| Autore |
 Discussione  |
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 26/09/2006 : 17:54:13
|
no tanks ho tutto quello che mi serve, intanto cominciamo,
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
registry key to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit\
C:\WINDOWS\SYSTEM32\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifierDLLName\ WRLogonNTF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run1\C:\WINDOWS\svchost.exe
files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\Spyware
Terminator\sp_rsdrv2.sys
C:\Programmi\ewido anti-spyware 4.0\guard.sys
C:\WINDOWS\svchost.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente |
 |
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 26/09/2006 : 19:34:31
|
i problemi per noi novizi non finiscono mai!! cancella pure i miei due files perchè ne ho una copia anche io sul mio pc. sei stato molto gentile.
visto che freefilehosting non funziona, hai qualche sito da consigliarmi per postare i log? perchè non posso allegarli direttamente nella risposta?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 26/09/2006 : 20:03:35
|
andread ho già visionato i tuoi log e devi fare ciò che ho postato... |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 27/09/2006 : 19:43:09
|
Citazione:
Messaggio inserito da aris73
andread ho già visionato i tuoi log e devi fare ciò che ho postato...
bene, non so cosa ho fatto ma l'ho fatto!!
forse ti serve sapere che dopo che il computer si è riavviato mi si è aperta una finestra (.txt). io te la posterei ben volentieri ma ne htt*://[www].uploadtemple[.com]/ e neanche freefilehosting funzionano. se vuoi posso mandartelo via mail. fammi sapere
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 28/09/2006 : 17:56:48
|
eeh... come và..??? hai risolto..?? prova apostare un nuovo log di hijack secondo le regole che gli dò un occhiata.. |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 28/09/2006 : 19:22:24
|
direi di sì, sembra che non ci siano più sintomi strani.
questo è il link htt*://[www].uploadtemple[.com]/view.php/1159463883.txt
grazie!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 28/09/2006 : 20:01:25
|
e invece anche se ti sembra migliorata c'é ancora qualcosa, riposta i log di GMER, che mi sa che dobbiamo levare qualcos'altro...
prima di fare tutto utilizza questo htt*://smallbiz.symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99 |
Modificato da - aris73 in data 28/09/2006 20:02:24 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 28/09/2006 : 20:07:00
|
Il problema non è stato risolto, risultano ancora mancanti i processi nel log.
fai questo controllo: start\esegui\regedit ok
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• "Shell"="Explorer.exe"
• "Userinit"="%SYSDIR%\userinit.exe"
Nuovo valore:
• "Shell"="Explorer.exe%spazi vuoti% %SYSDIR%\%parole casuali%.exe"
• "Userinit"="%SYSDIR%\userinit.exe%spazi vuoti% ,%SYSDIR%\%parole casuali%.exe"
attendi altri suggerimente se questo controllo non da esito.
Per i colleghi, penso che la causa sia da imputare a questa voce fixata:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 29/09/2006 : 08:51:04
|
allora:
1)ho scaricato il programma che aris mi ha suggerito e mi ha eliminato un file.
2)posto i log di gmer come da richiesta: htt*://[www].uploadtemple[.com]/view.php/1159512318.txt htt*://[www].uploadtemple[.com]/view.php/1159512351.txt
3)michal, ti devo chiedere di essere un po' più preciso! dopo aver scritto regedit e dato ok mi si apre una finestra contenente tantissime cartelle e files tra cui non riesco a trovare ciò che mi hai detto di cercare; una volta che lo trovo devo cancellare
• "Shell"="Explorer.exe"
• "Userinit"="%SYSDIR%\userinit.exe"
e sostituirlo con:
• "Shell"="Explorer.exe%spazi vuoti% %SYSDIR%\%parole casuali%.exe"
• "Userinit"="%SYSDIR%\userinit.exe%spazi vuoti% ,%SYSDIR%\%parole casuali%.exe"
? Ho capito giusto??
ciao e grazie, andrea |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/09/2006 : 13:51:56
|
una volta aperta la finestra del registro non devi cancellare nulla devi solo verificare seguendo il percorso:
clik su segno+
HKEY_LOCAL_MACHINE\Microsoft\WindowsNT\CurrentVersion\clic sulla cartella Winlogon]
sulla finestra a destra avrai i valori
valore precedente significa quello normale delle chiavi
"Shell"="Explorer.exe"
"Userinit"="%SYSDIR%\userinit.exe"(c:\Windows\System32\userinit.exe)
nuovo valore significa quello che dovresti trovare se modificato dal
virus.
Spero sia chiaro. |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 29/09/2006 : 15:45:36
|
allora, allora...ho trovato le due voci nell'editor
nome: shell dati: explorer.exe
nome: userinit dati: c:\Windows\System32\userinit.exe (per questa chiave non compare %SYSDIR%\userinit.exe)
questo è quanto ho trovato |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 29/09/2006 : 17:40:37
|
| adesso sembra tutto ok dai log, prova a ripostare il log di hijack che forse c'é solo una cosetta da sistemare.. |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 29/09/2006 : 17:47:22
|
| eccolo: htt*://[www].uploadtemple[.com]/view.php/1159544747.txt |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 29/09/2006 : 18:47:06
|
scarica dalla lista programmi sotto di me virit e con ewido, che già hai, aggiornali e scansiona da provvisoria, c'é ancora qualcosa che "maschera" i processi... |
Modificato da - aris73 in data 29/09/2006 18:47:55 |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 29/09/2006 : 19:35:28
|
|
fatto quello che mi hai detto, ti posto il nuovo log: htt*://[www].uploadtemple[.com]/view.php/1159551252.txt |
|
|
|
Discussione |
|
protezione da citofarera
Forum Bloccato
