Problema con Trojan Agent -jyl

[rossonero]

questo il rapporto di kaspersky:

log_kaspersky.html

[Kuma]

Ciao....

niente... tutto pulito... non riusciamo a venirne a capo

però...

questa chiave (che riguarda esplora risorse)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"Nuovo valore #1"=0 (0x0)

nel mio PC non è presente...

(clicca per ingrandire)

Cliccaci sopra con il asto destro e seleziona ESPORTA (per avere un backup)

e poi prova ad eliminarla....

In questa chiave, di solito si inseriscono i valori per NON permettere ad un utente di eseguire determinati programmi...

Per esempio:

Per impedire l'attivazione dei programmi con il comando ESEGUI HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\ selezionare Modifica, Nuovo valore DWORD e inserire il nome NORUN cliccare sul valore e inserire 1

Per disattivare CHIUDI del menù START HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\ selezionare Modifica, Nuovo valore DWORD e inserire il nome NOCLOSE cliccare sul valore e inserire 1

Per nascondere le icone sul DESKTOP HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\ selezionare Modifica, Nuovo valoreDWORD e inserire il nome NODESKTOP cliccare sul valore e inserire 1

La tua chiave non ho assolutamente idea a cosa si riferisca....

comunque con un nome Nuovo valore #1 mi pare del tutto illegittima <_<

[rossonero]

Ciao kuma,

sono andato a cercare la chiave che hai detto di cercare,

e dopo aver fatto tutti i passaggi,arivato a POLICIES e dopo aver cliccato sul +, a me non appare quello che e' apparso a te,(guarda immagine)

in ogni caso,se mi fai toccare le chiavi,per favore dimmi passo passo cosa devo fare,perche' ho paura(e tanta) di sbagliare e fare danni.

da quello che puoi notare dall'immagine,appaiono cose diverse.

[Kuma]

Ciao...

per prima cosa fai un nuovo punto di ripristino di tutto il sistema

poi accertati che nel registro il percorso sia esattamente quello indicato

--> se guardi in fondo alla finestra del registro, devi vedere il percorso completo della chiave

(guarda l'immagine che ti ho postato più sopra)

In pratica devi visualizzare questo dopo aver espanso la chiave POLICIES (in fondo al regedit)

Il valore sospetto è nella sottochiave EXPLORER, quindi è quella che devi espamdere (nell'immagine che ti ho postato, riferita a un XP appena formattato non esiste quella voce)

Esitono altre chiavi con lo stesso nome , in percorsi diversi, quindi fai la massima attenzione che il percorso sia quello giusto...

NON usare la ricerca per il nome della chiave, ma clicca due volte sopra ogni chiave per espanderla

L'immagine postata in precedenza, si riferiva ad un XP PRO appena formattato...

Qui sotto invece quella riguardante Vista: (il valore che devi eliminare è nella chiave EXPLORER)

Detta in parole povere, facendo doppio clicl sulla chiave Explorer, nella finestra di destra deve apparire il valore che devi eliminare ( "Nuovo valore #1"=0 (0x0)") chiaramente sempre ricordando che il percorso deve essere esattamente quello indicato (ho dei dubbi che l'immagine da te postata sia sul giusto percorso... <_< )

In alternativa possiamo usare un altro programma per far aprire esattamente il registro in quella chiave ... adesso lo cerco.....

EDIT:

ti allego il programma, installalo e inserisci il percorso da aprire nel registro come da foto...

poi clicca su JUMP ed il registro si aprirà esattamente su quella chiave

registry_jumper.rar

[Iared]

ciao steve75,ho fatto esattamente quello che mi hai detto di fare,e sai con quale risultato?

Che non mi va piu' il pc.

Si sono cancellate tutte le icone sul monitor e la barra degli strumenti,praticamente e' rimasto solo lo sfondo,e anche quando vado in modalita' provvisoria e' uguale.

Il pc cosi' e' inutilizzabile.

Probabilmente andavi cosi' di fretta che non hai riflettuto abbastanza sull'operazione che mi hai suggerito di fare, per scrivere sono dovuto andare in un internet point, perche' il mio pc non va piu'.

Raga!!!

scusate l'intromissione...

ma non resisto a certe cose...e non sopporto la maleducazione...

e credo di non essere l'unico..

Ciao Rossonero..spero che stai riuscendo a venire a capo del problema che hai...

in merito a quanto detto da te riguardo Steve...reputo che sia giusto tu debba delle scuse non solo a Steve ma a chiunque a letto il topic..

perchè?..

capisco pienamente il tuo disagio...il tuo nervosismo...ma non mi pare il caso di reagire e rispondere così...specie per il fatto che nessuno viene pagato per aiutare gli utenti nel forum...e tutti i componenti dello staff fanno il possibile per raggiungere tutti e risolvere i problemi di tutti...tra cui anche i loro...

comprendo che puo essere frustrante non riuscire a venire a capo di un problema...e tante volte ci vuole un pizzico di umiltà e di buon senso e comprensione anche riguardo a chi cerca di aiutarti...

tanto che sto mantenendo anche io la calma nel risponderti e nel mostrarti comprensione...

spero che hai compreso quanto intendo... ;-)

e se ti sei rivolto a questo forum è perchè comunque cè gente qualificata che puo aiutarti nel campo informatico...

spero che si risolverà presto il tuo problema

SCUSATE A TUTTI PER IL FUORI PROGRAMMA!!

:angel_not: buon proseguimento...e spremete le meningi!!

PS.rossonero...non me ne volere!! amici? ;-)

[rossonero]

Ciao kuma,

ma tu mi avevi detto di guardare in questa chiave [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"Nuovo valore #1"=0 (0x0)

oppure avevo capito male?

Provo a fare quello che hai detto(spero di non fare danni)

[Kuma]

Sì la chiave è quella

(HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer)

e il valore da eliminare è solo--> Nuovo valore #1"=0 (0x0)

FAI IL NUOVO PUNTO DI RIPRISTINO prima di procedere

[rossonero]

Non so se ti sei accorto,ma mi avevi dato due percorsi diversi da seguire,prima HKEY_CURRENT_USER,e dopo HKEY_LOCAL_MACHINE, comunque ho seguito il primo percorso(e mi viene fuori il percorso che ti avevo postato prima con l'immagine,e quello che viene fuori dalla tua immagine che hai postato,viene fuori seguendo il secondo percorso)

In ogni caso guarda l'immagine(dopo aver seguito il primo percorso)

devo cliccare sulla voce cerchiata ed eliminarla?

[Kuma]

Hai ragione... ti chiedo scusa per l'errore...

la chiave giusta è quella del log di Combofix:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"Nuovo valore #1"=0 (0x0)

ed è quella evidenziata nella tua immagine...

di danni non puoi farne (al SO intendo) perchè su una macchina fresca di formattazione nella chiave Policies la chiave Explorer non esiste proprio...

Penso quindi che anche eliminando del tutto la cartella Explorer, al limite perdi solo qualche impostazione

[rossonero]

Ho eliminato la cartella explorer e per il momento sembra non sia successo niente.

Le pagine continuano a non chiudersi.

Questo pc mi sta facendo diventare matto.

[Kuma]

ciao... è un bel mistero...

usando questo programma: CODESTUFF STARTER

http://www.snapfiles.com/get/starter.html

prova a disabilitare tutti i programmi che hai in avvio automatico esclusi di Antivirus e Firewall

quindi riprova... se il problema non c'è più, riabilita un programma alla volta e riprova... sperando che la causa sia in uno di questi

[rossonero]

Ciao kuma,

il programma l'ho scaricato,e dopo aver selezionato l'opzione AVVIO(in alto a sx),ho tolto la spunta a tutto, tranne all'antivirus e firewall,o fatto giusto?

Ma le pagine non si chiudono ancora.

domanda:

togliere la spunta,non vuol dire disattivare proprio i programmi vero?

[Kuma]

Ciao....

No, togliendo la spunta, i programmi non si avvieranno in automatico, ma potranno essere comunque avviati manualmente...

Non saprei cosa altro fare.. mi dispiace, ma le abbiamo proprio tentate tutte

(in tutto questo tempo facevi prima a formattare e ti saresti ritrovato con un sistema pulito e veloce come quando lo avevi appena acquistato [tempo richiesto 2 ore] )

[rossonero]

Ciao,

forse hai ragione ,ormai e' l'unica cosa rimasta da fare.

TI ringrazio comunque,del tempo che mi hai dedicato.

Modificato September 28, 2007 da rossonero

[Kuma]

Di nulla....

mi spiace che non abbiamo risolto...

volevo solo darti un ultimo consiglio... (anzi due)

### Per la formattazione segui questo (in pratica salvati prima su un CD i setup dei vari programmi di sicurezza ed installali prima di connetterti)

http://www.wininizio.it/forum/index.php?showtopic=46064

### dopo la formattazione\installazione dei drivers\Aggiornamento\installazione dei programmi maggiormente usati ecc...

creati un'immagine del disco... con questa risolvi ogni problema in 10 minuti...leggi qui:

http://www.wininizio.it/forum/index.php?showtopic=31284