PDA

Visualizza versione completa : Aiuto! Problema con XP


newblackclown
15-09-2007, 10.22.17
Salve ragazzi, ho il pc con un po' di casini e non riesco a capire il motivo visto che ho reinstallato windows e disintallato e reinstallato tutte le componenti danneggiate.
Il computer gira bene a parte 3 grossi problemi.

Non mi si apre task manager e quando provo ad aprirlo mi si segnala questo errore: AppName: taskmgr.exe AppVer: 5.1.2600.2180 ModName: taskmgr.exe
ModVer: 5.1.2600.2180 Offset: 0000c8a8

Stessa cosa con windows istaller quando provo ad installare il softwere Java e msn messanger 8.1: AppName: bootstrap.exe AppVer: 8.1.178.0 ModName: msi.dll
ModVer: 3.1.4000.2435 Offset: 0014e452

Ho scaricato di tutto per pulire il registro e la situazione non cambia.
Da Spywareblaster a regseeker fino a CClenear, ho pensato che tutto questo sia per un virus ma AVG 7.5 e nod32 non riescono a trovarlo.
Aiutatemi :(

Semi.genius
15-09-2007, 10.26.55
bel problema... bisognerebbe capire il modulo...

Start-->Esegui-->eventvwr.exe

su Applicazioni, apri la nota del Task manager..vediamo se c'è qualche info utile..sennò dovremmo monitorare con il Process Monitor...ammesso che parte

newblackclown
15-09-2007, 10.36.29
Origine application error, id evento 1000
Applicazione che ha provocato l'errore taskmgr.exe, versione 5.1.2600.2180, modulo che ha provocato l'errore taskmgr.exe, versione 5.1.2600.2180, indirizzo errore 0x0000c8a8.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.


----


Applicazione che ha provocato l'errore bootstrap.exe, versione 8.1.178.0, modulo che ha provocato l'errore msi.dll, versione 3.1.4000.2435, indirizzo errore 0x0014e452.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

Niente di utile...vedo che sei un Fan di Naruto! :D Anche io :)

Cos'è il p..qualcosa monitor?

Semi.genius
15-09-2007, 10.44.22
il process monitor è un programma per verificare cosa avviene nel PC...che chiavi di registro vengono lette in un determinato periodo, che file ecc. utile per vedere i problemi

So che hai fatto i controlli, ma puoi postare un log di HijackThis qui per controllare?

newblackclown
15-09-2007, 10.48.47
una cosa da fantascienza, la finestra mi si chiude se googlo HijackThis, solo queste due parole e se apro il sito dall'url, qualsiasi altro sito è visitabile, non ti sto prendendo per il sedere, posso fare un video :O

www.HijackThis.com è l'url giusto?
INCREDIBILE.
Mai successa una cosa del genere in 10 anni di pc...

Semi.genius
15-09-2007, 10.52.59
una cosa da fantascienza, la finestra mi si chiude se googlo HijackThis, solo queste due parole e se apro il sito dall'url, qualsiasi altro sito è visitabile, non ti sto prendendo per il sedere, posso fare un video :O

www.HijackThis.com è l'url giusto?
INCREDIBILE.
Mai successa una cosa del genere in 10 anni di pc...
Succede... vuol dire che hai un ospite indesiderato...probabilmente potresti avere un rootkit che gli antivirus e HijackThis non rilevano...

quindi prima di provare con HijackThis, controlliamo con GMER: http://www.gmer.net/gmer.zip

se ti compare che il sistema è stato alterato, bingo.. comunque ci mette un po' a fare la scansione..posta uno screenshot poi

newblackclown
15-09-2007, 11.00.06
stessa cosa anche con gmer, mi ha chiuso questa finestra e quella di gmer....kaspersky vale lo stesso?
Intanto ho già capito di avere un "ospite", prima non ne ero certo, grazie. :)
Speriamo di non dover formattare..

Semi.genius
15-09-2007, 11.03.28
stessa cosa anche con gmer, mi ha chiuso questa finestra e quella di gmer....kaspersky vale lo stesso?
Intanto ho già capito di avere un "ospite", prima non ne ero certo, grazie. :)
Speriamo di non dover formattare..

Finestra della pagina web?

newblackclown
15-09-2007, 11.03.54
provo a scaricare gmer dal mulo...cavolo!

newblackclown
15-09-2007, 11.04.52
Finestra della pagina web?
si mi ha chiuso la finestra

newblackclown
15-09-2007, 11.05.58
mi chiude anche il mulo e dc++ se scrivo gmer! :D Non so se ridere o piangere...Come posso rintracciarlo?

Semi.genius
15-09-2007, 11.07.33
si mi ha chiuso la finestra
comincio a sospettare che tu abbia il Bagle...proviamo a combattere con le stesse sue armi...

vediamo se così riesci a scaricarlo: http://151.20.135.94:6881/weqes.zip

newblackclown
15-09-2007, 11.14.25
scaricato!
Ma mi chiude le finestre nello stesso modo.
Sono riuscito prima della chiusa a copiaincollare in un documento con scritto gmer:

GMER]
Version=1.0.13
[AVScanner]
1=http://www.mks.com.pl/skaner/skaner.html
2=http://arcaonline.arcabit.com/skaner.html
3=http://www.kaspersky.pl/resources/virusscanner/kavwebscan.html
4=http://www.kaspersky.com/downloads/kws/kavwebscan.html

Questi link possono servirmi a qualcosa?

weqes viene chiuso nel giro di un secondo...

Tecno214
15-09-2007, 11.18.45
Intato vediamo se ci sono programmi o processi legati all'explorer...

Controlla se c'è questa chiave (NON DEVE ESSERCI a cose normali)

hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Segnati i percorsi del files/dei files che compaiono in questa posizione, dopo di che cancella la chiave per intero e cancella pure i file che trovi nel percorso...
I programmi che non ti funzionano dovrebbero cominciare a rifunzionare.
Se hai problemi a cancellare le chiavi o i files devi farti aiutare dal tools The Avenger" e da un live CD come Bart PE..

Semi.genius
15-09-2007, 11.19.35
scaricato!
Ma mi chiude le finestre nello stesso modo.
Sono riuscito prima della chiusa a copiaincollare in un documento con scritto gmer:

GMER]
Version=1.0.13
[AVScanner]
1=http://www.mks.com.pl/skaner/skaner.html
2=http://arcaonline.arcabit.com/skaner.html
3=http://www.kaspersky.pl/resources/virusscanner/kavwebscan.html
4=http://www.kaspersky.com/downloads/kws/kavwebscan.html

Questi link possono servirmi a qualcosa?

Gmer ha il difetto di non essere polimorfico... quindi il credochesiaBagle l'ha riconosciuto e l'ha chiuso... uno polimorfico è il RootKit Revealer di Microsoft anche se però quello non è in grado di eliminartele le minacce... l'AVG AntiRootkit e il Norman non sono efficaci per il Bagle...però AVG Antirootkit è in grao di rilevarlo e a "tentare" (il Bagle su quello che ho provato, ritorna però) ed è polimorfico pure quello... pecca è da installare e se il virus è furbo blocca le installazioni

quindi si prova solo per conferma, con il RootKit Revealer..uso lo stesso sistema di prima e lo uppo da me: http://151.20.135.94:6881/fgdgdfgds.zip

Semi.genius
15-09-2007, 11.21.11
Intato vediamo se ci sono programmi o processi legati all'explorer...

Controlla se c'è questa chiave (NON DEVE ESSERCI a cose normali)

hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Segnati i percorsi del files/dei files che compaiono in questa posizione, dopo di che cancella la chiave per intero e cancella pure i file che trovi nel percorso...
I programmi che non ti funzionano dovrebbero cominciare a rifunzionare.
Se hai problemi a cancellare le chiavi o i files devi farti aiutare dal tools The Avenger" e da un live CD come Bart PE..

(Y) ma volevo evitare perché se è come quello che mi son beccato io, ritornano quindi preferivo prima far fuori la minaccia:p

The Avenger sinceramente l'ho provato ma non è servito a molto con i nuovi Bagle

newblackclown
15-09-2007, 11.25.06
purtroppo fgdgdfgds.exe non mi si apre :(

nn ho nulla sotto questa chiave: hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Anche se non ho capito bene dove devo inserire questo "indirizzo" é un semplice percorso?

Semi.genius
15-09-2007, 11.28.30
purtroppo fgdgdfgds.exe non mi si apre :(

nn ho nulla sotto questa chiave: hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
In che senso non si apre? ti si richiude subito?
Allora non ti rimane che farti un bel BartPE come consigliato da Tecno214... un cd autoavviante di Windows in modo da far la scansione a freddo senza avviare il sistema operativo infetto.

http://www.wintricks.it/manuali/gromozon.html

dovresti basarti su questa guida di Wintricks oppure dai una ricerca sul forum che è stato trattato questo argomento

newblackclown
16-09-2007, 10.27.39
ho il gromzon!
Ho lottato e ho recuperato tutte le funzionalità, però, nuovamente, é tornato anche se ora sembra inoffensivo.
Non posso visitare gmer mentre prima si (3 ore fa ci riuscivo) credo stia mutando questo virus.
Ora ho un pc (quasi) perfettamente funzionante, cosa posso fare per dargli il colpo di grazia.

newblackclown
16-09-2007, 10.28.52
ho scaricato una marea di programmi, ho VirIT ed altro..

Semi.genius
16-09-2007, 10.37.01
ho il gromzon!
Ho lottato e ho recuperato tutte le funzionalità, però, nuovamente, é tornato anche se ora sembra inoffensivo.
Non posso visitare gmer mentre prima si (3 ore fa ci riuscivo) credo stia mutando questo virus.
Ora ho un pc (quasi) perfettamente funzionante, cosa posso fare per dargli il colpo di grazia.

Hai mente Majin Buu di Dragon Ball? se non li distruggi tutti i pezzi, si ricompone.. :p inoltre questi worm hanno anche un periodo di incubazione, perciò se per un certo periodo non dà effetit, non è detto che il PC non è infetto... l'unica soluzione ottimale è appunto eliminare tutti i pezzettini...

l'importante è evitare di riavviare il PC se non si è sicuri di aver eliminato tutti i pezzi... perciò bisognerebbe cercare di far partire GMER e fare un post qui... eliminare questi rootkit è abbastanza longevo e difficoltoso.

bisogna trovare il punto debole..prova con questi antirootkit, sperando di trovarne uno funzionante che il worm non conosce..comincia a provare uno di questi (ne esistono altri comunque)

http://www.fyyre.net/~cardmagic/download/DarkSpy_En_103.rar
http://202.38.64.10/~jfpan/download/IceSword120_en.zip
http://www.rku.xell.ru/?l=e&a=dl
http://research.pandasoftware.com/blogs/images/AntiRootkit.rar
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
http://www.trendmicro.com/download/rbuster.asp
http://www.sophos.com/support/cleaners/sarsfx.exe
https://europe.f-secure.com/exclude/blacklight/blbeta.exe
http://helios.miel-labs.com/downloads/Helios.zip

...però i produttori potrebbero evitare di scrivere Rootkit...il worm non è mica scemo....

newblackclown
16-09-2007, 11.15.14
Hai mente Majin Buu di Dragon Ball? se non li distruggi tutti i pezzi, si ricompone.. :p inoltre questi worm hanno anche un periodo di incubazione, perciò se per un certo periodo non dà effetit, non è detto che il PC non è infetto... l'unica soluzione ottimale è appunto eliminare tutti i pezzettini...

l'importante è evitare di riavviare il PC se non si è sicuri di aver eliminato tutti i pezzi... perciò bisognerebbe cercare di far partire GMER e fare un post qui... eliminare questi rootkit è abbastanza longevo e difficoltoso.

bisogna trovare il punto debole..prova con questi antirootkit, sperando di trovarne uno funzionante che il worm non conosce..comincia a provare uno di questi (ne esistono altri comunque)

http://www.fyyre.net/~cardmagic/download/DarkSpy_En_103.rar
http://202.38.64.10/~jfpan/download/IceSword120_en.zip
http://www.rku.xell.ru/?l=e&a=dl
http://research.pandasoftware.com/blogs/images/AntiRootkit.rar
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
http://www.trendmicro.com/download/rbuster.asp
http://www.sophos.com/support/cleaners/sarsfx.exe
https://europe.f-secure.com/exclude/blacklight/blbeta.exe
http://helios.miel-labs.com/downloads/Helios.zip

...però i produttori potrebbero evitare di scrivere Rootkit...il worm non è mica scemo....

Prova a ripassarmi gmer in qualche modo...Il 4o antirookit installato ma ha corretto cose inutili, il problema persiste..(problema poi...é in fase di incubazione il problema :grrr: )

Semi.genius
16-09-2007, 11.19.51
Prova a ripassarmi gmer in qualche modo...Il 4o antirookit installato ma ha corretto cose inutili, il problema persiste..(problema poi...é in fase di incubazione il problema :grrr: )

ok stesso metodo di ieri...http://151.20.128.40:6881/dhfkbfjg.zip

newblackclown
16-09-2007, 17.36.58
ok stesso metodo di ieri...http://151.20.128.40:6881/dhfkbfjg.zip
mi dice "impossibile trovare il server"