www.MegaLab.it

[ste_95]

In realtà tu dovresti trovare il valore netsvcs una volta aperta la chiave Svchost, qui uno screenshot:

[Amantide]

Scusate se mi intrommetto, ma ci sarebbe anche un'altra cosa da sistemare:

c:\winnt\system32\drivers\ip6fw.sys ... è mancante !!
c:\winnt\system32\termsrv.dll ... è mancante !!
c:\winnt\system32\comres.dll ... è mancante !!
c:\winnt\system32\mspmsnsv.dll ... è mancante !!
c:\winnt\system32\xmlprov.dll ... è mancante !!

Ora c'è da capire ce questi file sono segnalati come mancanti a causa dell'abbaglio preso da Combofix a causa del SO, oppure perché mancano veramente. In tal caso puoi tentare a ripristinarli in 2 modi: facendo la scansione con un buon antivirus, che oltre a fare le pulizie, ripara anche i file di sistema, oppure abilitare la visualizzazione dei file di sistema e vedere se trovi una copia dei file nella cartella c:\winnt\system32\dllcache per poi copiarlo nella posizione originale.

[ste_95]

Avevo visto quella parte del log ma non sapevo cosa farci, speravo quasi che intervenissi anche tu.

vedere se trovi una copia dei file nella cartella c:\winnt\system32\dllcache per poi copiarlo nella posizione originale.

Da Windows 2000 in avanti ci pensa il sistema a ripristinare i file di sistema dalla cartella dllcache, la funzione si chiama Software File Protection in Windows 2000.

Dare un sfc /scannow dalla consolle?

[Amantide]

Dare un sfc /scannow dalla consolle?

Spero di aver letto bene tutte 5! pagine e mi pare che non avete ancora eseguito la scansione completa anche con un antivirus... ecco, consiglierei prima di fare questa e poi magari vedere anche per sfc /scannow

[giovannino60]

Io ho avast come antivirus e SuperantiSpyware. Vanno bene per quello che mi chiedete, ma come fa un antivirus a ripristinare dei file mancanti?
Cosa faccio procedo con una scansione di avast, cosa devo fare?

[Amantide]

ma come fa un antivirus a ripristinare dei file mancanti?

Più o meno come ha fatto Combofix ad indicare i file mancanti. Praticamente, facendo la scansione, confronta i file di sistema con un indice, e se vede delle mancanze oppure se nota che un file di sistema per le proprie caratteristiche o le diminsioni non corrisponde al file originale, lo sostituisce con un file sano che prelieva dalle cartelle di backup di Windows. Più o meno dovrebbe funzionare così

Intanto prova a fare la scansione completa dalla modalità provvisoria con Avast (anche se non si tratta del mio antivirus preferito), e poi si vedrà.

[giovannino60]

Non posso scansionare con Avast con modalità provvisoria perché mi esce il messaggio che ho inviato in un precedente post:
"Secure engine driver cannot be updates because there......... Reestartnow" si o no se clicco si si riavvia se non rimane fermo. Adesso provo a scansionare in modalità normale.

Allego anche l'immagine di quanto ho fatto con regedit ma non capisco io quei file che mi indicate non li trovo. Qui cosa devo fare mi fermo?

[Amantide]

Ok, vai con la scansione con Avast dalla modalità normale.

Allego anche l'immagine di quanto ho fatto con regedit ma non capisco io quei file che mi indicate non li trovo. Qui cosa devo fare mi fermo?

Ora nella schermata a destra fai il doppio click sulla voce netsvcs, ti si aprirà una finestrella con le varie voci disposte a colonna. Ora tra quelle voci in colonna dovrai individuare ed eliminare le seguenti:

Codice: Seleziona tutto

gfqkd
pvwlxwhs
jxigky
lueanqqiv

Presta molta attenzione a quello che elimini. Poi clicchi su Ok e riavvii il pc.

[giovannino60]

Nel frattempo che finisce la scansione chiedo: mi sono accorto che la computer con windows xp, che forse adesso è pulito da virus, non riesco più a stampare in rete con una stampante laser hp che è collegata con uno switch alla stampante, cosa devo fare? Grazie

[Amantide]

Nel frattempo che finisce la scansione chiedo: mi sono accorto che la computer con windows xp, che forse adesso è pulito da virus, non riesco più a stampare in rete con una stampante laser hp che è collegata con uno switch alla stampante, cosa devo fare? Grazie

Intanto finiamo a ripulire il pc con il win200, per vedere se i 2 problemi derivano dalla stessa causa.

[giovannino60]

Dopo la scansione Avast non è cambiato nulla, Avast non da segni di errore tranne che una serie di file che non riesce a scansionare.
Io non riesco a capire dove sono i file da cancellare nel registro vedi immagine. Grazie

[Amantide]

Da quello che vedo dallo pessimo screenshot da te postato, sei andato a cliccare sulla sottocartella Netsvcs, che si trova sotto al SvcHost. Tu invece devi prima cliccare sulla cartella SvcHost e poi nella scheda a destra cliccare sul valore, e non sulla sottocartella, dal nome netsvcs Nel tuo caso questo è il terzo valore in colonna a destra, contrassegnato dall'icona con le lettere ab di colore rosso.

Già che ho inficcato il naso qui, mi sono messa a rileggere tutta la discussione, compresi i primi log di Gmer, nelle quali noto un bel po' di schifezze.

Per quanto riguarda il pc con XP, ci sono i residui di un vecchio virus:

Codice: Seleziona tutto

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-03-30 14:45 . 2006-03-30 14:45 313472 c:\programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe

2006-10-18 20:23 . 2003-05-05 06:57 143360 c:\programmi\Analog Devices\SoundMAX\bak\SMTray.exe

2006-10-19 05:16 . 2004-06-10 19:10 339968 c:\programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe

2006-10-23 13:43 . 2004-05-10 14:54 49152 c:\programmi\Brother\Brmfl04c\bak\BrStDvPt.exe
2009-08-10 13:39 . 2004-05-10 14:54 49152 c:\programmi\Brother\Brmfl04c\BrStDvPt.exe

2003-09-29 23:14 . 2003-09-29 23:14 155648 c:\programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe

2007-01-27 18:16 . 2007-01-27 18:16 171448 c:\programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
2009-08-10 13:39 . 2007-01-27 18:16 171448 c:\programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

2006-02-19 01:41 . 2006-02-19 01:41 49152 c:\programmi\HP\HP Software Update\bak\HPWuSchd2.exe
2006-02-19 00:41 . 2006-02-19 00:41 49152 c:\programmi\HP\HP Software Update\hpwuSchd2.exe

2006-06-15 07:43 . 2006-06-15 07:43 49152 c:\programmi\HP\ToolboxFX\bin\bak\HPTLBXFX.exe
2009-08-10 13:39 . 2006-06-15 07:43 49152 c:\programmi\HP\ToolboxFX\bin\HPTLBXFX.exe

2006-10-22 06:23 . 2005-11-10 11:03 36975 c:\programmi\Java\jre1.5.0_06\bin\bak\jusched.exe
2009-08-10 13:39 . 2005-11-10 11:03 36975 c:\programmi\Java\jre1.5.0_06\bin\jusched.exe

2007-12-11 15:21 . 2007-09-25 00:11 132496 c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe
2009-08-10 13:39 . 2007-09-25 00:11 132496 c:\programmi\Java\jre1.6.0_03\bin\jusched.exe

2006-10-23 13:48 . 2003-12-01 09:38 892928 c:\programmi\Logitech\iTouch\bak\iTouch.exe

2006-10-23 16:30 . 2003-07-29 22:37 332288 c:\programmi\MemoRex\bak\MemoRexStart.exe
2009-08-10 13:39 . 2003-07-29 22:37 332288 c:\programmi\MemoRex\MemoRexStart.exe

2006-06-21 02:52 . 2006-06-21 02:52 1211176 c:\programmi\Microsoft ActiveSync\bak\wcescomm.exe
2006-06-21 02:52 . 2006-06-21 02:52 1211176 c:\programmi\Microsoft ActiveSync\wcescomm.exe

2006-09-01 14:57 . 2006-09-01 14:57 282624 c:\programmi\QuickTime\bak\qttask.exe
2009-08-10 13:39 . 2006-09-01 14:57 282624 c:\programmi\QuickTime\qttask.exe

2005-06-17 13:52 . 2005-06-17 13:52 1129472 c:\programmi\Salvataggio outlook express\PicoBackupOE\bak\PicoBackupAgent.exe

2007-01-19 07:27 . 2007-01-29 11:07 3718312 c:\programmi\TomTom HOME\bak\TomTomHOME.exe
2007-05-22 15:07 . 2007-03-14 14:52 3770024 c:\programmi\TomTom HOME\TomTomHOME.exe

2001-08-31 11:00 . 2004-08-19 13:39 15360 c:\windows\system32\bak\ctfmon.exe
2001-08-31 11:00 . 2004-08-19 13:39 15360 c:\windows\system32\ctfmon.exe

Se fai caso, tutti questi file eseguibili oltre a trovarsi nella propria cartella d'origine, si trovano anche nella cartella BAK nella stessa posizione. Dovresti prendere il file dalla cartella BAK (uno alla volta) e copiarlo nella suo posizione originale, sovrascrivendo il suo file "gemello". In questo modo dovresti ripristinare il buon funzionamento di alcuni programmi.
Oltre a questo dovresti anche usare AVGRemover per rimuovere i residui di AVG8.

Non ho ancora provato se collegando un disco esterno mi avvisa tramite Avast che ha trovato un worn autorun.it, come è da un mese mi succede, tutte le volte cancellavo il messaggio e tutte le volte che lo collegavo si ripresentava.

Ma hai eseguito le scansioni con McAfee Stinger e Combofix senza collegare gli hard disk e le pennette esterne? Allora è qui che si cela il problema. Inutile ripulire i computer se dopo colleghi HD esterno infetto e reinfetti anche i PC.
Visto che c'è un servizio malevole da eliminare sul PC con Windows 2000, anzichè farti utilizzare l'altra volta Avenger, lo eliminiamo con Combofix.
Allora, prima di tutto collega tutte le periferiche di archiviazione esterni che hai al pc con win2000.
Ora copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.

Codice: Seleziona tutto

File::
c:\winnt\system32\drivers\oreans32.sys

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnOEUNE]

Driver::
oreans32


Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.
Sempre con queste periferiche collegate esegui anche la scansione e la pulizia con McAfee Stinger.

[giovannino60]

Fammi capire tutti i file elencati (cpu windows xp)in verde, versione bak, dove li trovo e come faccio a metterli al posto giusto?

[giovannino60]

Il file che sovrascrivo devo toglire la parola bak?
Ma come faccio a trovarli tutti, con trova file, mi consigli un sistema veloce?
Grazie

[giovannino60]

Ho cercato di sostituire il file ma esce questo messaggio? Vedi immagine.

[ste_95]

Spetta Ama, l'avevo visto, ma se fai caso, hanno tutti la stessa dimensione, quindi lo può fare per pulizia, ma non perché sono malware. Il file del TomTom l'avevo già mosso con Avenger qualche volta fa.

2006-10-23 13:43 . 2004-05-10 14:54 49152 c:\programmi\Brother\Brmfl04c\bak\BrStDvPt.exe
2009-08-10 13:39 . 2004-05-10 14:54 49152 c:\programmi\Brother\Brmfl04c\BrStDvPt.exe

2007-01-27 18:16 . 2007-01-27 18:16 171448 c:\programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
2009-08-10 13:39 . 2007-01-27 18:16 171448 c:\programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

2006-02-19 01:41 . 2006-02-19 01:41 49152 c:\programmi\HP\HP Software Update\bak\HPWuSchd2.exe
2006-02-19 00:41 . 2006-02-19 00:41 49152 c:\programmi\HP\HP Software Update\hpwuSchd2.exe

2006-06-15 07:43 . 2006-06-15 07:43 49152 c:\programmi\HP\ToolboxFX\bin\bak\HPTLBXFX.exe
2009-08-10 13:39 . 2006-06-15 07:43 49152 c:\programmi\HP\ToolboxFX\bin\HPTLBXFX.exe

2006-10-22 06:23 . 2005-11-10 11:03 36975 c:\programmi\Java\jre1.5.0_06\bin\bak\jusched.exe
2009-08-10 13:39 . 2005-11-10 11:03 36975 c:\programmi\Java\jre1.5.0_06\bin\jusched.exe

2007-12-11 15:21 . 2007-09-25 00:11 132496 c:\programmi\Java\jre1.6.0_03\bin\bak\jusched.exe
2009-08-10 13:39 . 2007-09-25 00:11 132496 c:\programmi\Java\jre1.6.0_03\bin\jusched.exe

2006-10-23 13:48 . 2003-12-01 09:38 892928 c:\programmi\Logitech\iTouch\bak\iTouch.exe

2006-10-23 16:30 . 2003-07-29 22:37 332288 c:\programmi\MemoRex\bak\MemoRexStart.exe
2009-08-10 13:39 . 2003-07-29 22:37 332288 c:\programmi\MemoRex\MemoRexStart.exe

2006-06-21 02:52 . 2006-06-21 02:52 1211176 c:\programmi\Microsoft ActiveSync\bak\wcescomm.exe
2006-06-21 02:52 . 2006-06-21 02:52 1211176 c:\programmi\Microsoft ActiveSync\wcescomm.exe

2006-09-01 14:57 . 2006-09-01 14:57 282624 c:\programmi\QuickTime\bak\qttask.exe
2009-08-10 13:39 . 2006-09-01 14:57 282624 c:\programmi\QuickTime\qttask.exe

2001-08-31 11:00 . 2004-08-19 13:39 15360 c:\windows\system32\bak\ctfmon.exe
2001-08-31 11:00 . 2004-08-19 13:39 15360 c:\windows\system32\ctfmon.exe[/code]

oreans32.sys avevo cercato perché non convinceva neanche me, ma si tratta di un driver per Themida, che ogni volta che viene lanciato l'eseguibile principale va a decrittografare il file eseguibile.

[giovannino60]

1) per il computer con windows 2000 per cercare i file in regedit ho fatto come tu mi hai detto, ma quello che esce è quello che vedi, ti allego ancora l'immagine, ci sono solo questi valori e basta;
2) Sempre nel computer con windows 2000, il Superantispyware mi ha trovato per la seconda volta questo "Unclassifed Oreans32 (26 itens)" l'ho cancellato anche un0altra volta, il computer si è riavviato e adesso l'ha trovato ancora.
3) Come faccio a postare delle immagini più nitide se il vostro forum continua a dirmi che sono troppo grandi, io le rimpicciolisco con Photoshop.

[giovannino60]

Scusate ho sbagliato immagine, allego la ricerca dei file per cpu Windows 2000 nella quale non si vedono i file che mi dite di cancellare.

[Amantide]

@ giovannino60
Per favore evita di scrivere come se stessi in chat, una risposta dietro all'altra, ma cerca di aggiornare il tuo ultimo messaggio tramite il tasto Modifica.

Spetta Ama, l'avevo visto, ma se fai caso, hanno tutti la stessa dimensione, quindi lo può fare per pulizia, ma non perché sono malware. Il file del TomTom l'avevo già mosso con Avenger qualche volta fa.

Mi sa che hai ragione, anche perché questi BAK a quanto pare stanno creando un sacco di confussione a giovannino, mentre il problema principale sarebbe altro.

oreans32.sys avevo cercato perché non convinceva neanche me, ma si tratta di un driver per Themida, che ogni volta che viene lanciato l'eseguibile principale va a decrittografare il file eseguibile.

Credevo che almeno Avira (che sia tu che Crazy spacciate come il miglior antivirus) potesse essere attendibile
http://www.avira.com/it/threats/section ... r.boa.html

Comunque giovannino, collega hard disk esterni al pc con windows 2000 e vai avanti con le nuove scansioni sia con Combofix che con McAfee Stinger

[Amantide]

3) Come faccio a postare delle immagini più nitide se il vostro forum continua a dirmi che sono troppo grandi, io le rimpicciolisco con Photoshop.

Prova a caricarle su http://tinypic.com/, anche perché così non si vede proprio niente