Olimpo Informatico

sira214 · Inviato: 02 Nov 2008 08:06 Oggetto:

Mi e' arrivata via mail la segnalazione di risposte ma non ne vedo? Cosa sto sbaliando?

Riverside · Inviato: 02 Nov 2008 14:19 Oggetto:

Accedi al sistema in modalità provvisoria, loggati con l'account Amministratore, segui il percorso, individua le due DLL e rimuovile manualmente:
C:\WINDOWS\system32\drmclient.dll
C:\WINDOWS\system32\gcdefd.dll
Riavvia, torna in System32 e controlla che non si siano ricreate.

sira214 · Inviato: 02 Nov 2008 22:16 Oggetto:

Non si riesce a cancellare
Errore_elim.bmp

Riverside · Inviato: 03 Nov 2008 00:08 Oggetto:

Ultimo tentativo (se non risolvi cosi, passa alla formattazione, dopo aver savato il dati):
scarica Unlocker e prova ad eliminare le due dll.

sira214 · Inviato: 03 Nov 2008 08:54 Oggetto:

Sono riuscito ad eliminare "drmclient" ma non "gcdefd".
Ho provato anche a togliere di mezzo tutti i riferimenti dal registro di windows dei 2 moduli, senza nessuna miglioria.
mi sa che mi tocca riformattare.
Domanda è possibile salvare tutti i driver in uso? Non so se il mio amico ha i dischi originali, e l'ultima volta che ho fatto qualcosa del genere ho sudato sangue per trovarli.
Altri consigli?

Riverside · Inviato: 03 Nov 2008 09:37 Oggetto:

sira214 · Inviato: 03 Nov 2008 23:41 Oggetto:

Eccolo:
hijackthis_1225748421670_663.log

(wikisend non mi funzionava)

Riverside · Inviato: 04 Nov 2008 00:20 Oggetto:

Rilancia Hthis e fixa queste voci:
O2 - BHO: (no name) - {3407B4F0-3CE6-4DC3-ABA6-CB5D63BE4FC1} - c:\windows\system32\drmclient.dll (file missing)
O2 - BHO: (no name) - {60AE0E43-B1CB-47EA-8B45-BA2D1239942B} - C:\WINDOWS\system32\gcdefd.dll
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O20 - Winlogon Notify: svvfscff - drmclient.dll (file missing)

Poi disattiva CTFMON, quindi:
> Pannello di controllo
> seleziona Opzioni internazionali e della lingua
> seleziona Lingue -> Dettagli -> Avanzate
> metti la spunta a Disattiva servizi di testo avanzati->Applica
Poi rimuovi Ctfmon.exe dall?avvio automatico del computer se dovesse esserci (dipende dalle patch di aggiornamento applicate), quindi:
> Start
> Esegui
> nella finestra di dialogo digita il comando msconfig e conferma con Ok
> Seleziona la scheda Avvio
> nell'elenco cerca ctfmon e togli la spunta alla casellina di fianco
> conferma con Applica ed Ok e poi riavvia il Computer.

Dopo il riavvio ti verrà mostrato un messaggio: metti la spunta nell'unica casella disponibile e clicca su OK

Al termine, allega un nuovo log di Hthis: se tutto andrà bene, facciamo ancora due scansioni e dopo proviamo a riattivare tutti i servizi che quel gran figlio di buona donna di virus ha allegramente disattivato Grrr

sira214 · Inviato: 04 Nov 2008 06:23 Oggetto:

Non saprei come disattivare CTFmon, provo con CTrL+Alt+Canc

sira214 · Inviato: 04 Nov 2008 06:51 Oggetto:

Questa la scheda di msconfig
mSCONFIG.JPG
questo hjt
hijackthis_1225774185496_694.log

Avvii di ctfmon non ne ho trovati!

Riverside · Inviato: 04 Nov 2008 13:42 Oggetto:

Non ci siamo ancora Confused

Accedi al sistema in modalità provvisoria con l'account Amministratore, rilancia Hthis e fixa queste voci:
O2 - BHO: (no name) - {3407B4F0-3CE6-4DC3-ABA6-CB5D63BE4FC1} - c:\windows\system32\drmclient.dll (file missing)
O2 - BHO: (no name) - {60AE0E43-B1CB-47EA-8B45-BA2D1239942B} - C:\WINDOWS\system32\gcdefd.dll
O20 - Winlogon Notify: svvfscff - drmclient.dll (file missing)

sira214 · Inviato: 05 Nov 2008 07:00 Oggetto:

Non mi sembra cambi molto
hijackthis_1225861146986_804.log

Riverside · Inviato: 05 Nov 2008 11:38 Oggetto:

Sto per perdere la pazienza Smile

Sira, prova cosi: quei due elementi fanno riferimento ad oggetti BHO, applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer.
La chiave di registro relativa ai BHO è: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Vai verificare cosa trovi li dentro (è abbastanza agevole riconoscere subito i componenti tramite verifica dell?identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe.

Comunque te li riposto:

O2 - BHO: (no name) - {3407B4F0-3CE6-4DC3-ABA6-CB5D63BE4FC1} - c:\windows\system32\drmclient.dll (file missing)
O2 - BHO: (no name) - {60AE0E43-B1CB-47EA-8B45-BA2D1239942B} - C:\WINDOWS\system32\gcdefd.dll

sira214 · Inviato: 05 Nov 2008 18:51 Oggetto:

regedit1.JPG
Eccolo. in entrambi i casi i valori visualizzati sono uguali ovvero vuoti

Riverside · Inviato: 06 Nov 2008 14:08 Oggetto:

Elimina le due chiavi e poi in system32 elimina le due dll.
Riavvia e nuovo log di hthis.

sira214 · Inviato: 06 Nov 2008 23:36 Oggetto:

Non mi permette di cancellare
Tentativo cancellazione.JPG

Riverside · Inviato: 07 Nov 2008 01:26 Oggetto:

> Start
> Pannello di Controllo
> Prestazioni e manutenzione
> Strumenti di Amministrazione
> Servizi
fai una immagine della lista dei servizi ed allegala.
In particolare, controlla se nella lista dei servizi trovi qualche servizio anomalo che non sia classificato come Sistema Locale o Servizio di Rete.
Esegui, anche, questo controllo:
> Start
> Pannello di Controllo
> Account utente
e allega una immagine degli account attivi.

sira214 · Inviato: 07 Nov 2008 06:09 Oggetto:

eccoli
Servizi.xls
Utenti.xls

Riverside · Inviato: 07 Nov 2008 14:51 Oggetto:

Allora:
1) servizi strani non ne vedo;
2) per gli account: puoi rimuovere tutti quelli presenti ad eccezione di quello Amministratore.

Devo dirti che a questo punto non so più cosa fare.
Intanto proviamo a ripristinare i servizi che non si avviano.
Segui queste istruzioni:

> Start
> Esegui
> nella finstra di dialogo dirita questo comando services.msc e premi invio
> ti farà accedere alla Scheda Servizi
> clicca su Nome sopra la lista dei servizi in maniera da ordinarli alfabeticamente

cerca i servizi che elencherò sotto, ti posizioni col mouse su ognuno di loro e:

> tasto destro del mouse
> proprietà
> in tipo di avvio imposta Automatico
> clicca su applica
> clicca su avvia e poi su OK

una volta reimpostati tutti i Servizi, esegui la procedura che di indico sotto, per ripristinare, manualmente, Zero configuration reti senza fili

Dopo aver reimpostato tutto, riavvia il Computer per memorizzare le modifiche apportate.

==========

Elenco servizi da rimettere in avvio automatico se non lo sono già:

> Aggiornamenti automatici
> Avvisi
> Centro sicurezza P.C.
> Connessioni di rete
> Zero Configuration reti senza fili
> Windows Firewall/ Condivisione connessione Internet (ICS)

==========

Per ripristinare Zero configuration reti senza fili è necessario ripristinare due chiavi nel registro di sistema relative ai servizi Ndisuio e RPC.
L'operazione si potrebbe eseguire intervendo, manualmente, nel Regedit ma, per maggiore sicurezza, ti ho predisposto un codice per creare un apposito file.reg che contiene le stringhe da ripristinare, che andrà poi ad aggiungersi al registro di sistema in automatico.

Questo è il codice per Windows XP:

sira214 · Inviato: 07 Nov 2008 21:38 Oggetto:

Fatto tutto. non e' cambiato niente. l'unico servizio non startato e che continua a non partire è windows firewall