| Precedente :: Successivo |
| Autore |
Messaggio |
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
 Inviato: 05 Dic 2012 23:01 Oggetto: Dopo un'infezione da spyware non funziona il CMD |
 |
|
Salve a tutti..
Ho un portatile acer con win7 e avira come antivirus. Ho avuto un problema di spyware e dopo un paio di antispyware con relative scansioni, ho cancellato un pò di file. Ora però, a computer apparentmente pulito ho un problema col fatto che non mi funziona il prompt dei comandi CMD.exe o meglio quando l'avvio mi esce la scritta :
Impossibile avviare correttamente l'applicazione errore(0x0000142).
Secondo me è probabile che si sia modificata qualche chiave di registro, vorrei chiedere a voi come rimediare.
Qui riporto il log di hijackthis, così si può vedere se c'è qualcosa che non va. Vorre porre l'attenzione sull'ultima riga dove dice che c'è un file mancante. Se non sbaglio questo è un file che ho cancellato con uno dei programmi di pulizia,rilevato come dannoso. E' da allora che non mi funziona più il cmd, non è che è un file necessario a windows? Ecco il log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:28:59, on 05/12/2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16448)
Boot mode: Normal
Running processes:
E:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
E:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
E:\Programmi\Super anti Spyware\SUPERAntiSpyware.exe
C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
E:\Programmi\Hijack\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programmi\Java\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: SimpleAdblock Class - {FFCB3198-32F3-4E8B-9539-4324694ED664} - C:\Program Files\Common Files\Simple Linux\SimpleAdblock.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programmi\Super anti Spyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Global Startup: Server di rete.lnk = C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\PROGRA~1\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\PROGRA~1\Java\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O23 - Service: Abaqus - Unknown owner - E:\Programmi\Abaqus\License\lmgrd.exe (file missing)
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - E:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - E:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVGIDSAgent - Unknown owner - E:\Programmi\AVG Antivirus\avgidsagent.exe (file missing)
O23 - Service: AVG WatchDog (avgwd) - Unknown owner - E:\Programmi\AVG Antivirus\avgwdsvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - E:\Programmi\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - E:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: yj5tcah - Unknown owner - C:\Users\U.exe (file missing)
--
End of file - 6538 bytes
Spero che da qui si possa capire il problema... Grazie tante per l'attenzione |
|
| Top |
|
 |
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9732
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 05 Dic 2012 23:09 Oggetto: |
|
|
| Spostato da forum errato. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Dic 2012 23:36 Oggetto: |
|
|
Ciao pabloecobar,
fai questa scansione:
- Scarica OTL:
clicca qui per scaricarlo e salvalo sul desktop.
- Clicca sull'icona di OTL che trovi sul tuo desktop
- in Output, assicurati che sia selezionato Minimal Output
- metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
- in Standard Registry, assicurati che sia selezionato All
- in Extra Registry, assicurati che sia selezionato Use SafeList
- clicca il bottone Run Scan
- verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
- Carica i logs uno dei servizi di hosting indicati in questa discussione
|
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 05 Dic 2012 23:37 Oggetto: |
|
|
| cosa dovrei fare per rimediare? |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9732
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 06 Dic 2012 00:27 Oggetto: |
|
|
Quello che ti ha detto bdoriano mentre postavate nello stesso momento  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Dic 2012 08:22 Oggetto: |
|
|
repetita iuvant...
| bdoriano ha scritto: | Ciao pabloecobar,
fai questa scansione:
- Scarica OTL:
clicca qui per scaricarlo e salvalo sul desktop.
- Clicca sull'icona di OTL che trovi sul tuo desktop
- in Output, assicurati che sia selezionato Minimal Output
- metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
- in Standard Registry, assicurati che sia selezionato All
- in Extra Registry, assicurati che sia selezionato Use SafeList
- clicca il bottone Run Scan
- verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
- Carica i logs uno dei servizi di hosting indicati in questa discussione
|
|
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 06 Dic 2012 10:03 Oggetto: |
|
|
salve a tutti.
Allora spero di aver fatto tutto per bene e vi riporto i nuovi log...
OTL.Txt
Extras.Txt
Anche qui porrei l'attenzione sul file (yj5tcah) che se non sbaglio è stato cacciato dagli antispware prima che cominciassero i problmi seri...
spero che voi ci capiate qualcosa, e mi ci afffido...
Grazie in anticipo.. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Dic 2012 13:41 Oggetto: |
|
|
Oltre all'evidente infezione con ZeroAccess, hai anche 2 antivirus attivi (AVG e Avira).
Come ben sai, 2 antivirus non possono coesistere.
Anziché proteggere il pc su cui sono installati, passano la maggior parte del tempo a litigare per controllare il contenuto dei files presenti sul pc.
Prima di procedere con le operazioni di rimozione dell'infezione, ti consiglio di disinstallare uno dei 2 antivirus.
Personalmente, preferisco far mantenere Avira. Lascio comunque a te la scelta di quale AV tenere.
Una volta rimosso l'antivirus di troppo, procedi con queste operazioni:
- Scarica TDSSKiller.zip e salvalo sul desktop
- Apri il file appena scaricato ed estrai il file TDSSKiller.exe
- Avvia TDSSKiller.exe
- Clicca Change parameters
- metti il segno di spunta a Loaded modules
Compare una nuova finestra:
| Citazione: | Reboot is required
Extended monitoring driver is required for this option.
Press "Reboot now" to install driver and reboot, or "Cancel" to continue. |
Clicca Reboot now e attendi il riavvio del pc
Compare nuovamente la finestra di TDSSKiller
Clicca Change parameters
metti il segno di spunta a Verify file digital signatures
metti il segno di spunta a Detect TDLFS file system
Clicca Start scan e attendi pazientemente la fine dei lavori
Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
Il log viene creato nella cartella principale del disco C:
Es.: C:\TDSSKiller.2.8.15_06.12.2012_13.05.43_log.txt
Posta il log creato, secondo le solite modalità |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 06 Dic 2012 15:35 Oggetto: |
|
|
Allora la cosa strana è che avg è il mio vcchio antivirus che io credevo di aver disinstallato. Ora c'è solo avira per quanto ne so...
Cmq ho seguito le indicazioni e dopo la scansione c'erano dei file sospetti.. quelli relativi avg li ho cancellati, mentre gli altri ho lasciato sckip perchè non saprei come comportarmi. ad esempio c'erano dei file di programmi che so siano buoni come spedfan oppure wibu key..
alloego il nuovo log:
TDSSKiller.2.8.15.0_06.12.2012_14.24.41_log.txt |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 06 Dic 2012 18:22 Oggetto: |
|
|
In più da dove devo eliminare la minaccia che mi avet segnalato ZERO ACCESS?
Grazie per l'attenzione |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Dic 2012 19:44 Oggetto: |
|
|
Ciao.
| Citazione: | | In più da dove devo eliminare la minaccia che mi avet segnalato ZERO ACCESS? |
Questo ci penserà bdoriano.
Un pò di pazienza. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Dic 2012 00:20 Oggetto: |
|
|
Curiosamente, le tue indicazioni e OTL presentano riferimenti a un'infezione tipica del rootkit ZeroAccess... ma, TDSSKiller, non ne trova traccia.
Probabilmente, l'infezione è sta rimossa in un modo incompleto e ha lasciato degli strascichi. 
- scarica Windows Repair (All In One), ti consiglio la versione portable.
- scompatta il file scaricato
- disabilita Avira
- avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
- vai direttamente allo Step 2
Check File System(optional) Very important If Doing File Permission Repair
- clicca Do It
- il pc si riavvierà per effettuare il controllo
- disabilita Avira
- avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
- vai direttamente allo Step 3
System File Check (optional)
- clicca Do It
- attendi il termine delle operazioni e riavvia il pc
- disabilita Avira
- avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
- vai direttamente allo Step 4
ERUNT Registry Backuo & System Restore (optional)
- clicca Create sotto System Restore
- clicca Backup sotto Erunt
- vai alla voce Start Repairs
- clicca Start
- metti il segno di spunta a Restart/Shutdown System When finished
- clicca Start
- al termine delle operazioni il pc si riavvierà da solo
Rifai la scansione con OTL e posta i nuovi logs, così posso rendermi conto di cosa è rimasto da sistemare. |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 07 Dic 2012 11:00 Oggetto: |
|
|
Ciao, grazie ancora tanto per il tempo dedicatomi..
Senti, io ho provato sia con laversione portable, che con quella da installare, me in pratica lo step 2 non lo riesco a fare, perchè dopo che clicco DO IT, mi si chiede se voglio riavviare il pc e poi mi esce la solita scritta di errore, probabilment del CMD che dice "impossibile avviare correttament l'applicazione (0x0000142)"; e anche se riavvio a mano non succede niente. Ho provato lo stesso lo step 3, ma non succde assolutamente nulla quando schiaccio do it, e con gli altri non ho continuato per paura di fare ulteriori danni.
Che fare??
Inoltre, come mi dovri comportare con quei file sospetti che TDSSKIller mi segnala ed io non conosco? L'ultima volta ho fatto semplicemente SKIP..
Grazie tanto,tanto tanto aspetto risposta... |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Dic 2012 12:57 Oggetto: |
|
|
Vai direttamente allo step 4 e, successivamente, alla voce Start Repairs .
I passaggi completi, li faremo una volta ripristinato il cmd.
Per quanto riguarda TDSSKiller, non ti preoccupare, ci pensiamo dopo. |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 07 Dic 2012 17:16 Oggetto: |
|
|
Allora ho eseguito i processi dello step 4, e ho avviato la correzione.. Il CMD ancora non funziona, e mentre andava la correzione dei vari settori, il solito messaggio di errore appariva sia per il file CMD.exe , che per uno nuovo ovvero PSEXEC.exe.
cmq questi sono i log:
OTL.Txt
Extras.Txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Dic 2012 21:50 Oggetto: |
|
|
Ci sono vari problemi da risolvere.
Probabilmente, i vari tentativi di rimozione, hanno compromesso la stabilità del sistema.
A questo punto, la prima cosa da fare è disinstallare entrambi gli antivirus (AVG e Avira).
La disabilitazione/cancellazione manuale dei servizi relativi agli antivirus è un'operazione altamente sconsigliata.
Per la rimozione dei 2 AV, ti consiglio di utilizzare AppRemover.
Una volta rimossi entrambi gli AV e riavviato il pc, segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 08 Dic 2012 01:10 Oggetto: |
|
|
Ciao,
allora ho rimosso avira, mentre avg, come credevo, non c'è e neanche Appremover lo ha rilevato. A questo punto ho lanciato Combofix, ma è da circa un'ora è mezza che non ha finito e la barra di avanzamento è ferma a circa il 90%... Che fare?? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 08 Dic 2012 09:34 Oggetto: |
|
|
Avrà finito? |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 08 Dic 2012 10:11 Oggetto: |
|
|
| Niente, ho rilanciato per la sconda volta combofix, dopo che aveva girato per ore, ma niente. Si blocca e non gnera il log... |
|
| Top |
|
|
pabloecobar
Mortale pio
Registrato: 05/12/12 22:46
Messaggi: 24
|
| Inviato: 08 Dic 2012 10:41 Oggetto: |
 |
|
Se può essere di aiuto ho inserito il cd di windows, e avviandolo da boot mi permette di far partire il prompt dei comandi..
Fatemi sapere.. e grazie |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
