Problema Con Il Desktop Di Win Xp

[Kuma]

Allora procedi manualmente...

(l'importante è riuscire ad eliminare qulla cartellina come indicato prima:

devi eliminare la cartellina gialla (explorer.exe) e anche il file infetto

Se elimini solo il file sparisce appunto tutto il desktop

Se nel registro hai dei problemi di permessi (voce non eliminabile) , prima clicca sulla cartellina gialla con il tasto destro e seleziona AUTORIZZAZIONI quindi dai al tuo utente il controllo totale (poi eliminala)

[markdima]

Allora procedi manualmente...

(l'importante è riuscire ad eliminare qulla cartellina come indicato prima:

devi eliminare la cartellina gialla (explorer.exe) e anche il file infetto

Se elimini solo il file sparisce appunto tutto il desktop

Se nel registro hai dei problemi di permessi (voce non eliminabile) , prima clicca sulla cartellina gialla con il tasto destro e seleziona AUTORIZZAZIONI quindi dai al tuo utente il controllo totale (poi eliminala)

Ok ho modificato le autorizzazioni e ho eliminato la cartellina gialla...Ora?

O meglio pensavo di averla eliminata...Ho provato a rilanciare regedit ed eccoti di nuovo la cartellina col file infetto...

[Steve75]

ciao

prova cosi;

Portati nella cartellina explorer.exe e segnati il nome del file richiamato...

poi :

* Scarica ed estrai RegAssassin

- Avvia il file RegAssassin

- Assicurati che le 2 opzioni

Reset permissions e delete registry key and all subkeys siano spuntate

- nel box bianco copia il valore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Clicca su delete

- rispondi SI ed aspetta l'avviso di avvenuta cancellazione

poi:

* attiva la visualizzazione dei file nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file riportato nella cartellina

- selezionalo e dai l'ok

[markdima]

ciao

prova cosi;

Portati nella cartellina explorer.exe e segnati il nome del file richiamato...

poi :

* Scarica ed estrai RegAssassin

- Avvia il file RegAssassin

- Assicurati che le 2 opzioni

Reset permissions e delete registry key and all subkeys siano spuntate

- nel box bianco copia il valore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Clicca su delete

- rispondi SI ed aspetta l'avviso di avvenuta cancellazione

poi:

* attiva la visualizzazione dei file nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file riportato nella cartellina

- selezionalo e dai l'ok

Allora, ho fatto tutto fino al lancio di AGVPFix.

Una volta lanciato ho cliccato su start ed è partita l'analisi, dopo di che è uscita la finestra tipo esplora risorse...

Ho una domanda...devo attendere che finisca l'analisi?oppure scorro l'albero e vado a

c:\windows\system32\hpnrsgep.txt (ovvero il file che risulta infetto...)

e lo cancello?

[markdima]

ok ho trovato il file scorrendo l'albero e ho cliccato su ok...

Looking for trojan service process Not active

Deleting file c:\windows\system32\hpnrsgep.txt Done

Removing trojan service key from the Registry Not found

Removing rogue account created by the trojan Not found

Removing directory tree created by the trojan Not found

Tutto ok ora?

[Steve75]

hai ancora problemi ?

Fai comunque quest:

svuote la cartella C:\Windows\Tasks

svuota la cartella c:\Windows\Temp

Apri il registro , start / esegui / regedit / ok

controlla e se ci sono elimina le chiavi riportate in grassetto

- HKEY_LOCAL_MACHINE \Software\Micorsoft\RFC1156A

- HKEY_LOCAL_MACHINE\Software \Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Microsoft\RFC1156Agent

Qua devi cercare dei nomi strani a 5 lettere, potrebbero essere anche piu di uno...

- HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer \AdvancedOptions\[5 lettere a caso] esempio hkwcf

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AdvancedOptions\[5 lettere a caso] esempio hknnf

Per eliminarle tasto destro su ognuna e scegli elimina....

Se dovessero risultare bloccate, tasto destro/autorizzazioni e dai il full control al tuo account

[markdima]

Ho eliminato tutto quello che mi hai detto...le ultime due cose (per capirci quelli da 5 lettere) ho trovato solo uno "nopno" sia sull'user che local machine...elimino?

Fatto questo riavvio?

[Steve75]

si , sono da eliminare nei due casi....

fatto questo riavvia e vedi se tutto funge

Al riavvio, consiglierei anche uno scan online Kaspersky in questo modo

[markdima]

ok provvedo a fare la scansione on line con kaspersky e poi posto il log...a dopo e grazie!

[markdima]

Al riavvio non ho più il desktop ed è ricomparsa tra le chiavi di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

quindi non è cambiato nulla vero?

[Steve75]

eliminala , e poi avvia in modalità provvisoria ed eliminala anche da li nel caso ci fosse

[markdima]

ok ora provo

[markdima]

ho eliminato la chiave in modalità normale e poi ho riavviato in modalità provvisoria...e qui non ho trovato la cartellina

poi ho riavviato in modalità normale e il desktop funziona regolarmente...

l'errore iniziale c'è sempre...(ovvero non trova la libreria tcp mib)

ora faccio la scansione on line con kaspersky e poi posto il log.

Grazie a dopo...

[Steve75]

insieme al log, posta anche alla lettera cosa dice il messaggio di errore

[markdima]

il messaggio al 99% dice così:

Impossibile trovare la libreria Tcp Mib.

E poi si può premere solo OK.

In ogni caso al prox riavvio me lo segno e ti do conferme in tal senso.

Fino ad ora la scansione online ha trovato 1 virus e 1 oggetto infetto.

A dopo.

[markdima]

log_kaspersky.txt

Ecco il log di kaspersky.

[Kuma]

Ciao...

il log di Kaspersky era meglio averlo in formato HTML... comunque....

Passaci questo tool: Download RogueRemover from MajorGeeks

Poi elimina questi:

C:\Documents and Settings\Marco\Desktop\ciambotto\Computer win 98\Downloads(1) file di installazione\WinAntiVirusPro2006FreeInstall_it.exe

C:\Programmi\eMule\Incoming\crackerjack keygen Share Accelerator.zip

______________

ERRORE "Tcp Mib"

Questo problema si può verificare se è una versione di terza parte del Wsnmp32.dll, di Ntprint.dll, di Tcpmib.dll, di Mgmtapi.dll o il file Snmpapi.dll si è copiato nella cartella % systemroot %.

SOLUZIONE: Per risolvere questo comportamento, rinominare o eliminare questi file nella cartella % systemroot %. Questi file hanno la precedenza sul file fornito da Microsoft nella cartella \System32 % systemroot %.

[markdima]

Allora per quanto riguarda il log di kaspersky terrò presente la versione html del log per la prox volta.

L'errore preciso è:

Errore durante il caricamento della libreria tcp mib.

OK

Quindi cosa dovrei fare ora?Rinominare cosa?

[markdima]

Inoltre ho fatto la scansione con RogueRemover dopo averlo aggiornato e non mi trova nulla...

[Steve75]

elimina o rinomina questi file...

Wsnmp32.dll, Ntprint.dll, Tcpmib.dll, Mgmtapi.dll , Snmpapi.dll

[markdima]

Ok li ho rinominati...

[Steve75]

Ok li ho rinominati...

il problema é sparito?

[markdima]

No ho riavviato e l'errore è comparso di nuovo.

[Kuma]

Prova a ripristinarli dal CD originale di XP...

li trovi nella cartella i386 e devi eseguire il comando expand per ognuno dei file che avranno nome tcpmon.dl_ etc)

dopo aver inserito il CD di installazione di XP, da START\ESEGUI digita :

cmd

poi entra nel CD digitando la sua lettera

(per esempio: E: [invio])

una volta nel CD entra nella cartella i386

cd i386

ora puoi digitare il comando:

expand Tcpmib.dl_ C:\Windows\System32

Ripeti il passaggio per tutti i files che hai rinominato...

_________

fatto questo, copia il codice che vedi qui sotto sul blocco note

Windows Registry Editor Version 5.00  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\Standard TCP/IP Port]  
"Driver"="tcpmon.dll"  

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\Standard TCP/IP Port\Ports]  
"LprAckTimeout"=dword:000000b4 
"StatusUpdateInterval"=dword:0000000a 
"StatusUpdateEnabled"=dword:00000001

salvalo con estensione.reg e quindi cliccaci sopra due volte per aggiungere le voci al registro

[markdima]

ok ora provo