Accedi per seguire   
Seguaci 0
Gle89

Ntuser In Common Startup

22 messaggi in questa discussione

Salve,

dopo aver fatto girare sul mio pc e su altri il tool per la rimozione di gromozon (fornito da Prevx a questo link) in MSCONFIG nell'etichetta AVVIO appiaono tre voci che non ci dovrebbero stare anche se non sono virus, vedere l'immagine:

avviozl4.th.jpg

Naturalmente togliendo la spunta e applicando le modifiche e riavviando queste si riattivano da sole,purtroppo. Via allego in un file.zip (hostato su zshare.net perchè i file sono troppo pesi) sia un log di HJT, sia un log dello startup sempre di HJT dove nessuna delle voci "incriminate" appiaono.

Sono sicura di non essere infetta perchè ho fatto un sacco di scansioni con esito "senza virus" (disabilitando il ripristinio di sistema) quali:

- AntiVir

- A-Squared free

- Kapersky online

- BitDefender online

- Elistarta

- Panda Antirootkit

- Prevx 2.0

- Prevx CSI

- pulizia con CCleaner

Insomma credo proprio di essere pulita (come si può vedere anche dal log di HJT)

Vorrei saper come posso eliminare quelle voci e se c'è anche una spiegazione logica perchè queste non si possono rimuovere e soprattutto perchè appaiono dopo aver usato il tool per la rimozione del gromozon.

Grazie in anticipo.

CLICCA QUI PER I LOG

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

hai per caso più di un utente sul PC ???

Da START\ESEGUI digita: control userpasswords2

e riporta qui le utenze presenti

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Questa è la schermata da te richiesta

utentieu1.th.jpg

però non mi torna una cosa, circa 2 mesi fa l'account AMyeHZx era stato cancellato infatti in Documents and Settings non esiste (avendo anceh abilitato cartelle nascoste e visulizzazione file di sistema) e l'account Guest non è attivato.

Aspetto chiarimenti :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

quell'utente é creato dal rootkit di gromozon, quindi và eliminato....

fai anche uno scan con questi due tool;

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool

- Avvia il sistema in modalità provvisoria

- Ripristino disattivato per XP / ME

- avvia il tool con un doppio click

- Accetta il contratto di licenza

- Clicca su Start per avviare lo scan

- Rispondi Yes all'avviso e attendi la fine

Posta il contenuto del log FixLinkopt.txt

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Come già detto nel primo post io ho già passato il tool per la rimozione del Gromozon e il log era pulito, ad ogni modo ho ripassato i 2 tool consigliati e vi allego i log.

Per quel account come ho detto prima in Documents and Setting non esisteva già più fra l'altro il mio tecnico mi aveva detto che non era stato creato dal gromozon ma da un programma per portare dei file dal portatile (questo) e il pc fisso che ho in casa. Ad ogni modo l ho cancellato anche dalla schermata control userpasswords2.

I log come potete vedere sono puliti....

Idee? :)

gromozon_removal.log

FixLinkopt.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ma di problemi oltre ai file in avvio automatico non ne hai???

il mio tecnico mi aveva detto che non era stato creato dal gromozon ma da un programma per portare dei file dal portatile (questo) e il pc fisso che ho in casa

non so quanto sia affidabile un tecnico che dice cose del genere..... non ho mai sentito che per trasferire file da un pc all'altro ci sia bisogno di un programma, che tra l'altro crea un account amministratore con nome random... :o

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ma di problemi oltre ai file in avvio automatico non ne hai???

No, forse non mi sono spiegata bene all'inzio :) Io di problemi non ne ho, volevo solo sapere il perchè ci sono quelle voci in avvio con la dicitura COMMON STARTUP e il perchè non si riescono ad eliminare....

non so quanto sia affidabile un tecnico che dice cose del genere..... non ho mai sentito che per trasferire file da un pc all'altro ci sia bisogno di un programma, che tra l'altro crea un account amministratore con nome random... :o

Concordo, però appena mi ero accorda dell'utente con nome random strano ho subito passato i vari tool fra cui anche quello per il gromozon ma non ha mai trovato niente....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

vedi cos'hqi qui

%ALLUSERSPROFILE%\Menu Démarrer\Programmes\Démarrage

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
%ALLUSERSPROFILE%\Menu Démarrer\Programmes\Démarrage

tradotto sarebbe: C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica????

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

a si scusami....l'ho scritto in francese :)

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ecco cosa c'è nel percorso:

immagineyz3.th.jpg

ed ecco il contenuto di quel file:

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Modificato da Gle89

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

dai un occhiata in questa chiave;

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Posto uno screen della chiave richiesta:

immaginecu3.th.jpg

Non so però cosa dovrei fare ora... :) Aspetto consigli dagli esperti!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

nella chiave é tutto in regola..... non so che dirti per il fatto che quei file siano in avvio automatico <_<

Aspettiamo il parere di Kuma

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Da quello che ho capito, quei file (che non dovrebbero essere infezioni)

sono dei profili diegli UTENTI del DOMINIO NT ... se il pc fa parte di un workgroup. (una rete)

o se stai usando un PC con caratteri asiatici (IME ce l'hai abilitato????)

Non ne sono sicuro (i siti in cui si trovano info sono in maggioranza cinesi e coreani [check])

Comunque per tagliare la testa al toro...

Con la funzione "CERCA" di windows (clicca su ricerca avanzata e vedi di cercare anche i file nascosti, di sistema e tutto il reso)

fai una ricerca per questi file inserendo nel campo: ntuser.*

e vediamo cosa salta fuori

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Da quello che ho capito, quei file (che non dovrebbero essere infezioni)

sono dei profili diegli UTENTI del DOMINIO NT ... se il pc fa parte di un workgroup. (una rete)

questo è un portatile e quindi è attaccato alla rete lan/wireless con il router dell'altro pc(fisso) in casa.

o se stai usando un PC con caratteri asiatici (IME ce l'hai abilitato????)

Non ne sono sicuro (i siti in cui si trovano info sono in maggioranza cinesi e coreani [check])

Per IME ABILITATO intendi dire questa opzione:

linguaep9.th.jpg

fai una ricerca per questi file inserendo nel campo: ntuser.*

Ecco cosa è saltato fuori:

cercaov8.th.jpg

Aspetto tue notizie :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao... No, l'IME non è quello...

IME e' un acronimo di Input Method Editor ed e' una applicazione che consente di inserire caratteri complessi come ad esempio quelli Giapponesi, cinesi, ecc....

in pratica nella piccola icona del cambio tasiera (nella tray bar) dovresti aver la possibilità di cambiare la lingua con una di quelle orientali

Senti nella prima immagine postata non si vede il percorso (per me è probabilmente riferito a quello "network service" dell'ultima foto)

comunque... vedi se con questo ti fa vedere il percorso esatto:

http://www.snapfiles.com/get/starter.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma,

mi sono persa nel tuo ultimo post, non ho capito praticamente nulla :)

Con il programma da te suggeritomi purtroppo rileva solo AVIRA, PREVX 2.0 e GoogleToolbarNotifier in avvio. :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Con il programma da te suggeritomi purtroppo rileva solo AVIRA, PREVX 2.0 e GoogleToolbarNotifier in avvio

a questo punto non saprei dove andare a cercare le voci... calcola che comunque non sono infezioni

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
calcola che comunque non sono infezioni

Questo lo so, lo avevo già detto nel mio primo post :P:)

Però credo che mi rallentino abbastanza l'avvio del mio pc.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

ma non so quanto ti convenga toglierlo (manualmente)

il file NON si deve assolutamente cancellare....

Questo file dovrebbe anche, contenere tutti i dati del profilo dell'utente attualmente connesso e anche conserva traccia di istallazione e disistallazione programmi...Questi dati vengono caricati nella cartella HKEY_CURRENT USER della registry, per esempio (colori dello schermo, applicazioni..)...

prova piuttosto a rivedere le impostazioni del PC e magari ripulisci il registro:

http://paolorusso.interfree.it/registro.htm

Controlla nel Pannello di controllo\Sistema \Avanzate\Profili

quanti profili hai

post-3568-1196491502_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao...

ma non so quanto ti convenga toglierlo (manualmente)

il file NON si deve assolutamente cancellare....

infatti io non voglio cancellarlo... volevo solo toglierlo dall'avvio :)

Controlla nel Pannello di controllo\Sistema \Avanzate\Profili

quanti profili hai

Ho solo Administrator e il mio.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0