Impossibile installare un qualunque software per la sicurezza

[Alexsandra]

@Luca

questo caso è una tua "vecchia conoscenza" vero Luca.

mi ricordo che in altro forum era proibito scrivere la parola HijackThis che si doveva ricominciare da capo

[fakko]

@ Fakko
Ciao, devi intervenire sul registro di sistema. Segui scrupolosamente le seguenti indicazioni:

scarica Avgpfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
e tienilo da parte.

Poi, apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare la voce seguente:
UserInit= c:\windows\system32\userinit.exe,"c:\windows\toshi ba-helper.exe","c:\windows\asusmon.exe,
doppio click sulla voce,
nella finestra Modifica stringa che ti appare
nello spazio bianco troverai:
c:\windows\system32\userinit.exe,c:\windows\toshib a-helper.exe,c:\windows\asusmon.exe,
seleziona
c:\windows\toshiba-helper.exe,c:\windows\asusmon.exe, (virgola compresa)
in modo da lasciare nello spazio solamente:
c:\windows\system32\userinit.exe, (virgola compresa)
premi canc>OK
(ATTENZIONE a non cancellare userinit.exe, il computer non si riavvierà).

Chiudi il registro.

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Con AVgpfix, elimina i seguenti file:
c:\windows\toshiba-helper.exe
(basta lanciarlo, premere Start, individuare il file e premere OK)
Poi elimini con lo stesso metodo:
c:\windows\asusmon.exe

Prova poi a rieseguire hijackthis.

ciao Luke57

voglio ringraziarti in anticipo (non ho ancora eseguito le

tue istruzioni), perché secondo me hai centrato il

problema:sono settimane che cerco di eliminare le due

voci che hai citato, ossia "toshiba helpher"

e "asusmon"(che mi hanno sempre acceso una lampadina

di allarme nel cervellino),

ma non sono mai riuscito a localizzare dove potessero

essere nascoste, nè come eliminarle.

ti/vi/ aggiornerò appena eseguito il tuo consiglio.

p.s. dalla pagina 2 di questo forum, consigliavi a pervers di

scaricare Gmer per un rootkit che non fa installare gli

antivirus: ho provato a scaricarlo, ma mi fa le stesse cose

di hijackthis...

a dopo..

[fakko]

per Luke 57:

fatto per quanto riguarda il regedit e la visualizzazione file,

ma, sia powerarchiver che winzip mi dicono che il file

avgpfix è corrotto o non valido come formato archivio:

esiste un altro link per scaricarlo?

o un'alternativa?

thank

[Luke57]

Ciao, a me funziona perfettamente, proviamo con avenger.

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

files to delete:
c:\windows\toshiba-helper.exe
c:\windows\asusmon.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

[fakko]

ciao Luke

ho fatto tutto quel che hai detto e stavolta sono riuscito ad

installare ed eseguire avenger: Asusmon dovrebbe essere

dipartito, ma Toshiba helpher é sempre là (ho visto anche

in regedit).

cos'altro potrei fare?

ti posto il log che ho dovuto rinominare perché non si

apriva.

thank

[Luke57]

Ciao, ma non riesci a utilizzare Avgpfix?
Riprova a togliere la voce nel registro, poi scarica killbox da qui:
http://www.killbox.net/downloads/KillBox.exe
lo metti sul desktop, chiudi tutte le applicazioni, lo avvii, nella finestra che si apre scegli l'opzione "Delete on reboot", in Fullpath ci inserisci:
c:\windows\toshiba-helpher.exe
premi la crocetta bianca su sfondo rosso in alto a destra (il computer si riavvier&#224.

[fakko]

@ luke57

sembra che killbox abbia fatto il suo dovere, ti posto il log

(nel regedit non c'era neanche il toshiba-helper).

inoltre sono riuscito ad avviare anche hijackthis di cui ti

mando il log aggiornato.

thank per l'impegno, ma credo che dovresti farmi un'altro

favore (mai per comando): mi decifri il log di hijackthis e

mi dai qualche altra dritta?

rithank

p.s. per avgpfix il problema resta lo stesso: non me lo scompatta!

[Luke57]

Ciao, apri hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [sysawfuj] "c:\windows\system32\sysawfuj.exe"

premi fix checked.

Con killbox, cerchi ed elimini il file:
c:\windows\system32\sysawfuj.exe
Inoltre, rifai un nuovo log di hijackthis e controlla se la voce r3 si è riformata.

Il tool della prevx è stato negativo per linkoptimizer?

[fakko]

ciao, ho fatto come hai detto, e sembra tutto ok, la voce r3 non si é riformata.
grazie.
però, anche se in regedit non risulta più, il toshiba-helpher.exe é ancora nella cartella di windows e non si cancella.
non sembra attivo, in taskmanager non c'é, ma perché resta sempre li?

e..scusa la mia ignoranza, ma questa non l'ho capita:
Il tool della prevx è stato negativo per linkoptimizer?

aspetto

[Luke57]

Ciao, l'ho chiesto perchè in altre occasioni ho constatato la presenza del trojan in aggiunta al file presente nel valore di registro userinit.
Con Avgpfix il file si cancellerebbe facilmente, riprova comunque con avenger inserendo questo script:

files to delete:
c:\windows\toshiba-helpher.exe

[fakko]

ciao, ho riprovato, ma come puoi vedere dal log che ti allego, é fatica sprecata.
non é che puoi allegarmi avgpfix, così provo a vedere se stavolta me lo scompatta?
ovvio che deve essere la versione tua che funziona, perché sul link che mi hai consigliato ci sono andato a scaricarla 4 volte, ma mi dice sempre che il formato non é un archivio valido

[Luke57]

Ciao, non l'ho più nel computer e il sito, per adesso, è irraggiungibile,.
Proviamo con Icesword. scarica questo file (Icesword)
http://downloads.andymanchesta.com/Tools/IceSword1.zip
decomprimi l'archivio,avvia il file icesword.exe,sotto clicca sul pulsante "File" dovresti visualizzare nel disco C:
C:\windows\toshiba-helpher.exe
destro del mouse e scegli "Delete".

[fakko]

ciao, certo che sono proprio baciato dalla fortuna!!!!!!!

ho scaricato icesword, ma non me lo scompattava, proprio

come avgpfix, quindi ho installato zipgenius, che é riuscito

a scompattarlo..e..SORPRESA: dentro c'era solo un

file .chm che mi riportava alla risoluzione dei problemi in

CINESE(o giapponese).

poi ho cercato di scompattare (con zipgenius) avgpfix,

ma lo avevo cestinato e cancellato, e, come dici tu

il sito per scaricarlo é tuttora irraggiungibile. i che fortuna!

un aiutino? thank

p.s. o dò di pazzo....

aggiungo ora alle 19:00, che sono riuscito a RIscaricare avgpfix, ma anche zipgenius mi dice che non é un archivio valido...

[Luke57]

Ciao, adesso il link per Avgpfix è attivo, prova a scaricarlo.

[fakko]

scusa luke, ma forse non hai letto l'aggiornamento del post.

in ogni caso, l'ho scaricato, ma anche con zipgenius non

me lo scompatta! ho scaricato icesword dal tuo link e

anche da un link che ho trovato girando su google, ma il

risultato é sempre lo stesso : file archivio non valido!

senza dire che li ho rinominati come .rar, .exe, ecc.. ma

senza risultati...

sono alla frutta....