| Autore |
 Discussione  |
|
Pinolo
New Member
44 Messaggi |
 Inserito il - 24/03/2008 : 17:19:05
|
Salve è il mio promo Post su questo Forum e avendone sentito parlare solo bene son venuto a chiedere aiuto a voi!
Vi espongo il problema...
Mio Padre ha scaricato ed installato (Senza chiedermi niente) due programmi: Secured eMule + Toolbar e BufferZone Pro...
Ora...appena ho visto questi 2 PROBLEMI installati mi son subito accanito a tentare di eliminarli...BufferZone Pro l'ha eliminato senza problemi e quando mi diceva di riavviare il PC per rendere le modifiche attive Mi è comparsa la "Schermata Blu" di Errore in cui diceva che più applicazioni hanno smesso di funzionare e per evitare danni al sistema è stato necessario bloccare il computer e fare un immagine di Back Up!
Riavvio il PC pensando fosse una cosa "Passeggera" ma...appena si riaccende noto che non mi funzionano più le protezioni del PC, cioè: Niente Avast Installato, Niente Spybot S&D possibile da avviare, Niente Firewall, Gli Archivi non si aprono e mi Blocca qualsiasi tentativo di installazione di Antivirus-AntiSpyware e qualli già installati(Esempio: HiJackThis-Spybot S&D) non li può eseguire perchè da il seguente errore, "Il File "HiJackThis" non è un Applicazione Win32 valida" e posso solo premere Ok...
Allora Rimuovo Manualmente tutte le cartelle di "Secured eMule" ma niente la Toolbar c'è ancora quindi immagino pure i file nascosti da qualche parte...
Allora provo a fare scansioni online antivirus, di quali: PandaActiveScan, Trend Micro si Bloccano verso l'inizio della scansione, mentre alcuni, come quello di Windows Live e di Avast Cleaner, la finisce la scansione, ma il risultato è che ho un PC immacolato...-.-
Ultima Chance...avvio il PC in modalità Provvisoria, ma mi Blocca pure quello, perchè come cerco di entrere in modalità provvisoria mi da sempre la schermata Blu...Non mi fa nemmeno fare il Ripristino configurazione di Sistema perchè dice che con il PC in questo stato non è possibile ripristinare il Sistema...
Non ho più risorse, affido speranzoso il destino del mio PC nelle vostre mani!^^
PS: Ho Windows XP Professional SP2 nel caso possa esservi utile...
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 18:40:09
|
hai il bagle.
fai una scansione con elibagla (in fondo alla pagina): eseguilo, clicca su Explorar, quando finisce riavvia il pc e posta il rapporto (C:\Infosat.txt)
questo già ti aiuterà per ripristinare la modalità provvisoria. |
Modificato da - Sibilla in data 24/03/2008 18:40:35 |
 |
|
|
Pinolo
New Member
44 Messaggi |
 Inserito il - 24/03/2008 : 20:22:48
|
Ciao Sibilla!
Grazie per avermi risposto! La scansione mi ha trovato un Bagle e l'ho eliminato, ho riavviato il PC e ora sembra tutto apposto, comunque ecco il file di Rapporto!
htt*://[www].freefilehosting.net/download/3e4ei |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 24/03/2008 : 20:28:17
|
| Buona sera a tutti, ho visto il log, per sicurezza cortesemente rifai la procedura con elibagla e riposta il log. |
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 24/03/2008 : 20:36:30
|
Ok Death,!
Intanto ti allego il Log di HiJackThis ora che posso avviarlo...
Eccolo ----> htt*://[www].freefilehosting.net/download/3e4f1
Appena Finisce la Scansione ti passo anche il Log di elibagla!^^ |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 20:51:43
|
scarica questo avenger7.zip, eseguilo, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno del box bianco, copia/incolla:
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger
Se non te lo fa eseguire, entra in modalità provvisoria ed elimina files e cartelle manualmente. Se hai problemi con qualche files, controlla nel task manager che non sia attivo.
Ciao
|
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 24/03/2008 : 20:59:36
|
Ecco il Log di Elibagla ---> htt*://[www].freefilehosting.net/download/3e4f4
Ecco invece quello di Avenger ----> htt*://[www].freefilehosting.net/download/3e4f7
Fatemi Sapere!^^ |
Modificato da - Pinolo in data 24/03/2008 21:13:12 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 22:53:54
|
ok.
Ora fai una scansione con Kaspersky_virusscanner, salva e posta il rapporto (sempre caricarndolo su freefilehosting).
Puoi anche provare ad installare l'antivirus.
Ciao |
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 25/03/2008 : 11:07:12
|
Ciao!
Scusate il ritardo ma non mi son potuto connettere prima!^^'
Comunque la scansione con KasperSky non è possibile farla in quanto mi dice che la Licenza online è scaduta per gli aggiornamenti e posso solo chiudere...ora non so se sbaglio qualcosa ma provo a scaricare il Trial...
Poi fatemi sapere voi!^^
PS: Ho ReInstallato Avast!:) |
Modificato da - Pinolo in data 25/03/2008 11:12:56 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 25/03/2008 : 11:33:35
|
| beh, eventualmente potevi provare prima con avast... |
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 26/03/2008 : 16:39:21
|
Scusate il Ritardo ma la linea mancava e quindi non mi son potuto connettere...
Comunque ho fatto la scansione con Avast dato che KasperSky mi ha dato svariati problemi di compatibilità...
Avast non rilascia il Log(Almeno così ho capito dato che non l'ho trovato...) comunque ne avevo solo 1 di virus si chiama "ActiveScanX" e l'ho spostato nel cestino di Avast e non dovrei più avere problemi...
Grazie Infinite Ragazzi siete Formidabili! Senz di Voi a quest'ora avrei dovuto Formattare il PC!^^
PS: Se devo fare altro ditemi! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/03/2008 : 23:44:45
|
Verifica solo non si sia riformata questa cartella:
C:\WINDOWS\system32\drivers\down
Se non c'è, è tutto ok.
Ciao :)
|
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 04/04/2008 : 20:34:34
|
Rieccomi.
Scusate la mia assenza, ma mi sono stati cancellati i Cookie e ho scordato la password(Infatti l'ho cambiata...).
Comunque la cartella Drivers è nascosta e nelle Opzioni cartella non c'è l'opzione per visualizzare i file nascosti ma ce ne un altra e di conseguenza non posso vedere se c'è la cartella Drivers in System32...e ora ho un altro problema di Bagle...uno che EliBagla non riesce ad eliminarlo per accesso negato!T.T
Ecco il Log di EliBagla: htt*://[www].freefilehosting.net/files/3eim6
Grazie ancora ^^ |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/04/2008 : 22:52:24
|
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
entra in modalità provvisoria e prova ad eliminarli. Se non te lo fa fare:
- controlla non siano attivi nel task manager
- crea una nuova cartella in c:\ e trascinali lì dentro. Se funziona, poi elimini tutta la cartella.
Ti ricordo che dopo la scansione con elibagla devi riavviare il pc.
Mi spieghi meglio il fatto dei files nascosti? Non vedi l'opzione per visualizzarli:
strumenti -> opzioni cartella -> visualizza -> visualizza file nascosti
e ne vedi un'altra? Quale? |
|
|
|
Pinolo
New Member
44 Messaggi |
Inserito il - 04/04/2008 : 23:14:27
|
Niente Modalità Provvisoria...
Niente Menù per visualizzare i file nascosti...
Il PC lo riavvio ma si blocca e devo terminare EliBagla dal Task Manager...
I 2 file non sono in esecuzione sul Task Manager...
Per il Menù non so come spiegartelo per fare una foto potrebbe intiltarsi il PC visto quanto è rallentato ad aprire i programmi..[.com]unque sono riuscito ad entrare nella cartella non so come e a vedere i file! Quindi ora cerco di spostarli!(Questione di minuti...) poi ti faccio sapere se posso o no spostarli...che alla preparazione per lo spostamento è moooolto lento!-.- |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/04/2008 : 23:34:13
|
ok, altrimenti la provvisoria la stabiliamo manualmente.
scarica questo file (salvalo sul desktop): htt*://[www].sendmefile[.com]/00620882 (ti invio la password per scaricarlo con un pm).
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\
Chiudi il registro.
scompatta il file zip e trascina il file .reg sul desktop.
clicca due volte sul file .reg e accetta le modifiche al registro
Riavvia il sistema.
|
|
|
|
Discussione |
|
Virus impossibile da eliminare e molto dannoso...
Forum Bloccato
