| Autore |
 Discussione  |
|
|
Kéntauros
Senior Member
163 Messaggi |
 Inserito il - 23/03/2008 : 21:33:23
|
Salve Amici,
sono due giorni che ci sbatto la testa, ma non riesco proprio a risolverlo: ogni volta che devo installare un antivirus, qualunque esso sia, mi compare il messaggio di incompatibilità e precisamente:
C:\Programmi\.......\........exe non è un'applicazione di Win32 valida.
Allora, come posso risolverlo?
1000 grazie e a presto.
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 23/03/2008 : 21:51:55
|
fai una scansione con elibagla: eseguilo, clicca su Explorar, quando finisce riavvia il pc e posta il rapporto (C:\Infosat.txt)
|
 |
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 23/03/2008 : 22:37:40
|
Ciao Sibilla,
grazie per l'aiuto. Sono andato sul link che mi hai indicato (spagnolo, vero?)ma per eseguirlo, come si fa? ho cercato l'eseguibile ma niente; ho provato da me, ma niente. Sarà pur facile farlo, ma se mi guidi ti sarò grato. Sai vorrei eliminare il problema anche perché girare in rete senza una protezione pur minima, mi rende nervoso.
1000 grazie. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/03/2008 : 22:42:24
|
| Buona sera a tutti, dal link di sibilla, scorri tutta la pagina fino al fondo, dopo il listato trovi in una casella "descargar elibagla 11.18" cliccaci sopra e parte il download dell'eseguibile. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 24/03/2008 : 15:08:07
|
Ho eseguito al dettaglio i consigli che mi avete dato. La scansione l'ho fatta ed il risultato è a dir poco sconvolgente; guardate il il file postato: htt*://[www].sendmefile[.com]/00618907
Ora, mi dite come procedere affinché possa eliminare il maledetto worm?
1000 grazie. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 15:19:43
|
sconvolgente? :) addirittura...
Hai riavviato il pc subito dopo la scansione come ti avevo detto?
|
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 24/03/2008 : 15:30:27
|
| certo che l'ho fatto. Difatti all'inizio il pc si riavviava e solo dopo 5 minuti andava in blocco riavvinadosi. Ho dovuto farlo per ben 10 volte fino a quando si è stabilizzato. Ora però che si fa? Mi pare che il worm ci sia ancora perchè non accetta l'installazione dell'antivirus e poi l'applicazione Elibagla si avvia sempre in automatico rilevando il worm. Insomma che Faccio? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/03/2008 : 16:58:07
|
| Buona sera a tutti, rifai la scansione con elibagla e riposta il log per cortesia. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 24/03/2008 : 17:53:25
|
Ciao, questo è il nuovo logfile con Elibagla:
htt*://[www].sendmefile[.com]/00618945
Come vedi è spaventosamente pieno. Ora vorrei sapere come procedre per eliminare l'infezione.
Ciao e Grazie. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 18:35:30
|
ok. fatto questo ora fai quest'altro passaggio.
scarica questo avenger: avenger6.zip, eseguilo, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno del box bianco, copia/incolla:
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger
----
nel caso non riuscissi ad eseguire avenger, entra in modalità provvisoria (premi F8 all'avvio), cerca manualmente i files e le cartelle indicate ed elimina quello che trovi.
Ricordati di svuotare il cestino e, nel caso qualche file non fosse eliminabile, controlla non sia attivo (vedi nel task manager): se lo è, lo termini e quindi riprovi ad eliminarlo.
Fammi sapere, ciao
|
Modificato da - Sibilla in data 24/03/2008 18:36:45 |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 24/03/2008 : 20:55:50
|
Operazioni svolte, anche se Avenger l'ho dovuto scaricare su un altro link perché quello indicato non partiva. Cmq la scansione l'ho fatta d ecco il file log.: htt*://[www].sendmefile[.com]/00618986
Fammi sapere se va tutto ok in modo da provare ad installare l'antivirus.
Preciso che dopo aver fatto la scansione con Avenger, sono riuscito a far ripartire Ccleaner, che non mi partiva più, e ho controllato i Servizi, ovvero da esegui con SERVICES.MSC ho verificato che:
#9679; Avvisi
#9679; Centro sicurezza P.C.
#9679; Aggiornamenti automatici
#9679; Connessioni di rete
#9679; Zero Configuration reti senza fili
#9679; Windows Firewall/ Condivisione connessione Internet (ICS)
funzionassero.
Mi rimane solo avere una tua consulenza sulle operazioni fatte e sperare che il maledetto bagle sia stato eliminato.
Fammi sapere, grazie. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/03/2008 : 22:39:46
|
il nuovo avenger è un po' diverso dal vecchio e lo script è fatto per eliminare più chiavi in riferimento al vecchio. Dovresti rieseguirlo, infatti il servizio srosa è ancora li'.
Fai una scansione on-line con Kaspersky_virusscanner, salva e posta il rapporto.
Dovrebbe durare 1,5 ore all'incirca. Se non vuoi restare connesso, puoi disconnettere il pc dopo aver selezionato "my computer", la scansione andrà avanti comunque.
Prima di iniziare la scansione, puoi anche installare nuovamente l'antivirus. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 28/03/2008 : 15:25:20
|
Salve, mi pare che tutto sia ritornato alla normalità. difatti sono riuscito ad installare l'antivirus e va regolarmente. comunque invio il logfile ultimo di elibagla per sapere se tutto è normale.la scansione con kasperky non sono riuscita a farla perché sul sito una volta cliccato accept non andava più avanti.
Un amico mi ha chiesto come poter rimuovere un presunto dialer: Win32/EGroupIstantAccess.A
premetto che lui utilizza una connessione adsl con tiscali (così mi pare), ma il presunto gli crea solo un problema di invasione di messaggi poco graditi (reindirizzamento su siti porno).
posso chiedere un consiglio quì o devo aprire un'altra discussione?
ci sentiamo presto e grazie.
htt*://[www].sendmefile[.com]/00619772
htt*://[www].sendmefile[.com]/00619773 |
|
|
| |
Discussione |
|
Problemi con installazioni.
Forum Bloccato
