Visualizza versione completa : [XP] infetto (che cosa??? mettere titoli decenti plz)
smayor
17-08-2006, 11.19.28
ebbene si, nonostante avast sempre acceso e kerio personal firewall, oggi accendo il pc e noto un lentissimo caricamento del menu di avvio di xp, mi ritrovo il desktop senza pulsante start e senza la barra ad esso collegata. appena faccio qualcosa scatta l'errore di sistema RPC e scatta il riavvio
provato in modalità provv. il nuovo removal tool di microsoft senza successo. scansione aggiornata di avast mi ha dato lo stesso risultato.
in modalità provvisoria provato ad installare una patch e subito è partito l'errore. di sicuro è un worm ma non so come fare. qualcuno mi da una mano? grazie in anticipo
oltre alla scomparsa della barra delle applicazioni mi ha cancellato il tema di winxp e mi ha messo quella stile classico. aiutatemi!!!
inoltre non riesco a copiare file!!il tasto incolla è bloccato
smayor
17-08-2006, 14.54.31
ragazzi nessuno riesce a darmi una mano? non voglio formattare!
altra cosa che ho notato è che non riesco a copiare file da hd a cd e viceversa. inoltre su servizi mi dà schermata bianca...datemi una mano vi prego.
vi dico che di solito ho sempre apero emule e lascio il pc acceso tutto il giorno con avast e kerio firewall...ma non c'è un removal aggiornato?
se provo a installare ad esempio gli aggiornamenti di microsof mi parte l'errore e fa riavviare il sistema!
Perusar
17-08-2006, 15.13.02
Anticipo i più esperti chiedendoti di postare un log di hijackthis, tanto per cominciare ;)
smayor
17-08-2006, 15.39.59
Anticipo i più esperti chiedendoti di postare un log di hijackthis, tanto per cominciare ;)
allora devo scriverli a mano perchè facendo partire il prog da cd poi non riesco a salvare file da nessuna parte .
running process
c:\windows\system32smss.exe
sempre in sys32-> winlogon.exe,services.exe,Isass.exe,svchost.exe
c:\windows\Explorer.exe
R1-HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1-HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Setting,PorxyOverride = localhost
questo è tutto quello che è rimasto il resto ho tolto tutto
sul menu dei servizi in modalita provv ho avviato solo utilita avvio processo DCOM
sono disperato.....
Perusar
17-08-2006, 15.50.26
questo è tutto quello che è rimasto il resto ho tolto tutto
:eek: :crying: come "ho tolto tutto"?
comunque almeno con il log puoi fare copia incolla?
smayor
17-08-2006, 15.57.53
ho tolto tutto il resto sul serio. resta solo quello. il log posso copiarlo su altre cartelle dell'hd ma non posso metterlo in penna usb (non me la riconosce piu) e ne su cd per portarla sul portatile!
Perusar
17-08-2006, 16.28.32
Guarda, se hai fixato tutte le voci elencate dal log penso che sia un miracolo che il SO riesca anche a partire. Prova a tentare un ripristino configurazione di sistema
Lancio una richiesta di aiuto ulteriore:
Moderatoriiiii...:(
smayor
17-08-2006, 16.29.12
allora entrando in servizi è tutto disabilitato tranne notifica eventi,rpc e utilita avvio processo server DCOM su automatico.
su manuale ho rpc locator,servizi crittografia e windows installer.
se provo ad avviare altri servizi mi da "Configuration manager :il servizio Plug & play o il servizio richiesto non è disponibile. ho provato ad attivare il servizio plug&play ma mi da la stessa cosa
smayor
17-08-2006, 16.45.08
ho sempre tenuto il ripristino sistema disattivato.....ma non posso riattivare a mano i servizi? da dove comincio?
smayor
17-08-2006, 18.05.46
allora tramite msconfig ho riattivato i servizi.il pc resta sempre lentissimo in avvio e chiusura di windows. ora i temi e la barra applicazioni c'è. ancora non posso spostare file e incollare da cd o penna usb. se provo a far partire qualche exe parte l'errore rpc e si riavvia ancora.
smayor
17-08-2006, 23.24.48
non sono giunto a nulla. a internet non mi collego. i file non li copio. mi serve qualche qualche eseguibile o da dos o dal safe mode per poter togliere questo qualcosa che mi ma riavviare il pc... aiutatemi help help.
al limite cè la possibilità di collegare esternamente l'hd del mio pc di casa sul mio notebook dove potrei controllarlo per bene? c'è una soluzione economica tipo usb o altro? fatemi sapere grazie
smayor
18-08-2006, 09.58.48
nessuno ??
AMIGA
18-08-2006, 16.25.59
Ultimamente mi è capitato di ripulire un PC con quei ed altri problemi,sia norton che avast non vedevano i virus.
Ho risolto partendo con un cd Bootabile BartPE,facendo pulizia dei files sospetti annitati in C e lelle cartelle di sistema.
Poi riavviato in provvisoria ho disabilitato il ripristino configurazione di sistema (sono pure li)ed ho installato NOD32 (unico a vedere i virus)
Nel mio caso erano stati infettati tutti gli eseguibili in uso compresi quelli di sistema.
Una volta salvati i dati non colpiti o dovuto comunque formattare,visto che NOD32 aveva cancellato i files infettati compresi quelli di sistema.
Quindi attenzione a non conservare i files infettati altrimenti si ricomincia.
Carlo
smayor
18-08-2006, 19.14.03
norton mi ha trovato un Bloodhound.Overpacket. lo ha cancellato ma pare si ricopi da solo. la protezione continua a bloccarlo. come posso fare?
smayor
18-08-2006, 19.19.49
sul notebook mi ha disabilitato i programmi di avvio mi viene fuori disable startup file...sono disperato.. inoltre è tornata la barra delle applicazioni grigia,stile win95 e non piu come xp blu!!!!! :crying:
AMIGA
18-08-2006, 19.23.58
Sicuramente è presente in più copie,alcune volte sotto altro nome,dovresti prendere nota dei files interessati, partire o con CDBootabile come sopra,oppure
con floppy d'avvio specifico NT (se hai questo filesystem).
Se non hai tutto questo puoi collegare l'hardisk ad altra macchina o ad un contenitore USB.
Questo naturalmente perchè molte volte sono invisibili al sistema in uso.
Consiglio utile e quello di installare due sistemi operativi su partizioni diverse,in modo che uno possa curare l'altro quando infettati.
In ogni modo va sempre rinstallato l'antivirus, Avast e ottimo perchè alla partenza del sistema da dos fa una buona pulizia e NOD32 come dicevo fa ottima guardia dopo.
Ciao Carlo
smayor
18-08-2006, 21.59.54
Amiga, dopo strenua lotta di due giorni ho risolto il problema su notebook mentre sul pc di casa mi sono arreso e dopo aver collegato l'hd esternamente al notebook e controllato con nod il quale non mi ha trovato niente, ho formattato. per quando sarà operativo il computer, mi consigli avast e kerio come firewall? ce li avevo tutti e due anche prima dell'infezione ma non hanno fatto il loro lavoro se sono arrivato a questo punto. il mio guaio è che tengo il pc acceso anche tutto il giorno con emule e quindi sono un facile bersaglio...che altri metodi posso attuare per stare più al sicuro da qui in avanti?
smayor
18-08-2006, 22.09.34
altra cosa. mi dici una volta che ho installato il sistema operativo e tutti i prog necessari, se è possibile fare un dvd immagine o qualcosa di simile in modo da poter ripristinare tutto se necessario in futuro? grazie in anticipo
borgata
19-08-2006, 15.07.52
Certo, è possibile, con software come norton ghost o acronis true image, per citare i più conosciuti.
smayor
20-08-2006, 17.19.34
ora ho formattato e reinstallato tutto. vi posto la lista presa con HijackThis v1.99.1.
Scan saved at 17.18.32, on 20/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
C:\Programmi\Trust\Trust 235A USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\LupinIII\Desktop\hijackthis\HijackThis.ex e
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust 235A USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
ora ho notato che all'avvio carica antivirus e un altra applicazione poi si blocca per qualche secondo e poi carica il resto. Secondo voi cosa c'è da togliere di superfluo?
vBulletin® v3.8.6, Copyright ©2000-2024, Jelsoft Enterprises Ltd.