc si apre con una LENTEZZA DISARMANTE!
Poichè l'Hard Disk C è praticamente pieno, ho pensato fosse questo il motivo, così ho provato a passare una cartella di un gigaemezzo da C a D, ma per copiarmi 4 file ci mette un secolo.
Non posso più collegarmi.
Inoltre appena si apre la pagine iniziale del desktop (dopo circa 5 minuti di attesa) mi appare un finestra titolata Indicator ed in basso "Aplication is already running" eppoi un'altra con titolo fwers (se non mi sbaglio) ed in basso codice di errore c000019 Do you want to continue? (un pò come ricordo non prendetmi alla lettera!).
Sono pronto a fare TUTTO ciò che mi dite PASSO DOPO PASSO, ma vi prego di usare un linguaggio terraterra perchè non ci capisco nulla.
Avevo provato ad usare deletedr, ma non è accaduto nulla non riesco nemmeno a trovare i flie che dovrei cancellare perchè nella cartella AppPatch di WINNT non c'è una cartella PATCHES!
Ultima annotazione..
Con CTRLALTCANC in Processi "System Idle Process" è a 99 e ballonzano sopra e sotto il System, CSRSS.exe, LSASS.exe.
Non so se riesco ad esser più chiaro di così.
Sto impazzendo e non ci capisco un tubo, ma voi chiedete e se vi capisco ripsondo con piacere.
Mi collego fortunatamente dal pc fisso di casa ed alle 17 di domani controllo se mi avete risposto.
Per ora rimango qui altri 10 minuti se qualcuno si fa vivo rispondo subito!
GRAZIE A TUTTI ANTICIPATAMENTE!
|
|
|
Andreuccios
New Member
39 Messaggi |
Inserito il - 12/07/2006 : 23:43:34
|
| aggiungo inoltre che ho provato ad utilizzare l'ultimo aggiornamento di adawarese ma non è servit proprio a niente.. |
 |
|
|
Andreuccios
New Member
39 Messaggi |
Inserito il - 12/07/2006 : 23:50:36
|
| la dicitura esatta è: TITOLO: fwenc ed in basso codice di errore c000019 con il do you want to continue? Premere Yes or No non cambia nulla sempre lentissimo rimane. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 13/07/2006 : 01:10:28
|
Ciao e benvenuto, visto che siamo di fretta andiamo con calma (un "casino" in più ti farebbe perdere altro tempo..)
In primo luogo disattiva (o disinstalla) gli antivirus in più, uno basta (se è buono), di McAfee Security ho sentito parlare abbastanza bene, quindi visto che c'era di origine lascia quello, il SO è il Win2k, un'ottima piattaforma, senza troppi ghiri-gori e molto stabile, il McAfee Security credo ti fornisca pure il firewall, quindi non installarne altri (i conflitti che rischiano di crearsi sono controproducenti, rischi un effetto contrario a quello desiderato), andiamo a svuotare i files temporanei, tanto per liberare spazio:
In Internet Explorer, strumenti, opzioni internet, generale, cancella cookies e pagine salvate (valida la casella "contenuto non in linea"), sarebbe buona norma anche liberarsi dell'index.dat, per fare questo crea una cartella su D: (visto che c'è..), nominala "InternetTemp", poi, sempre da opzioni internet, generale, impostazioni, trovi una finestra che ti indica il percorso della casella attuale, fai sposta cartella, indicagli la nuova (che hai creato si D:) e valida, per la dimensione da allocarci indicagli 50 Mb, più che sufficiente, il PC chiuderà la sessione e dovrai rifare il login, normale.
Ora direzione cartella Winnt, all'interno c'è una cartella Temp, aprila e svuota tutto il contenuto (NON LA CARTELLA  ), svuota il cestino, con questo dovresti già aver ritrovato un pò di spazio, ci sono altri trucchi, ma ora meglio occuparci del problema.
Dal log che hai postato non vedo troppo disastro, ho visto di peggio, quindi calma e sangue freddo, in primo luogo un bel backup del registro (caso mai ci piantiamo pure noi...):
Start -> esegui, digita: regedit, si apre la finestra del registro di sistema, ora vai su: Files -> esporta, si apre una seconda finestra che ti permette di scegliere un percorso dove salvarlo, controlla che in basso sia validato "tutto", dagli un nome (io uso la data, cioè 11-07-2006) e dai l'ok, lo so che ora è (forse) infetto, ma se togliamo roba che non si deve potremo recuperarla...
Ci sono diversi processi che non mi convincono molto, ma non sono un esperto in materia, quindi ti farò rimuovere solo alcuni, domani altri ti daranno una mano più "specializzata", queste a mio avviso sono da fixare (a meno che tu non conosca cosa sono):
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - htt*://messenger.msn[.com]/download/msnmessengersetupdownloader .cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = atrema.deloitte[.com]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = atrema.deloitte[.com]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = it.deloitte[.com],atrema.deloitte[.com],deloitte.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = atrema.deloitte[.com]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = it.deloitte[.com],atrema.deloitte[.com],deloitte.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = it.deloitte[.com],atrema.deloitte[.com],deloitte.it
La prima si rivolge a MSN, le 017 se non fanno parte del tuo lavoro (o di altro che conosci) sono da eliminare.
ce n'è una che sembra una chat:
O4 - Startup: C6 Messenger.lnk = C:\Program Files\C6 Messenger\c6Messenger.exe
se non la usi devi disinstallare il programma (start - > pannello di controllo -> installazione applicazioni) e controllare in seguito che la chiave sia sparita, altrimenti la fixi con hijack.
Per il resto non vedo roba pericolosa, forse inutile, ma vedremo dopo.
Sarebbe buona cosa tu riuscissi a fare la scansione con la versione attuale di HijackThis, se l'antivirus scatta (forse perchè ne hai più di uno installato..), scollegati da internet, disattiva l'antivirus e scompattalo, in seguito lo riattivi, con la nuova versione si va più tranquilli, ma il files devi OBBLIGATORIAMENTE scaricarlo da qui:
htt*://[www].majorgeeks[.com]/download3155.html
roba di essere sicuri che l'allarme non fosse reale e cadiamo dalla padella alla brace...
Una volta fatto tutto questo controlla un attimo l'andamento delle cose (devi riavviare il PC prima), se vedi che lavora meglio siamo sulla buona strada, nel caso si "impalli" ancora con la CPU a fondo, nel task manager (alt+ctrl+del), in Processi, cerca il programma responsabile (cioè quello che ti sta caricando la CPU a fondo), hai 4 colonne:
programma - utente - uso CPU - utilizzo memoria
li stà la chiave...
Hai detto chi il disco C: era pieno zeppo, questo al SO non piace per niente, esegui pure questa operazione:
Start -> pannello di controllo -> sistema -> avanzare -> prestazioni -> impostazioni -> avanzate -> memoria virtuale -> cambia
Ora, di difetto, è impostata in C:, basta selezionare la partizione D: e validare la casella "dimensioni personalizzate", inserire i valori in minimo e massimo (minimo equivalente alla quantità di Ram reale che abbiamo, massimo equivalente o inferiore al doppio, non scendere sotto i 256 Mb di minima o salire sopra i 2 Gb di massima), valida con "imposta".
Ora torna su C: e spunta la relativa casella "nessun file di paging", valida con "imposta" e riavvia il sistema, al riavvio ti troverai una buona quantità di spazio libero supplementre su C: (pari al valore minimo impostato anteriormente su C:).
Fatto questo deframmenta il disco C:, se il programma di Win (defrag) non riuscisse a portare a termine il lavoro prova prima a liberare un massimo di risorsa (chiudi tutti i programmi inutili e togli lìimmagine di sfondo se c'è), se ancora persiste (e a volte succede..) io uso Raxco Perfect Disk, è un trial che dura 30 giorni, se poi ti convince lo puoi pure acquistare, tutto sommato è ottimo.
Se dopo queste operazioni vedi che comincia ad andare meglio rifai un backup del registro (ti ho dato i passi più su), in seguito scaricati questo software: CCleaner.
htt*://[www].ccleaner[.com]/
Pulisci il registro ed i files temporanei, dovrebbe sentirsi meglio..
Ci sentiamo alla prossima puntata.
Ciao.
|
Modificato da - Yves in data 13/07/2006 03:00:26 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 13/07/2006 : 11:10:42
|
| quoto yves, con quello che t'ha consigliato dovresti risolvere i tuoi problemi... |
|
|
|
Andreuccios
New Member
39 Messaggi |
Inserito il - 17/07/2006 : 01:25:31
|
Eccomi qui!
Scusate per l'assenza, ma ho avuto tanto da fare.
Innanzitutto devo dire GRAZIE.
Grazie perchè la cura con cui sono state scritte le cose merita davvero un ringraziamento particolare e si nota subito la voglia di risolvere il problema.
Cominciamo col dire che Avira ha impallato il pc, per cui disinstallato Avira, risolto il problema.
Poi ho notato che eseguendo minuziosamente, dato che minuziosamente il tutto è stato scritto, il pc è molt più VELOCE DI PRIMA.
Ovviamente NON ho fixato quei dati che mi avevi detto, perchè sono programmini dell'ex azienda, ma il resto è andato a buon fine.
I problemi sono "rimasti" due.
Cominciamo:
1) Il sistema operativo è in inglese è questo comporta una scocciatura immane.
Il pc non mi permette di creare una nuova connessione internet ed essendo tutto in inglese non capisco nemmeno dove avventurarmi per ad esempio provare a crearne una nuova "forzando" qualche opzione.
Sembra che tutto sia rigidamente chiuso da protezioni aziendali.
Non riesco ad agire sul gagliardo antivirus, perchè è tutto bloccato e c'è bisogno di una password (che ovviamente NON HO!!) per sbloccare le operazioni manuali dell'antivirus.
Chessò non posso nemmeno disattivarlo!
L'unica cosa che mi permette è di fare gli update su internet.. capito i bastardoni?!
Tutto ciò comporta un altro problema...
2) Se non riesco ad andare su internet come posso sapere se il pc ha ancora il virus che mi resetta la connessione e cerca di attivarmi al 899??!
E' assurdo come andando su connessioni, sulle opzioni a sinistra si evidenziano gli altri comandi, ma "MAKE NEW CONNECTION" rimanga in grassetto e non ci si può cliccare.
Casulamente ne ha generato un'altra (che il virus mi ha comunque annullato dopo 5 minuti di connessione) grazie alla chat c6 che appena installata ti dice se vuoi connerti con tin.it e forse rispondendo si mi ha aperto una nuova connessione.
Da quando ho preso il virus però il bastardo c6 che prima mi rompeva ad ogni esecuzione ora CHE MI SERVE non me lo chiede più!!
ASSURDO!
Sono qui tutto orecchi!!
Thanks a lot!! |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 17/07/2006 : 08:35:33
|
Ok, bon, un passo avanti è stato fatto, ora però bisogna cercare di capire come è realmente la situazione dell'account, con molte probabilità ci devono essere limitazioni di rilievo su quello dell'user (account utente..),se non hai la password di "root" è un bel disastro, sui sistemi "NT" rimuoverlo è una cosa abbastanza complicata e molto delicata...un errore e ciao bella, perdi tutto, questo è solo per dirti che ti consiglio di fare un backup dei tuoi dati prima di cimentarti nell'operazione di "sblocco", masterizza un pò di CD, non si sà mai..
Quando mi parli di "ex azienda" credo tu voglia farci capire che "non ci lavori più", quindi inutile dirti di entrare in contatto con il "sys admin" per avere le password, molto probabilmente non te le darà, ma sarebbe la cosa più sicura (almeno la password di "Administrator"..).
Per accedere a quell'account, sul sistema Win2k, alla schermata di login devi premere due volte su "alt"+"ctrl"+"canc", alla schermata che si apre devi inserire come utente "Administrator" e la sua relativa password.
Essendo abbastanza evidente che non ce l'hai, vediamo se riusciamo a tirarla via:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=3836&SearchTerms=,resettare,password
Qui trovi info, vai al 7° post, leggi con attenzione i passi che spiga il sito del link (il primo, dove scarichi il software), ti dico già che non ho avuto la necessità di provare, quindi a tuo rischio e pericolo, e per questa ragione fai un backup prima .
Una volta che hai l'account Administrator accessibile, reimposta la sua password (cioè ne crei una), in seguito vedi se puoi mettere il tuo account come admin, se si se ne vanno le limitazioni e sei a posto, altrimenti crei un account utilizzatore "non limitato", trasferisci tutti i tuoi documenti sopra, quando sarai sicuro che tutto funziona a regola d'arte potrai cancellare il primo.
Ora per il linguaggio ci sono due soluzioni, ma non gratuite...
La prima è reinstallare un SO di sana pianta di qui tu possieda una licenza, la seconda è avere il "MUI" (che non è gratuito..) della M$ per poter impostare una (o più) lingua/e al SO:
htt*://msdn.microsoft[.com]/library/default.asp?url=/library/en-us/intl/mui_MUI.asp
Credo che la seconda sia più cara della prima.
Ciao. |
|
|
| |
Discussione |
|
|
|
ADESSO BASTA! CHIAMO GLI ACCHIAPPAFANTASMI!!
Forum Bloccato
