| Precedente :: Successivo |
| Autore |
Messaggio |
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
 Inviato: 01 Gen 2008 19:29 Oggetto: Avvio mutilato, antivirus e internet bloccati..... |
 |
|
Buon anno a tutti, sono nuovo in questo forum, ho provato a seguire consigli letti su problemi simili al mio ma senza risultati...... allora vi spiego racconto ogni minima cosa per non tralasciare nulla al caso:
Giorno 31 stavo lavorando in archicad, felice e contento stacco tutto mi godo la festa, oggi quando riapro il pc trovo un problema con nod32, non riesce ad aggiornare, controllo un pò le impostazioni ma mentre lo faccio vedo sparire l'icona in basso a destra di nod.....orrendo sospetto, vado ad aprire ccleaner si apre per un'istante e si richiude.....attivo il wifi per cercare aiuti in internet e non si avvia...riavvio il pc e panico totale si avviano solo pochi processi, vedo solo quelli della scheda video, audio e pochi altri e vedo un'anomalo DNA.exe che termino subito, dopo un pò cominciano ad avviarsi gli altri processi e il pc prima lento (si parla di lag di 30 secodni per un comando) sembra riprendersi, ma non risolvo i problemi di nod e internet e cmq riavviando il problema si ripresenta!
Seguendo alcuni consigli dal vostro sito, ho usato AVENGER eliminando all'avvio DNA.exe, ma di nod nessuna traccia...lo disistallo e non me lo fa più reinstallare, provo con kaspersky e niente errore 1304 (in pratica non risulto più amministratore, ma il mio è l'unico account del pc) vado con hostXpert ma niente, vado con regecleaner e stesso problema con ccleaner si avvia per pochi istanti poi si chiude.....volevo installare spybot ma appena installato non si avvia, mi dice che non trova il file esecuzione, faccio sfoglia e vedo scomparire i file.exe....quindi in pratica, gli antovirus e una buona parte di programmi che possono modificare le chiavi di registrano non funzionano, internet non và, mi dà connettività limitata anche ripristinando la scheda, all'avvio la situazione è tragica5 minuti per veder comparire tutti (?) i processi....cmq penso sia tutto non mi resta altro che postare il log di Hijackthis:
| Citazione: | Logfile of HijackThis v1.99.1
Scan saved at 18.11.13, on 01/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Documents and Settings\utente\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
mi metto nelle vostre mani, il 7 ho un'esame e non vi dico i disagi che ho per questo problema, grazie in anticipo per le risposte |
|
| Top |
|
 |
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 01 Gen 2008 22:29 Oggetto: |
|
|
Benvenuto nel forum Fran1985 
Sembra che tu abbia piu di una infezione...
Scarica intanto questi:
Gromozon Rootkit Removal Tool e EliBagle.
Fai una scansione con entrambi, riportando poi i rispettivi log.
Riavvia il Pc e fai uno scan con Gmer come indicato qui, postando i due log in modalità indicata nel thread. |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 12:04 Oggetto: |
|
|
allora questo è il risultato di Gromozon Rootkit Removal Tool:
| Citazione: | Launching Scan
Removing rootkit file...
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programmi\File comuni
Scanning Windows Directory...
Scanning Temporary files...
Trojan.Gromozon does not exist on the system.
Scan finished normally
For a detailed log, please refer to \gromozon_removal.log |
chiedo perdono ma quando ho usato EliBagle ne ha trovato uno, ma non conoscendo lo spagnolo premendo Salir invece di ottenere il log (come credevo) mi si è chiuso, non mi ricordo il numero ma ha trovato un beagle che ha eliminato.....cmq rifacendo la scansione dopo il riavvio non ne ha trovati più
Questi sono gli scan con gmer, l'autostart:
link
e qui ci sono i rootkit:
link |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 15:40 Oggetto: |
|
|
a ok, ecco il log :
link |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Gen 2008 16:17 Oggetto: |
|
|
Che strano, non ha fatto il suo dovere... 
Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria, con CTRL+ALT+CANC apri Task manager
scegli: file -> nuova operazione --> digita regedit -->invio
Verifica questa chiave:
| Citazione: | | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
Che deve contenere questa stringa (valida solo per Windows XP):
| Citazione: | | C:\WINDOWS\System32\userinit.exe, |
Elimina tutto quello che trovi dopo la virgola.
Riavvia il pc.
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 16:56 Oggetto: |
|
|
sono andato in quella chiave, c'era un'altro comando dopo la virgola l'ho cancellato ma ora quando riavvio non si avvia più windows....vedo il logo windows con la barra che carica, poi lo schermo diventa nero ma invece di passare al desktop resta nero e non carica più.....ho provato a riavviare in modalità provvisoria arriva alla scelta dell'account (amministratore o il mio) e poi funziona (ma solo in modalità provvisoria...)..
edit:ho ricaricato windows con l'ultima impostazione funzionante e lo ha caricato, ora riavvio e uso avenger....
edit2: ecco il nuovo log di hijackthis:
link
ps buone nuove, gli antivirus sono risorti, anche ccleaner và, ma la wirless ancora no e all'avvio ci sono ancora problemi |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Gen 2008 17:21 Oggetto: |
|
|
Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 17:40 Oggetto: |
|
|
| bdoriano ha scritto: | Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
purtroppo la scheda wirless e la scheda lan non vanno....è come fossero state infettate....non riesco nemmeno a visualizzare le reti wifi presenti...mi dice: "si è attivato un'altro programma per la gestione della connessione senza fili, utilizzare quel programma"
evidentemente il virus ne ha bloccato l'uso.....
cmq ora sto facendo la scansione dal pc ma per ora non trova niente |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 20:40 Oggetto: |
|
|
| ho finito lo scan rootkit con kaspersky ha trovato 2 trojan che ho rimosso....ho riavviato il pc ma si è verificato un problema.....kaspersky mi dà come azione sospetta l'avvio di rundll.exe, ho controllato in task manager e ci sono 3 rundll.exe uno da 3.016 kb e 2 da 84 kb..... |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 02 Gen 2008 23:07 Oggetto: |
|
|
ho fatto la scansione con sys, questo è il report:
link
cmq ora l'antivirus và, però non ha trovato niente, la scheda wifi ancora non dà segni di vità, e all'avvio quando sembra che stia caricando tutto si ferma il pc e alcuni programmi e processi ( tra cui kaspersky, l'icona della connessione wirless, quella lan) non partono, si avviano dopo qualche minuto dall'avvio, e in questi minuti il pc è molto lento, ma in task non c'è traccia di processi troppo pesanti, cmq posto anche il log di hijackthis fatto poco fà:
link |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 05 Gen 2008 00:58 Oggetto: |
|
|
ci sono news? ho provato a cambiare antivirus, ho caricato nod32, ma nessun risultato e stessi problemi:
All'avvio i processi smettono di avviarsi, resta bloccata l'icona grande centrale di nod32, non si caricano le icone laterali sulla barra strumenti delle connessioni wifi e lan e il pc, in cui cmq posso navigare, và trementamente lento, quando clicco su risorse computer compare la torcia cerca file di windows che resta in movimento fino a quando, dopo diversi minuti, tutto si sblocca. Come se tutti i processi si avviassero in quell'istante (tenendo aperto task manager vedo fioccare i processi) nod32 si avvia e compaiono le icone a lato, poi il pc funziona normalmente a parte la scheda wifi che non rileva la rete del mio router..... |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 05 Gen 2008 10:18 Oggetto: |
|
|
adoro questo sitoooooooooo  , penso di aver risoltoooooooooo
girando negli altri post ho trovato il mio problema (un'errore in zero configuration) che ho risolto cosi:
| Citazione: |
http://www.techsupportforum.com/networking-forum/networking-support/94273-error-1068-when-starting-wzc.html
<<...
However, I did find such Protocol Service in the regedit, and I found out it was disabled (it was set to 4). So, in sum, I recommend you to go to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio
and check that the "Start" Value is set to 1, 2 or 3 (I set it to 1).
And this solved my problem, after a System Restart the Wireless Zero Config Service can be readily...>> |
ora all'avvio và tutto una scheggia, il portatile è tornato alle vecchie prestazioni (40 secondi e sono sul desktop tutto caricato) aleeeeeeee
in pratica è stata colpa del bagle che mi ha smontato alcune impostazioni |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Gen 2008 11:17 Oggetto: |
|
|
Ciao Fran1985, 
contento che hai risolto.
Scusa se rispondo solo adesso ma, tra le altre cose, mi sono beccato un virus pure io.... virus influenzale...  |
|
| Top |
|
|
Fran1985
Mortale devoto
Registrato: 01/01/08 18:51
Messaggi: 10
|
| Inviato: 05 Gen 2008 13:03 Oggetto: |
 |
|
| bdoriano ha scritto: | Ciao Fran1985,
contento che hai risolto.
Scusa se rispondo solo adesso ma, tra le altre cose, mi sono beccato un virus pure io.... virus influenzale... |
lol, io con quello ci combatto da una settimana e non bisogna far altro che aspettare che passi, magari i virus informatici fossero come l'influenza loool |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
