Olimpo Informatico

[quasar186]

Salve a tutti, ho un problema: devo essermi beccato qualcosa perchè non riesco a visualizzare nè le opzioni internet (dal click col tasto sinistro sull'icona di IE) nè il Pannello di controllo; invece di aprirli mi si visualizza un messaggio di avviso: "Operazione annullata. Sul computer sono attivate delle restrizioni. Contattare l'amministratore di sistema".
Inoltre ho visto che se invece apro IE e clikko Strumenti -> Opzioni Internet allora si che me le apre.
Ho provato a cercare una soluzione da solo ma nessun post mi è stato utile per questo problema, mentre grazie a voi ho potuto risolvere il problema di printer.exe e di un altro malware. Questo però non ci riesco proprio!
Vi posto il logfile di HJT sperando che possa esservi utile. Vi prego rispondete!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.08.08, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Windows Notification Service (Winnotify) - Unknown owner - C:\WINDOWS\System32\winntify.exe (file missing)

--
End of file - 4249 bytes

[Orange]

benvenuto

prova così:
da Start/esegui digita:
sc stop Winnotify e dai l'OK
sc delete Winnotify e dai l'OK

fissa questa voce con HJT:
O23 - Service: Windows Notification Service (Winnotify) - Unknown owner - C:\WINDOWS\System32\winntify.exe (file missing)


vedi se così migliora.

dopo fai anche questi passaggi.

[quasar186]

aspetta, aspetta, aspetta, siccome stavo spulciando tutti i vari post me ne è capitato sottomano l'ennesimo, tra l'altro bello lungo, ed in un passaggio si consigliava di cercare ed eliminare la sottochiave NoControlPanel, l'ho fatto ed ho risolto!!! Almeno così pare! Ho fatto un nuovo scan con HJT: che ne pensi? Vedi qualcosa di strano?

Comunque grazie infinite!!! Postate davvero ottimi consigli!!! Siete tutti fantastici!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.48.01, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4171 bytes

[Orange]

[tecnico24]

ciao quasar, prova ad eseguire combofix
http://download.bleepingcomputer.com...a/ComboFix.exe
salvalo su desktop e lancialo, alla fine ti aprirà un file di testo con un log.
dovresti aver risolto il problema restrizioni.

[tecnico24]

dimmi se hai risolto....

[Orange]

[tecnico24]

servirebbe a risolvere il problema del pannello di controllo.(restrizioni,errore)ripara le voci danneggiate dal malware.

P.S scusate,non avevo letto in basso che aveva risolto.

[bdoriano]

Sai dirci anche il nome del malware?

[chemicalbit]

[bdoriano]

Trovato un link funzionante: http://www.techsupportforum.com/sectools/combofix.exe

[quasar186]

allora, scusate per il ritardo ma ho avuto problemi di connessione. ringrazio tecnico24 anche se avevo già risolto.
ho fatto ciò che mi era stato suggerito con systemscan, qui sotto posto il relativo link, comunque il pc pare a posto ora. A voi giudicare...
Grazie ancora a tutti!

http://www.freefilehosting.net/download/MjI2Njg=

[quasar186]

Ah, un'altra cosa: il report è estremamente lungo!!! Eppure vi assicuro che ho chiuso tutti i programmi che mi suggerivate di chiudere prima di lanciare SystemScan... boh!
Se ho fatto qualche errore ditemelo... e scusate!
Grazie!

[quasar186]

...ehm, non vi sarete mica offesi per il ritardo, no?
Vabbè, comunque ciao e grazie!

[Orange]

scusa, ci siamo dimenticati....
il log, come anche tu hai notato, è lunghetto, se hai un'po di pazienza...

[Orange]

eccomi.

quasar, scusa se "sporco" un'po il tuo topic, ma mi servirebbe un consiglio di Dio Cerusico (se può intervenire Holifay è ancora meglio )

nel report si trova questo:

[quasar186]

ops, scusa orange, non era per mettervi fretta, anzi...

[Orange]

non ti preoccupare

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[quasar186]

Ciao!
Allora, ecco intanto il report di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jhedpcnk

*******************

Script file located at: \??\C:\WINDOWS\system32\vtoqfaqn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\WMSysPr9.prx deleted successfully.
File C:\WINDOWS\3694562 deleted successfully.
File C:\WINDOWS\3709312 deleted successfully.
File C:\WINDOWS\3719812 deleted successfully.
File C:\WINDOWS\74327971 deleted successfully.
File C:\DOCUME~1\WinXp\IMPOST~1\Temp\1123f2.mst deleted successfully.
File C:\DOCUME~1\WinXp\IMPOST~1\Temp\sxe22.7z deleted successfully.
File C:\DOCUME~1\WinXp\IMPOST~1\Temp\2.txt deleted successfully.
File C:\WINDOWS\system32\shmgrate.exe deleted successfully.


Could not delete registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\FirewallPolicy\DomainProfile\AuthorizedApplications\List|%windir%\system32\winav.exe
Deletion of registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\FirewallPolicy\DomainProfile\AuthorizedApplications\List|%windir%\system32\winav.exe failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\FirewallPolicy\DomainProfile\AuthorizedApplications\List|%windir%\system32\winav.exe
Status: 0xc0000034

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|%windir%\system32\winav.exe deleted successfully.


Registry key HKLM\Software\Microsoft\Active Setup\Installed Components\{26923b43-4d38-484f-9b9e-de460746276c} not found!
Deletion of registry key HKLM\Software\Microsoft\Active Setup\Installed Components\{26923b43-4d38-484f-9b9e-de460746276c} failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Active Setup\Installed Components\{881dd1c5-3dcf-431b-b061-f3f88e8be88a} not found!
Deletion of registry key HKLM\Software\Microsoft\Active Setup\Installed Components\{881dd1c5-3dcf-431b-b061-f3f88e8be88a} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Obiettivamente non ci capisco niente (ma suppongo sia normale per noi comuni mortali... ), ora faccio il resto che mi hai detto...

[quasar186]

questa cosa mi sembra interessante: ho scaricato hoster, quando clicco su "Restore MS Hosts File", dopo che clicco OK per la conferma, mi compare un messaggio di errore.

ERROR: cannot create file C:\Windows\sistem32\DRIVERS\ETC\hosts

Dopo di che clicco OK e mi si chiude hoster... suppongo che tutto ciò non sia normale...

Consigli?

P.S. un'altra cosuccia: mi chiedevi di ripulire file tmp e registro con dei programmini, non è che avresti il link per scaricarli?
Altrimenti li cerco, non è un problema... grazie ancora!!!