| Autore |
 Discussione  |
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/04/2008 : 14:58:33
|
|
no basta una scansione con avenger. Files to delete e folders to delete li metti nello stesso script cm ho scritto io! |
 |
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 21/04/2008 : 15:47:33
|
cosi?
files to delete:
c:\windows\REGLOCS.OLD
c:\windows\nsreg.dat
c:\windows\HideWin.exe
c:\windows\NeroDigital.ini
c:windows\bootstat.dat
c:\windows\system32\wuaucpl.cpl.manifest
c:\windows\system32\cdplayer.exe.manifest
c:\windows\system32\api.cpl.manifest
c:\windows\system32\nwc.cpl.manifest
c:\windows\system32\ncpa.cpl.manifest
c:\windows\system32\WindowsLogon.manifest
c:\windows\system32\logonui.exe.manifest
c:\windows\system32\FNTCACHE.DAT
c:\windows\system32\amcompat.tlb
c:\windows\system32\nscompat.tlb
c:\windows\downloaded program files\desktop.ini
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\efipsk.sys
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\catchme.sys
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\mbr.sys
c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
c:\windows\system32\drivers\ Msft_Kernel_motmodem_01005.Wdf
c:\windows\system32\drivers\Msft_Kernel_motccgp_01005.Wdf
c:\windows\system32\drivers\Msft_Kernel_motccgpfl_01005.Wdf
folders to delete:
c:\windows\REGLOCS.OLD
c:\windows\nsreg.dat
c:\windows\HideWin.exe
c:\windows\NeroDigital.ini
c:windows\bootstat.dat
c:\windows\system32\wuaucpl.cpl.manifest
c:\windows\system32\cdplayer.exe.manifest
c:\windows\system32\api.cpl.manifest
c:\windows\system32\nwc.cpl.manifest
c:\windows\system32\ncpa.cpl.manifest
c:\windows\system32\WindowsLogon.manifest
c:\windows\system32\logonui.exe.manifest
c:\windows\system32\FNTCACHE.DAT
c:\windows\system32\amcompat.tlb
c:\windows\system32\nscompat.tlb
c:\windows\downloaded program files\desktop.ini
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\efipsk.sys
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\catchme.sys
C:\DOCUME~1\Gnacche\IMPOST~1\Temp\mbr.sys
c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
c:\windows\system32\drivers\ Msft_Kernel_motmodem_01005.Wdf
c:\windows\system32\drivers\Msft_Kernel_motccgp_01005.Wdf
c:\windows\system32\drivers\Msft_Kernel_motccgpfl_01005.Wdf |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 21/04/2008 : 19:22:10
|
htt*://[www].techsupportforum[.com]/sectools/sUBs/ComboFix.exe
non me lo fa lanciare. mi dice che non è un applicazione win32 valida, come mi diceva prima che sistemmassi un po.
forse qualche residuo ancora dentro? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/04/2008 : 20:20:48
|
Se ti dà quell'errore mi viene il dubbio che tu abbia ancora il bagle!
Riscaricati elibagla:
htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp
Ti sposti in fondo alla pagina e clicca sul bottone descarger elibagla
Salva il file sul desktop
Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona per avviare il programma:
Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.
Al termine della scansione, comunque sia andata, dovrai riavviare il pc.
Al riavvio, trovi il log C:\InfoSat.txt.
postalo 
|
Modificato da - Leleago in data 22/04/2008 11:38:45 |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 21/04/2008 : 22:07:30
|
| penso che siamo da capo......non mi crea il log. mi sembra anche che la durata della scansione duri troppo poco(circa 40 sec.)ora rifaccio una scansione con l antivirus e poi riprovo. altrimenti penso che siamo al capolinea. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/04/2008 : 07:01:42
|
| Per quello è veloce a scansionare elibagla...hai guardato se trovi il log in c:\infostat? |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 22/04/2008 : 10:27:42
|
se non ci guardi non lo trovi! scusa ma sono un po scarso! ecco il log
htt*://[www].freefilehosting.net/download/3g095 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/04/2008 : 11:37:30
|
scarica htt*://[www].wikifortio[.com]/634658/Tools-Anti-Bagle.zip e avvia il file Megalabit_avenger.exe
Esegui avenger e all'interno del box bianco copia/incolla:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\downld
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
drivers to disable:
srosa
pci32
drivers to delete:
srosa
pci32
(Modifica mettendo al posto dello "USER" il tuo user. Non lasciare spazi. Il nome del tuo user lo trovi in C:\Documents and Settings)
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato
Riesegui pulizia con Ccleaner
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda Registro, eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
Modificato da - Leleago in data 22/04/2008 11:40:22 |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 22/04/2008 : 14:08:15
|
ecco il log di avenger
htt*://[www].freefilehosting.net/download/3g0k5 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/04/2008 : 14:16:44
|
| ok ora riesegui combofix |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 22/04/2008 : 22:03:27
|
| stesso errore..........non è un applicazione win32 valida. ma ce l avrà con me? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 23/04/2008 : 07:26:52
|
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione,se viene rilevato qualcosa salva il rapporto cliccando su "Save as Text" |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 23/04/2008 : 12:31:31
|
ho salvato il rapporto, l ho aperto e copiato in un .txt. qualcosa ha trovato
eccolo:
htt*://[www].freefilehosting.net/download/3g1lc
ma nel pc ho installato la versione prova per 30 giorni (ver.7.0)perche scansionando con quello non li trova? |
Modificato da - gnacche in data 23/04/2008 12:33:00 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 23/04/2008 : 12:50:10
|
| il file di testo è vuoto...risalva il log di kaspersky! |
Modificato da - Leleago in data 23/04/2008 12:55:26 |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 23/04/2008 : 13:56:20
|
prova ora
htt*://[www].freefilehosting.net/download/3g215 |
|
|
|
Discussione |
|
nella lista programmi c è "videos"
Forum Bloccato
