Olimpo Informatico :: Leggi argomento - F2 - REG:system.ini: userinit.exe, c:\windows\services.exe

Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto

FAQ

Cerca

Lista utenti

Gruppi

Registrati

Profilo

Messaggi privati

F2 - REG:system.ini: userinit.exe, c:\windows\services.exe

Indice del forum -> Pronto Soccorso Virus

Precedente :: Successivo

Autore

Messaggio

UET
Comune mortale

Registrato: 20/07/06 11:40
Messaggi: 1

Inviato: 20 Lug 2006 11:50 Oggetto: Piccolo problemino

holifay ha scritto:

2 ) Cerca il file rock.exe e sysmon.exe (questo è in C:\WINDOWS\SYSTEM) e mettili in un file zip che manderai a www.suspectfile.com

3 ) Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci e al temine premi Fix checked

Citazione:

O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O15 - Trusted Zone: www.1987324.com

4 ) Riavvia in modalità provvisoria: premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona modalità Provvisoria (safe mode)

5 ) Cerca ed elimina i file rock.exe e sysmon.exe

6 ) Svuota il cestino, tutte le cartelle TEMP che trovi e i file termporanei di Internet.

7 ) Riavvia in modalità normale e fai una scansione online con Kaspersky, selezionando la modalità estesa. Al termine salva il log.

8 ) Posta il log di Kspersky e un nuovo log di HijackThis.

Quando hai fatto la pulizia, prendi in considerazione il fatto di installare un antivirus e un firewall, altrimenti ti infetterai nuovamente con facilità
Trovi i link utili qui: http://forum.zeusnews.com/viewtopic.php?t=16009

Ciao

Ciao Holifay,

anche io ho lo stesso problema di *mara*, ed ho fatto tutto ciò cha hai detto.....solo due perplessità...

1) i file rock.exe e sysmon.exe non esistono
2) il problema non si è risolto.... Crying or Very sad

Ora....ti posto i log di hijackthis e kaspersky, magari mi potresti dare una mano a capirci qualcosa.... Very Happy

Logfile of HijackThis v1.99.1
Scan saved at 11.34.01, on 20/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: YA2GOOGLE - {89731480-D47D-4DC4-8A36-BAAE55E094C5} - C:\WINDOWS\system32\Explorer.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Anna\Dati applicazioni\torafacire\systrvsm.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.it/kos/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151073561660
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7784BB20-0C18-483B-AF04-B73A3AD834CB}: NameServer = 151.99.125.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

--------------------------------------------------------------------------------

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
giovedì 20 luglio 2006 11.33.19
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner versione: 5.0.78.0
Ultimo aggiornamento del database di Kaspersky Anti-Virus: 20/07/2006
Registrazioni del database di Kaspersky Anti-Virus: 196132
-------------------------------------------------------------------------------

Impostazioni di analisi:
Analizza utilizzando i seguenti database antivirus: standard
Analizza Archivi: vero
Analizza database di posta: vero

Analizza destinazione - Aree critiche:
C:\WINDOWS
C:\DOCUME~1\Anna\IMPOST~1\Temp\

Analizza statistiche:
Numero totale di oggetti analizzati: 11231
Numero di virus trovati: 1
Numero di oggetti infetti: 5
Numero di oggetti sospetti: 0
Durata del processo di analisi: 00:09:57

Nome dell'oggetto infetto / Nome del virus / Ultima azione
C:\WINDOWS\svchost32.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\svchost64.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\system32\drivers\svchost64.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\system32\t32.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\system32\t64.exe Infetto: Packed.Win32.Tibs ignorato

Processo di analisi completato.
---------------------------------------------------------------------

Ti ringrazio......

Alessandro Crying or Very sad

Top

holifay
Dio maturo

Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano

Inviato: 20 Lug 2006 13:31 Oggetto:

Ciao Alessandro e benvenuto nei nostri forum Very Happy

ti ho spostato in un nuovo topic per tenere i problemi separati.

Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci (se ancora esistenti) e al temine premi Fix checked

Citazione:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: YA2GOOGLE - {89731480-D47D-4DC4-8A36-BAAE55E094C5} - C:\WINDOWS\system32\Explorer.dll
O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Anna\Dati applicazioni\torafacire\systrvsm.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

Scarica The Avenger ed estrai l´eseguibile sul desktop.

Seleziona con il mouse il contenuto del riquadro qui sotto e copialo negli appunti (premi CTRL+C).

Citazione:

Files to replace with dummy:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\Explorer.dll
C:\WINDOWS\svchost32.exe
C:\WINDOWS\svchost64.exe
C:\WINDOWS\system32\drivers\svchost64.exe
C:\WINDOWS\system32\t32.exe
C:\WINDOWS\system32\t64.exe

Files to delete:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\Explorer.dll
C:\WINDOWS\svchost32.exe
C:\WINDOWS\svchost64.exe
C:\WINDOWS\system32\drivers\svchost64.exe
C:\WINDOWS\system32\t32.exe
C:\WINDOWS\system32\t64.exe

Folders to Delete:
C:\Documents and Settings\Anna\Dati applicazioni\torafacire

- avvia The Avenger e seleziona Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incolla quanto copiato sopra premendo Ctrl+V
- clicca Done
- clicca l´icona con il semaforo con la luce verde per avviare lo script
- rispondi Yes due volte

se il PC non si riavvia da solo, riavvialo manualmente

Al riavvio metti per favore i file che troverai nella cartella C:\Avenger in un archivio ZIP e mandali per favore a www.suspectfile.com. Abilita la visualizzazione dei file nascosti e di sistema per trovarli tutti:

Citazione:

- apri gestione risorse
- dal menu selezona strumenti >> opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella visualizza file e cartelle nascoste
- togli la spunta alla casella nascondi file di sistema (consigliato) (trovi l´ozione più in basso)
- clicca Si, poi Applica, poi OK.

Non mandare il file avenger.txt, quello aprilo e copia/incolla il contenuto qui, in una tua risposta. Posta anche un nuovo log di HijackThis.

Top

Mostra prima i messaggi di:

	Indice del forum -> Pronto Soccorso Virus	Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

Vai a:

Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi