Telefonino.net network
  
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy
Ricarica questa pagina e1xplorer non se ne vuole andare
REGISTRATI FAQ Agenda

Notices

Rispondi
 
Strumenti discussione
Vecchio 04-08-2006, 21.47.08   #1
taochi
Newbie
 
Registrato: 04-08-2006
Messaggi: 6
taochi promette bene
e1xplorer non se ne vuole andare
Non riesco a levare e1xplorer, quello che fa accedere a www.1987324.com?301.

Vi riporto intanto il log

Logfile of HijackThis v1.99.1
Scan saved at 20.43.55, on 04/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\Suono\SONICS~1\SsAAD.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Internet\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Internet\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Internet\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {410A8B3C-7CCB-40E8-8B11-28B099E5C488} (Trend Micro Security Services Control) - http://tmss.trendmicro.com/Dashboard...MSSReportW.CAB
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

Mi è stato detto che la riga incriminata è
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WIND OWS\SERVICES.EXE

Ho provato ad andare nel registro e seguire la procedura:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, doppio click su tale cartella e individui
Userinit, doppio click sulla voce e nella finestra Modifica stringa nello spazio apparirà la scritta:
C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVI CES.EXE

Ho provato pure in modalità provvisoria, ma incredibilmente una volta cancellata la stringa, do OK, poi faccio aggiorna e ritorna subito come prima!!!

Ho provato vari software (Spybot e lavasoft adaware, e anche Smitfraudfix) ma niente.
Aiutatemi!!!!!!!
taochi non è collegato   Rispondi citando
Vecchio 04-08-2006, 22.21.20   #2
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Prova con il trial di ewido 4.0 o con il trial di Spysweeper 5.0
Giorgius non è collegato   Rispondi citando
Vecchio 05-08-2006, 01.18.05   #3
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
ma operi in modalità provvisoria??? quel log manca di parecchia roba

e1splorer è come il prezzemolo.. ma non difficile da togliere...

segui il consiglio di Giorgius se vuoi risolvere rapidamente.. altrimenti segui queste procedure:

http://www.wintricks.it/faq/sicurezza_web.html

http://www.wintricks.it/manuali/tools_rapidi.html

ricordati di lavorare in modalità provvisoria, di svuotare tutti i file temporanei, nel dubbio rimuovili a mano, e1xplorer copia dei DIALER sia in DPF che in SYSTEM32, assicurati che in DPF non ci sia nulla di anomalo, ma non usare l'explorer di windows per guardare dentro.. ma usa winrar o total commander (meglio winrar), se non ricordo male crea ripetute copie di se nel menù avvio e nei preferiti.. si inserisce anche nella barra avvio veloce...

serve solo un pò di pazienza, ma non è un problema rimuoverlo
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 05-08-2006, 09.13.39   #4
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Oltre alla riga devi cancellare fisicamente il file C:\WINDOWS\SERVICES.EXE
altrimenti non risolvi.
Lo fai dalla modalità provvisoria o aiutandoti con delete doctor e riavviando subito il pc.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 05-08-2006, 13.01.56   #5
taochi
Newbie
 
Registrato: 04-08-2006
Messaggi: 6
taochi promette bene
Dunque ho fatto uno scanning completo con ewido. Ecco il log
+ Scan result:
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP34\A0005577.exe -> Dialer.Archiviosex.d : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP36\A0005655.exe -> Dialer.Archiviosex.d : No action taken.
C:\WINDOWS\datong.exe -> Dialer.PlayGames.l : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001474.exe -> Dropper.Delf.uy : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001737.exe -> Dropper.Delf.uy : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP42\A0006122.exe -> Dropper.Small.aqy : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006615.exe -> Dropper.Small.aqy : No action taken.
C:\WINDOWS\hosts -> Trojan.Qhost.fj : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006649.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006684.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006733.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006734.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006735.exe -> Trojan.Small : No action taken.
C:\WINDOWS\svchost32.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001394.dll -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001400.dll -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001465.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001471.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001494.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001500.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP12\A0001506.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001534.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001545.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001557.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001564.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001570.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001587.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001597.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001619.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001626.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001632.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001670.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001676.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001688.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001710.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001716.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001734.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP13\A0001742.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP14\A0001792.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP15\A0001824.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP15\A0002824.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP15\A0002830.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP15\A0002847.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP16\A0002885.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP17\A0002930.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP18\A0002964.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP18\A0003964.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP18\A0003989.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP19\A0004046.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP19\A0004075.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP19\A0005075.dll -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP21\A0005125.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP28\A0005162.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP28\A0005212.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP34\A0005595.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP35\A0005619.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP36\A0005699.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP36\A0005750.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP37\A0005796.DLL -> Trojan.Small.it : No action taken.
taochi non è collegato   Rispondi citando
Vecchio 05-08-2006, 13.02.22   #6
taochi
Newbie
 
Registrato: 04-08-2006
Messaggi: 6
taochi promette bene
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP38\A0005826.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP38\A0005848.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP38\A0005857.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP39\A0005871.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP39\A0005877.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP39\A0005883.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP40\A0005965.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP41\A0006028.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP42\A0006090.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP43\A0006142.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP44\A0006200.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP45\A0006235.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP46\A0006295.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP47\A0006335.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP47\A0006375.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP47\A0006402.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP48\A0006425.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP49\A0006462.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP50\A0006505.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006552.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006638.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006666.dll -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006674.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP51\A0006692.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006702.dll -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006707.DLL -> Trojan.Small.it : No action taken.
C:\System Volume Information\_restore{6066A936-F7BD-47BB-B70F-F01851C0B79B}\RP52\A0006713.DLL -> Trojan.Small.it : No action taken.
C:\WINDOWS\__delete_on_reboot__s_e_r_v_i_c_e_s_._d _l_l_ -> Trojan.Small.it : No action taken.
E:\Softwares\service32.exe.dap -> Trojan.Small.it : No action taken.
[1092] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1476] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1552] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1608] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1636] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[500] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
::Report end

Quota:
Oltre alla riga devi cancellare fisicamente il file C:\WINDOWS\SERVICES.EXE
Già cercato. Non c'è tale file
Cosa ne dite del log?
volevo precisare che durante la pulizia sono venuti fuori una serie di files messi in quarantina, TRANNE UNO CHE MI HA DATO IL MESSAGGIO CHE NON ERA IN GRADO DI FARLO. Ma immagino che dal log voi capiate tutto.
Grazie
taochi non è collegato   Rispondi citando
Vecchio 05-08-2006, 13.09.54   #7
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Quota:
Inviato da taochi
C:\WINDOWS\__delete_on_reboot__s_e_r_v_i_c_e_s_._d _l_l_ -> Trojan.Small.it : No action taken.
E:\Softwares\service32.exe.dap -> Trojan.Small.it : No action taken.
[1092] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1476] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1552] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1608] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[1636] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
[500] C:\WINDOWS\services.dll -> Trojan.Small.it : No action taken.
Intanto disabilita il ripristino della configurazione e riavvia il pc in modo che ti cancelli tutti i virus a suo interno.

Guardando il log dovrebbe averti programmato la cancellazione della dll C:\WINDOWS\services.dll al primo riavvio del pc
Controlla che deve sparire anche questo file
E:\Softwares\service32.exe.dap
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 06-08-2006, 12.55.34   #8
taochi
Newbie
 
Registrato: 04-08-2006
Messaggi: 6
taochi promette bene
Dunque, ho disabilitato il ripristino configurazione di sistema, riavviato e rifatto uno scanning con Ewido, il log è diventato il seguente:

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 10.19.29 06/08/2006

+ Scan result:



C:\WINDOWS\svchost32.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\svchost64.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\system32\drivers\svchost64.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\system32\t32.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\system32\t64.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\__delete_on_reboot__s_e_r_v_i_c_e_s_._d _l_l_ -> Trojan.Small.it : Cleaned with backup (quarantined).


::Report end

Riavviato di nuovo. Però quando riavvio Ewido mi continua a dare subito il messaggio di allerta per C:\WINDOWS\services.dll. Tra l'altro ho trovato con KillBox C:\WINDOWS\SERVICE.EXE. Ho provato a cancellarlo ma mi fa riavviare il sistema automaticamente, ed al riavvio la situazione torna come prima.
Cosa devo fare adesso?
taochi non è collegato   Rispondi citando
Vecchio 06-08-2006, 13.21.34   #9
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Probabile che il tuo Windows aveva già un'infezione nel sistema del Restore prima di questa mondezza...

Prova con SpySweeper Trial disabilitando prima il sensore software di Ewido per verificare se quest'altro antispyware riconosca altre anomalie all'interno del registro di Windows e magari le sposti in quarantena.
http://www.webroot.com/shoppingcart/...T02A&tocheck=1
Giorgius non è collegato   Rispondi citando
Vecchio 06-08-2006, 14.34.11   #10
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da taochi
Dunque, ho disabilitato il ripristino configurazione di sistema, riavviato e rifatto uno scanning con Ewido, il log è diventato il seguente:
..cut...

Riavviato di nuovo. Però quando riavvio Ewido mi continua a dare subito il messaggio di allerta per C:\WINDOWS\services.dll. Tra l'altro ho trovato con KillBox C:\WINDOWS\SERVICE.EXE. Ho provato a cancellarlo ma mi fa riavviare il sistema automaticamente, ed al riavvio la situazione torna come prima.
Cosa devo fare adesso?

ma riavviando in modalità provvisoria non puoi eliminarlo MANUALMENTE??

se non lo trovi, abilita la visualizzazione dei file di sistema e nascosti, sennò stiamo qui fino a natale
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 07-08-2006, 10.12.48   #11
taochi
Newbie
 
Registrato: 04-08-2006
Messaggi: 6
taochi promette bene
Allora, vediamo di essere chiari onde evitare inutili consigli:

Quota:
ma riavviando in modalità provvisoria non puoi eliminarlo MANUALMENTE??
Se leggevi ho già detto che non riesco ad eliminarlo. SERVICE.EXE, così come gli altri files infettanti si creano automaticamente quando si lavora in windows MODALITA' NORMALE. Sono due giorni che uso Ewido e continua per tutto il giorno a mandare messaggi di allarme e a cancellare sempre i soliti files, e ciò prova che da qualche parte, penso nel registro, ci sia qualcosa che li crea ad ogni avvio di Windows. IN MODALITA' PROVVISORIA QUESTI FILES NON CI SONO, NON SI CREANO EVIDENTEMENTE. SPERO SIA CHIARO UNA VOLTA PER TUTTE.

Nel post inziale dissi già che secondo me il problema era qui

Mi è stato detto che la riga incriminata è
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WIND OWS\SERVICES.EXE

Ho provato ad andare nel registro e seguire la procedura:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, doppio click su tale cartella e individui
Userinit, doppio click sulla voce e nella finestra Modifica stringa nello spazio apparirà la scritta:
C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVI CES.EXE

Ho provato pure in modalità provvisoria, ma incredibilmente una volta cancellata la stringa, do OK, poi faccio aggiorna e ritorna subito come prima!!!

Non sono un genio del registro, ma Winlogon penso che riguardi l'avvio di windows. Perchè anche in modalità provvisoria non riesco a cancellare tale stringa?
taochi non è collegato   Rispondi citando
Rispondi

« Discussione precedente | Prossima discussione »

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF
Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Indirizzo web che non se ne vuole andare rmb112 Internet e Reti locali 3 17-10-2006 00.57.04
USA: Un kit per andare a olio fritto e il pieno si fa gratis in rosticceria Giorgius Auto Moto HiFi 6 18-09-2006 01.00.07
windows media player vuole fare aggiornare pericolosi! mimmo77 Software applicativo 4 20-06-2006 00.25.19
WiFi adHoc, non vuole proprio andare! Help! nicfury Internet e Reti locali 8 30-06-2005 15.58.21
[FEDORA] 2 - MB che non vuole sistemi operativi tranne il 98 [OK] Semi.genius Linux e altri Sistemi Operativi 16 18-07-2004 22.19.47

Orario GMT +2. Ora sono le: 07.26.02.
Contatta staff - Homepage - Archivio - Dichiarazione di privacy - Vai in cima


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.