| Autore |
 Discussione  |
|
piero123
Junior Member
66 Messaggi |
 Inserito il - 24/01/2008 : 14:59:56
|
Non so cosa mi sono beccato ... !
Questa la situazione:
- antivirus disattivato
- ccleaner non parte
- HijackThis non parte
su tutti esce questo: NON E' UNA APPLICAZIONE Win32 valida
- modalità provvisoria NON possibile
che faccio ???
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/01/2008 : 15:21:30
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto con files to delete e le altre diciture:
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Documents and Settings\Vostronomeutente\Dati applicazioni\m\data.oct
C:\Documents and Settings\Vostronomeutente\Dati applicazioni\m\flec006.exe
folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\Documents and Settings\Vostronomeutente\Dati applicazioni\m
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
esegui queste scansioni:
htt*://dl.antivir.de/down/windows/tool_en[.com]
htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip
(selezioni le voci infette e clicca su delete selected items)
htt*://[www].tgsoft.it/files/vnlt6252.exe
Fammi sapere  |
Modificato da - Leleago in data 25/01/2008 08:53:10 |
 |
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 24/01/2008 : 15:37:54
|
come dici tu sarebbe facile !
Avenger come tutti altri programmi simili NON partono !
Sempre lo stesso messaggio di errore...
NON E' UNA APPLICAZIONE Win32 valida
provo a cancellare quelle voci manualmente ??
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/01/2008 : 16:25:59
|
| prima di cancellarle manualmente esegui le scansioni che ti ho scritto sopra |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 24/01/2008 : 16:56:13
|
fatto tutto escluso:
htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip
htt*://[www].tgsoft.it/files/vnlt6252.exe
(non partono sempre stesso problema)
ho controllato anche a mano tutti i file che segnali,
ma non ne è presente nessuno.
Tutte le altre scansioni non hanno segnalato niente.
Il problema è rimasto invariato
|
|
|
|
Feibrix
Advanced Member
Città: Ivrea
588 Messaggi |
Inserito il - 24/01/2008 : 17:04:30
|
beh.
reinstalla :D
vabbè lo so che è l'ultima spiaggia questa , ma ricorda che, ammesso che il problema sia una "porcheria" software, un pc ripulito da problemi di questo tipo non è paragonabile ad un pc piallato ;)
Quante sono le applicazioni che non partono? |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 24/01/2008 : 17:18:37
|
Stavo proprio anche io pensando a riformattare il tutto !
Però funziona TUTTO perfettamente escluso:
- Norton 360
- CC Cleaner e programmi simili
forse il problema è su Norton ??
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/01/2008 : 18:16:30
|
io aspetterei cmq a formattare anche perchè hai appena detto che tutto ti funziona
Riavvia windows in modalità provvisoria:
1° metodo all'avvio premere più volte tasto F8
2° metodo start-->esegui--> msconfig--> ok--> boot.ini-->spunta casella SAFEBOOT--> applica ( per ritornare in modalità normale stesso percorso e togliere la spunta)
Una volta in modalità provvisoria
1 scaricati BAGLEGUI da qui: htt*://[www].sophos.it/support/cleaners/baglegui[.com]
2 avviare l'applicazione
3 quindi cliccare su GO (vai).
Se nn ti funziona BAGLEGUI prova a rifare la procedura con avenger che ti ho detto prima e le scansioni con:
htt*://[www].tgsoft.it/files/vnlt6252.exe
htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip
htt*://[www].pandasoftware[.com]/activescan/it/activescan_principal.htm
|
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 25/01/2008 : 08:46:36
|
Sono riuscito a capire di cosa si tratta !
Win32.Worm.Bagle.ZKR
credo che sia una evoluzione di Win32.Worm.Bagle
da quello che ho trovato in rete su
htt*://[www].avira[.com]/it/threats/section/fulldetails/id_vir/1641/worm_bagle.fi.html
dai dettagli cancella la possibilità di andare in modalità provvisoria per far partire tutti i tool di rilevazione
Come posso fare ??
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/01/2008 : 08:48:53
|
temevo si trattasse del bagle 
prova a far partire il tool BAGLEGUI che ti ho postato sopra da modalità normale e poi scansiona con
htt*://[www].pandasoftware[.com]/activescan/it/activescan_principal.htm e posta il log di panda
p.s. cmq hai già provato da modalità provvisoria?? |
Modificato da - Leleago in data 25/01/2008 09:07:36 |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 25/01/2008 : 12:11:19
|
Ho ripristinato il registro per ripartire in modalità provvisoria
Ho fatto la scansione completa con VIRIT non ha trovato niente.
Ora sto facendo la scansione con il tool BAGLEGUI in modalità normale ... è partito regolarmente appena fatto posto il tutto.
Secondo te risolvo ? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/01/2008 : 12:29:17
|
| credo di sì..scansiona anche col panda active scan |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 25/01/2008 : 12:32:32
|
il tool non ha rilevato nulla,
infatti Win32.Worm.Bagle.ZKR
non è previsto dalla scansione !
Sto facendo l'altra scansione on line con Panda
|
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 25/01/2008 : 12:36:16
|
Questo è il log del tool BAGLEGUI
RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, [www].sophos[.com]
System disinfection for W32/Bagle
Data Version 1.13
System scan started at 12:06 on 25 January 2008
Checking for W32/Bagle in memory
Checking for files affected by W32/Bagle
Scanning C:
Error opening file C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
Error opening file C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat
Error opening file C:\Documents and Settings\Herba-Life\Cookies\index.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Cronologia\History.IE5\index.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Cronologia\History.IE5\MSHist012008012520080126\index.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Temp\~DFE411.tmp
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Temp\~DFE416.tmp
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat
Error opening file C:\Documents and Settings\Herba-Life\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
Error opening file C:\Documents and Settings\Herba-Life\NTUSER.DAT
Error opening file C:\Documents and Settings\Herba-Life\ntuser.dat.LOG
Error opening file C:\Documents and Settings\Herba-Life\Preferiti\Comunicati Stampa\v Comunicati Stampa.url
Error opening file C:\Documents and Settings\Herba-Life\Preferiti\Comunicati Stampa\? CS - Comunicati stampa.url
Error opening file C:\Documents and Settings\LocalService\Cookies\index.dat
Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat
Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
Error opening file C:\Documents and Settings\LocalService\NTUSER.DAT
Error opening file C:\Documents and Settings\LocalService\ntuser.dat.LOG
Error opening file C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
Error opening file C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT
Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG
Error opening file C:\pagefile.sys
Error opening file C:\Programmi\File comuni\Symantec Shared\EENGINE\EPERSIST.DAT
Error opening file C:\resolve.log
Error opening file C:\VEXPLITE\register.exe
Error opening file C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Error opening file C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Error opening file C:\WINDOWS\Debug\PASSWD.LOG
Error opening file C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
Error opening file C:\WINDOWS\SchedLgU.Txt
Error opening file C:\WINDOWS\system32\config\AppEvent.Evt
Error opening file C:\WINDOWS\system32\config\default
Error opening file C:\WINDOWS\system32\config\default.LOG
Error opening file C:\WINDOWS\system32\config\ODiag.evt
Error opening file C:\WINDOWS\system32\config\OSession.evt
Error opening file C:\WINDOWS\system32\config\SAM
Error opening file C:\WINDOWS\system32\config\SAM.LOG
Error opening file C:\WINDOWS\system32\config\SecEvent.Evt
Error opening file C:\WINDOWS\system32\config\SECURITY
Error opening file C:\WINDOWS\system32\config\SECURITY.LOG
Error opening file C:\WINDOWS\system32\config\software
Error opening file C:\WINDOWS\system32\config\software.LOG
Error opening file C:\WINDOWS\system32\config\SysEvent.Evt
Error opening file C:\WINDOWS\system32\config\SYSTEM
Error opening file C:\WINDOWS\system32\config\system.LOG
Error opening file C:\WINDOWS\system32\h323log.txt
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECT |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 25/01/2008 : 12:56:41
|
il Panda si blocca ....  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/01/2008 : 13:31:18
|
prova questa soluzione:
htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp
Ti sposti in fondo alla pagina e clicca sul bottone descarger elibagla
Salva il file sul desktop
Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona per avviare il programma:
Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.
Al termine della scansione, comunque sia andata, dovrai riavviare il pc.
Al riavvio, dovresti trovare il log C:\InfoSat.txt.
postalo |
Modificato da - Leleago in data 25/01/2008 13:31:58 |
|
|
|
Discussione |
|
Problema grave ... gravissimo
Forum Bloccato
