Accedi per seguire   
Seguaci 0
Paola3799

Project1

99 messaggi in questa discussione

Ciao a tutti,

su consiglio di Angelique apro una nuova discussione.

Ho problemi col pc, credo a causa di Projec1.

I sintomi sono questi: lentezza del pc, apertura automatica di pagine web, sostituzione automatica della pagina iniziale, finestre di errore che si aprono quando arresto il sistema, se clicco ctrl-alt-canc e poi task manager vedo due voci dal nome 'project1'.

Allego il file di HiJackThis intanto, quello di Kaspersky arriverà prima o poi... la scansione è molto lunga e nn sono ancora riuscita a farla.

Grazie! Paola

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Paola...

hai un intero allevamento :wub::P;):):P:P

Aspetta un attimo che se facciamo la rimozione manuale ci viene l'esaurimento...

Attendi che vedo quale tool è più indicato...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora prima di passare alla rimozione manuale, vediamo di togliere il più possibile in automatico...

Devo farti scaricare qualche programma:

Scarica Trend micro Sysclean e anchel'aggiornamento (lpt675.zip) 11 mb

Estrai entrambi i files in un'unica cartella (aspetta a fare la scansione)

Scarica anche Dr Web cure It

e già che ci siamo pure questo

Avvia il sistema in Modalità Provvisoria

e fai la scansione con ognuno dei tre programmi... (uno alla volta)

se qualcuno non dovesse funzionare, ripetila in modalità normale...

al termine rimettimi qui un log aggiornato di Hijack

(devo andare ci sentiamo domani) :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma e ciao a tutti!

Grazie mille, ora faccio le scansioni.

L'unico problema è che quando clicco su 'questo'

[...e già che ci siamo pure questo ]

inizia ad aprirsi una pagina che però si chiude immediatamente da sola, quindi nn posso scaricare nulla.

Inizio con le altre scansioni, ok?

Ancora grazie, a dopo, Paola

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao!

Mando il file di HiJackThis dopo le scansioni con Sysclean e Dr Web cure It. Sono ruscita a scaricare Removeit ma dice che funziona solo con Windows XP e io ho il 2000... Che faccio?

Mille grazie!! Paola

hijackthis2.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Paola...allora per il momento lasciamo perdere Remove-It :angel_not:

Ti ho prima controllato il log,ma mi rendo conto che ti aspetta un lavoro lunghissimo... :)

Prova ancora con questo tool:

Scaricati Sav32CLI

+ le tre Ides (firme) http://www.sophos.com/downloads/ide/

Esegui il file che genererà una cartella (SAV32CLI)

Copia in questa cartella anche le tre firme (dopo averle decompresse)

Copia quindi la cartella contenente tutto in un CD-RW

Riavvia il Pc

Al riavvio (durante la schermata della RAM premi F8 e nel menu opzioni seleziona

"Riavvia in Modalità provvisoria con Prompt dei comandi" (DOS)

Quando il computer si è avviato , al Prompt digita:

D: [+Invio] (sempre che D: sia la lettera del tuo lettore CD , altrimenti cambiala di conseguenza...)

Entrato nell'unità CD digita:

CD SAV32CLI

e quindi digita:

SAV32CLI -REMOVE -P=C:\LOGFILE.TXT

Un file LOG sarà generato in C:\ (LOGFILE.TXT) controllalo o postalo qui per vedere il risultato

(Se non riesci, prova dalla modalità provvisoria e lasciando la cartella sul desktop)

---------------------------------------------------------------------

Sei preparata mentalmente (e anche fisicamente) per procedere con Hijack ??? :P

Ecco le istruzioni... alcuni file potrebbero già essere stati rimossi di SAV32CLI...

io te li inserisco comunque... cercali e se li trovi eliminali

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse ------ > (salva in un file queste istruzioni )

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

C:\WINNT\UEFPTEE\command.exe

C:\Programmi\Network Monitor\netmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt p://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htt p://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htt p://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt p://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = htt p://searchbar.findthewebsiteyouneed.com

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programmi\SurfSideKick 3\SskBho.dll

F2 - REG:system.ini: Shell=Explorer.exe msijavaup32.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,msijavaup32.exe

O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe

O4 - HKLM\..\Run: [newname] C:\\nwnmff_12.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrff_12.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_12.exe

O4 - HKLM\..\Run: [ikw52903] RUNDLL32.EXE w009fe5d.dll,n 003529000000000a009fe5d

O4 - HKLM\..\Run: [surfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe

O4 - HKLM\..\Run: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

O4 - HKLM\..\RunServices: [FTP client for Windows NT] wsftp.exe

O4 - HKLM\..\RunServices: [Creative Audio Drivers] creative.exe

O4 - HKLM\..\RunServices: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\Run: [fzqm] C:\PROGRAMMI\FILECOMUNI\fzqm\fzqmm.exe

O4 - HKCU\..\Run: [surfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe

O4 - HKCU\..\Run: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

O4 - HKCU\..\RunServices: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\RunServices: [Creative Audio Drivers] creative.exe

O20 - AppInit_DLLs: repairs303169590.dll

O20 - Winlogon Notify: MS-DOS Emulation - C:\WINNT\system32\antapi.dll (file missing)

O20 - Winlogon Notify: URL - C:\WINNT\system32\antapi.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\UEFPTEE\command.exe

O23 - Service: Micro$oft Windowz Update (M$FtUpd) - Unknown owner - C:\WINNT\logonmgr.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe

O23 - Service: windows network (network services) - Unknown owner - C:\WINNT\svbhost.exe (file missing)

Trova e se ci sono elimina questi files o cartelle

C:\WINNT\UEFPTEE (<-- cartella)

C:\Programmi\Network Monitor (<-- cartella)

C:\Programmi\SurfSideKick 3 (<-- cartella)

??\\msijavaup32.exe (da cercare)

c:\\drsmartloadb.exe

C:\\nwnmff_12.exe

c:\\dfndrff_12.exe

C:\\kybrdff_12.exe

??\\ ActiveScan.exe (da cercare)

??\\msijavaup32.exe (da cercare)

??\\wsftp.exe (da cercare)

??\\creative.exe (da cercare)

C:\PROGRAMMI\FILECOMUNI\fzqm (<-- cartella)

??\\repairs303169590.dll (da cercare)

.....

Ripulisci il PC con Ccleaner e Eusing reg clean

Riavvia in modalità normale

riafai un log di Hijack aggiornato e ripostamelo (sperando che qualcosa si sia risolto)

Lo sai già che se formatti, fai prima e hai la certezza assoluta della riuscita vero ???? :P:wub::P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie Kuma!

Ho scaricato Sav32CLI e l'ho fatto partire... è una finestra nera, giusto?

Le tre Ides (firme) http://www.sophos.com/downloads/ide/ nn le trovo x' anche in qsto caso mi si chiude la pagina..

Sul mio pc nn ho il masterizzatore, come faccio a copiare la cartella su un CD-RW?

Grazie mille!!! Ma come è possibile che con tutti gli antivirus che ho sul pc sia successa qsta cosa?!

Bye! Paola

Modificato da Paola3799

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Grazie Kuma!

Grazie mille!!! Ma come è possibile che con tutti gli antivirus che ho sul pc sia successa qsta cosa?!

Bye! Paola

:wub: Ciao Paola...

stai tranquilla che troveremo la soluzione per eliminare questi pasticci.

O male che vada formattiamo e si riparte da zero con più conoscenza ...ok? :P

Volevo solo chiarirti un pò le idee sugli antivirus (in attesa che Kuma ti indichi la soluzione).

Non è importante il numero degli antivirus installati, ma la qualità, e soprattutto non bisogna averne installati due in real-time altrimenti vanno in conflitto ed è come se si annullassero a vicenda. :P

Vediamo di risolvere prima i problemi attuali, poi se vuoi ti possiamo consigliare quale antivirus usare per la tua tranquillità...va bene? :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok, grazie... :sigh:

Procedo anche senza salvare sul CD? Che faccio? :sigh:

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Le tre Ides (firme)....

Usarlo senza sarebbe come non aggiornarlo...

pertanto visto che hai dei problemi, te le ho scaricate io (tutte e tre) e te le ho messe su quest'altro server in un file compresso: http://www.mytempdir.com/883894

I file sono autoestraenti, devi quindi estrarli nella medesinma cartella di Sav32CLI

Allora se non hai il masterizzatore facciamo tutto da PC

Per comodità, salva questa cartella direttamente nel disco C: (esempio: C:\SAV32CLI)

Riavvia il Pc

Al riavvio (durante la schermata della RAM premi F8 e nel menu opzioni seleziona

"Riavvia in Modalità provvisoria con Prompt dei comandi" (DOS)

Quando il computer si è avviato , al Prompt digita:

cd \ [invio]

cd sav32cli [invio]

e quindi digita:

SAV32CLI -REMOVE -P=C:\LOGFILE.TXT [invio]

Un file LOG sarà generato in C:\ (LOGFILE.TXT) controllalo o postalo qui per vedere il risultato

Se anche in questo modo non riesci, allora prova in modalità provvisoria

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

innanzitutto grazie ancora x la pazienza.

Allego il log di HiJackThis....

Torno dopo x' il pc serve a mio fratello. Ciao, Paola

hijackthis3.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Rieccomi.

Volevo dire che ora il pc si spegne normalmente ma mentre navigo si aprono ancora dei siti automaticamente. Inoltre - e ho paura a pensare a cosa significhi.... - quando avvio il pc, esce una finestra grigia di errore che dice che nn c'è w009fe5d.dll.....

Che faccio ora?

Buona giornata, Paola

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Paola... c'è stato un netto miglioramento rispetto a prima :)

Allora... per prima cosa, scarica e scansiona con questo:

http://www.simplytech.it/L2MRemover/L2MRemover.zip

Poi....

1. da installazione Applicazioni. disinstalla questo programma (è lui stesso uno spyware)

C:\Program Files\SpySheriff\SpySheriff.exe

2. elimina cpmpletamente la cartella : C:\Program Files\SpySheriff\

Avvia nuovamente in modalità provvisoria

Avvia Hijack e fissa queste voci

C:\kybrdff_13.exe

C:\winstall.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_13.exe

O4 - HKLM\..\Run: [ikw52903] RUNDLL32.EXE w009fe5d.dll,n 003529000000000a009fe5d (questa voce forse è incompleta, è quella che ti dà quellerrore, e probabilmente è un rimasuglio di qualche virus)

O4 - HKCU\..\Run: [spySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O20 - Winlogon Notify: Welcome - C:\WINNT\system32\jr4025hmg.dll

Poi elimina i files:

C:\kybrdff_13.exe

C:\winstall.exe

C:\Windows\SYSTEM32\JR4025HMG.DLL (potrebbe già essere stato eliminato da L2Mremover)

----------------------------------------------------------

Per gli errori in fase d'avvio:

Clicca su START\ESEGUI, e digita regedit

portati alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

nella finestra di destra individua una chiave chiamata.. [ikw52903].. cliccaci con il tsto destro ed eliminala

Ne dobbiamo anche rimuovere un'altra... lo facciamo solo se ricevi un altro errore all'avviao (diverso dal precedente)

Nuovo log aggiornato al temine :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per la miseria ... ne abbiamo ancora :)

Scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path:---> C:\WINNT\system32\creative.exe

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra

capt0012od.jpg

il computer verrà riavviato... comunicami se al riavvio hai ricevuto messaggi strani (tipo: file pending ecc....)

è probabile che abbiamo un'altra copia nascosta... secondo le mie informazioni è qui:

C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe

Non ho mai usato Windows 2000... al limite prova a fare una ricerca ed elimina quei file

Ripeti l'operazione con Killbox inserendo questi altri:

C:\dfndrff_13.exe

Questi li devi proprio cercare: (ed eliminare)

comincia a cercarli dalla cartella \\system32

ActiveScan.exe

msijavaup32.exe

wkssvr.exe

Poi da START\ESEGUI digita services.msc

individua i seguenti servizi e impostali su "Disattivato"

Command Service (cmdService)

Scarica CodeStuff Startup

http://members.lycos.co.uk/codestuff/StarterSetup.zip

e TOGLI la spunta alle seguenti applicazioni:

[Creative Audio Drivers] creative.exe

[Windows Kernel System Service] wkssvr.exe

[Ms Java for Windows NT] msijavaup32.exe

[ActiveScan Antivirus] ActiveScan.exe

[defender] C:\\dfndrff_13.exe

nuovo log al termine :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Anzi, ora mi esce una finestra grigia con scritto ' L'istruzione 0x004086c8 ha fatto riferimento alla memoria 0x00000000. La memoria non poteva essere read'.

Grazie, buona domenica, Paola

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Abbiamo ancora un po' di roba <_< ...

Prova a scaricare questo e vediamo se la rimuove:

http://info.prevx.com/downloadremove.asp

(nuovo log al termine :) )

' L'istruzione 0x004086c8 ha fatto riferimento alla memoria 0x00000000.

Potrebbe essere un problema di malware o di Ram...

vedremo in seguito...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sempre usando Killbox, elimina questi file...

seleziona "ALL FILES (in kilbox) ricordati di selezionare "Delete on Reboot"

inserisci i percorsi indicati sotto (copiali) vai su "File" e clicca su "Past from clipboard"

Clicca sulla X rossa

C:\WINNT\system32\50674_netapi.exe C:\WINNT\system32\msijavaup32.exe C:\WINNT\system32\ActiveScan.exe c:\creative.exe C:\WINNT\TEMP\creative.exe C:\WINNT\system32\net32a.exe

foto001gc2.jpg

(oppure puoi tentare di rimuoverli in Modalità Provvisoria)

------------------------------------------------------------

Poi avvia Hijack e spunta queste voci se ancora presenti: (in modalità provvisoria)

C:\WINNT\system32\50674_netapi.exe

C:\WINNT\system32\msijavaup32.exe

F2 - REG:system.ini: Shell=Explorer.exe 50674_netapi.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,50674_netapi.exe

O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] 50674_netapi.exe

O4 - HKLM\..\RunServices: [ntdll.dll] msijavaup32.exe

O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKLM\..\RunServices: [Creative Audio Drivers] creative.exe

O4 - HKCU\..\Run: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] 87520_netapi.exe

O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKCU\..\RunServices: [Creative Audio Drivers] creative.exe

O4 - HKCU\..\RunServices: [Microsoft Server Client For Windows NT] 03845_netapi.exe

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/download/D...aderActiveX.cab

O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINNT\system32\net32a.exe

Altro log.... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

ancora mille grazie x l'aiuto e la pazienza...

Ecco il log:)

hijackthis7.txt

Modificato da Paola3799

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Siamo in braghe di tela :P:P:wub:

in pratica ogni volta che eliminiamo i files, se ne creano degli altri (diversi)

Adesso abbiamo questi:

C:\dfndrff_14.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht tp://searchbar.findthewebsiteyouneed.com

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)

O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe

O4 - HKCU\..\Run: [surfSideKick 3] C:\Programmi\SurfSideKick 3\Ssk.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\UEFPTEE\command.exe (file missing)

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe

O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINNT\system32\net32a.exe

O23 - Service: Micro$oft Windowz Update (M$FtUpd) - Unknown owner - (no file)

che dici formattiamo ???? :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho sul pc tanti documenti che mi servono, come faccio x nn perderli se formatto?

Grazie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ce l'hai un masterizzatore ???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0