Accedi per seguire   
Seguaci 0
lillocry85

Debugger Di Explorer

11 messaggi in questa discussione

Il pc di un mio amico è in una condizione a dir poco pietosa...

Ha un dialer, ma purtroppo non riesco ad eseguire scansioni con alcun programma perchè c'è il processo debugger di explorer il cui nome è: cjqefkwp.gif.

Non essendo la prima volta che mi trovo di fronte questo tipo di problema, sono andato nel registro ed ho eliminato la chiave debugger della seguente voce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Dopo aver eliminato la chiave, però, al riavvio successivo, la chiave si ricrea esattamente come prima.

Leggendo in un topic ho anche ripulito la chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

lasciando solo il file userinit, mentre ho cancellato un file nominato services.exe.

Nonostante abbia cancellato anche questa chiave non ho attenuto alcun risultato la chiave del debugger si rigenera automaticamente.

Come posso fare?????

Grazie!!!! :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nel frattempo ho trovato anche il file service32.exe e l'ho eliminato seguendo la guida di kuma!!!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, devi eliminare, in primis, la chiave explorer.exe per intero (se fa resistenza, click tasto dx su di essa>autorizzazoni>avanzate>proprietario, imposti la proprietà all'utente del compute>rmetti la spunta a controllo completo e in lettura>OK) , poi il file cjqefkwp.gif.

Per l'altra chiave devi poi eliminare anche il file services.exe.

Allo scopo scarica AVGPfix da qui (è un cleaner puro):

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Con Avgpfix elimini il file:

cc:\windows\services.exe

(lo lanci, premi start, individui il file

premi OK), po l'altro;

C;\windows\system32\cjqefkwp.gif

(controlla l'esatta ubicazione dei file da eliminare).

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto quello che mi hai detto, però la chiave del debugger si è generata di nuovo e dato che il file è stato cancellato adesso non si avvia più explorer.

Dovrei riuscire a capire cosa mi genera di nuovo la chiave ad ogni riavvio e per di più adesso non riesco a vedere più il desktop!!!!!!!!!!

Aiutatemi!!!!!

Grazie :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono riuscito ad eseguire hijackthis dal task manager...questo è il log....è evidente che qualcosa non va!!!!!!

Logfile of HijackThis v1.99.1

Scan saved at 14.16.05, on 15/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\services.exe

C:\Acer\eManager\anbmServ.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\regedit.exe

F:\Programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomepage.capitan-trash.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.alice.it/search/home/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice.it

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomepage.capitan-trash.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mouseges.dll

O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\system32\apparat.dll (file missing)

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Michele\115181743.dll

O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: CIEIntegrator Object - {7A7F202E-AF91-4889-9DD5-2FE241085CC1} - C:\Programmi\VirusDifesa\Tools\pg.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [soundlibs] C:\WINDOWS\soundlib.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it

O15 - Trusted Zone: www.1987324.com

O15 - Trusted Zone: www.adslconnection.name

O15 - Trusted Zone: www.otherchance.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.sgrunt.biz

O15 - Trusted Zone: www.softlab.name

O15 - Trusted Zone: www.superspots.biz

O15 - Trusted Zone: www.xbeta69.com

O15 - Trusted Zone: www.xxx-content.name

O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.otherchance.com/dialers/1/AUTO_1N.exe

O16 - DPF: {31F11DFA-3A23-4BC0-89B4-2FB3FB43525B} (Pro_Web016.ProWeb016) - http://sessogratis.net/ProWeb016.CAB

O16 - DPF: {77BC8812-C092-462C-8D03-39B81279C07B} - http://imxndm7rj.com/cc9cc114af3c9a96e838/.../LiveChicks.cab

O16 - DPF: {7FEC7018-55E4-4C67-9ADA-5CBADAA89215} - http://lidaxuqpxw.com/0529f04ec946d2a3134c...timateToons.cab

O16 - DPF: {81A6B928-575D-4156-A9E0-170BD316D4AE} - http://wixlvh9q6gn.com/21cb17db82a5189d31ba/fffai/oj.cab

O16 - DPF: {BC16C4E1-99C5-4E4E-ACDF-F3C77E0ABAEB} - http://nuraidtleojg.com/8c8d463e945770e934...d/TurboSite.cab

O16 - DPF: {C8EBA4C7-CE82-4263-8CC3-7882DFFF2B44} - http://tczcsuvffor6.com/0886269fc71befccc5...i/CoolToons.cab

O16 - DPF: {D4F6D26C-601C-4733-AD12-4A970F3DD5B9} - http://tczcsuvffor6.com/14923ced81f4f26d41...i/FullAdult.cab

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1058625.exe

O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} - http://dinet.info/e/us059/e.cab

O16 - DPF: {E9465577-23EC-4DD8-8B37-9AD05231FD02} - http://imxndm7rj.com/689c93585764618bcf6e/...EnterAccess.cab

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://deposito.hostance.net/dialer/3993-23.exe

O20 - Winlogon Notify: cxgiwnwqkuie - C:\WINDOWS\system32\cxgiwnwqkuie.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: xygdrxhlqmum - C:\WINDOWS\system32\xygdrxhlqmum.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

In attesa di una vostra risposta, sono riuscito a far ripartire windows con il desktop (anche se non so come :P )!!!!!

Sono riuscito ad installare virit ed a fare due scansioni....nel frattempo ho eliminato anche il file soundlib.exe perchè da quanto ho capito era poco di buono :P:P:P !!!!!

Vi allego il log di virit, che ha eliminato nella prima scansioni molto file infetti, ma qualcosa era ancora rimasto nella scansione successiva.

Purtroppo, però, ancora non riesco ad avviare hijackthis :) !!!!!!!

logvirit.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono riuscito ad avviare Hijackthis.....posto il log nella sezione giusta!!!!!

Per i mod....potete chiudere questa conversazione!!!!!

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Mi scuso per aver aperto un'altra discussione sullo stesso problema, ma pensavo che continuare qui era off-topic!!!!!

Comunque vi allego il log di Hijackthis, nella speranza che qualcuno di aiuti.....grazie!!!!

:)

hijackthis.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Lillo85,

Script per riparare la trusted zone (Del Domains)

esegui lo SCRIPT per riparare la trusted (dopo averlo decompresso, click con il tasto destro sul file e seleziona >> INSTALLA)

capt0018gl.jpg

Avvia il sistema in Modalità Provvisoria

http://www.wininizio.it/forum/index.php?showtopic=12722

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomepage.capitan-trash.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomepage.capitan-trash.com/

R3 - Default URLSearchHook is missing

O16 - DPF: {77BC8812-C092-462C-8D03-39B81279C07B} - http://imxndm7rj.com/cc9cc114af3c9a96e838/.../LiveChicks.cab

O16 - DPF: {7FEC7018-55E4-4C67-9ADA-5CBADAA89215} - http://lidaxuqpxw.com/0529f04ec946d2a3134c...timateToons.cab

O16 - DPF: {81A6B928-575D-4156-A9E0-170BD316D4AE} - http://wixlvh9q6gn.com/21cb17db82a5189d31ba/fffai/oj.cab

O16 - DPF: {BC16C4E1-99C5-4E4E-ACDF-F3C77E0ABAEB} - http://nuraidtleojg.com/8c8d463e945770e934...d/TurboSite.cab

O16 - DPF: {C8EBA4C7-CE82-4263-8CC3-7882DFFF2B44} - http://tczcsuvffor6.com/0886269fc71befccc5...i/CoolToons.cab

O16 - DPF: {D4F6D26C-601C-4733-AD12-4A970F3DD5B9} - http://tczcsuvffor6.com/14923ced81f4f26d41...i/FullAdult.cab

O16 - DPF: {E9465577-23EC-4DD8-8B37-9AD05231FD02} - http://imxndm7rj.com/689c93585764618bcf6e/...EnterAccess.cab

Torna in modalità normale...

Esegui una scansione online con Kaspersky ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0