| Precedente :: Successivo |
| Autore |
Messaggio |
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
 Inviato: 28 Mar 2011 17:05 Oggetto: |
 |
|
nada de nada, nemmeno in modalità provvisoria,,uffi uffi....
questa maledetta schermata blu non vuole proprio andare via..
che si fa caro Sante ??? |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Mar 2011 17:13 Oggetto: |
|
|
| Segui le istruzioni di questa discussione per usare Systemscan e speriamo che questa ce la fa fare... |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 31 Mar 2011 01:20 Oggetto: |
|
|
scusa il ritardo, ecco il log..!
Cmq volevo ricordarti che io tutte queste analisi già le feci e le ho postate all'inizio, ora il fatto che me le stai facendo rifare spero sia perchè sono necessari a scoprire questo maledetto malware che finora non è uscito o non vuole essere eliminato!
grazie ancora
30_03_2011_23_58_report.zip |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Mar 2011 09:51 Oggetto: |
|
|
C'è qualcosa di strano nella sottonotata cartella temp che prima mi era sfuggita:
| Citazione: | | C:\Users\Tonio\AppData\Local\Temp\ |
Accedi a questa cartella (mi raccomando solo questa) e ripuliscila per bene.
Lo puoi fare anche con CCleaner, magari per sicurezza fallo prima in modalità provvisoria e poi dalla modalità normale assicurandoti poi che sia stata effettivamente ripulita. Se tutto va a buon fine, prova a usare nuovamente combofix sempre prima in modalità provvisoria e poi modalità normale. |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 31 Mar 2011 13:29 Oggetto: |
|
|
ancora niente, ho fatto la pulizia della cartella manualmente e poi pure con ccleaner, e in modalità provvisoria non mi parte combofix ossia sempre il solo quando arriva a fine caricamente della riga appare la scheramta blu per poi riavviarsi....
è qualcosa di veramente serio o non siamo bravi ad eliminarlo???
sto iniziando a pensare che sei tu il virus mio Sante...    
grazie |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Mar 2011 18:48 Oggetto: |
|
|
Dal pannello di controllo, accedi alla cartella degli utenti, e se trovi qualche nome strano tipo quelli che abbiamo visto in HJT cerca di eliminarli.
Quando fai queste cose stai disconnesso da internet e ovviamente in modalità provvisoria.
| totip ha scritto: | ...
è qualcosa di veramente serio o non siamo bravi ad eliminarlo??? |
Tutti e due
| totip ha scritto: |
sto iniziando a pensare che sei tu il virus mio Sante...
grazie |
Allora sarebbe tutta fatica sprecata... |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 01 Apr 2011 14:02 Oggetto: |
|
|
aèè Sante, qualche nome strano è molto generico, dovresti farmi capire cosa si intende per nome strano, e poi non credo che eliminado solo questo nome strano si risolva il problema, il problema è far partire combofix o almeno se questo fatto che combofix non parta possa rivelare la natura del virus, e bisognerebbe analizzare bene i file tra le scansioni fatte, io ovviamente non so niente di tutto questo nel senso che al massimo riesco a far le analisi e cercare di prendere iniziative su altre scansioni varie ma della stranezza dei file non ne ho idea ed è per questo che sto chiedendo aiuto e tu stai cercando con molta pazienza di fornimene quanto + possibile; e poi ritornando alla questione di quelle righe che non si riuscivano ad eliminare relative all'avvio automatico ossia 04 DEFAULT STARTUP ecc ecc non credi così come avevi pensato che possano essere importanti al fine di far partire combofix e quindi riprovare ad eliminarle per un'altra strada ???
Non so, spero che queste mie descrizioni possano servire a capire un pò che strada intraprendere, io oltre ad evidenziarti lo stato di fatto del mio portatile e a chiedere aiuto a te come a tanti altri buoni volontari coscienti di certi problemi non so fare, e perciò spero che possiamo trovare delle soluzioni al problema entro breve altrimenti tagliamo la testa al toro e procedo con la formattazione!
Grazie e cercherò di eliminare questi file strani
Mi fido di te... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 01 Apr 2011 15:29 Oggetto: |
|
|
Per favore, mi invii il log di MBAM dove dici che hai eliminato tutti i file infetti che ha trovato? Perchè in quello postato io trovo scritto "No action taken". Se non sono stati eliminati possiamo stare quì per un anno interno.
Quindi mi viene il dubbio che hai saltato qualche passaggio. |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 01 Apr 2011 19:10 Oggetto: |
|
|
I file eliminati in questa scansione, sono diversi da quelli visti in precedenza...
Si, rifai la scansione con MBAM... |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Apr 2011 19:51 Oggetto: |
|
|
| Anche se non ho visto i file eliminati durante la prima scansione con MBAM, e spero che non sia così, riprova a usare combofix. |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 03 Apr 2011 20:52 Oggetto: |
|
|
niente da fare ho provato ad avviarlo in modalità provvisoria e niente sempre la schermata blu....?
Scusa ma non si può estendere questo problema alla visione di altri o meglio se finora nessuno si interessa significa che non sanno fornire indicazioni diverse o alternative alle tue, ed è possibile che nessun altro al mondo abbia avuto un problema simile o il mio è così complicato che c'è da studiarci molto ????? scusa se mi sfogo un pochino ma sto caspito di problema è veramente fastidioso, e no è per denigrare il tuo aiuto ma spererei che qualcun altro possa aiutarci o dire la sua a riguardo...!
grazie ancora! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Apr 2011 22:54 Oggetto: |
|
|
| A questo punto si, spero che passi qualcun altro e risolva il problema. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Apr 2011 18:12 Oggetto: |
|
|
Ciao Sante.
Dal log di Sistemscan, ho notato un numero spropositato di questo file:
conime.exe
C:\Windows\system32\conime.exe
Come al solito, in rete, le informazioni sono discordanti:
| Citazione: | | conime.exe è un processo che è registrato come il backdoor tool. della gestione a distanza di BFGhost 1.0 questa applicazione segreta può permettere che gli attaccanti accedano al vostro calcolatore, |
Oppure:
| Citazione: | | conime.exe è una parte del Microsoft Windows Operating System ed è essenziale per il funzionamento sicuro e sicuro del computer. . Questo processo viene utilizzato quando una lingua asiatica è utilizzato in Windows. |
Si potrebbe verificare a chi appartiene, guardando nelle sue "proprietà".
In ogni caso, mi sembrano eccessivi, tutti quei conime.exe che segnala Systemscan. (ho perso il conto di quanti sono)
@totip
Controlla se nel task Manager, hai questi processi:
bfghost.exe, editmm.exe
Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
N.B:
Fammi una cortesia, Prima di caricare i 2 log su Wikisend, togli l'estensione .txt
Grazie. |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 05 Apr 2011 23:21 Oggetto: |
|
|
CIAO r16, grazie per la tua preoccupazione e la ta voglia di aiutarci a risolvere questo problema che continua a verificarsi, per quanto riguarda quel programma non lo vedo tra i processi in task manager e per la scansione sto procedendo, poi la posterò come mi hai consigliato, anche se in passato già la feci con questo programma OTL, spero che con il tuo aiuto riusciremo a risolvere!
grazie e tra poco posto i log |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 06 Apr 2011 00:15 Oggetto: |
|
|
link
link
senti ma perchè nonostante ho disinstallato le toolbar continuano a comparire in mozzilla nella barra ???
e poi sempre sto avviso di processo host di windows ha smesso di funzionare, si è verificato un problema che impedisce il funzionamento corretto ecc ecc
a presto grazie |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Apr 2011 18:55 Oggetto: |
|
|
Segui alla lettera queste indicazioni:
Disistalla Firefox. (lo reistalli in un secondo momento)
Disistalla Panda Security così:
link
Scarica il tool
Esegui il tool, leggi le avvertenze e clicca su Yes/Sì
Premi F5 e riavvia il computer
NB:
su sistemi operativi Win Vista e Win7 è consigliabile eseguire i tool di rimozione con privilegi di Amministratore.
Poi:
Apri OTL, e nell'area "Custom Scans/Fixes" copia-incolla lo script che vedi qui sotto:
| Codice: | :OTL
O3 - HKU\S-1-5-21-744464921-2051476649-3835536288-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-744464921-2051476649-3835536288-1000\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-744464921-2051476649-3835536288-1000\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - File not found
O4 - HKU\.DEFAULT..\Run: [lpc] C:\Users\Tonio\AppData\Roaming\Sun\hwdhy.dll (ESET)
O4 - HKU\S-1-5-18..\Run: [lpc] C:\Users\Tonio\AppData\Roaming\Sun\hwdhy.dll (ESET)
O4 - HKU\S-1-5-21-744464921-2051476649-3835536288-1000..\Run: [{17507F12-4987-3D92-2776-6DD0FDD97084}] C:\Users\Tonio\AppData\Roaming\Saynyr\erqov.exe (Panda Security, S.L.)
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igpu.exe (Panda Security, S.L.)
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igpu.exe (Panda Security, S.L.)
O4 - Startup: C:\Users\Guest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hidywo.exe (Panda Security, S.L.)
O4 - Startup: C:\Users\UTENTE1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\isfe.exe (Panda Security, S.L.)
O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet)
O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_04)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
:commands
[RESETHOSTS]
[EMPTYTEMP]
[EMPTYFLASH] |
E clicca su "Run Fix".
Lascia che il programma, venga eseguito, senza interruzioni.
Segui le istruzioni di questo topic per rimuovere combofix:
http://forum.zeusnews.com/viewtopic.php?t=47670
Riscarica Combofix (usa Internet Explorer)
link
Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 07 Apr 2011 12:46 Oggetto: |
|
|
ciao, allora ho fatto tutto quello che mi hai acccuratamente indicato, e nonostante abbia seguito le indicazioni per combofix succede sempre lo stesso mentre sta per iniziare appare la famosissima schermata blu, quindi niente da fare...mmmmm ora piangoooooo,,mmm
ti posto il log di otl cheè uscito dal run fix
04072011_121730.log
grazie |
|
| Top |
|
|
totip
Semidio
Registrato: 24/02/10 12:24
Messaggi: 387
|
| Inviato: 07 Apr 2011 15:43 Oggetto: |
 |
|
1. e poi antivir mi avverte sempre di questo malware che facendo elimina non procede, te lo posto come immagine...
Nuova immagine.bmp
2. ma le password che avevo salvato in Mozzilla le ho perse una volta disinstallato??
grazie
3. e quest'altro problema che sempre mi segnala windows che cosa è, scusami ma voglio metterti al corrente di tutte le stranezze che visualizzo da quand c'è sto malware virus o cacazzo chiamiamolo come vogliamo..
Download updates for Windows
There was a problem with Windows that caused it to stop working correctly.
Your computer might be missing updates that can help improve its stability and security.
Go online to check for and install Important and Recommended updates.
Click to go online to the Windows Update website
In the left pane, click Check for updates. If any updates are found, click View available updates.
Select all Important updates, and then click Install. If you are prompted for an administrator password or confirmation, type the password or provide confirmation.
Note
If you have turned on automatic updating, you might not see any Important updates listed. If this is the case, the updates have already been downloaded to your computer.
Additional information
To learn more about updating your computer, go to the Microsoft website and read the following article:
Windows Update Frequently Asked Questions |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
