Arresto Del Sistema Entro 60 Secondi

[chi8r8]

ho un problema con una finiestra che mi appare sul dextop in cui vengo avvisato che il pc si spegnerà tra 1 min perchè il processo D:\windows\system32\services.exe è terminato in modo non previsto.

ho gia fatto mille scansioni ma non sembra che tale processo sia stato terminato.

non so piu cosa fare.

qualche info?

chiara

[$angelique!?]

Ciao lovestory,

benvenuta sul forum...

Preleva l'ultima versione di VirIT.

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi avvia in modalità provvisoria e fai la scansione completa del sistema (salva il log e postalo)

fai un ulteriore controllo con questo tool che Verifica la presenza del virus Blaster sul sistema e poi procede alla sua eliminazione.

Al termine della scansione non dimenticate di installare la patch per il tuo SO.

[Kuma]

Ciao e benvenuta anche da parte mia...

in casi come questi, è sempre bene specificare quale sistema operativo stai usando, se è aggiornato ecc..... (SP2....)

____

PER PREVENIRE LO SPEGNIMENTO:

1. Disconnettere il computer da Internet . (Staccare il cavo.)

2. Riavviare il computer.

3. Appena Windows sarà operativo , clicca su Start > Run.

4. digita:

cmd

(+ invio).

5. Digita:

shutdown -i

(+ invio).

6. Nella finestra che si aprirà:

1. Clicca Aggiungi, digita il nome del tuo computer i(il nome computer, puoi vederlo in Pannello di controllo\Sistema), e clicca OK.

2. In "Visualizza Avviso per" digita 9999.

3. Digita un commento (per esempio):

Delay Lsass.exe shutdown.

4. Clicca OK.

7. ora puoi riattacare il cavo e seguire le operazioni indicate

[chi8r8]

il SO è windows xp

le tue istruzioni per quale SO sono?

grazie

[Kuma]

Per XP

Hai il Service Pack 2 installato ???

[chi8r8]

come faccio a vederlo?

[Kuma]

Ciao...

Start\esegui e digita : winver

[chi8r8]

ciao

si è installato.

che faccio...

inoltre mi sn dimenticata di dirti che quando faccio quella procedurina con shutdown -i mi dice

server RPC non disponibile.

consigli ulteriori?

grazie

[Kuma]

Statr\Esegui e digita: services.msc

controlla che il servizio "Utilità di avvio processo server DCOM"

sia avviata e in automatico (se non lo fosse, avviala con l'apposito link e mettila in Auto)

[chi8r8]

era già avviato in automatico.

posso provare qualcos'altro?

ma è un virus?

grazie

[Kuma]

è molto probabile che lo sia, visto il comportamento... magari non viene ancora rilevato...

Prova ad usare questo in MODALITà PROVVISORIA

DOWNLOAD

---4,5 Mb---

[chi8r8]

ciao kuma

mi dice che:

file has exprired

o qualcosa di simile.

soluzione????

[Kuma]

Hai ragione ... adesso aggiorno il link... scusa...

scaricalo da qui:

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

(durante la scansione si apriranno un paio di finestre pubblicitarie che puoi chiudere)

[chi8r8]

volevo dirti che avviando drweb.cureit in modalità provvisoria ha trovato solo un .dll inerente all'upgrade di virit ,altro antivirus.

quindi non penso che sia importante.

ora sto facendo l'antivirus di kaspersky on line.

ti avviso

se puoi dirmi qualcosa...

ciao

[Kuma]

Si dovrebbe trattarsi di un falso positivo...

Madove cavolo si sarà annidiato

Prova a mettere qui anche un log di Gmer (non incollarlo --- allegalo)

GMER

http://www.gmer.net/gmer110.zip // http://www.majorgeeks.com/GMER_d5198.html

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Attendi la fine della scansione e clicca su "Copy"

Apri il block notes di windows clicca su modifica e seleziona incolla

salva il file

Quindi allegalo al tuo post

[chi8r8]

2 problemi:

a. appena tento di collegarmi al sito che mi hai indicato si chiude tutto,anche la pagina del forum;

b. è normale che il pc incriminato non si spenga?

c. nella modalità provvisoria oltre l'utente corrispondente al mio nome c'è anche l'administrator ma io vado sempre dal mio nome;faccio male?

graziie mille

[Kuma]

Ciao...

Aspè non ho capito

Stai usando due PC ???

a. appena tento di collegarmi al sito che mi hai indicato si chiude tutto,anche la pagina del forum;

controllami queste due chiavi: (start\Esegui e digita regedit)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT e riportami qui i valori (non eliminare nulla)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

--

b. è normale che il pc incriminato non si spenga?

in che senso... anche quando vuoi spegnerlo???

--

C: nella modalità provvisoria oltre l'utente corrispondente al mio nome c'è anche l'administrator ma io vado sempre dal mio nome;faccio male?

Se il tuo utente ha i pieni poteri (come Amministratore quindi) è tutto OK

----

ehi sono tre problemi non due

G m e r scaricalo da qui:

http://www.mytempdir.com/1323136

[chi8r8]

per quel che riguarda i 2 pc...no è uno solo quello incriminato mentre per il fatto dell'amministratore non so chi ha i diritti di amministratore.

cmq le voci userinit sono :c:\windows\system32\userinit.exe, "c:\windows\system32\canon-sensor.exe",

esattamente come te l'ho scritto,con virgole e virgolette

mentre la voce explorer.exe non c'è seguendo il percorso che mi hai indicato.

inoltre lo spegnimento non parte neanche quando lo voglio.

grazie

[Kuma]

Eccolo là....

Scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

# In full path inserisci :

c:\windows\system32\canon-sensor.exe

(il nome deve essere esatto, ma senza virgolette)

# seleziona la casella DELETE ON REBOOT

# Clicca sulla X rossa a destra (il computer si riavvierà)

Dopo il riavvio, da START\ESEGUI digita regedit

Portarsi all seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare SOLO la voce: "c:\windows\system32\canon-sensor.exe",

(comprese virgolette ed eventuali doppie virgole)

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

(con una virgola finale)

[chi8r8]

la voce non si cancella però,anche se io la modifico e clicco su ok.

ho riavviato dopo ma non è cambiato niente.

la voce rimane là intera come prima.

p.s:ho un altro pc e ho provato a fare lo stesso controllo e la voce si presenta cosi:

c:\windows\system32\userinit.exe,"c:\windows\system32\seagatetool.exe",

anche qui c'è un problema secondo te?

ciao

[Kuma]

Ciao...

anche l'altro PC è infetto (questo virus usa diversi nomi) elimina almeno il file con Killbox e ricontrolla che non si rigeneri...

Se esiste ancora il file, usa questo per eliminarlo:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

avvia il programma,clicca su Start

attendi e che si apra una finestra

Clicca sul disco C:\

Scorri l'albero fino al percorso dei file da eliminare:

c:\windows\system32\canon-sensor.exe

oppure per l'altro PC

c:\windows\system32\seagatetool.exe

Una volta selezionato darà questo messaggio

"Nome file selected for cleaning."

Do you want to continue?"

Clicca su Yes

Una finestra ti avviserà dell'operazione conclusa

Riportati alla cartelle Winlogon nel registro, cliccaci sopra con il tasto destro

seleziona "Autorizzazioni"

Seleziona il tuo utente, clicca su "controllo completo e applica

vedi se ora riesci ad eliminarla

--------------

[chi8r8]

pare che la cosa è andata a buon fine per entrambi i pc.

ho anche ravviato e nella voce di winlogon è presente solo userinit.exe.

devo fare altro?

io ho installato sui 2 pc avast antivirus.

è sufficiente?consigli un altro antivirus?

cmq grazie per tutto ciò che hai fatto.

non avrei saputo come fare

:up1:

[Kuma]

Ripeti i passaggi che non riuscivi a fare (scaricamento di Gmer ecc...) che vediamo se tutto funziona

Come Antivirus, io solitamente consiglio Antivir Pe Classic, ma anche Avast non è male

(preferisco il primo comunque ) [link con tabella comparativa]

[chi8r8]

ciao ti invio in allegato l'analisi con gmer del pc incriminato.

grazie

p.s: in un altro messaggio ti invio l'analisi dell'altro pc

grazie ancora

analisi_gmer1.txt

[Steve75]

ciao ,

ci serve anche lo scan fatto dalla sezione autostart