Il Pc Non Mi Carica Più Explorer

[salpic80]

Ciao a tutti!Prima di tutto complimenti per il forum!

Passando al mio problemone..."avevo" uno spyware:Aware.win32.virtumonde.azt. Ho fatto una scansione con a-squared antimalware in modalità provvisoria e comparendomi questo file infetto ho provato ad eliminarlo,senza successo..al che ho optato per la quarantena e qui son sorti i problemi perchè si è riavviato il pc e da allora nn vedo più il desktop, o meglio non esiste più la cartella explorer.Vedo solo lo sfondo.Ho XP e non ho il cd di insstallazione :S Per non perder tutto cosa potrei fare?

P.S. ho fatto regedit ed alla voce : Image File Execution Options" non mi compare explorer

Come potrei fare per nn perder tutto? Ho dei file importanti per un esame imminente (10 giorni) :S

[$angelique!?]

[ben]salpic[/ben]

Ciao salpic,

preleva l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

Vundo FIX

basta usare i due pulsanti a disposizione

Scan for Vundo.

· A scansione finita cliccate su Remove Vundo: riceverete una richiesta di conferma per la rimozione, ciccate su OK

· A rimozione conclusa confermate il messaggio che chiederà di riavviare il PC

1.Scarica il file - combofix.exe

2. Doppio click su combofix.exe & e segui le istruzioni

3. Quando avrà finito, creerà log .... Postare questo log

Note:

--- Durante la scansione NON cliccare sulla finestra di Combofix... Altrimenti si blocca

--- Durante la scansione verranno creati alcuni file sul desktop e poi eliminati

--- Durante la scansione spariranno tutte le icone del desktop

--- Durante la scansione il vostro firewall potrebbe avvisarvi che verranno rimossi alcuni driver (consentire)

Apri il registro ;

Start | Esegui | digita regedit e dai l'ok

Portati in questo percorso

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

trova nella finestra di destra la chiave "Userinit"

Cliccaci due volte sopra e copia / incolla quanto riportato in "dati valori"

(per il momento NON eliminare nulla, è una chiave molto delicata)

[salpic80]

ciao!grazie per avermi risposto subito!

Allora...ho provato a scaricare virit ma nn me lo fa installare..mi esce una segnalazione di errore:

"Setup Message" "Unable to start DDE comunication with Program Manager"

Per quanto riguarda il vundo fix l'ho installato ed eseguito senza porblemi e mi ha trovato numerosi file infetti da questo trojan ho seguito come un aòunno modello tutte le indicazioni che mi hai fornito, l'ho rimosso e riavviato il pc.

Son passato all'istruzione successiva, ma nn ho potuto scaricare combofix perchè mi diceva che è scaduto e che bisogna avere la versione aggiornata :S

Il desktop continuo a nn vederlo anke dopo l'eliminazione del vundo

Attendo altri tuoi consigli su come riuscire a installare questi due programma

[salpic80]

Allego il log della scansione hijackthis.Può darsi che serva a qualcosa

hijackthis.log

[salpic80]

Mi son procurato colombofix e ora vi posto il log...speriamo bene..perchè continuo a nn veder nulla sul desktop e in modalità normale non riesco a scrivere, perchè il mouse si muove da solo e si sposta la pagina :S mi sa che sto inguaiato XD :sigh:

ComboFix.txt

[$angelique!?]

Ciao salpic,

scarica avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

Decomprimi l'archivio

Disinstalla questo programma:

C:\Programmi\XP Repair Pro 2007\XPRepairPro.exe

Avvia in modalità provvisoria

Avvia hijackthis , clicca su Do a System Scan Only metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet, premi su fix checked

O2 - BHO: (no name) - {0233A6C7-C097-4A23-AC02-79BC49E50ED6} - C:\WINDOWS\system32\jkkjh.dll (file missing)

O2 - BHO: {d87bb18a-bfab-214b-e6c4-ea7de00591be} - {eb19500e-d7ae-4c6e-b412-bafba81bb78d} - C:\WINDOWS\system32\wfvxcajm.dll (file missing)

O4 - HKLM\..\Run: [1ca09d5a] rundll32.exe "C:\WINDOWS\system32\wgbjlrns.dll",b

O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f

O4 - HKLM\..\RunOnce: [ultima_fase] %windir%\system32\ultima_fase.txt

O4 - HKCU\..\Run: [XPRepairPro2007] C:\Programmi\XP Repair Pro 2007\XPRepairPro.exe /r

O20 - Winlogon Notify: xxywxvt - xxywxvt.dll (file missing)

Avvia il file avenger.exe

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"

All'interno del box bianco,copia e incolla le scritte in neretto:

Files to delete:

C:\WINDOWS\system32\jkkjh.dll

C:\WINDOWS\system32\wfvxcajm.dll

C:\WINDOWS\system32\wgbjlrns.dll

C:\WINDOWS\system32\xxywxvt.dll

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi due volte Yes

Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente.

Posta anche il log generato da avenger, lo trovi in C:\ è un file di testo

Scarica SDFIX: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

- Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

- avvia il sistema in modalità provvisoria

- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script

- seleziona Y per avviare la pulizia

- Quando te lo chiederà premi un tasto per riavviare(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)

- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"

- Premi un tasto per terminare lo script e ricaricare le icone del desktop

- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

[salpic80]

Ciao angelique !

Allora ho fatto ciò che mi hai detto,ma le icone continuo a non vederle :sigh: :sigh:

Sarò un caso disperato..inizio a borbottare anke col pc :ranting2: ..

ti allego tutti i log dei vari programmi che ho utilizzato

Aspetto tue notizie ;-)

avenger.txt

Report.txt

hijackthis.log

[$angelique!?]

Ciao salpic,

abbi pazienza ma il log di avenger non riesco a visualizzarlo... (dovresti incollare il risultato)

mentre Hijackthis devi eseguirlo in modallità normale.

Hai provato ancora con Virit??

[salpic80]

Ciao..scusa nn avevo visto che nn si visualizzava nulla con avenger.Cmq sono + o - riuscito ad installare virit..o almeno credo..ho fatto la scansione la incollo qui!

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

27/01/2008 - 21:09:31

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Programmi\HijackThis\backups\backup-20080122-152914-819-exomgg.exe Infetto da Trojan.Win32.Small.PY

* * * RIMOSSO * * *

C:\Programmi\HijackThis\backups\backup-20080122-153208-713-exomgg.exe Infetto da Trojan.Win32.Small.PY

* * * RIMOSSO * * *

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[E:]

Chiavi Registro infette: 0.

Files Infetti: 2.

Files Sospetti: 0.

Files Analizzati: 48388.

Files Totali: 48388.

Chiavi Registro rimosse: 0.

Virus Rimossi: 2.

che stress questi trojan!!!ne è uscito uno nuovo..pensavo di aver solo il vundo!mi sa che cambierò il norton! XD

[salpic80]

Scusa..sarà l'ora...ma mi son dimenticato di incollare avenger

Logfile of The Avenger version 1, by Swandog46

Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ibyxjirg *******************

Script file located at: \??\C:\WINDOWS\system32\nbdacjgu.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file: Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing.

*******************

Finished! Terminate

Grazie come sempre della disponibilità!!Ora provo a riavviare..può darsi che eliminando questo trojan ora si veda il desktop :S speriamo

[salpic80]

Ecco alcune news.Stamattina il pc è difficile da gestire,nel senso che il mouse si muove da solo ...ad esempio su questa pagina di ie ..mi porta sistematicamente alla fine della pagina se cerco di spostarmi col mouse.ho eseguito hijackthis, in modalità normale ti posto il log.

hijackthis.log

[salpic80]

Scusa la gran mole di messaggi che sto inviando,ma ogni tanto ricordo qualcosa di nuovo e te lo riporto.Può darsi che serva.

Qualche giorno fà, il norton mi indetificava oltre al vundo anke un altro trojan: metajuan.

Mi dicevo di averlo bloccato...ma mi è uscito un paio di volte.

buona domenica angelique

[salpic80]

Buongiorno a tutti!Tanti auguri di buon anno..soprattutto a te angelique che sei stato davvero disponibile con me!

Mi sa che forse nn c'è nulla da fare...se è così dimmelo che formatto

Modificato December 31, 2007 da salpic

[$angelique!?]

Buongiorno salpic,

non mi sono dimenticata del tuo problema, e che sono un pò di corsa in questi giorni...sono prossima ad un viaggio :angel_not:

capisco il tuo disagio ad usare il pc...ma il tuo problema non è cosi semplice, e finchè non riusciamo a capire che tipo di malware blocca l'explorer possiamo solo andare per tentativi.

Forse lo hai già fatto, ma leggi queste informazioni e controlla nel registro.

Se all'avvio il computer vi presenta un desktop vuoto senza icone e senza taskbar probabilmente c'è un problema nell'avvio del processo Explorer.exe probabilmente causato da un malware.

I motivi potrebbero essere due:

1) Una chiave di registry che impedisce l'avvio di Explorer.exe controllare quindi l'eventuale esistenza della chiave ed eliminarla:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

(nel caso il problema vi fosse anche per Internet Explorer controlare ed nel caso eliminare la seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe)

2) Controllare l'esistenza della chiave di registry che imposta la Shell a Explorer:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsLogon\Shell=Explorer.exe

Quando ci si trova in questa situazione si dovrebbe riuscire almeno ad eseguire il TaskManager tramite CTRL+ALT+CANC e quindi ad aprire il registry tramite File->Nuova operazione (Esegui ...).

Un'altra possibilità che può tornare utile in questi frangenti è quella di avviare da riga di comando il ripristino configurazione di sistema tramite c:\windows\system32\restore\rstrui.exe

(maggiori info al seguente http://support.microsoft.com/kb/304449/it)

In alcuni casi il problema è stato risolto reinstallando il service pack 2

http://forum.wininizio.it/index.php?showtopic=26093

leggi anche qui >>> http://support.microsoft.com/kb/249191

[salpic80]

Lo so che vi state impegnando molto...e che beh è anke un periodo di festa.Ti ringrazio a mille per la tua disponibilità...e mi scuso per come diciamo a napoli "il casatiello" che vi sto dando...tradotto significa un bel problemone!!

Passando al problem:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe <------- explorer.exe nn è presente in image file execution options

Sotto questa voce (image file execution options) c'è solo un registro: (predefinito) con valore nn impostato

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsLogon\Shell=Explorer.exe <---- questa esiste per mia fortuna infatti sto usando il pc con task manager XD

Ora provo questa-->c:\windows\system32\restore\rstrui.exe

Ancora grazie angelique ))

[$angelique!?]

Sei di Napoli?? Simpatico

Ho aggiunto anche altre notizie al mio post precedente ;-)

Spero di riuscire a venirne a capo...intanto faccio altre ricerche

[salpic80]

Sei di Napoli?? Simpatico

sìsì ))

[salpic80]

Rieccomi...allora all'improvviso oggi mi è comparsa la finestra di SDFix che misi a fare ieri o l'altro ieri...dicendo che aveva concluso..ti riporto il log

speriamo|!!! :angel_not:

[salpic80]

Mi dice che il file è troppo grande.ovviamente nn me lo fa incollare

Modificato December 31, 2007 da salpic

[Luke57]

Ciao, apri il taskmanger (ctrl+alt+canc), se trovi il seguente processo:

ntos.exe

evidenzialo e premi Termina processo

(Se non lo trovi vai avanti lo stesso).

Apri il registro di sistema come ti ha spiegato Angelique:

segui questo percorso cliccando sul segno + accanto alle singole voci:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, click su winlogon, all'interno sulla parte destra dovresti trovare alla voce

userinit =C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

doppio clik sulla voce, nella finestra Modifica stringa che appare nello spazio Dati valore, dovresti trovare:

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

seleziona e cancella:

C:\WINDOWS\system32\ntos.exe, (vigola compresa)

in modo da lasciare nello spazio:

C:\WINDOWS\system32\userinit.exe, (virgola compresa)

(ATTENZIONE A NON CANCELLARE USERINIT.EXE, PENA IL MANCATO RIAVVIO)

premi OK.

Chiudi il registro e senza riavviare, avvii Avenger e inserisci questo script:

Files to delete:

C:\WINDOWS\system32\ntos.exe

C:\WINDOWS\system32\khfdecc.dll

C:\\WINDOWS\system32\\wgbjlrns.dll

folders to delete:

C:\Windows\tasks

registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 1ca09d5a

registry keys to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d87bb18a-bfab-214b-e6c4-ea7de00591be}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0233A6C7-C097-4A23-AC02-79BC49E50ED6}

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

vai avanti nella procedura di avenger come suggerito da Angelique

(clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi ok e poi yes

Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente).

Posta poi il report di avenger (C:\avenger.txt) più nuovo log di hijackthis.

[$angelique!?]

@Luke57, il mio eroe

[salpic80]

salve..scusatemi se nn mi son collegato..ma oltre al pc...la connessione adsl a volte fa capricci...

il file ntos.exe nn c'è...provo a fare le altre istruzioni che mi hai dato con avenger.

Il nuovo log di hijack devo farlo in modalità normale o provvisoria?

Sul desktop ho trovato un activescan...nn domandatemi da dove è uscito perchè nn mi ricordo :S e dovrebbe essere precedente alla rimozione del trojan vundo. ve lo allego

Activescan.txt

[salpic80]

Ringrazio oltre ad angelique anke luke57!

vi posto i log di avenger e hijackthis!Speriamo bene

avenger.txt

hijackthis.log

[Luke57]

Ciao, apri hijackthis, premi "do a system scan only", cerca e spunta:

O4 - HKLM\..\Run: [rjadisva] C:\jpkcahbm.bat

premi fix checked.

Se non conosci poi questo file:

C:\jpkcahbm.bat

lo elimini.

[salpic80]

Se non conosci poi questo file:

C:\jpkcahbm.bat

lo elimini.

Fixato con hijack ed eliminato perchè nn so cosa sia...

é comparso quando ho eseguito avenger insieme ad un file di applicazione di nome "zip" e un file batch MS-DOS di nome "avexport".

Stamattina mi è ricomparso il problema del mouse che "scappa"...cioè quando clicco su una cosa si sposta :ranting2: