Olimpo Informatico

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Eccoti HJT:

hijackthis report 4.txt

Doriano scusami, per mia curiosità, questi file di registro (sono file di registro?) a cosa afferiscono?

bdoriano

I logs generati da SystemScan e HiJackThis (HJT) sono file che indicano quali programmi vengono avviati alla partenza del sistema operativo.
HJT è il più semplice dei due e fornisce minori indicazioni... ma, a questo punto, è sufficiente per il lavoro di fino.

Stavo notando, curiosamente, che, a ogni rimozione, ricompaiono delle voci riferite alla tua precedente infezione... Think

Per cortesia, aggiorna MBAM e SuperAntiSpyware e fai una scansione completa, dopodiché, posta i logs generati insieme a un log aggiornato di HJT.

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Ecco fatto. Segnalo che sia MBAM sia SuperAntiSpyware hanno dato esito negativo.

Ecco i log:

1. MBAM

mbam-log-2010-05-10 (22-05-00).txt

2. SuperAntispyware

SUPERAntiSpyware Scan Log - 05-10-2010 - 22-47-31.log

3. HJT

hijackthis report 5.txt

bdoriano

Allora continuiamo a eliminare le voci in eccesso... Wink

do a system scan only

Citazione:

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MqtgSVC] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\mqtgsvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MqtgSVC] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\mqtgsvc.exe /waitservice (User 'Default user')
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe

clicca fix checked
Rifai il log di hijackthis e postalo

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Eccolo:

HJT

hijackthis report 6.txt

bdoriano

Altro giro, altro regalo

do a system scan only

Citazione:

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')

clicca fix checked
Rifai il log di hijackthis e postalo

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Eccolo:

HJT

hijackthis report 7.txt

bdoriano

E andiamo avanti... Think

do a system scan only

Citazione:

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\dllhst3g.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\dllhst3g.exe /waitservice (User 'Default user')

clicca fix checked

Stavolta, però, fai il log con SystemScan... sono curioso di vedere da dove continuano a spuntare queste voci. Think

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Ecco la scansione con SystemScan e scusa il ritardo. Smile

Ho proceduto (comeall'inizio) con internet staccato.

SystemScan:

report.txt

bdoriano

Ti faccio eliminare alcune voci...

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Files to delete:
C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe
C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe

registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp247\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp248\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp250\mdm.exe"

e clicca Proceed with removal

******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan (assicurati che tutte le voci siano spuntate).

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Doriano prima di procedere posso chiederti una cosa?

L'ultima voce dell'elenco non riesco a spuntarla. E' quella che recita: "Include hijackthis log".

Visto che mi dici di assicurarmi che tutte le voci siano selezionate, volevo chiederti se questo fatto era un problema.

Procedo così?

Grazie Wink

bdoriano

Curioso... Think

I logs di hijackthis me li hai postati e SystemScan non riesce a trovarlo... Razz

Vabbene, procedi ugualmente, nella tua prossima risposta, aggiungi anche il log di HJT. Ciao

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Ecco i due log:

1. SystemScan

report.txt

2. HJT

hijackthis report 8.txt

Capitolo avenger.txt:
dopo aver cancellato i codici che mi hai dato il pc si è riavviato, ma all'avvio di windows l'avenger non c'era. Windows avvisava: "Impossibile trovare avenger.txt Creare nuovo file?"
Successivamente ho avviato SystemScan per fare la scansione e il programma mi ha detto: "Removal script was executed correctly. Results are in C:\avenger.txt".
Quindi sono andato a ripescarmi l'avenger e te lo posto dopo questa breve cronaca degli eventi.

Avenger:

avenger.txt

bdoriano

Buone notizie: non ci sono più le voci astruse che comparivano a ogni nuovo hijackthis. Smile

L'ultima operazione che ti ho fatto fare non è andata a buon fine. Think

Se ti va, riproviamoci:

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Files to delete:
C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe
C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe

registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp247\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp248\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp250\mdm.exe"

e clicca Proceed with removal

******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

Questa volta mi pare sia andato tutto ok perchè al riavvio del pc mi è stato chiesto di avviare SystemScan e poi ho potuto salvare sul desktop il file avenger.

Ti posto tutto:

1. Avenger

avenger.txt

2. SystemScan

report.txt

3. HJT

hijackthis report 9.txt

bdoriano

Ottimo! Ora ci siamo! Very Happy

Se non riscontri altri problemi, ti posto le operazioni finali:

Disabilita il ripristino di sistema.
Così andiamo a eliminare eventuali punti di ripristino infetti.
Riavvia il pc
Riabilita il ripristino di sistema, seguendo il procedimento inverso al punto 1
Crea un nuovo punto di ripristino:
- Start
- Programmi
- Accessori
- Utilità di sistema
- Ripristino configurazione di sistema
- Crea un punto di ripristino
- Clicca Avanti
- Inserisci una descrizione
- Clicca Crea e attendi pazientemente la fine delle operazioni
Pulizia dei files temporanei con CCleaner
Pulizia del registro con Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
Deframmentazione del disco

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

- Ho disattivato e poi riattivato il punto di ripristino.
- Ho creato un nuovo punto.
- Ho pulito con cCleaner.
- Ho fatto la scansione con Wise Registry (mi ha chiesto di creare un punto di ripristino, ma ho rifiutato dato che lo avevo già fatto):

Finita il processo di riparazione, il menù di Wise Registry mi riporta una serie di eventi in cui mi dice che la riparazione è possibile ma non consigliabile.
In pratica sono eventi contrassegnati dallo scudo arancione col punto esclamativo.

Sono in tutto 30 problemi, metre 348 sono stati i problemi riparati.

La domanda è: esco dal programma senza riparare questi eventi non consigliati, giusto?

bdoriano

Scusa il ritardo. Razz

Giusto, gli scudi gialli (o rossi) evita di farli riparare. Wink

Grea[t]! · Eroe in grazia degli dei Registrato: 08/05/10 17:12 Messaggi: 82

bdoriano

Direi che sei a posto. Smile

Se riscontri altri problemi, siamo qui. Wink