Non parte alcuna applicazione

[akirak]

Salve, chiedo aiuto perchè io non so più dove sbattere le testa

Credo di essermi beccato un virus ma non riesco a debellarlo.

In sostanza un paio di giorni fa ho acceso il pc e mi sono ritrovato tutti i file eseguibili che nel registry hanno perso l'associazione e pertanto non partono...e non parlo solo dei file .exe ma anche .com e .bat

Bootando da un altro hard-disk ho fatto una scansione con Kaspersky (aggiornato a oggi) e non mi ha trovato granchè, solo alcuni riskware e alcuni spyware che ha eliminato...

Però il problema persiste perchè sono anche entrato nel registry tramite l'avvio in modalità provvisoria con prompt di comando (perchè avviando nelle altre modalità poi non parte regedit.exe) e ho reimpostato il giusto valore alle chiavi exefile comfile e batfile ma non è servito perchè al riavvio il problema persiste...

Io credo si tratti di un virus, anche se Kaspersky non ha rilevato nulla e anche se facendo una ricerca su google ho trovato solo virus che modificano nel registry le impostazioni di exefile e non anche/o di comfile...

Formattare sarebbe l'ideale lo so, ma vorrei evitare perchè ho troppa roba che non vorrei perdere e al momento non ho sufficiente spazio sull'altro hard-disk per usarlo come 'deposito'...

Qualcuno ha un'idea su come posso risolvere la situazione?

[akirak]

Dimenticavo: utilizzo Windows XP Pro con Sp2

[thomas_anderson]

Immagino tu abbia letto i link in rilievo. Se lo hai fatto, conoscerai anche il programma chiamato HijackThis. Forse hai un trojan. Del resto il tuo problema rimane generico, almeno così come tu lo hai descritto. Cerca le voci che Hijackthis trova con Google. ciao

[akirak]

Ciao, grazie della risposta...


Si, avevo visto di hijackthis, ma nel tutorial dice che va lanciato in modalità normale e se avvio in modalità normale non parte nessun eseguibile, e quindi neanche hijackthis...

Comunque ora provo a lanciarlo in modalità provvisoria, spero funga allo stesso modo

[thomas_anderson]

Se al riavvio il problema persiste, vuol dire che ci sono dei valori infetti nelle chiavi di Run. controlla in HKLM e HKCU le chiavi %root%\Software\Microsoft\Windows\CurrentVersion\R un e seguenti.

[akirak]

Scusa se rompo ancora :P

Ho fatto la scansione con hijackthis ma non vedo nulla di anomalo
che dici?


Logfile of HijackThis v1.99.1
Scan saved at 11.52.54, on 17/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programmi\File comuni\ReGet Shared\Catcher.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programmi\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Re&Get Deluxe - C:\Programmi\File comuni\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Scarica tutto con &ReGet Deluxe - C:\Programmi\File comuni\ReGet Shared\CC_All.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FA99DE5-41D8-415D-B5FF-5D099620BFAF}: NameServer = 130.244.127.161,130.244.127.169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programmi\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDSched.exe

[Habanero]

il log sembra pulito...

[thomas_anderson]

Hai installato/disinstallato molti programmi di recente?
Prova questo:

http://www.ilsoftware.it/articoli.asp?ID=177

[akirak]

Originariamente inviato da thomas_anderson
Hai installato/disinstallato molti programmi di recente?

Che io ricordi no....di recente avevo installato Perfect Disk per effettuare una deframmentazione dell'hd...null'altro...

Questo problema poi è successo da un momento all'altro..cioè: la notte ho spento tranquillamente, senza che ci fosse alcun problema e la mattina dopo quando ho acceso il pc mi son trovato con le icone del desktop non collegate ai relativi programmi e con gli eseguibili (exe, com, bat) che non partono...

[thomas_anderson]

Prova il fix segnalato nell'articolo.