Precedente :: Successivo |
Autore |
Messaggio |
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 06 Feb 2019 18:34 Oggetto: |
|
|
Scusa R16 per l'intromissione, ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio?
Può essere utile controllare in gestione attività o nei servizi di Windows? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 06 Feb 2019 19:14 Oggetto: |
|
|
Ciao Mary.
Non devi scusarti per l'intromissione, sei sempre bene accetta qui.
Citazione: | ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio? |
Se lo fosse gli compariva anche prima di cliccare quel link che gli ha infettato il pc.
Quindi a mio parere, quello è un rimasuglio del virus rimasto.
Inoltre l'utente ha fatto dei tentativi di soluzione per conto proprio o aiutato da altre persone.
Infatti: Comodo, Troyan Remover e FRST son stati usati PRIMA della sua inscrizione in questo forum. Aveva anche i fixlist di FRST, quindi il pc è stato "bonificato" da altri, l'unico problema è che è rimasta quella chiave.
Devo solo trovare dove si trova. |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 06 Feb 2019 22:10 Oggetto: |
|
|
Sì esce ancora...ora vado su runonce e posto |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 06 Feb 2019 22:14 Oggetto: |
|
|
R16 ha scritto: | Ciao Mary.
Non devi scusarti per l'intromissione, sei sempre bene accetta qui.
Citazione: | ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio? |
Se lo fosse gli compariva anche prima di cliccare quel link che gli ha infettato il pc.
Quindi a mio parere, quello è un rimasuglio del virus rimasto.
Inoltre l'utente ha fatto dei tentativi di soluzione per conto proprio o aiutato da altre persone.
Infatti: Comodo, Troyan Remover e FRST son stati usati PRIMA della sua inscrizione in questo forum. Aveva anche i fixlist di FRST, quindi il pc è stato "bonificato" da altri, l'unico problema è che è rimasta quella chiave.
Devo solo trovare dove si trova. |
sì confermo che cercando su vari forum ho tentanto coi vari programmi che hai scritto tu; fixlist l avevo trovato su un forum americano e l'ho fatto poco prima di scrivere in questo forum |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12239
|
Inviato: 07 Feb 2019 07:08 Oggetto: |
|
|
@nicbina
I fix sono creati per quell'utente, perché ogni pc è diverso, con software e problemi diversi. È molto azzardato usarne uno preso giù dal web.
@R16
In quelle chiavi non c'è nulla di strano...e lo so che è una cosa banale, ma se trattasi di chiave di registro orfana, usare CCleaner per pulire il registro? O è già stato usato, in 3 pagine di thread potrebbe essermi sfuggito... |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 07 Feb 2019 07:40 Oggetto: |
|
|
No scusa non mi sono fatto capire io. Ho scaricato FRST e ho fatto scan e basta. Poi su questo forum ho postato il txt. Non ho inserito nessun fix
Si ho usatoccleaner |
|
Top |
|
|
dany79 Mortale adepto
Registrato: 13/12/13 19:17 Messaggi: 34 Residenza: Barchi (pu)
|
Inviato: 07 Feb 2019 08:22 Oggetto: |
|
|
Ciao e scusate se mi intrometto...
Se r16 è daccordo, prova con un avvio pulito di windows per vedere se ti appare piu powershell....
avvio pulito di windows:
-sulla casella esegui digita:
msconfig
-dai invio
-nella scheda generale seleziona avvio selettivo e metti la spunta a :
carica servizi di sistema
carica elementi di avvio
-fai click su ok
Così facendo chiedi a Windows di caricare in avvio soltanto i programmi e i servizi che selezioni manualmente nelle schede Servizi e Avvio;
-Ora clicca sulla scheda Avvio (queste sono le applicazione che vengono eseguite all avvio)
-deseleziona tutto quello che non vuoi far partire all avvio ,pero tranne l'antivirus
-clicca su ok
-non riavviare il pc (clicca su esci senza riavviare)
-riapri msconfig
-clicca sulla scheda servizi
-metti la spunta a Nascondi tutti i servizi Microsoft (ATTENTO! Assicurati di selezionare questa casella!)
Come prossima mossa infatti andrai a deselezionare tutte le voci in questa lista. Se non avrai nascosto i servizi di Microsoft, deselezionerai anche le voci di Microsoft e ti ritroverai con un sistema instabile!
-a questo punto dopo aver nascosto i servizi microsoft, deseleziona tutti gli altri presenti in lista
-clicca su ok e applica
ora RIAVVIA il pc
Vedi se ci sono miglioramneti...
In modalita provvisoria ti appare???
In piu ,se è stato disinstallato Comodo, io eliminerei queste chiavi di registro, prima pero aspettare conferma di r16:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"
Ciao |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 07 Feb 2019 18:31 Oggetto: |
|
|
Ciao nicbina.
Citazione: | Non ho inserito nessun fix |
2019-02-03 16:03 - 2019-02-03 16:03 - 000002170 _____ C:\Users\Niccolò\Downloads\fixlist.txt
Nota la data di quando è stato eseguito il fixlist.
Il 3 febbraio 2019 alle ore 16,03.
A parte che io a quell'ora ero al lavoro, (niente a che fare con computer) la tua iscrizione su questo forum è stata fatta il 03 Feb 2019 17:20 .
Quindi quel fix non posso averlo scritto io.
Comunque non c'è nessun problema, lo sò benissimo che alle volte per risolvere un problema ci si può rivolgere a vari forum, ma ripeto : questo per me non è un fastidio.
Il mio vero problema è quello che voglio risolvere il tuo problema.
Per il momento prova a seguire il consiglio (alla lettera) di dany79 e cioè fare un avvio pulito di Windows.
Se il problema non si risolve, useremo le "cattive maniere".
@Mary.
Citazione: | ma se trattasi di chiave di registro orfana |
Non è orfana è bella pimpante e attiva. |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 07 Feb 2019 20:51 Oggetto: |
|
|
ho seguito il processo e riavviato ma è ricomparso. ora elimino le chiavi di registro |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 07 Feb 2019 22:04 Oggetto: |
|
|
Citazione: | ora elimino le chiavi di registro |
Fai attenzione, un errore ti può costare caro. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 07 Feb 2019 22:26 Oggetto: |
|
|
Scarica questo file sul desktop: (dove si trova FRST)
link
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Fammi sapere domani se riscontri ancora il problema.
Ciao e buonanotte. |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 07 Feb 2019 22:31 Oggetto: |
|
|
Immagine5.png
la chiave cmd agent non ce l'ho quindi non ne ho nessuna da cancellare.
ora scarico quello che mi hai detto tutto r16
continuo a ringraziarvi intanto, davvero.
ciao e buonanotte |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 07 Feb 2019 22:40 Oggetto: |
|
|
R16 ha scritto: | Scarica questo file sul desktop: (dove si trova FRST)
link
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Fammi sapere domani se riscontri ancora il problema.
Ciao e buonanotte. |
fix o scan? |
|
Top |
|
|
dany79 Mortale adepto
Registrato: 13/12/13 19:17 Messaggi: 34 Residenza: Barchi (pu)
|
Inviato: 08 Feb 2019 07:22 Oggetto: |
|
|
Se è salvato come fixlist.txt devi cliccare fix...
Ciao |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 08 Feb 2019 17:07 Oggetto: |
|
|
ho fatto quanto detto sopra. e sto usando il pc da mezz'oretta e non è ancora uscito powershell...speriamo bene
e l'utilizzo del disco non è più prossimo al 100%...
non voglio dirlo troppo forte per scaramanzia ma ce l'avete fatta. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 08 Feb 2019 18:21 Oggetto: |
|
|
Ciao.
Citazione: | non voglio dirlo troppo forte per scaramanzia ma ce l'avete fatta. |
Tranquillo, il problema è risolto.
In realtà una grossa mano me l'ha data dany79 che mi ha fatto notare in privato, una chiave nel log Addition.txt (FRST) che mi era sfuggita.
Quindi gran parte del merito è suo.
Segui queste ultime indicazioni:
Scarica Delfix sul desktop:
link
Metti la spunta solo sul tag "Remove disinfection tools"(dovrebbe essere selezionata di default)
Clicca "Run".
Aspetta pazientemente che vengano eseguite le eliminazioni .
Il report verrà salvato negli appunti e sul disco rigido (C:\DelFix.txt).
Questo tool serve per "ripulire" il pc dai software che abbiamo usato e si auto-disinstallerà quando ha finito la pulizia.
Ciao. |
|
Top |
|
|
nicbina Mortale pio
Registrato: 03/02/19 17:15 Messaggi: 22
|
Inviato: 08 Feb 2019 19:17 Oggetto: |
|
|
Faccio tutto tra stasera e domani.
Lo chiedo per curiosità...in parole semplici è spiegabile quello che faceva questo virus all’interno del Pc?
In ogni caso vi ringrazio davvero tanto. Per tutto L impegno e il tempo dedicato. |
|
Top |
|
|
dany79 Mortale adepto
Registrato: 13/12/13 19:17 Messaggi: 34 Residenza: Barchi (pu)
|
Inviato: 08 Feb 2019 20:10 Oggetto: |
|
|
Grazie r16....non cè di che...
Sai quanti aiuti mi hai dato te...
Sono ancora in debito....
Ciao e scusate l ot... |
|
Top |
|
|
|