Precedente :: Successivo |
Autore |
Messaggio |
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 12:09 Oggetto: * Non si avvia in modalità provvisoria e non fa partire HJT |
|
|
...non rileva più gli antivirus e non me li fa più installare dicendo che non sono applicazioni win32.
Ho guardato un pò nei vostri topic ma non trovo tra le risposte che date quella che fa al caso mio...
che domenica di m...
Please Help |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 13:14 Oggetto: aggiornamento |
|
|
ho fatto una scansione con eligabla, mi ha eliminato 5 processi, mi apre 2 messaggi con accesso negato alla cartella Windows/system32/??croosoft(16)
e Windows/t?sks(16)
vado in c: per trovare il report e mi trovo con 7500 file .tmp impossibili da eliminare!
mah! |
|
Top |
|
|
baciami Semidio
Registrato: 02/09/07 14:40 Messaggi: 287 Residenza: toscana
|
Inviato: 24 Feb 2008 13:21 Oggetto: |
|
|
ciao..intanto fai pulizia dei file temp com questo ATF-Cleaner.exe puoi scaricarlo qui http://alexsandra.wordpress.com/2007/03/11/atf-cleaner-guida-alluso |
|
Top |
|
|
baciami Semidio
Registrato: 02/09/07 14:40 Messaggi: 287 Residenza: toscana
|
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 13:48 Oggetto: |
|
|
Ah benedetta anima che mi dedica attenzione alla domenica.
Ciao e intanto grazie
fosse facile...
dunque, il software per eliminare i file temporanei mi dice di aver eliminato 650 mb di file ma i 7500 file in c: rimangono belli come il sole.
Anche dopo aver lanciato eligabla HJT non parte.
Di seguito posto quello che trova Eligabla.
Aggiungo che adesso il computer si riavvia comunque dopo circa 10 minuti di accensione e svariati messaggi di errore
Sun Feb 24 13:34:24 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Sun Feb 24 13:34:33 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\xInsIDE\XINSIDE.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 5694
Nº Total de Ficheros: 65491
Nº de Ficheros Analizados: 8592
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2 |
|
Top |
|
|
baciami Semidio
Registrato: 02/09/07 14:40 Messaggi: 287 Residenza: toscana
|
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 14:27 Oggetto: |
|
|
la cosa si fa interessante.
Il primo combofix lo salva(sul desktop) ma se lo lancio mi dice che è un'applicazione win32 non valida.
il secondo link mi fa scaricare il file(sul desktop) ma me lo fa scomparire alla velocità della luce, quindi sono nell'impossibilità di lanciarli tutti e due.
Buon lavoro. |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 24 Feb 2008 14:49 Oggetto: |
|
|
Mi sa che hai almeno un paio di infezioni al prezzo di una
Fai questi controlli:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit .
Riporta qui i valori che vedi
Controlla anche queste chiavi:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
Riporta qui i valori che vedi |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 15:41 Oggetto: |
|
|
Orange ha scritto: | Mi sa che hai almeno un paio di infezioni al prezzo di una
Fai questi controlli:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit .
Riporta qui i valori che vedi
REG_SZ c:\windows\system32\userinit.exe
Controlla anche queste chiavi:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
Riporta qui i valori che vedi |
non è presente niente tranne un (predefinito) REG_SZ |
|
Top |
|
|
baciami Semidio
Registrato: 02/09/07 14:40 Messaggi: 287 Residenza: toscana
|
Inviato: 24 Feb 2008 17:03 Oggetto: |
|
|
non ti devi fermare HKEY_LOCAL_MACHINE ma tramite il + scorri fino a trovare quello che ti ha chiesto orange
es
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
ecc.... |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 17:14 Oggetto: |
|
|
mi fai venire i dubbi su tutto, ma è esattamente quello che ho fatto, cioè sono entrato nelle cartelle fino a tutta la sequenza e in coda a userinit non c'è niente mentre nelle altre chiavi di explorer nessuna traccia |
|
Top |
|
|
baciami Semidio
Registrato: 02/09/07 14:40 Messaggi: 287 Residenza: toscana
|
Inviato: 24 Feb 2008 17:17 Oggetto: |
|
|
aspetta orange che è la migliore
orange..quando puoi mi passi da "registro e altro" che anch'io ho i miei problemucci |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 17:45 Oggetto: |
|
|
ci sto provando ma a metà scansione si riavvia il pc...un braccio di ferro stile Over the top. |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 18:27 Oggetto: |
|
|
Piccola nota:
il file di report inviato è tutto quello che riesco ad inviare nel senso che il pc va in reboot ogni volta che systemscan arriva alla voce drivers...
24_02_2008_18_00_report.zip
Comunque vada(scusate ma la mia fede inizia a vacillare)
SIETE MAGNIFICI |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 24 Feb 2008 19:06 Oggetto: |
|
|
Proviamo comunque fare qualcosa anche se la vedo dura....
Ma prima una domandina: il tool EliBagla (e anche ComboFix) l'hai lanciato con i privilegi Admin?
Prima di fare qualunque procedura di rimozione fai per favore questi passaggi:
* scarica ATF Cleaner
avvialo, metti la spunta su Select all (se usi Firefox o Opera spunta anche le loro opzioni)
clicca Empty selected e aspetta il messaggio Done cleaning!
eventualmente ripeti per FF e/o Opera
* Scarica CCleaner
avvialo, seleziona Analizza e a scansione terminata clicca Avvia pulizia
* Scarica Eusing Free Registry Cleaner
avvialo, seleziona Scan Registry Issue e a scansione terminata clicca su Repair Registry Issue.
Adesso avvia nuovamente SystemScan e rifai la scansione, postando alla fine il nuovo logfile.
Comincia a scaricare anche The Avenger--- ci servirà dopo |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 19:18 Oggetto: |
|
|
ahi ahi..non so come accedere ai privilegi admin...in effetti quando elibagla non mi fa accedere a quelle 2 cartelle...come faccio?, prima di fare tutta la sequenza che mi hai descritto? |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 24 Feb 2008 20:06 Oggetto: |
|
|
Il problema è il tempo...perchè si riavvia comunque nel giro di 5 minuti...ce ne mette circa 2 per smettere di aprirmi finestre varie che chiudo subito..
ATF sono riuscito...riavviato
CCleaner riuscito...riavviato
EFRC riuscito in 2 spezzoni...riavviato
Ma SystemScan ci mette troppo e quando arriva sempre ai drives si riavvia
UFF |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 24 Feb 2008 23:58 Oggetto: |
|
|
Succede lo stesso anche quando avvii in modalità provvisoria? |
|
Top |
|
|
goemon Mortale adepto
Registrato: 24/02/08 12:01 Messaggi: 35 Residenza: Bologna
|
Inviato: 25 Feb 2008 10:43 Oggetto: |
|
|
news del mattino...
Avvio in modalità provvisoria dopo tutte le abluzioni e purificazioni consigliate da Orange...il computer ha 2 accessi(stavolta me lo fa vedere) e scelgo Administrator
Sono in modalità provvisoria
compare una finestra con scritto
During a scan of files at system start up, potential errore in the system registry were found.
p-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED
con questa finestra il computer potrebbe stare acceso per ore
clicco su ok
avvio elibagla
invece dei 2 bagle trovati precedentemente me ne trova 7, ma l'accesso a 2 cartelle rimane comunque negato...chiudo elibagla
compare un'altra finestra(comparsa mentre elibagla lavorava)
A potential problem has been detected and Windows has been shutdown buggy application to prevent damage to your computer.
****WXYZ.SYS - Address F73120AE base at C00000, DateStamp 36b072A3
Kernel Debugger Using: COM2 (Port 0x28f, Baud rate 192000)
clicco su ok
vado di Atf...fatto
vado di CCleaner...fatto
Efrc...fatto
e ora SystemScan...ci mette un pò ma procede
next time...THE LOG |
|
Top |
|
|
|