Accedi per seguire   
Seguaci 0
lillocry85

Hijackthis Non Si Apre...

9 messaggi in questa discussione

Ciao,

ho un pc che non apre più Hijackthis (la cartella si chiude quando clicco sull'eseguibile) e si chiude anche la finestra di Internet Explorer quando provo a fare una ricerca su google della parola Hijackthis.

Oltre a questo ho altri problemi:

-ho una strana applicazione chiamata InternetVerifier in installazione applicazioni

-tra i processi in esecuzione c'è uno strano processo wghjqjwo.jpg contenuto nella cartella system32

-a volte compare un dialer con nomi strani

Ho fatto una scansione online con Kaspersky, ma non ha rilevato nulla!

Spero nel vostro aiuto......

Grazie :)

Modificato da Lillo85

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

controlla questa chiava (start\esegui\regedit)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed riporta qui i valori che vedi

la chiave normalmente dovrebbe essere così (non è detto che se ci sia qualcosa sia l'infezione):

capt0020yj.jpg

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

controllare anche:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Al limite, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):

http://www.safer-networking.org/files/runalyz.exe

lasciagli caricare le informazioni, poi vai su "Rapporti" e clicca su "Crea Rapporto stile HJT",salvalo cliccando sull'icona apposita.

Poi lo alleghi in formato testo in un post.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

grazie per l'aiuto...

Ho controllato le chiavi che mi hai detto:

-in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon è uguale a quella dell'immagine che hai inserito

-in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon la chiave non esiste.

Sono riuscito ad eseguire Hijackthis terminando il processo stranissimo: wghjqjwo.jpg.

Ti posto il log...ma non vedo niente di strano (Microarea è un gestionale).

Grazie.

:)

hijackthis.log

Modificato da Lillo85

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

il log allora è pulito...

per quel processo (wghjqjwo.jpg)

cerca il file (forse è in system32 e rinominalo con estensione BAK

Scarica COMBOFIX ((è importante che il file sia salvato sul desktop) )

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Chiudi tutte le applicazioni

Clicca su start>esegui, nella casellina digita(o copia e incolla)

"%userprofile%\desktop\combofix.exe" /wow

Clicca su Ok

Segui le istruzioni della finestra prompt e posta il log C:\Combofix.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma,

grazie per la risposta...

Ho rinominato il file wghjqjwo.jpg, ma al riavvio, dopo aver fatto il login non riuscivo a visualizzare le icone del desktop, la barra delle applicazioni, ecc... Praticamente vedevo solo lo sfondo del desktop.

Ho riavviato un'infinità di volte, ma senza risultati. Ho riavviato anche in modalità provvisoria, ma anche in questo modo vedevo solo lo sfondo nero, in pratica doveva essere qualche problema di explorer.

Alla fine ho pensato che la causa era il processo che parte all'avvio, quindi ho dovuto ridare al processo la sua estensione originale wghjqjwo.jpg (con il prompt dei comandi in modalità provvisoria).

Appena ho riavviato tutto è tornato ok (compreso wghjqjwo.jpg in esecuzione), e combofix ha terminato la scansione.

Ti allego il log di ComboFix.

Inoltre durante la scansione di ComboFix, Kaspersky ha trovato il seguente file infetto:

2007-11-07 09:02 File C:\DOCUME~1\user\IMPOST~1\Temp\sggtqnyb.dll non può essere eliminato.

2007-11-07 08:54 File C:\DOCUME~1\user\IMPOST~1\Temp\sggtqnyb.dll: rilevato Trojan program Trojan.Win32.Inject.jt.

Grazie

:)

ComboFix.txt

Modificato da Lillo85

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

prima di eliminare il file,

portati nel registro ed elimina la chiave riportata in grassetto;

portati a questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

Svuota anche la cartella C:\Windows\Tasks

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, in effetti quel file è associato a questa chiave di registro

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe]

Debugger="c:\windows\system32\wghjqjwo.jpg"

modificando o eliminando quel file, sparisce il desktop. Si può ovviare eliminando la voce di registro explorer.exe e poi eliminare il file.

Per farlo, aprire il registro da start>esegui>regedt32 (lo scrivi nello spazio)>OK una volta giunti alla chiave da eliminare cliccando sul segno + accanto alle singole voci del suddetto percorso, click con il tasto dx su di essa>autorizzazioni>avanzate>proprietario, imposti la proprietà all'utente del computer>OK, torni alla pag.precedente, metti la spunta a"controllo completo" e in lettura">OK.

A questo punto provi a eliminare explorer.exe (click tasto dx e scegli elimina).

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto quello che mi avete detto e sono riuscito ad eliminare il processo....ora riesco ad aprire Hijackthis....quindi questo problema è risolto!!!! :)

Un altro problema che ancora trovo è l'applicazione InternetVerifier nell'installazione applicazioni. Se provo a disinstallarlo si apre un sito con il tasto Unistall, che insospettito non ho cliccato. Ho anche utilizzato MyUninstaller, ma si è aperto il solito sito!

Cercando in rete ho letto che questa applicazione è tipica di Linkoptimizer quindi ho fatto scansioni con questi tool:

- http://www.prevx.com/gromozon.asp

- http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

ma non ho trovato nulla...

Infine ho deciso di fare una scansione con Gmer....vi allego i log per un vostro parere!

gmer.txt

gmer2.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova a fare uno scan con VIRIT

preleva l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0