Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Log hijackthis per c:\windows\sdrive

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Log hijackthis per c:\windows\sdrive

Messaggioda bandrew » sab ott 20, 2007 9:36 am

Posto il log di HijackThis perché ci sono alcune cose sospette e vorrei capire quali sono e cosa fare.
Il problema è il messaggio che compare all'avvio:
"Impossibile trovare il file c:\windows\sdrive ....."
Sembra che il problema sia di Internet Explorer (versione 6 visto che non lo uso). In realtà il programma funziona correttamente...
C'è stato anche un problemino con Antivir che non funziona più da un momento all'altro ma mio padre non mi sa spiegare cosa e come, sta di fatto che ora c'è Avast. Mah...

Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 10.32.07, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\0 SICUREZZA\Sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\0 GRAFICA\Adobe\PhotoshopElementsFileAgent.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\0 SICUREZZA\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\systs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\0 UTILITA'\CursorXP\CursorXP.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\0 UTILITA'\WinZip\WZQKPICK.EXE
C:\Programmi\palmOne\Hotsync.exe
C:\PROGRA~1\0VARI~1\Webshots\Webshots.scr
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Edo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\0SICUR~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {D1115A6B-6853-4D09-8013-F16A11BA4689} - C:\WINDOWS\system32\jkhfg.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\frkgkvrt.dll (file missing)
O2 - BHO: (no name) - {EFEC4F01-FEE5-4D6B-848B-A62097BE3057} - C:\WINDOWS\system32\bykircye.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\0SICUR~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Jet Detection] C:\Driver\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\0 UTILITA'\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [iRAPPLauncher] C:\Programmi\0 INTERNET\iRapp client\raplaunch.exe
O4 - Startup: Manager HotSync.LNK = C:\Programmi\palmOne\Hotsync.exe
O4 - Startup: Webshots.lnk = C:\Programmi\0 VARI\Webshots\Launcher.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\0 UTILITA'\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\0 GRAFICA\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\0SICUR~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {759AA6A5-76B2-43E2-B940-B0C336C69E01} - http://202.106.184.51/download/VodoneActivex.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programmi\0 GRAFICA\Adobe\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programmi\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\0 SICUREZZA\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\0 SICUREZZA\Sygate\smc.exe
O23 - Service: tjk8rla0zxexp - Unknown owner - C:\WINDOWS\system32\systs.exe
O23 - Service: UPnPService - Magix AG - C:\Programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda crazy.cat » sab ott 20, 2007 10:28 am

Nel log si vede ancora antivir pe?

Hai sygate e il firewall di windows attivi insieme.


Cancella questo file
C:\WINDOWS\system32\systs.exe

e poi queste righe.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D1115A6B-6853-4D09-8013-F16A11BA4689} - C:\WINDOWS\system32\jkhfg.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\frkgkvrt.dll (file missing)
O2 - BHO: (no name) - {EFEC4F01-FEE5-4D6B-848B-A62097BE3057} - C:\WINDOWS\system32\bykircye.dll (file missing)

Puoi fare uno screenshot del messaggio o scriverlo completamente?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda bandrew » sab ott 20, 2007 10:50 am

Con ordine:
- il messaggio completo è:
Impossibile trovare il file "c:\windows\sdrive\". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulsante start, quindi scegliere Trova.
- riguardo ad Antivir mio padre dice che non si avvia più, ha provato a disinstallarlo ma non si può da pannello, ora comunque non è attivo.
- il firewall di windows è attivo perché ho dovuto riabilitare alcuni servizi di windows per casini precedenti...
Ora faccio come hai detto.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia


Messaggioda bandrew » sab ott 20, 2007 11:20 am

Allora:
- il firewall di windows è disattivato ma non posso controllarlo dal pannello.
- antivir se lo apro mi dà il seguente messaggio:
"The application module
c:\programmi\antivir personal editionclassic\avcenter.exe cannot be found or has been modified or destroyed.
the AVCENTER.EXE cannot be started.
Check your installation."
Ho trovato solo cose in tedesco con questo messaggio...
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda kap » sab ott 20, 2007 12:51 pm

bandrew ha scritto:Allora:
- il firewall di windows è disattivato ma non posso controllarlo dal pannello.
Leggi qua


per il problema di AntiVir hai provato ad usare un pulitore di registro per sbarazzartene?

ciao
In bocca al lupo per tutto ragazzi
Avatar utente
kap
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2876
Iscritto il: lun ott 09, 2006 11:10 am
Località: car el me car milan

Messaggioda tecnico24 » sab ott 20, 2007 12:59 pm

A questo punto mi fai sospettare del bagle.
scarica elibagla
www.zonavirus.com/datos/descargas/95/elibagla.asp
il download in fondo alla pagina.
avvialo,assicurati che la cartella eliminar ficheros sia spuntata.
fai la scansione ed al termine posta il log che lo trovi in c:/
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda bandrew » ven ott 26, 2007 10:46 pm

Dopo ben 6 giorni sono riuscito a fare quanto mi avete detto.
Il problema è che:
- il firewall non è impossibile da visualizzare ma come bloccato con i pulsanti grigi, quindi il file di registro non ha risolto nulla visto che il prob non era quello
- cosa ben peggiore è che scaricando quel file spagnolo all'avvio mi dice: "archivo modificado posibilmente por un virus. contacte con satinfo." come a dire che c'è un bel virus...

il problema è peggiore di quel che pensavo, mi sa tanto che nessun antivirus può partire, ad ware già installato non ha trovato nulla di rilevante ma non è un antivirus quindi..

ultima cosa, mandandomi una mail da gmail a me stesso con un file da me creato zip o rar mi dice che non può inviarlo perché contiene un virus.

mah...
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda bandrew » ven ott 26, 2007 11:06 pm

Ultime news:
da modalità provvisoria ho provato ad installare AVG in una determinata cartella, dopo la procedura andata correttamente non ha installato nulla.

Allora ho provato con Antivirus, sempre da provvisoria. Dopo l'installazione il messaggio è:
The CRC sum of c:\doc....\impost\temp\rarsfx1\basic\setup.exe
has been changed! This could be due to a virus!
Do you want to shut down setup?

Ora sto facendo sempre da provvisorio una pulizia con Sysclean, vediamo che dice.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda tecnico24 » ven ott 26, 2007 11:11 pm

scarica e decomprimi avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla quanto segue:

Codice: Seleziona tutto
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\s
rosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO
SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32

Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd

files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys

drivers to unload:
srosa
pci32


Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda bandrew » ven ott 26, 2007 11:17 pm

Ok, grazie mille.
Per ora stavo seguendo questa guida visto che il problema era lo stesso, anche se risale a 1 anno fa. Ti sembra utile?

Appena riesco comunque posto i risultati e procedo con quello che mi hai detto, ora lo faccio finire.

Una domanda: nella procedura che mi hai postato ho notato che cancella la cartella file temporanei, fa lo stesso con il file di paging?
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda tecnico24 » ven ott 26, 2007 11:20 pm

sysclean potrebbe anche essere un ottimo prodotto,ma contro il bagle che hai a che fare un po' di meno.io invece ti ho riportato lo script a seconda delle versioni di bagle.


ATTENZIONE!!!prima di eseguire le operazioni con avenger disabilita il ripristino configurazione di sistema.
Avatar utente
tecnico24
Senior Member
Senior Member
 
Messaggi: 380
Iscritto il: dom mag 20, 2007 4:31 pm

Messaggioda bandrew » ven ott 26, 2007 11:28 pm

tecnico24 ha scritto:sysclean potrebbe anche essere un ottimo prodotto,ma contro il bagle che hai a che fare un po' di meno.io invece ti ho riportato lo script a seconda delle versioni di bagle.

ATTENZIONE!!!prima di eseguire le operazioni con avenger disabilita il ripristino configurazione di sistema.

Devo farla questa parte quindi? Da quanto dici la eviterei visto che in parte si sovrappone:

Al termine della scansione, qualora siano stati trovati file infetti, è buona cosa ripulire il file di paging e le cartelle dei file temp, seguiti da una pulizia dei file temporanei con ATF-Cleaner ( spuntando tutte le voci ) e del registro con RegSeeker ( eliminando solo le voci verdi e ricercando quelle eventualmente segnalate relative al malware ) ed effettuare una nuova scansione in provvisoria con Sysclean e con il proprio AV.
Per le operazioni di pulizia possono usarsi anche altri Software come ad esempio CCleaner purchè opportunamente settati, l' importante è che siano ripulite le aree sopra indicate.

Al termine delle operazioni, e solo se siete veramente sicuri di aver rimosso tutto, disabilitate il Ripristino di Sistema (ME/XP) e riattivatelo subito dopo.

Io direi che posto il log (se riesco) visto che ormai ha quasi finito, disabilito il ripristino e faccio come dici.
p.s. a occhio vedo che ha trovato una cosa che si chiama pe_virut.xv e sta cercando di eliminarla.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda ste_95 » sab ott 27, 2007 6:53 am

visto che sembra una versione di bagle non molto identificata...sonsiglierei prima di fare una scansione online con kaspersky
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda bandrew » sab ott 27, 2007 9:52 am

ste_95 ha scritto:visto che sembra una versione di bagle non molto identificata...sonsiglierei prima di fare una scansione online con kaspersky

Per fare la scansione online conviene comunque disattivare il ripristino? Io direi di no. E sempre in modalità provvisoria è meglio giusto?
Quando lo accendo posto i risultati della scansione di Sysclean, prima di avenger allora gli faccio fare anche kaspersky online.
Ultima modifica di bandrew il sab ott 27, 2007 9:54 am, modificato 1 volta in totale.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda ste_95 » sab ott 27, 2007 9:54 am

per kaspsrsky visto che scansiona ma non elimina, e poi provvederemo noi... puoi anche lasciarlo abilitato..
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » sab ott 27, 2007 10:03 am

bandrew ha scritto:E sempre in modalità provvisoria è meglio giusto?

Non puoi collegarti ad internet in modalità provvisoria, devi farla dalla normale.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda bandrew » sab ott 27, 2007 10:06 am

crazy.cat ha scritto:
bandrew ha scritto:E sempre in modalità provvisoria è meglio giusto?

Non puoi collegarti ad internet in modalità provvisoria, devi farla dalla normale.

Scusa Crazy ma io avvio in modalità provvisoria con rete, sbaglio a farlo?
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda bandrew » sab ott 27, 2007 10:25 am

Ora che ci penso però in modalità provvisoria molti processi non si avviano e quindi è meglio fare la scansione in modalità normale, dai procedo avviando normalmente.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda bandrew » sab ott 27, 2007 10:29 am

AAAAARRRGHHH!!!
Accendo il pc e si avvia con la schermata: Accesso a windows, inserisco uno dei due utenti, vedo lo sfondo del dektop e poi si richiude e torna alla schermat.
Ora riavvio in provvisoria con rete. Mannaggia mi sa che c'è un casino sempre peggiore, sysclean avrà fatto danni??
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Messaggioda bandrew » sab ott 27, 2007 10:31 am

Noooooo, non si avvia più neanche in provvisoria! Che faccio??
MegaLab cd mi sa, ne ho uno vecchietto, è del 5 gennaio di quest'anno.
Ultima modifica di bandrew il sab ott 27, 2007 10:32 am, modificato 1 volta in totale.
AndreA
Avatar utente
bandrew
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1939
Iscritto il: mar set 16, 2003 4:11 pm
Località: Lombardia

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising