Chiusura browser improvvisa e impossibilità a modificare userinit

[chiamatekatia]

Ciao a tutti,

Ogni volta che cerco di aprire un sito (o un programma) relativo alla sicurezza, il browser (o il programma) viene immediatamente chiuso.
Andando a guardare in giro ho notato che la soluzione dovrebbe consistere nel modificare il valore Userinit, togliendo quello che c'è di troppo.
Nel mio caso io trovo:

c:\windows\system32\userinit.exe,"c:\windows\system32\macromedia-flash.exe",

Una volta eliminato dovrei utilizzare Avenger (http://forum.html.it/forum/showthrea...t&pagenumber=2)

Io lo farei molto volentieri...non fosse per il fatto che appena modifico il valore Userinit, togliendo la parte in eccesso, questa, appena vado a ricontrollare, è subito tornata.
Non posso quindi scaricare Avenger et simili e il problema rimane.

Come faccio?

[Deifobe]

Quindi non hai potuto controllare nè con hjt nè fare scansioni?...
Perchè non vedi se nel registro esistono altre voci "macromedia-flash"? Prova..
Dovessero esserci, prendi nota di tutto..
Ti chiude anche gmer?

[chiamatekatia]

Allora ho controllato e non ci sono altre voci "macromedia-flash", inoltre mi chiude anche il sito che mi hai linkato (e quindi suppongo anche l'eventuale programma)

[Deifobe]

Ora come ora non mi viene inmente nulla per cercare i file infetti..
ok.. cominciamo da qui:
start - esegui - digita regedit e segui questo percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\
dimmi se trovi la cartella explorer, prendi nota del contenuto (dalla finestra a destra) e postalo.

Ma quando cancelli la parte "extra" dell'userinit vai, si, ad eliminare anche il file? Te lo fa cancellare ma poi ricompaiono entrambi o ti blocca?

[chiamatekatia]

Non c'è la cartella explorer (e neanche iexplorer) sotto quel percorso.

Allora...Provando ora ho fatto così...
Ho tentato di eliminare il file, ma mi ha bloccato.
Sono andato, quindi, nel regedit, ho tolto la parte in eccesso. Kaspersky ha bloccato "C:\windows\system32\services.exe" che cercava di rimettere il valore (non so perchè prima non lo facesse).
Sono andato nel task-manager e ho notato che c'era il processo macromedia-flash.exe, quindi l'ho terminato.

Ora, in questo momento, posso accedere a quei siti e programmi che prima mi chiudeva. Tuttavia il file continuo a non poterlo eliminare e temo che al prossimo riavvio la situazioni torni come prima...

Adesso riavvio e vedo cosa succede...poi edito

EDIT:

Allora il processo non è tornato ed il valore è rimasto giusto. Il file è sempre lì e non posso eliminarlo...
In compenso ora posso vedere i siti e i programmi di sicurezza

[Deifobe]

Cambiamo strada visto non riesci ad eliminarlo: dovesse ricomparirti, riesegui tutto nuovamente ma dopo creati una nuova cartella e prova a spostarlo li' dentro. Vedi se te lo fa fare..

[chiamatekatia]

Sono riuscito a spostarlo...una volta spostato sono anche riuscito ad eliminarlo ^^

Ora dovrebbe essere tutto a posto, giusto?

[Deifobe]

lo hai ancora nel cestino? se si, fai una cosa: apri www.virustotal.com - rispostalo nella cartella che avevi creato - fallo analizzare e spostalo nuovamente nel cestino. Vedi di che si tratta. Dopo puoi eliminarlo definitivamente..

Non direi che è finita.. ora devi postare un bel log di hjt