Accedi per seguire   
Seguaci 0
alelomba

Problema All'avvio

29 messaggi in questa discussione

Ciao, posto il log del pc: con sistema windows 2000, dopo il ctrl+alt+canc si presenta un errore che fa ripartire il pc.

hijackthis.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao alelomba

Installa un Firewall per aumentare la sicurezza del tuo PV --> Zone Alarm FREE

Che tipo d'errore ti appare ? Puoi essere più preciso...?

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Intanto, in modalità provvisoria, fissa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ffweb:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ad;net5000;iww.*;aris;server1;<local>

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {0D47B075-A9F9-A433-2519-0202A39FCA4F} - C:\WINNT\fphch1.dll (file missing)

O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINNT\SYSTEM32\DWRCS.EXE (file missing)

Controlla di non avere questo file (nel caso eliminalo)

C:\WINNT\fphch1.dll

Pulisci il registro con Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Riavvia in modalità normale e fai una scansione come spiegato qui:

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se trova qualcosa, allegami la pagina del rapporto...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti posto una foto della schermata d'errore, la qualità non è il massimo, ma zoomando un po' si riesce a leggere.

post-6395-1154361855_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma te lo fa solo premendo CTRL+ALT+CANC ???

L'immagine non è del tutto chiara, ma sembrerebbe lo stesso messaggio che dava il Sasser...

potrei sbagliarmi, appunto perchè non riesco a focalizzare l'immagine...

Giusto per toglierci il dubbio

scarica ed istalla questo

http://www.microsoft.com/downloads/details...B3-75B8EB148356

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

il problema di Alelomba è sul mio pc. Mi succede esattamente questo:

Quando avvio windows 2000 poco prima che appaia il desktop (che da quando c'è questo errore nn appare più...) esce un errore strano:

Svchost.exe – Errore di applicazione

L'istruzione a "0x37001160" ha fatto riferimento alla memoria a "0x37001160". La memoria non poteva essere "read".

Fare clic su ok per terminare l'applicazione.

Fare clic su annulla per eseguire il debug dell'applicazione.

Qualsiasi dei 2 tasti premo (OK o annulla) la finestra di errore ricompare sempre, dopo aver insistito una di volte esce un'altra finestra che mi informa che il PC si riavvierà entro un minuto:

Il sistema sta per essere riavviato. Salvare il lavoro ecc,

Arresto è stato iniziato da NT AUTHORITY\SYSTEM

E' stato terminato in modo non previsto con codice dista 1073741819

Il sistema è stato chiuso e riavviato

In particolare ho provato tutti gli antivirus antispyware ... (per sasser, blaster, ...) ma nulla.

Ieri ho effettuato una scansione come spiegato in

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Vi allego quello che ho trovato.

Grazie in anticipo per l'aiuto

virus.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...ETR600

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale; se non sai come fare

clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

****************************

Non ho capito se almeno puoi avviare a volte il PC... ma deduco di no <_<

Per prima cosa, dai una passata con questo: http://www.wininizio.it/forum/index.php?showtopic=42797

Se puoi (oppure prova in modalità provvisoria) fai in questo modo...

(questo ti darà il tempo di fare alcune operazioni prima che il sistema sia riavviato)

da START\ESEGUI digita > cmd

#. digita: shutdown -i

1. Clicca "Aggiungi", digita il nome del tuo computer e premi OK.

2. In "visualizza avviso per" digita 9999.

3. inserisci il commento : Delay Lsass.exe shutdown.

screenshot0026jz.jpg

...

Poi vedo che ci sono alcuni virus, la causa potrebbero essere loro...

(sperando che i file di sistema siano integri)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Preleva Ccleaner e dai una ripulita ai temporanei...

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Per ulteriore sicurezza, dalle Opzioni di IE, svuota la cache ed elimina tutti i cookies

Svuota la cartella di quarantena di PestPatrol

Dal Pannello di controllo --> JAVA --> Svuota la cache (Elimina file)

Inserisci il CD di Windows 2000 (se si apre la finestra d'installazione chiudila)

Da START\Esegui digita sfc /scannow

(rispetta lo spazio)... questo comando controllerà che i file protetti di sistema siano nella versione originale e nel caso li sostituirà con quelli presenti nel CD... al termine non riceverai nessun messaggio. (Nota che se hai installato il SP4 successivamente, potrebbe non funzionare, a meno che non lo disinstalli)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per aver risposto KUMA.

Appena mi sarà possibile personalizzerò la mia presenza.

Adesso sto andando in modalità provvisoria, per cui riesco a scriverTi.

In modalità provvisoria non mi si riavvia il PC, funziona senza problemi.

Tra poco farò quello che mi hai chiesto.

Ti dico che sono in Repubblica Ceca per lavoro (a Velim, 50 Km da Praga) non ho con me il file di installazione ... immagina quanto mi serve il PC funzionante

Ti faccio sapere il risultato

Grazie ancora

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Purtroppo se non hi il CD d'installazione è un grosso problema....

A questo punto io penso che il sistema sia seriamente compromesso e andrebbe reinstallato :)

A volte (te lo dico per completare l'informazione)... l'errore "L'istruzione a "0x37001160" ha fatto riferimento alla memoria a "0x37001160". La memoria non poteva essere "read" è anche dato da un banco di Ram difettoso o comunque non totalmente compatibile...

Non posso dirti se è il tuo caso, anche se mi sembra strano che in modalità provvisoria non succeda <_< occorrerebbe fare un test della Ram, ma visto dove ti trovi, credo che anche questo non sia attuabile e in ogni caso, mi convince maggiormente la prima ipotesi (sistema compromesso)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono sempre più convinto che si tratti di un virus.

Ho provato a sostituire i file LSASS.exe e SVCHOST.exe, ma non me lo permette.

Ti allego la diagnosi on line di Kaspersky.

Ho cancellato il file c:\winnt\system32\kbmy.dll

ciao!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se ti può essere d'aiuto, ho usato il KB890830, ha trovato un certo ALEMOD, che mi ha detto ha parzialmente rimosso...

virus_2.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

HAi fatto bene, anche se non si riescono a recuperare notizie su kbmy.dll <_<

Infatti a volte la scansione di Kaspersky se settata al massimo (extended) segnala dei falsi positivi...

Non voglio allarmarti, ma Kaspersky parla del Trojan Win32.Small.jf e nel link qui sotto trovi tutte le info, compresi i file che questo virus aggiunge... ma non fa menzione di kbmy.dll...

Potrebbe tuttavia trattarsi di una variante.... ma non mi sembra che causi il tuo problema...

http://www3.ca.com/securityadvisor/pest/pe...px?id=453097319

Controlla magari di non avere qualcuno degli altri files indicati

Anzi sarebbe meglio se installassi la versione Shareware di SpySweeper che riconosce tutti i componenti di questo malware e naturalmente li rimuove (passato il periodo di prova puoi disinstallarlo)

Potresti anche tentare altre scansioni online (giusto per avere un riscontro)

Guarda su questa pagina: http://forum.wininizio.it/index.php?showtopic=10584

(prova quello di Fsecure)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho installato la versione di spy sweeper che mi hai consigliato. Ha trovato un po' di roba ma la versione che ho installato non la toglie (bisogna acquistare la licenza).

C'è per caso una versione gratis?

Ti allego il file con quello che ha trovato.

Eventualmente posso toglierli a manina?

Grazie

Renzo

Spy_Sweeper_Registro_delle_sessioni.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora l'anno modificata di recente.... l'ultima volta che la provai, rimuoveva anche gli spyware :locked:

Non resta che procedere a mano...

Per CoolWebSearch puoi usare questo (free) CwShredder

Per i Cookies e i files Temp questo : Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Questi li devi rimuovere a mano oppure attraverso le opzioni di IE:

c:/winnt/downloaded program files/mediagatewayx.dll

c:/winnt/downloaded program files/ysbactivex.dll

c:/winnt/downloaded program files/hdplugin1019.dll

Per GAIN puoi usare questo: BAZOOKA

Rimarrebbe :

favico.dat

Leggi qui e poi anche qui

Al termine, prova a ripulire il registro con questo: Eusing Free Registry Cleaner 1.0

e ripeti la scansione per vedere se rimane qualcosa...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao, almeno Aleomba ma è probabile cha anche Etr600, siano colpiti da una varianet di linkoptimizer/trojan agent.

Per verificare:

start>esegui>control userpasswords2 (lo copi nello spazio)>OK

Se fra le utenze, si trova una sconosciuta con nome random, il sospetto è legittimo.

Verificare anche da pannello di controllo, installazioni/applicazioni se c'è l'applicazione LinkOptimizer. In tal caso è inutile rimuoverla, si viene rimandati a un sito ucraino. E' un malware che usa tecniche di rootkit, non facile da estirpare. In questo link c'è un'ottima guida per la rimozione:

LINK RIMOSSO come da regolamento

Se vuoi le tecniche puoi inserirle qui :)

Modificato da Kuma

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Tolto tutto a manina, ho riavviato il pc, ho avuto 10 s di felicità, poi è ricomparso il problema ...

Non ho capito bene come usare control userpassword2. Cosa devo copiare e dove?

Se lancio control userpassword2 non compare nulla...

Ho anche fatto uno scan con F-Secure, come consigliato, trovato un po' di roba, il programma l'ha cancellata.

Ti allego il risultato.

La cosa che mi fa pensare è che F-secure trova un file che avevo cancellato ieri e che ora era nascosto. Questo il nome del file

C:\WINNT\FPHCH1.DLL

Grazie per il Vostro interessamento

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Non ho capito bene come usare control userpassword2. Cosa devo copiare e dove?

Se lancio control userpassword2 non compare nulla...

Grazie per il Vostro interessamento

Ciao, innanzi tutto mi scuso per aver segnalato un link contravvenendo alle norme regolamentari. Per quanto riguarda la verifica di eventuali utenze indebite, intendevo dire che control userpassword2 lo scrivi nello spazio bianco che si apre dopo aver premuto start ed esegui (va scritto lasciando uno spazio fra le due parole) e dando poi l'invio. Dovrebbe apparire la finestra Account utente con le indicazioni sugli utenti del computer (di norma l'Amministratore e l'utente abituale).

Se si trova un'utenza sconosciuta con un nome casuale, può essere opera del trojan suddetto.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ho anche fatto uno scan con F-Secure, come consigliato, trovato un po' di roba, il programma l'ha cancellata.

Ti allego il risultato.

Non hai allegato nulla :)

______________________________-

innanzi tutto mi scuso per aver segnalato un link contravvenendo alle norme regolamentari.

@Luke: nessun problema, può capitare

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho lanciato control userpassword2 come mi hai consigliato ... non compare nulla.

Di seguito quello che è stato rilevato

Scanning Report

Wednesday, August 02, 2006 17:28:34 - 18:08:09

Computer name: DMELL

Scanning type: Scan system for viruses, rootkits, spyware

Target: C:\

Result: 3 malware found

Possible Browser Hijack attempt (spyware)

  • System (Disinfected)

Stealth_file (hidden item)

  • C:\WINNT\FPHCH1.DLL

Tracking Cookie (spyware)

  • System (Disinfected)

Statistics

Scanned:

  • Files: 17661
  • System: 3791
  • Not scanned: 3

Actions:

  • Disinfected: 2
  • Renamed: 0
  • Deleted: 0
  • None: 1
  • Submitted: 0

Files not scanned:

  • C:\HIBERFIL.SYS
  • C:\PAGEFILE.SYS
  • C:\WINNT\SYSTEM32\CONFIG\SECURITY

Options

Scanning engines:

  • F-Secure AVP: 6.0.171, 2006-08-02
  • F-Secure Libra: 2.4.1, 2006-08-02
  • F-Secure Orion: 1.2.37, 2006-07-31
  • F-Secure Blacklight: 1.0.31, 0000-00-00
  • F-Secure Pegasus: 1.19.0, 2006-06-05

Scanning options:

  • Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
  • Use Advanced heuristics

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao, scusa la mia sbadataggine il comando è:

control userpasswords2

A questo punto la finestra dell'account utente si apre di sicuro.

Modificato da Luke57

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Forse non avevo specificato che in modalità normale il mio pc non parte, parte solo in modalità ripristino servizi directory (solo controller domini Windows 2000)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Provato control userpasswords2, niente ...

Ciao, può darsi che sia un comando limitato alla versione di XP se non ti appare la finestra di Account utente.

Non conosco windows 2000, però prova da Risorse del Computer>Pannello di controllo>Strumenti di Amministrazione>Account utente a fare la verifica delle utenze.

Altrimenti puoi vedere da Risorse del Computer>Pannello di controllo>strumenti di Amministrazione>Servizi (non so se con windows 2000 si accede all'elenco dei servizi in altro modo) se nell'elenco dei Servizi se ne trova uno sconosciuto che alla voce Connessione riporta un nome casuale, ad esempio XYAGF o via dicendo.

E' un'altra caratteristica del trojan suddetto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sotto connessione sono tutti localsystem, tranne uno che è:

.\ASNET e porta la dicitura:

Fornisce supporto per gli stati di sessione out-of-process per ASP.NET. Se questo servizio viene arrestato, le richieste out-of-process non verranno elaborate. Se il servizio viene disattivato, non sarà possibile avviare alcun servizio che dipenda esplicitamente da esso.

Per il momento l'ho disabilitato ma non riesco ancora a partire in modalità normale.

Fammi sapere se posso controllare ancora qualcosa.

Grazie per l'aiuto

Ti dico anche che ho scaricato VIRIT-LT consigliato per quel tipo di virus, e non ha trovato nulla

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, quel tipo di malware, come dici giustamente, Virit lo dovrebbe rilevare. L'utenza Aspnet è legittima, così come il servizio, per cui puoi riabilitarlo.

Quindi la variante di Linkoptimizer possiamo escluderla, per il resto affidati ai consigli di Kuma. Scusami per l'errore precedente.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0