Il Pc Non Mi Carica Più Explorer

[salpic80]

riciao!Ho fatto una scansione online con panda...e mi rileva ste cose qui:

Incidente Stato Percorso

Virus:Generic Trojan Non Disinfettato C:\Combofix_sfx.exe[ComboFix.exe]

Strumenti indesiderati:Application/NirCmd.A Non Disinfettato C:\Combofix_sfx.exe[ComboFix.exe][ComboFixT\nircmd.exe]

Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\SalPic\Cookies\salpic@atdmt[1].txt

Spyware:Cookie/bravenetA Non Disinfettato C:\Documents and Settings\SalPic\Cookies\salpic@bravenet[2].txt

Spyware:Cookie/Server.iad.Liveperson Non Disinfettato C:\Documents and Settings\SalPic\Cookies\salpic@server.iad.liveperson[1].txt

Spyware:Cookie/WebtrendsLive Non Disinfettato C:\Documents and Settings\SalPic\Cookies\salpic@statse.webtrendslive[2].txt

Strumenti indesiderati:Application/Processor Non Disinfettato C:\SDFix\apps\Process.exe

Strumenti indesiderati:Application/NirCmd.A Non Disinfettato C:\WINDOWS\nircmd.exe

Virus:Rootkit/Booto.C Disinfettato C:\WINDOWS\system32\drivers\cnshvge^.sys

Virus:Rootkit/Booto.C Disinfettato C:\WINDOWS\system32\drivers\gjfoixyj.sys

Virus:Rootkit/Booto.C Disinfettato C:\WINDOWS\system32\drivers\ihoggxpb.sys

Virus:Rootkit/Booto.C Disinfettato C:\WINDOWS\system32\drivers\lnndfdqb.sys

Virus:Rootkit/Booto.C Disinfettato C:\WINDOWS\system32

\drivers\osvnqspm.sys

Scusatemi se scrivo poke cose alla volta...ma il mouse mi riporta sempre la pagina in basso e mi è difficile aprire le pagine o scrivere un messaggio:(

[salpic80]

Scusatemi l'ignoranza..che significano queste stelle vicino al topic?

[salpic80]

Nessun altro consiglio?

MI resta solo da formattare? :sigh:

[$angelique!?]

Ciao salpic,

fammi capire bene...dopo tutte queste operazioni...hai ancora il desktop vuoto ed il mouse impazzito??

Scarica RegRun Reanimator

http://greatis.com/reanimator.zip

1. Scompattalo e apri reanimator.exe.

2. Clicca su "Remove Rustock Rootkit".

3. sarai avvisato che verrà usata l'utiliti "RootkitNO" .

4. Avviala!

5. sarai avvisato che il computer verrà riavviato.

6. dopo il riavvio il file infetto (dal rootkit rustook) sarà rimosso usando "Partizan".

Alla fine del processo di rimozione, puoi rimuovere anche "Partizan" dal Windows boot.

Clicca "UnInstall Partizan" (usando lo stesso programma) .

[salpic80]

Già..il desktop nn lo vedo.Ormai nn so nemmeno + come è fatto! ehehhehe

Per quanto irguard ail mouse impazzito..oggi è tranquillo

scarico il programma e vi faccio sapere!Sei la mia eroina

[$angelique!?]

Salpic..ma hai provato con un'altro mouse???

Domanda stupida...ma se apri il task manager > file > nuova attività > e digiti explorer.exe

cosa succede??

[salpic80]

Sì ho provato..ma ora il mouse nn mi d a+ problemi.Il problema resta sempre il desktop

se eseguo explorer inb task manager mi compare questo messaggio di errore.

Ora provo a far eun ripristino..o meglio ci tentai..ma nn mi usciva nessuna data utile..quindi ho scaricato un programma che mi permette di aggiustarlo o almeno ci spero

Altrimenti formattiamo dai..sto uscendo pazzo io e sto facendo uscir pazzi anke voi

imag.doc

Modificato January 3, 2008 da salpic

[salpic80]

Il ripristino nn va..o meglio nn mi da una data antecedente al 1 gennaio..che poi mi risulta 31gennaio :S

Ho provato anke il porgramma che mi hai dato..il desktop continuo a nn visualizzarlo..

che ne dici formattiamo?

[salpic80]

spero esca il link..c'era il report di sdfix che feci un paio di giorni fà

http://www.wikifortio.com/869421/reportSDFix.txt

[$angelique!?]

salpic...abbi pazienza... ma con il ripristino sarebbero tornati tutti gli altri problemi....

ricapitolando......

hai provato a reinstallare il service pack 2 ???

Di seguito ti lascio altri suggerimenti...

dal task manager prova ad eseguire

%systemroot%\explorer.exe

Se dovesse dirti ancora che non esiste prova con

%systemroot%\system32\dllcache\explorer.exe

-----------------------------------------------------------------------------------------------------------------

avviare Task Manager

menu' FILE > Esegui > cmd.exe > invio

per essere sicuri di trovarsi nella dir corretta, digitare cd %systemroot%\system32 > invio

(puoi fare copia/incolla)

digitare (copia/incolla) ren shdocvw.dll shdocvw.old > invio

riavviare la macchina

------------------------------------------------------------------------------------------------------------------

scarica FixO.exe da http://users.telenet.be/bluepatchy/.../tools/FixO.exe

lancialo (decomprimerà la cartella FixO)

vai in quella cartella e lancia il file fixO.bat (dovrebbe poi darti un log di testo... salvalo dove vuoi)

riavvia il pc

------------------------------------------------------------------------------------------------------------------

Start > Esegui --->Regedit e premete Ok. Portatevi alla chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Selezionate Modifica, Nuovo, Valore DWORD

e create un nuovo valore chiamato NoDesktop. Se impostate il valore a 1, il desktop sarà disabilitato e vuoto di icone. Per farlo tornare come in origine, impostate il valore a 0 o cancellate del tutto questa chiave.

[salpic80]

Ho provato il 1 e il 3 suggerimento..il secondo nn ho cpaito come si fa

digitare (copia/incolla) ren shdocvw.dll shdocvw.old > invio <---- mi dice sintassi nn corretta con ren

Ora provo a installare di nuovo il service pack 2

Hai ragione per il fatto del ripristino (mi sto rincretinendo XD )

Il link del report del file SDFix si vede? nn so se ho cricato bene il link..altrimenti posso incollare la prima parte qui..perchè ad esmepio questo ------->>

C:\WINDOWS\system32\ntoskrnl.exe

No streams found. <---------- è corretto?

Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-29 11:21:54

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Impossibile trovare il file specificato. <--------- questo nn so che cos'è

Ti ringrazio per la pazienza ))

Modificato January 3, 2008 da salpic

[salpic80]

Ho reinstallato sopra service pack 2 ma mi da sempre lo stesso problema

[salpic80]

scusatemi la domanda molto stupida...ma s eprovassi a disinstallare norton? può darsi che mi blocca lui l'explorer....che ne pensate? potete anke prendermi a parolacce per la domanda particolarmente scema XD

[$angelique!?]

Buongiorno salpic, prova pure a disinstallare Norton...anche se non credo sia quello il problema...

al momento non mi viene in mente altro...lascio ai miei colleghi di sezione...

avete qualche idea ???

altrimenti salpic...

[salpic80]

Buongiorno a tutti!!stamattina ho avuto la certezza di avere ancora il trojan Vundo! :sigh: :sigh: :sigh:

Venedo su wininizio ho letto un antispyware...Aware (purtroppo ci vuole la licenza per eliminare i problemi e nn avendone nn ho potuto attivare la licenza )

Cmq, vorrei riportare lo stamp dove dice dove si trovano i file ifnetti dal vundo..ma nn so come fare a postarli qui!!

Qualcuno mi potrebbe dire come postare sto file?Magari irusciamo a togliere definitivamente vundo!

[$angelique!?]

In che senso non riesci a riportare lo stamp??

Non puoi allegarlo?

se il file è troppo grande puoi caricarlo su Wikifortio.com

Se hai catturato l'immagine con il tasto stamp, incolla il contenuto che hai in memoria aprendo Paint >> modifica > incolla > salva con nome.

Start > programmi > accessori > paint

Per il rimuovere Vundo abbiamo questi tools a disposizione:

Scarica FixVundo.exe

Salvalo dove meglio ritieni (Desktop per esempio)

Chiudi tutti i programmi in esecuzione e disconnettiti completamente da Internet (Spegni il modem o tira il cavo)

disattiva il ripristino configurazione di sistema

Fai doppio clic sul file FixVundo.exe

Clicca su Start e attendi la fine

Non avviare nessuna nuova applicazione mentre fai lo scan.

A questo punto riconnettiti ad internet e posta il log FixVundo.txt insieme ad un log HJT aggiornato

VirtumondoBegone (DA USARE IN MODALITA' PROVVISORIA)

[salpic80]

ecco il link di wikifortio ( nn ricordavo il nome XD)

http://www.wikifortio.com/971719/adware.doc

ID per il download è: 971719

Aspetto prima un tuo commento per sto stamp...e poi eseguo le istruzioni che mi hai dato per il vundo!

Oltre al vundo c'è anke un agent e un virus (il virus ha il nome virut)

Grazie come smepre angelique,steve e luca!!

Angelique santa subito!!Per la enorme pazienza che ha con me )

[$angelique!?]

fai girare i tool che ti ho indicato sopra... più questo:

Win32/Virut, per rimuoverlo esiste un tool di AVG

http://www.grisoft.com/doc/34/it/crp/0/ndi/67762

prova a seguire le indicazioni descritte...

infine fai questa operazione...

Scarica e decomprimi GMER sul desktop

- con un doppio click avvia il file gmer.exe

- Portati nel tab Rootkit e clicca su "Scan"

- A fine scansione clicca su "Copy", apri il block notes di windows,e mediante il tasto destro del mouse seleziona incolla..

- A questo punto salva il log dove meglio ritieni

-Torna a gmer,portati nel tab Autostart questa volta ,spunta la casella "Show All" e clicca di nuovo su Scan

- Al termine della scansione clicca su Copy , e ripeti le stesse operazioni di prima per salvarlo

Copia i due log in un post di risposta

Apri il prompt dos (start / esegui / cmd)

digita: cd C:\Windows\System32 -->> dai l'invio

digita dir > c:\files.txt -->> dai l'invio

Postami il contenuto del files.txt che troverai in C:\

vediamo cosa ne pensa il nostro Steve75

[salpic80]

Il tool di AVG non riesco a farlo girare....oggi pomeriggio cercherò di capire il perchè...intanto ho fatto tutte le altre operazioni e ti posto i log!

P.S. il tool per vundo nn riesce a rilevare il trojan

Il file files.txt non me lo fa inserire perchè troppo grande!106kb provo con il link

GMERautostart.txt

GMERrootkit.txt

hijackthis.log

Modificato January 4, 2008 da salpic

[salpic80]

Gmer l'ho fatto giare anke in modalità normale e vi posto i log

autostartGmer2.txt

rootkitGmer2.txt

[salpic80]

ecco il link del file che mi avevi kiesto c:\files.txt

http://www.wikifortio.com/841219/filesSystem32.txt

Visto che i percorsi me li aveva trovato Aware...se elimino quei file di registro infetti io manualmente, cosa accade?

adaware.log

Modificato January 4, 2008 da salpic

[salpic80]

Ho una domanda..forse molto stupida ..ma nn ci riesco a nn farla XD

Anche se nn ho la licenza di Aware..mi ha indicato con la scansione dove si trova sto trojan vundo nei registri.Se utilizzo avenger e li elimino manualmente?

[Steve75]

ciao

Ma di quale Adware parli?

Comunque comincia con il disinstallare AdwareAlert ed elimina ogni sua traccia....

(ricordati che piu preciso sarai nel darci le info e meno tempo impiegheremo a cercare di risolvere il problema)

poi proviamo cosi;

EDIT__ elimino il tool che hai già usato...

* Poi scarica clean

http://www.malekal.com/download/clean.zip

- Decomprimilo

- Apri la cartella Clean e fai un doppio click su clean.cmd.

- Si apre una finestra nera, scegli 1 e conferma

- Attendere...

- Posta il log che verrà creato in C:\ dal nome rapport_clean.txt

[salpic80]

Ciao!

Scusami se sono stato poco preciso

è che mi stressa quando ho un porblema sul pc,visto che lo avevo formattato solo un mese e mezzo fà Spero che d'ora in poi sarò + chiaro.

Cmq..l'adware che dicevo era proprio quello che mi hai detto di eliminare.

Ti allego il rapporto.

Ringrazio tutti voi che siete molto disponibili e che state perdendo tempo col mio problema.

rapport_clean.txt

[Steve75]

allora disinstallalo al piu presto ed elimina ogni sua traccia

poi dettagliaci il piu possibile che problemi riscontri

e per cortesia EVITA il linguaggio sms (grazie)