|
| Precedente :: Successivo |
| Autore |
Messaggio |
therichwarrior
Mortale pio
Registrato: 07/08/09 19:37
Messaggi: 22
Residenza: palermo
|
 Inviato: 27 Ago 2009 16:54 Oggetto: |
 |
|
| therichwarrior ha scritto: | | si ma io il disco di ripristino non l'avevo fatto.. se lho faccio ora rinstallo il tutto con i problemi? |
ok ci provo ... e dopo che installo avira cosa faccio? |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Ago 2009 16:56 Oggetto: |
|
|
| therichwarrior ha scritto: | | therichwarrior ha scritto: | | si ma io il disco di ripristino non l'avevo fatto.. se lho faccio ora rinstallo il tutto con i problemi? |
ok ci provo ... e dopo che installo avira cosa faccio? |
Beh...una scassione completa.
E posta il log. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 17:09 Oggetto: |
|
|
| R1 ha scritto: | Ho letto: Che sia attiva di default la funzionalità di assistenza remota, è normale.
E si riferiva a tutti quei file missing. |
Link, grazie.
Per il resto, potete proseguire. |
|
| Top |
|
|
therichwarrior
Mortale pio
Registrato: 07/08/09 19:37
Messaggi: 22
Residenza: palermo
|
| Inviato: 27 Ago 2009 17:19 Oggetto: |
|
|
| -.- |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 17:45 Oggetto: |
|
|
@ therichwarrior, fammi una cortesia: disattiva la funzionalità di assistenza remota, riavvia il sistema ed allega un nuovo log di Hijackthis.
Visto che abbiamo la concreta opportunità (ci potrebbe servire in futuro), sono curioso di verificare sul campo, se corrisponde al vero che l'assistenza remota attivata di default disabiliti e metta in missing una ventina di servizi essenziali. |
|
| Top |
|
|
therichwarrior
Mortale pio
Registrato: 07/08/09 19:37
Messaggi: 22
Residenza: palermo
|
| Inviato: 27 Ago 2009 18:09 Oggetto: |
|
|
| Riverside ha scritto: | @ therichwarrior, fammi una cortesia: disattiva la funzionalità di assistenza remota, riavvia il sistema ed allega un nuovo log di Hijackthis.
Visto che abbiamo la concreta opportunità (ci potrebbe servire in futuro), sono curioso di verificare sul campo, se corrisponde al vero che l'assistenza remota attivata di default disabiliti e metta in missing una ventina di servizi essenziali. |
ehm da dove la disattivo? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Ago 2009 22:07 Oggetto: |
|
|
| Riverside ha scritto: | | R1 ha scritto: | Ho letto: Che sia attiva di default la funzionalità di assistenza remota, è normale.
E si riferiva a tutti quei file missing. |
Link, grazie.
Per il resto, potete proseguire. |
Eccoti accontentato:
link
E scordatelo che quei file siano corrotti.
Non ci vuole un genio per capire che se fosse cosi', il pc avrebbe ben altri problemi.
E, sempre che, chi ha risposto in quel link, non sia un idiota, dice che "non c'è nulla di pericoloso".
Come in altri post, i file missing vengono ignorati. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 22:15 Oggetto: |
|
|
| therichwarrior ha scritto: | | ehm da dove la disattivo? |
Pare da qui:
| Citazione: | Oggi controllando ho trovato in proprietà del sistema il segno di punta su Consenti connessioni di assistenza remota al pc che io non avevo mai attivato.
Nel Firewall di windows in Eccezioni c'era il segno di spunta su assistenza remota |
Controlla un pò: ovviamente devi disabilitare entrambe le funzioni (sia in Proprietà del sistema che tra le Eccezioni nel firewall).
| Citazione: | Non ci vuole un genio per capire che se fosse cosi', il pc avrebbe ben altri problemi.
E, sempre che, chi ha risposto in quel link, non sia un idiota, dice che "non c'è nulla di pericoloso". |
Abbiamo la possibilità di verificarlo, quindi se non ti dispiace, lo facciamo.
Se fosse cosi, una volta disattivato la funzione, quei servizi dovrebbero, per logica non essere più in missing. |
|
| Top |
|
|
zeross
Amministratore
Registrato: 19/11/08 12:04
Messaggi: 8200
Residenza: Atlantica
|
| Inviato: 27 Ago 2009 22:30 Oggetto: |
|
|
Cercate di non scannarvi 
Devo però notare che Vista da risposte diverse rispetto a Windows 2K e Xp che lasciano sconcertati gli abituali utilizzatori dei sistemi operativi precedenti. 
Inoltre la logica ( e solo quella) rimane perplessa difronte al fatto che alcuni servzi essenziali debbano apparire in missing presso il pc locale (ma mi piacerebbe sapere se appaiono tali anche in remoto) visto che non ha senso logico non potere verficarne la funzionalità completa anche in locale, fatto salvo il fatto che servizi come la scheda grafica ATI i quali fossero non disponibili renderebbero inutilizzabile il computer in locale. 
Documentarsi quindi non fa mai male 
Cosi anche altri potranno essere di aiuto 
Zeross
L'ultima modifica di zeross il 27 Ago 2009 22:43, modificato 1 volta |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 22:37 Oggetto: |
|
|
| zeross ha scritto: | | Inoltre la logica ( e solo quella) rimane perplessa difornte al fatto che alcuni servzi essenziali debbano apparire in missing presso il pc locale (ma mi piacerebbe sapere se appaiono tali anche in remoto) |
Stesse perplessità, quindi rovesciando la questione (ammesso che il servizio di assistenza remota comporti quello che abbiamo di fronte) ci faremo una idea più precisa.
Inoltre, mi sono ricontrollato l'intera discussione: siccome non sono un genio e non ho la pretesa di esserlo, volevo essere sicuro di non aver perso qualcosa per strada ...... ma di questo, ne discuteremo dopo  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Ago 2009 22:37 Oggetto: |
|
|
| Citazione: | Abbiamo la possibilità di verificarlo, quindi se non ti dispiace, lo facciamo.
Se fosse cosi, una volta disattivato la funzione, quei servizi dovrebbero, per logica non essere più in missing |
1)Perchè dovrebbe dispiacermi?
2)E non mi interessa, se disattivando o attivando quella funzione non cambia nulla.
Quello che sò, è che i log di Vista, possono presentarsi cosi', e nessuno ha mai trovato niente da dire.
Per cui, quei missing, sono perfettamente normali.
Ma se vuoi stare qui fino a Natale a verificare una cosa ovvia, accomodati pure.
Se hai tempo da sprecare, beato tu. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 22:42 Oggetto: |
|
|
| R1 ha scritto: | | E non mi interessa, se disattivando o attivando quella funzione non cambia nulla. |
Il mio elevato quoziente di intelligenza mi dice che è interessato alla questione (ovvero, caro R1, c'è sempre da imparare .... basta volerlo).
| Citazione: | Quello che sò, è che i log di Vista, possono presentarsi cosi', e nessuno ha mai trovato niente da dire.
Per cui, quei missing, sono perfettamente normali. |
Il fatto che tu lo sappia (per averlo letto altrove), non implica che, avendone la possibilità, si possa averne la certezza.
| Citazione: | Ma se vuoi stare qui fino a Natale a verificare una cosa ovvia, accomodati pure.
Se hai tempo da sprecare, beato tu. |
Non è tempo sprecato: se assumo un impegno cerco di portarlo a termine.
Credo che questo sia una cosa acclarata; quindi, se sarà necessario, arriverò fino a Pasqua, non solo a Natale. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Ago 2009 22:54 Oggetto: |
|
|
| Citazione: | | Il mio elevato quoziente di intelligenza mi dice che è interessato alla questione (ovvero, caro R1, c'è sempre da imparare .... basta volerlo). |
Non mi sembravi interessato.
Bastava fare delle ricerche.
Se ti interessava, le avresti fatte.
| Citazione: | | Il fatto che tu lo sappia (per averlo letto altrove), non implica che, avendone la possibilità, si possa averne la certezza. |
Almeno mi sono preso la briga di averlo letto altrove.
| Citazione: | | Credo che questo sia una cosa acclarata; quindi, se sarà necessario, arriverò fino a Pasqua, non solo a Natale. |
Me lo stò inventando, o gli hai consigliato il format.
E con una motivazione, inesistente.
Se format sarà, non sarà certo per il motivo "missing", ma per il Navipromo che ha imbarcato nel pc. (non il CiD)
Ma è inutile, stare qui a discutere, con uno che dice tutto, e il contrario di tutto.
Per cui, è meglio lasciare perdere, e non intervenire più.
Sarebbe tempo e fiato sprecato. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 27 Ago 2009 23:10 Oggetto: |
|
|
| R1 ha scritto: | Ma è inutile, stare qui a discutere, con uno che dice tutto, e il contrario di tutto.
Per cui, è meglio lasciare perdere, e non intervenire più.
Sarebbe tempo e fiato sprecato. |
R1, ora mi sto stancando.
Questa è una sezione di assistenza e non una sezione dedita alle roditure di culo
Se hai dei problemi con me, esistono i PM. |
|
| Top |
|
|
therichwarrior
Mortale pio
Registrato: 07/08/09 19:37
Messaggi: 22
Residenza: palermo
|
| Inviato: 28 Ago 2009 11:38 Oggetto: |
|
|
| scusa.. da dove disattivo l'assistenza remota? |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 28 Ago 2009 12:08 Oggetto: |
|
|
| therichwarrior ha scritto: | | scusa.. da dove disattivo l'assistenza remota? |
Te lo avevo già indicato in un post precedente (pag. 5), poi ..... in mezzo al casino, è chiaro che ti può essere sfuggito.
Pare da qui:
| Citazione: | Oggi controllando ho trovato in proprietà del sistema il segno di punta su Consenti connessioni di assistenza remota al pc che io non avevo mai attivato.
Nel Firewall di windows in Eccezioni c'era il segno di spunta su assistenza remota |
Controlla un pò: ovviamente devi disabilitare entrambe le funzioni (sia in Proprietà del sistema che tra le Eccezioni nel firewall).
Fammi sapere ed allega un log di Hijakthis dopo aver disabilitato quella roba.
Anche se, mi sono fatto una mia idea .... ma ne parliamo dopo. |
|
| Top |
|
|
therichwarrior
Mortale pio
Registrato: 07/08/09 19:37
Messaggi: 22
Residenza: palermo
|
| Inviato: 28 Ago 2009 22:29 Oggetto: |
|
|
qui ce il log di hijack
hijackthis2.txt
fatemi sapere |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 28 Ago 2009 23:08 Oggetto: |
|
|
Come supponevo e mi aspettavo 8) ..... la funzionalità di assistenza remota con il problema dei servizi in missing c?entra zero; una ipotesi, totalmente, campata per aria e stop.
Ora, prima di proseguire, è necessario fare una lunga premessa (che annoierà qualcuno) ma è necessaria.
Ieri, il mio socio e amico di forum Zeross, in PM ha prospettato una sua ipotesi (questa si, non campata per aria) che qui propongo:
| Citazione: |
Purtroppo la documentazione Microsoft reperita al riguardo non tratta i log generati da programmi non completamente compatibili con Vista 64 bit come Hijackthis che non per colpa del programmatore potrebbero non riconoscere alcune chiamate del kernel verso i vari server che gestiscono i driver device, che se non ricordo male erano stati profondamente rimaneggiati in vista dell'aggiunta di componenti sia dell'interfaccia grafica AERO sia del sistema di ricerca ed indicizzazione e mai implementato nella versione definitiva.
Credo che effettivamente siano stati inseriti in un substrato, che normalmente li rende visibili agli altri programmi ma nel caso di una funzione delicata come il controllo remoto, alquanto vulnerabile per la sicurezza, vengano messi in una sorta di quarantena, o campo trincerato per evitare di essere preda di malware pericolosi.
|
L?ipotesi formulata da Zeross sommata al fatto che diversi tool di rimozione non sembrerebbero compatibili con Windows VISTA (quindi, inutilizzabili alla causa) ha acceso il mio interesse.
Ora, considerato che non sarò un genio ma ragiono, mi sono riletto per intero la discussione (anche per cercare di capire se mi fosse sfuggito qualcosa).
Nel corso di questa simpatica avventura, gli unici interventi eseguiti a livello di sistema si riferiscono all?aver fatto disabilitare:
? il Ripristino configurazione di sistema
? l?UAC
? Windows Defender
Tutta roba che, comunque, come la funzionalità di assistenza remota, con il problema dei servizi in missing, c'entra zero;
Poi, si deve prendere in considerazione una questione che, nelle mie intenzioni, avevo deciso di risolvere solo dopo aver debellato l?infezione (CiD) ovvero il problema legato al userinit.exe (vedi la 2^ immagine che hai postato nel tuo primo post a pagina 2 della discussione); quella chiave è compromessa, probabilmente per effetto della presenza, sul computer di infezioni che utilizzano tecniche di rootkit.
Tutto il resto che si è tentato, rientra nella routine legata alle operazioni di assistenza.
Fin qui, la situazione attuale; o meglio, fino alla ipotesi formulata da Zeross, che mi ha fatto venire una idea.
E proprio in considerazione del fatto che, per la prima volta, grazie alla tua disponibilità (il format può attendere) abbiamo la possibilità di approfondire problematiche di intervento legate a Windows VISTA 64Bit, vediamo se la mia idea funziona.
Zeross nella sua analisi (che, ripeto, non è campata per aria, considerate le conoscenze informatiche di chi la ha formulata), sottolinea due aspetti che si possono, semplicando, così riassumere:
1) la struttura di Windows VISTA 64bit rispetto a quella di VISTA 32bit e, ovviamente del sistema precedente (Windows XP), è più blindata
2) questo potrebbe, in parte spiegare, il perché diversi tool di rimozione non girino e, a distanza di tempo non siano ancora stati rilasciati, da coloro che li sviluppano, tool aggiornati in grado da girare su Windows VISTA 64Bit (evidentemente la struttura dell?S.O., è parecchio ostica)
Inoltre, per quanto attiene, questa osservazione:
| Citazione: | | Credo che effettivamente siano stati inseriti in un substrato, che normalmente li rende visibili agli altri programmi ma nel caso di una funzione delicata come il controllo remoto, alquanto vulnerabile per la sicurezza, vengano messi in una sorta di quarantena, o campo trincerato per evitare di essere preda di malware pericolosi. |
ci rimanda al fatto che, contrariamente a quanto facciamo per Windows XP, in fase di assistenza su VISTA non facciamo rimuovere il contenuto della cartella Prefecth, proprio perché, all'interno di quella cartella, sono archiviate alcune informazioni necessarie al sistema.
Prendiamo il caso di Hijackthis.
Su Windows VISTA 64Bit sappiamo che gira ma, se andiamo a controllare le specifiche sul sito dell?autore, ci viene proposto questo:
| Citazione: | Operating System:
? Microsoft? Windows? Vista
? Microsoft? Windows? XP
? Microsoft? Windows? 2000
? Microsoft? Windows? Me
? Microsoft? Windows? 98
Software:
? Microsoft Internet Explorer 6.0 or 7.0
? Mozilla? Firefox? 1.5 or 2.0 |
Ovvero, un generico riferimento a VISTA ed uno più preciso, alle versioni del browser (quest?ultimo avrebbe potuto interessarci in caso tu avessi installato I.E. 8 ? non spiego la ragione perché mi appare evidente).
Il dubbio è che anche Hijackthis, sebbene giri su VISTA 64Bit, per qualche ragione legata alla struttura del sistema, riporti, nei log che genera, delle informazioni non corrette (vedi le 023 in missing, per esempio) ingannando chi analizza il log.
Va da se che questo potrebbe creare un secondo e più serio problema:
mettiamo il caso che un log di quel tipo venga analizzato da un utente poco esperto e che, interpretando erroneamente quelle informazioni, ne suggerisca il fix, ecco che la frittata è fatta.
L?idea che mi frulla in testa e che vorrei verificare, non fa altro che rispolverare una funzionalità implementata in Windows che, in passato, consentiva di far girare sul sistema, programmi non compatibili, utilizzando la funzione Esegui il programma in modalità per ?.
Per eseguire questa specie di esperimento, in considerazione del fatto che, sul tuo computer (vedi la questione userinit.exe) probabilmente hanno trovato residenza dei rootkit, oltre ad Hijakthis ho scelto Gmer (il migliore antirootkit in circolazione) che, come anche precisato sul sito dell?autore è compatibile per Windows NT/W2K/XP/VISTA.
Non è detto che la cosa funzioni, quindi ci troveremmo a non aver risolto niente ma provare non costa nulla ..... però, se dovesse funzionare ?? 8)
Quindi, se sei disponibile a provare, procedi in questa maniera:
Verifca che il Ripristino configurazione di sistema sia ancora disabilitato, poi facciamo le due prove:
PRIMA PROVA:
Esegui Hijackthis ma in maniera diversa, ovvero:
● Tasto destro del mouse sulla icona
● Proprietà
● apri la scheda Compatibilità
● spunta la voce Esegui il Programma in modalità compatibiltà per
● scegli Windows XP (a meno che non ti venga offerta la possibilità di eseguirlo come Windows VISTA 32bit)
● conferma con Applica e poi con OK
● lancialo cliccando con il tasto destro del mouse e scegliendo Esegui come Amministratore
● allega il log che verrà rilasciato e vediamo cosa salta fuori.
SECONDA PROVA:
Scarica GMER: clicca qui per il download (per scaricarlo clicca su download EXE, lo trovi a metà pagina)
posizionalo sul Desktop e lancialo in questa modalità:
● Tasto destro del mouse sulla icona
● Proprietà
● apri la scheda Compatibilità
● spunta la voce Esegui il Programma in modalità compatibiltà per
● scegli Windows XP (a meno che non ti venga offerta la possibilità di eseguirlo come Windows VISTA 32bit)
● conferma con Applica e poi con OK
● lancialo cliccando con il tasto destro del mouse e scegliendo Esegui come Amministratore
Se GMER parte:
● apparirà una maschera e per alcuni secondi il programma risulterà bloccato
In realtà GMER sta effettuando una scansione preliminare del sistema alla ricerca di possibili rootkit nelle zone più delicate del sistema.
Nel 90% dei casi se è presente un rootkit lo vedrai già da questa scansione preliminare, perché verranno indicate delle voci in rosso contrassegnate come ***hidden***.
● accertati che tutte le voci a destra siano spuntate
● clicca su Scan
● attendi che la scansione venga conclusa
● se venissero indicate voci in rosso clicca su ognuna di esse con il tasto destro del mouse ed eliminale
● clicca su Save per salvare il log ed allegalo.
E vediamo cosa succede. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 29 Ago 2009 00:44 Oggetto: |
|
|
Una considerazione semplice, e pacata.
Hijackthis,essendo un'applicazione a 32 bit, non può leggere correttamente applicazioni a 64bit.
Perchè, quando Hijackthis, cerca i file nella cartella System32,l'emulatore WOW64 reindirizza tutte le richieste (di Hijackthis) alla cartella \ Windows \ SysWOW64.
Per cui,Hijackthis, anche se ci sono quei file, non li trova.(Missing)
Se,GMER, è un'applicazione a 32 bit,(indipendentemente che sia per Vista) si corre il rischio, che i risultati, (sempre se riuscirà a girare,) siano falsati come quelli di Hijackthis.
Per cercare di spiegarmi meglio, voglio dire che, non centra se le applicazioni siano compatibili con Vista, (che può essere 32bit) ma che, i software che si scaricano, devono essere compatibili con i 64bit.
Questa considerazione, non è per ostacolare le prove che saranno fatte, è solo una considerazione a mio avviso logica. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 29 Ago 2009 01:46 Oggetto: |
 |
|
| R1 ha scritto: | | Questa considerazione, non è per ostacolare le prove che saranno fatte. |
E questo basta, quindi vediamo cosa ne viene fuori.
Anche per via del fatto che non sappiamo (io di certo non lo so e non mi sono mai posto il problema di saperlo) con quale versione di NET Framework siano stati compilati Hijackthis e Gmer, quindi se vengono o meno eseguiti in WOW64 in linguaggio CLR a 32Bit in un S.O. a 64Bit.
@therichwarrior giusto per cautela, quando esegui GMER (sempre che giri), a differenza di quanto ti ho suggerito nel mio precedente post, se venissero indicate voci in rosso, non le eliminare: salva solo il log ed allegalo. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
