Accedi per seguire   
Seguaci 0
Paola3799

Project1

99 messaggi in questa discussione

Ok, grazie, domani guardo x un HD esterno.

Ancora grazie di tutto e buona serata!

Paola

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao!

Sono disperata... L'altro pc alla fine l'ho portato dal tecnico...

Ma come è possibile che ogni volta che io tocco un pc, questo si infetti?!?!? Ora vedo E1xplorer su questo.... Mi daresti ancora una mano? :)

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Paola,

quindi alla fine l'HD esterno non lo hai acquistato ??? Sarebbe molto comodo per salvare i tuoi dati e in caso di gravi problemi potrai sempre recuperarli, tenendo conto che puoi spostarlo da un Pc all'altro... :P

Ma come è possibile che ogni volta che io tocco un pc, questo si infetti?!

Per prima cosa, usa Firefox per navigare che è più sicuro.

In secondo luogo, devi aggiornare il sistema (la versione che usi di IE è ormai superata)

Come ultimo appunto, l'antivirus che usi è una ciofeca :P (norton)

Togli Avast e metti quello che ti indico in fondo alla pagina .... avere due antivirus con protezione in tempo reale è sconsigliato e possono intralciarsi l'un l'altro (andare in conflitto).

..............................

Abbiamo un paio di infezioni (a dire il vero più di un paio <_< )

Segui le istruzioni passo a passo... non sono cose irresolvibili:

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Scarica inoltre lo strumento di rimozione per W32.Mimail

(puoi avviarlo subito)

  1. Fare doppio clic sul file FxMimail.exe per avviare lo strumento di rimozione.
  2. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
  3. Riavviare il computer.
  4. Eseguire di nuovo lo strumento di rimozione per assicurarsi che il sistema sia privo di infezioni.

--------------------------------------------

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse ------ > (salva in un file queste istruzioni ) devi procedere essendo disconnessa

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O4 - HKLM\..\Run: [oyce319d] RUNDLL32.EXE w0035267.dll,n 003e319a0000000a0035267

O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i

O4 - HKLM\..\RunServices: [Win32] msnsrv.exe

04 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update 32] svchost32.exe

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - h tp://deposito.trafficredlight.net/10560-23.exe

O20 - AppInit_DLLs: repairs303169590.dll

Trova e se ci sono elimina questi files o cartelle (devono essere nell'esatta posizione indicata)

C:\WINDOWS\SERVICES.EXE

...??\w0035267.dll (da cercare)

C:\WINDOWS\volumec.exe

...??\msnsrv.exe (da cercare ... probabilmente è in C:\Windows oppure System32)

...??\MSDHCP32.exe (probabilmente è in C:\Windows\System32)

...??\svchost32.exe (usare lo Strumento di rimozione per W32.Mimail,)

(controllare che il file non sia più presente in C:\Windows)

C:\Windows\ee98af.tmp (come sopra.... file collegato)

..??\repairs303169590.dll (da cercare, probabilmente è collegato a surfsidekick-... qui sotto)

C:\Pogrammi\surfsidekick

oppure surfsidekick 2 (eliminare queste cartelle se presenti)

-------------------------------------

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Pulisci il registro con Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione e crea un nuovo punto di ripristino

Collegati per una scansione On-line a: (Antivirus e Antispy)

screenshot0044ao.jpg

poi

foto0038se.jpg

rifai il log e mettilo qui per un ulteriore controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

_____________________________________________

Riportami tutti i files che non sei riuscita a trovare

Installa questo antivirus e disinstalla Avast

http://www.kuma215.it/Guide%20K&J/K/Bi...tdefender8.html

Buon lavoro :)

NOTA: se al riavvio ricevi un messaggio del tipo: file non trovato, non è un problema.... fammelo sapere che eliminiamo l'errore che si riferisce a C:\WINDOWS\SERVICES.EXE

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma, l'HD nn l'ho acquistato ma magari lo farò.

Ho dovuto usate HiJackThis in modalità normale x' nella provvisoria nn si apre...

Come si crea un nuovo punto di ripristino??

Nn ho trovato nessuno dei file o cartelle che mi hai detto di eliminare ma forse è x' ieri sera ho fatto un po' di scansioni....

Non riesco a trovare

screenshot0044ao.jpg

e

foto0038se.jpg

I collegamenti a E1xplorer sono ricomparsi sul pc...

Grazie, ciao.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Per il punto di ripristino basta che clicchi sul link (Ripristino di configurazione) trovi le istruzioni a metà pagina circa

Al limite prova a rimettere un nuovo log aggiornato che vediamo se è cambiato qualcosa...

Non ho capito questa parte: :)

foto001dr4.jpg

Basta che clicchi sulle due immagini per aprire la pagina (non questa immagine quella del tuo post)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ri-ciao,

avrei voluto allegare un log aggiornato anche prima ma HJT nn si apre...

E prima nn si aprivano nemmeno le 2 pagine x la scansione on-line.

Ora cmq questa l'ho attivata... poi vedo se riesco a far partire HJT....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora si tratta proprio di CSW.... <_<

Aspetta che cerco qualcosa d'altro

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

CoolWWWsearch.SmartKiller o quel che è nn è stato trovato sul pc... quindi con CwsShredder sono al punto di prima :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova con questo (è l'ultimo che conosco)DOWNLOAD

(aggiornalo prima di usarlo)

Prova anche a vedere se in modalità provvisoria i due tools funzionano...

altrimenti non restano altre soluzioni :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:P Ciao Paola3799...

Bazooka Scanner è semplicissimo da usare, gli fai l'istallazione guidata, al termine apri la sua cartella che dovrebbe essere C:\Programmi\Bazooka Scanner e fai doppio clic sull'exe, (se ti chiede di inserire l'e-mail puoi anche dire no thanks) lo aggiorni (update) e poi scan....in pochi secondi ti da il risultato :)

post-9554-1157399179_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie :)

Ok, ma una volta che ha fatto la scansione che faccio? Chiudo? Nn mi chiede nè di cancellare nè altro... Mi sembra un po' strano...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
:P se quando conclude la scansione ti esce questo messaggio "nothing detected " ....sei a posto :)

post-9554-1157401946_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

riesci a fare un cattura schermo???, oppure scrivi quello che ti trova... :)

cosi capiamo meglio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Paola... il log è pieno (di virus :) )

Scarica KILLBOX (e decomprimilo)

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

1. seleziona "Delete on Reboot"

2. Seleziona "All Files"

3 dal menu FILE seleziona "Paste from Clipboard"

3a. copia la seguente riga:

C:\WINDOWS\cm9iZXJ0bw\command.exe C:\WINDOWS\wfdmgr.exe C:\Programmi\Network Monitor\netmon.exe C:\WINDOWS\System32\winnnit.exe C:\kybrdff_16.exe C:\dfndrff_16.exe C:\WINDOWS\System32\MSDHCP32.exe

4."Clicca sulla X rossa

foto001xn8.jpg

Mi servirebbe poi un nuovo log per vedere se la situazione è migliorata :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao!

Un disastro!! :)

Nn riesco ad aprire nemmeno KillBox. Prima, al 15° riavvio (nn esagero!) sn riuscita a farlo partire e dopo il conto alla rovescia mi è uscita una finestra grigia con scritto 'PrendingFile Rename Operations Registry Data has been Removed by External Process'...

Che faccio?

Grazie, Paola

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova a vedere se i tool di rimozione free riescono a rimuoverti qualcosa:

Stinger http://www.kuma215.it/Guide%20K&J/K/WI..._a_Stinger.html

Prevx http://www.prevx.com/

DrWeb http://www.wininizio.it/forum/index.php?showtopic=42797

RemoveIt (solo per XP) http://www.wininizio.it/forum/index.php?showtopic=45205

Quelli in neretto, se riesci usali in modalità provvisoria

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Eccomi, che fatica!

Mi mancano le 2 scansioni in modalità provvisoria ma vi mando il log di HJT intanto che fuziiona...

Ciao, grazie, buona serata!

Paola

hijackthis5.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Un po' di roba te l'ha eliminata.... :)

In modalità provvisoria, fissa queste voci:

C:\WINDOWS\cm9iZXJ0bw\command.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE

O15 - Trusted Zone: www.1987324.com

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm9iZXJ0bw\command.exe

O23 - Service: msvbn - Unknown owner - C:\WINDOWS\msvbn.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)

O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wfdmgr.exe (file missing)

ELIMINA questi file o cartelle:

C:\WINDOWS\cm9iZXJ0bw (cartella)

C:\WINDOWS\SERVICES.EXE (probabilmente devi usare KILLBOX per eliminarlo)

Nuovo log al termine delle operazioni

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0