Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* Non si avvia in modalità provvisoria e non fa partire HJT
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 12:09    Oggetto: * Non si avvia in modalità provvisoria e non fa partire HJT Rispondi citando

...non rileva più gli antivirus e non me li fa più installare dicendo che non sono applicazioni win32.
Ho guardato un pò nei vostri topic ma non trovo tra le risposte che date quella che fa al caso mio...
che domenica di m...
Please Help
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 13:14    Oggetto: aggiornamento Rispondi citando

ho fatto una scansione con eligabla, mi ha eliminato 5 processi, mi apre 2 messaggi con accesso negato alla cartella Windows/system32/??croosoft(16)
e Windows/t?sks(16)
vado in c: per trovare il report e mi trovo con 7500 file .tmp impossibili da eliminare!
mah!
Top
Profilo Invia messaggio privato
baciami
Semidio
Semidio


Registrato: 02/09/07 14:40
Messaggi: 287
Residenza: toscana

MessaggioInviato: 24 Feb 2008 13:21    Oggetto: Rispondi citando

ciao..intanto fai pulizia dei file temp com questo ATF-Cleaner.exe puoi scaricarlo qui http://alexsandra.wordpress.com/2007/03/11/atf-cleaner-guida-alluso
Top
Profilo Invia messaggio privato HomePage Yahoo MSN
baciami
Semidio
Semidio


Registrato: 02/09/07 14:40
Messaggi: 287
Residenza: toscana

MessaggioInviato: 24 Feb 2008 13:32    Oggetto: Rispondi citando

una volta eliminati,scarica Hijackthis ma prima leggi qui http://forum.zeusnews.com/viewtopic.php?p=210548 dove trovi le spiegazioni e dove scaricarlo..poi metti il log di Hijackthis qui
Top
Profilo Invia messaggio privato HomePage Yahoo MSN
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 13:48    Oggetto: Rispondi citando

Ah benedetta anima che mi dedica attenzione alla domenica.
Ciao e intanto grazie
fosse facile...
dunque, il software per eliminare i file temporanei mi dice di aver eliminato 650 mb di file ma i 7500 file in c: rimangono belli come il sole.
Anche dopo aver lanciato eligabla HJT non parte.
Di seguito posto quello che trova Eligabla.
Aggiungo che adesso il computer si riavvia comunque dopo circa 10 minuti di accensione e svariati messaggi di errore

Sun Feb 24 13:34:24 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 13:34:33 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\xInsIDE\XINSIDE.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 5694
Nº Total de Ficheros: 65491
Nº de Ficheros Analizados: 8592
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Top
Profilo Invia messaggio privato
baciami
Semidio
Semidio


Registrato: 02/09/07 14:40
Messaggi: 287
Residenza: toscana

MessaggioInviato: 24 Feb 2008 14:05    Oggetto: Rispondi citando

scarica combofix lo trovi qui http://forum.zeusnews.com/viewtopic.php?p=235539 poi posta il log qui che lo guardo dopo visto che vado un 3 ore a lavorare Sad
Top
Profilo Invia messaggio privato HomePage Yahoo MSN
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 14:27    Oggetto: Rispondi citando

la cosa si fa interessante.
Il primo combofix lo salva(sul desktop) ma se lo lancio mi dice che è un'applicazione win32 non valida.
il secondo link mi fa scaricare il file(sul desktop) ma me lo fa scomparire alla velocità della luce, quindi sono nell'impossibilità di lanciarli tutti e due.
Buon lavoro.
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 24 Feb 2008 14:49    Oggetto: Rispondi citando

Mi sa che hai almeno un paio di infezioni al prezzo di una Smile

Fai questi controlli:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit .
Riporta qui i valori che vedi

Controlla anche queste chiavi:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
Riporta qui i valori che vedi
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 15:41    Oggetto: Rispondi citando

Orange ha scritto:
Mi sa che hai almeno un paio di infezioni al prezzo di una Smile

Fai questi controlli:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit .
Riporta qui i valori che vedi

REG_SZ c:\windows\system32\userinit.exe

Controlla anche queste chiavi:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
Riporta qui i valori che vedi


non è presente niente tranne un (predefinito) REG_SZ
Top
Profilo Invia messaggio privato
baciami
Semidio
Semidio


Registrato: 02/09/07 14:40
Messaggi: 287
Residenza: toscana

MessaggioInviato: 24 Feb 2008 17:03    Oggetto: Rispondi citando

non ti devi fermare HKEY_LOCAL_MACHINE ma tramite il + scorri fino a trovare quello che ti ha chiesto orange
es
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
ecc....
Top
Profilo Invia messaggio privato HomePage Yahoo MSN
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 17:14    Oggetto: Rispondi citando

mi fai venire i dubbi su tutto, ma è esattamente quello che ho fatto, cioè sono entrato nelle cartelle fino a tutta la sequenza e in coda a userinit non c'è niente mentre nelle altre chiavi di explorer nessuna traccia
Top
Profilo Invia messaggio privato
baciami
Semidio
Semidio


Registrato: 02/09/07 14:40
Messaggi: 287
Residenza: toscana

MessaggioInviato: 24 Feb 2008 17:17    Oggetto: Rispondi citando

aspetta orange che è la migliore
orange..quando puoi mi passi da "registro e altro" che anch'io ho i miei problemucci Glub
Top
Profilo Invia messaggio privato HomePage Yahoo MSN
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 24 Feb 2008 17:25    Oggetto: Rispondi citando

Intanto che aspetti l'intervento di Orange, vedi se riesci a portarti avanti con il lavoro:
Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 17:45    Oggetto: Rispondi citando

ci sto provando ma a metà scansione si riavvia il pc...un braccio di ferro stile Over the top.
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 18:27    Oggetto: Rispondi citando

Piccola nota:
il file di report inviato è tutto quello che riesco ad inviare nel senso che il pc va in reboot ogni volta che systemscan arriva alla voce drivers...
24_02_2008_18_00_report.zip
Comunque vada(scusate ma la mia fede inizia a vacillare)
SIETE MAGNIFICI
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 24 Feb 2008 19:06    Oggetto: Rispondi citando

Proviamo comunque fare qualcosa anche se la vedo dura.... Shocked
Ma prima una domandina: il tool EliBagla (e anche ComboFix) l'hai lanciato con i privilegi Admin?

Prima di fare qualunque procedura di rimozione fai per favore questi passaggi:
* scarica ATF Cleaner
avvialo, metti la spunta su Select all (se usi Firefox o Opera spunta anche le loro opzioni)
clicca Empty selected e aspetta il messaggio Done cleaning!
eventualmente ripeti per FF e/o Opera

* Scarica CCleaner
avvialo, seleziona Analizza e a scansione terminata clicca Avvia pulizia

* Scarica Eusing Free Registry Cleaner
avvialo, seleziona Scan Registry Issue e a scansione terminata clicca su Repair Registry Issue.

Adesso avvia nuovamente SystemScan e rifai la scansione, postando alla fine il nuovo logfile.

Comincia a scaricare anche The Avenger--- ci servirà dopo Wink
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 19:18    Oggetto: Rispondi citando

ahi ahi..non so come accedere ai privilegi admin...in effetti quando elibagla non mi fa accedere a quelle 2 cartelle...come faccio?, prima di fare tutta la sequenza che mi hai descritto?
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 24 Feb 2008 20:06    Oggetto: Rispondi citando

Il problema è il tempo...perchè si riavvia comunque nel giro di 5 minuti...ce ne mette circa 2 per smettere di aprirmi finestre varie che chiudo subito..
ATF sono riuscito...riavviato
CCleaner riuscito...riavviato
EFRC riuscito in 2 spezzoni...riavviato
Ma SystemScan ci mette troppo e quando arriva sempre ai drives si riavvia
UFF
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 24 Feb 2008 23:58    Oggetto: Rispondi citando

Succede lo stesso anche quando avvii in modalità provvisoria? Think
Top
Profilo Invia messaggio privato
goemon
Mortale adepto
Mortale adepto


Registrato: 24/02/08 12:01
Messaggi: 35
Residenza: Bologna

MessaggioInviato: 25 Feb 2008 10:43    Oggetto: Rispondi

news del mattino...
Avvio in modalità provvisoria dopo tutte le abluzioni e purificazioni consigliate da Orange...il computer ha 2 accessi(stavolta me lo fa vedere) e scelgo Administrator
Sono in modalità provvisoria
compare una finestra con scritto

During a scan of files at system start up, potential errore in the system registry were found.
p-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED

con questa finestra il computer potrebbe stare acceso per ore
clicco su ok

avvio elibagla
invece dei 2 bagle trovati precedentemente me ne trova 7, ma l'accesso a 2 cartelle rimane comunque negato...chiudo elibagla

compare un'altra finestra(comparsa mentre elibagla lavorava)

A potential problem has been detected and Windows has been shutdown buggy application to prevent damage to your computer.
****WXYZ.SYS - Address F73120AE base at C00000, DateStamp 36b072A3
Kernel Debugger Using: COM2 (Port 0x28f, Baud rate 192000)

clicco su ok

vado di Atf...fatto
vado di CCleaner...fatto
Efrc...fatto
e ora SystemScan...ci mette un pò ma procede

next time...THE LOG
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi