Iscritto il: ven 12 mag, 2006 11:44 pm Messaggi: 1780
aspetta ancora un minuto che ti do un'altra soluzione
holifay
Oggetto del messaggio:
Inviato: lun 16 ott, 2006 9:35 pm
Iscritto il: ven 12 mag, 2006 11:44 pm Messaggi: 1780
ecco, prova questo: scaricalo ed estrai i due file nell'archivio in una cartella qualunque, poi avvia il file delete.bat
Si apre una finestra di DOS e poi si chiude. Riavvia il PC e guarda se i file sono stati cancellati http://www.mytempdir.com/996525
pear
Oggetto del messaggio: negativo
Inviato: lun 16 ott, 2006 9:46 pm
Iscritto il: mer 27 set, 2006 11:27 pm Messaggi: 189
quei maledetti file sono ancora lì.
e continua a non lanciare HijackThis.
volevo inviarti un log di HijackThis ma chè niente da fare.
grazie
holifay
Oggetto del messaggio:
Inviato: mar 17 ott, 2006 11:26 am
Iscritto il: ven 12 mag, 2006 11:44 pm Messaggi: 1780
Ma quando non ti partono i vari tool, ricevi qualche errore?
Allora prova ancora con queste procedure: le scrivo tutte insieme perchè così quando hai tempo le provi una alla volta, finchè risolvi. Le scrivo in ordine di difficoltà crescente, poi a me non viene più in mente niente
1) La più semplice è ancora quella che hai già provato con AvRunner. So che prima non ha funzionato, ma riprovare non nuoce. Prova ancora. Estrai i due file in una cartella, copia nel file script.txt le scritte in rosso che ti ho detto ieri, poi salva le modifiche e avvia AvRunner.exe
Quando hai finito, incolla in un file che chiamerai fix.reg il contenuto di questo riquadro qui sotto. Salva il file fix.reg e avvialo. Accetta rispondendo OK.
3) scarica icesword ed estrailo in una nuova cartella. Avvialo. troverai una immagine come quella qui sotto:
Clicca a destra sull´icona Process. Nell'elenco dei processi , seleziona insieme quelli che hanno questo nome (per selezionarne più di uno contemporaneamente premi il tasto CTRL):
Poi clicca con il tasto destro sopra uno di quelli selezionati e premi Terminate Process. Quando hai fatto, clicca ancora con il destro e poi clicca su Refresh. Controlla che non siano ancora stati caricati. Eventualmente prova a cancellarli ancora facendo attenzione a selezionarli tutti. Se ne vedi qulcuno che t sembra sospetto, segnati il nome e poi riportalo qui. Dopo che hai terminato i processi, clicca sull'icona a destra Startup. Dall'elenco, cancella questa voce: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ---> hrbh2.exe . Anche qui fai un refresh per vedere se torna. Adesso clicca a destra su l tab Registry. Si apre un editor del registro di sistema. Vai nelle chiavi che ti scrivo qui sotto, aprile e dal pannello di destra cancella il valore che io ti indico con ------->.
Cita:
chiave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run da cancellare nel pannello di destra: ------->lanmon ------->lanjet ------->ibmset ------->1
chiave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon cerca nel pannello di destra la voce AppInit_DLLs. Cliccaci sopra due volte e svuota il suo valore, se contiene qualcosa. Deve essere vuoto.
chiave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run da cancellare nel pannello di destra: ------->hrbh2.exe
Adesso clicca sul tab File in fondo a sinstra. Cerca tutti i file del punto 1 ed eliminali
4) Scarica [url=http://www.fyyre.net/~cardmagic/pages/download_en.html[/url]Darkspy[/url]. Avvialo e troverai una maschera come quella della figura qui sotto. Come vedi ci sono dei tab: Process, File, Registry. vanno usati allo stesso modo di Icesword: il primo per terminare i processi, il secondo per cancellare i file ed il terzo per pulire il registro di sistema dalle chiavi di avvio
5) Scarica la nuova versione beta di GMER: http://www.gmer.net/gmer112beta.zip- Estrai il file dall'archivio e mettilo in una cartella. Rinominalo abc.exe Adesso apri una finestra di DOS e portati su quella cartella. Digita nella finestra di DOS: abc.exe -startsafe. Poi riavvia il PC. Al riavvio, invece di wondows, dovresti trovare un'immagine come questa: Clicca sul pulsante files, in basso a destra e naviga fino ai file del punto 2. Trovali e cancellali tutti. Poi clicca sul tab cmd. Seleziona il bootone regedit.exe e nel box nero in alto, incollaci il contenuto di questo riquadro qui sotto. Quando l'hai incollato premi RUN e poi accetta le domande premendo OK:
6) Se tutti i metodi visti sopra non vanno, allora scarica NTFS4DOS. Segui le istruzioni del link. Quel tool serve per creare un disco di boot per cancellare i file dai sistemi NTFS, facendo il boot da DOS invece che da windows. In questo modo i file infetti che devi cancellare non saranno caricati. Devi andare manualmente nelle cartelle e cancellarli uno per uno. Non dimenticarne nessuno, altrimenti al prossimo riavvio potresti ritrovarteli.
7) Stacca l'hard disk e collegalo ad un altro PC. Avvia quel computer e fai una scansione antivirus di questo hard-disk infetto, poi cancella i file residui manualmente
Ciao
pear
Oggetto del messaggio: novità
Inviato: dom 22 ott, 2006 1:49 pm
Iscritto il: mer 27 set, 2006 11:27 pm Messaggi: 189
non ho fatto in tempo a provare le tue operazioni ... guarda cosa è successo
5. per la nuova versione beta di GMER non ne aprliamo proprio, nel senso che appena clicco sul link mi si chiude immediatamente I.E.
6. infine sul passp 6, ho un problema di base, il mio notebook non ha il floppy.
infine, l'unico che ha sempre funzionato per poterti dare un log e comprendere la situazione era systemscan. ora l'ho provato, ma non ti dico cos'è successo...vedi foto
come vedi mi ha generato una serie di files e cartelle che sicuramente saranno ulteriori schifezze che mi ha caricato il maledetto.
P.S. non sò più dove andare a parare. ho pensato anche di formattare, ma significherebbe dargliela vinta. per cui finchè mi darai una mano, farò qualsiasi tentativo, per principio, poi se ti sarai giustamente stancato, dovrò inevitabilmente abdicare.
grazie sempre e comunque infinitamente.
Ultima modifica di pear il dom 22 ott, 2006 2:45 pm, modificato 1 volta in totale.
Clicca con il tasto dx del mouse sulla cartella Smitfraudfix.io e nel menu che compare su Estrai tutto. Indica una cartella permanente su cui estrarre i file. >Avanti>Visualizza i file estratti>Fine.
Clicca due volte sulla cartella Smitfraudfix e poi su Smitfraud.cmd (o Smitfraudfix se le estensioni dei file non sono visibili) nella cartella successiva.Premi un tasto per continuare e nella schermata successiva scrivi 1 per indicare il comando Search e poi premi il tasto Invio.Al temine delle operazioni ti appare un messaggio di riepilogo.
Riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Apri di nuovo il programma Smitfraudfix, clicchi su un pulsante per continuare e nella seconda schermata selezioni l’opzione 2 Clean<safe mode raccomanded> e poi Invio per iniziare le operazioni.Il programma chiede se intendiamo ripulire il registro: rispondi di sì premendo la lettera Y e poi Invio.Al termine salva il rapporto di scansione e allegalo nel forum.
Luke57
Oggetto del messaggio:
Inviato: dom 22 ott, 2006 2:51 pm
Iscritto il: ven 01 set, 2006 6:41 pm Messaggi: 14
@amvinfe
Ciao, non avevo visto che avevi già risposto
pear
Oggetto del messaggio: per ora attendo
Inviato: dom 22 ott, 2006 2:58 pm
Iscritto il: mer 27 set, 2006 11:27 pm Messaggi: 189
non ho eseguito il suggerimento pe rora di Luke57, poichè stò seguendo amvinfe in pvt, anche se per ora anche lì qualche difficoltà.
ma certo cari amici che questo è proprio tremendo.
non ho parole per ringraziarvi er la vostra disponibilità.
sempre grazie.
Iscritto il: mer 27 set, 2006 11:27 pm Messaggi: 189
anche la tua procedura mi dàerrore, non saprei dove postare l'errore ditemi voi.
visto che quà mi sembra che stò maledetto segua tutto ciò che faccio
grazie
pear
Oggetto del messaggio: errore ecco il log
Inviato: dom 22 ott, 2006 3:28 pm
Iscritto il: mer 27 set, 2006 11:27 pm Messaggi: 189
ecco il log
SmitFraudFix v2.112
Scan done at 16.06.14,59, 22/10/2006
Run from C:\Documents and Settings\Pasquale\Desktop\Antispireware\problema da risolvere\Tutto quello indicato dal sito suspectfile.com\smitfraudfix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\desktop.html FOUND !
C:\WINDOWS\xpupdate.exe FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\dlh9jkdq?.exe FOUND !
C:\WINDOWS\system32\kernels8.exe FOUND !
C:\WINDOWS\system32\qvxgamet?.exe FOUND !
C:\WINDOWS\system32\taskdir.exe FOUND !
C:\WINDOWS\system32\taskdir~.exe FOUND !
C:\WINDOWS\system32\vxgame?.exe FOUND !
C:\WINDOWS\system32\vxgamet?.exe FOUND !
C:\WINDOWS\system32\zlbw.dll FOUND !
Non puoi aprire nuovi argomenti Non puoi rispondere negli argomenti Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi inviare allegati
Iscriviti
Login
FAQ
Cerca
