ecco i miei.
grazie a luke per la pazienza, in ogni caso seguirò tutte le altre discussioni del forum per trovare indizi utili!
ecco i miei.
grazie a luke per la pazienza, in ogni caso seguirò tutte le altre discussioni del forum per trovare indizi utili!
Ciao, scarica e decomprimi avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento
- Nella finestra che si aprirà "View/edit script"
- copia / incolla (Ctrl+v) lo scrip seguente:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\wintems.exe
folders to delete:
C:\Documents and Settings\Marco\Dati applicazioni\hidires
C:\WINDOWS\exefld
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
- Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes due volte
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger
Ora apri il registro di sistema (Start / Esegui / digita regedit / Ok)
Cliccando nel segno + accanto alle singole voci ti porti nella chiave;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
click su di essa e nel pannello di destra, tra gli altri valori, trova
Hldrrr
Click tasto dx del mouse e scegli elimina.
Se ci sono, con il solito metodo, elimina anche queste due chiavi, nei seguenti percorsi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun
Poi per riattivare i servizi terminati:
Apri la lista dei Servizi (Start --> Esegui --> digita SERVICES.MSC --> Ok) ed abilita, ove necessario, questi servizi disabilitati:
Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
(Per avviare un servizio, clicca con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok).
Poi da qui (per ripristinare la modalità provvisoria):
http://www.wininizio.it/forum/index....=post&id=13379
scarichi il file .zip, lo decomprimi e avvii il file.reg con doppio click.
Buongiorno a tutti...Originariamente Scritto da pasma72
è la 1° volta che scrivo in questo forum.
Ho visto che ci sono un sacco di info su questo problema abbastanza comune riguardo virus-malware-rootkit etc..che bloccano possibili azioni di difesa.
Io oggi mi sono accorto per la prima volta di avere un problema nel mio computer: non posso aprire HijackThis che mi si chiude subito, e se lo scrivo in explorer mi si chiude subito Explorer.
Ho WinXP XP Professional, SP2, e come antivirus ho Antivir. Oggi ho anche provato Bitdefender, come veniva consigliato in questa discussione, ma nada.
Poi ho seguito il link qui sopra, che mi ha fatto andare in una discussione del forum simile. Al post #9 Luke57 ha scritto:
<<
Ciao, è in giro un rootkit ostico che impedisce l'installazione degli antivirus, scarica Gmer da qui: http://www.majorgeeks.com/GMER_d5198.html
scompatta il file .zip e avvia gmer.exe.
Per entrare in Avanzate premi il tab>>>>. Poi scegli il tab Rootkit, lascia le impostazioni di default, metti la spunta alla casella ADS, fai uno Scan completo. Chiudi, prima dello scan, tutti i programmi e le applicazioni aperti.
Al termine, premi il tasto Copy e incolla il report in un foglio di testo.
Sempre con Gmer ti sposti sul tab Autostart (non spuntare la casella show all), premi Scan. Al termine dello scan, premi Copy. Incolli il report nel foglio precedentemente salvato e poi alleghi il foglio di testo in un post.
>>
ma se provo a cliccare su questo link a GMER si chiude ugualmente Explorer!
avete qualche indicazione?
adesso andrò avanti a leggere nel forum, sperando in qualcosa di buono!
ciao!
NemboKid
Ti ho già risposto nella discussione nuova che hai aperto sopra.
Luke57
Una precisazione.
Mi dici
""Poi da qui (per ripristinare la modalità provvisoria):
http://www.wininizio.it/forum/index....=post&id=13379
scarichi il file .zip, lo decomprimi e avvii il file.reg con doppio click"".
E da qui la domanda(giusto per capire e non fare le cose a vanvera); con il primo riavvio...
""- Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes due volte
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger""
...il pc parte in modalita' provvisoria? devo eseguire la procedura direttamente in mod provvisaria? o con la prima parte della procedura disabilito momentaneamente la modalità provvisoria che dovro' ripristinare dopo con il .reg??
Arrivo a casa, provo e posto il log.
Grazie di nuovo
Ultima modifica di tronco; 15-02-2007 alle 16.50.04
Ciao, sono due cose distinte, Avenger lo esegui dalla modalità normale e il sistema si riavvia in modalità normale.
Lo script per la modalità provvisoria, da inserire al termine delle procedure, reinserisce valori di registro danneggiati definitivamente dal virus la cui mancanza inibisce il riavvio in modalità provvisoria.
Esordiamo per prima cosa con la parola magica e mai stata cosi necessaria ..."grazie".
Ho seguito passo passo la tua dettagliata spiegazione e tutto si è risolto.
Non ho semplicemente trovato la stringa
HKEY_CURRENT_USER\Software\DateTime4
ma tutto sembra ok.
Ho installato correttamente due antivirus su 3 (prima non se ne parlava proprio)(Panda non l'ho ancora reinstallato ma sicuramente andrà.Ti aggiornero'.
Data la tua disponibilità nonchè competenza ne approfitto per farti un paio di altre domande:
-avenger lo posso cancellare o serve ancora(ti posto il log; è frutto del secondo riavvio, va bene uguale?)
-mi sono installato una miriade di antivus on e off line, spyware ecc.(spybot, bit defender, virit, ecc)
*Mi sapresti consigliare a tuo giudizio un qualcosa di veramente efficace?(connessione permanente e pc sempre o quasi online).
**Antivirus,spyware e firewall separati o un unico concentrato?Quali o quale?Sai farmi qualche nome?
***Avevo installato prima del danno Panda internet Security 2007 ma a nulla è servito. Valido o no?
**** Tutti gli Active scan online (Panda, BItDefender ecc) lascio installato o cestino tutto
*****CCleaner o similari vanno bene per le pulizie di registro?
Grazie di nuovo
Marco.
Ultima modifica di tronco; 15-02-2007 alle 19.27.56
Dimenticavo
Svogliando il registro mi sono trovatodiciture strame (almeno per me). Che cosa sono? le posso cancellare?
Ti allego il file
Grazie
ciao,
ho seguito la procedura ma non ho risolto il problema, proverò con più pazienza sperando di risolvere come ha fatto tronco...
allego il file di avenger:
in pratica sembra che sia stato eliminato Hldrrr ma non exefld e wintems.
sarà possibile rimuoverle in qualche modo?
grazie ancora!!!
edito:
dopo aver rifatto la procedura tutto funziona...luke grazie ancora.
se qualcuno avesse lo stesso problema segua le istruzioni per andare sul sicuro
Salve anche io non riesco più ad installare nessun antivirus! Ho windows xp!Vi lascio l'allegato hijackthis
Ciaol scarica Gmer da qui:
http://www.majorgeeks.com/GMER_d5198.html
scompatta il file .zip e avvia gmer.exe, con tutte le altre applicazioni chiuse.
Per entrare in Avanzate premi il tab>>>>. Poi scegli il tab Rootkit, spunta anche la casella ADS , fai uno Scan completo. Al termine clicca Copy e incolla il report in un file di testo.
Ritorna su Gmer, premi il tab Autostart (non spuntare la casella show all) e premi Scan. Al termine click su Copy e incolla il report nel medesimo foglio di testo.
Poi, allega il file di testo con i report in un post nel forum (se è troppo pesante, dividi i report in due file di testo).
Putroppo ti posso dare solo lo scan fatto con autostart perchè quello con rootkit non me lo vuole coppiare ne su wordpad ne sul blocco note, non capisco perchè! spero ti possa bastare!
sono riuscito a fare lo scan ma è un 1 megabite e mezzo di roba! troppo grande per postarla!!!quindi ti ho lasciato il file txt su questo linkhttp://kamikazequeer.altervista.org/majorjeeks.txt. Grazie!!!
Ultima modifica di kamikazequeer; 05-03-2007 alle 23.11.59
Ciao, scarica e decomprimi avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento
- Nella finestra che si aprirà "View/edit script"
- copia / incolla (Ctrl+v) lo scrip seguente:
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
folders to delete:
C:\Documents and Settings\Seba\Dati applicazioni\hidires
C:\WINDOWS\exefld
files to delete:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
- Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes due volte
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger
Ora apri il registro di sistema (Start / Esegui / digita regedit / Ok)
Cliccando nel segno + accanto alle singole voci ti porti nella chiave;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
click su di essa e nel pannello di destra, tra gli altri valori, trova:
german.exe
Drvsyskit
hldrrr
Click tasto dx del mouse su ogunna di esse e scegli elimina.
Se ci sono, con il solito metodo, elimina anche queste due chiavi, nei seguenti percorsi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun
Poi, se i valori suddetti sono stati eliminati, deve essere seguita questa procedura per riattivare i servizi terminati:
Apri la lista dei Servizi (Start --> Esegui --> digita SERVICES.MSC --> Ok) ed abilita, ove necessario, questi servizi disabilitati:
Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
(Per avviare un servizio, clicca con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok).
Poi da qui (per ripristinare la modalità provvisoria, inibita dal virus):
http://www.wininizio.it/forum/index....=post&id=13379
scarichi il file .zip, lo decomprimi e avvii il file.reg con doppio click.
Permessi di Scrittura
Rispondi Citando
Segnalibri