| Autore |
 Discussione  |
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
 Inserito il - 30/11/2008 : 11:03:11
|
ciao a tutti...rieccomi qui volevo dirvi che ho un nuovo virus + ********* di prima,allora questo virus qui assume una quantità indeterminata di cpu e non fa vedere il suo processo a taskmanager,poi questo virus non mi permette di aprire i antivirus vari,tipo quello sophos o spybot o altri, non mi permette di entrare in modalità provvisoria e stranamente vedo anche che quando carica la modalità provvisoria,dopo che carica i file normali se ne presentano 2 speciali che si caricano dopo...boh cmq chiedo aiuto!!!
|
Modificato da - death in Data 30/11/2008 16:13:20
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/11/2008 : 12:14:27
|
ciao - mentre aspetti l'arrivo di Death, inizia a fare una scansione con questo programmino produzione nostrana
htt*://wikisend[.com]/download/892466/no trace.EXE
Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata, fai una scansione completa cliccando su EXPLORAR
Posta il report che ti rilascia in C:\
Ciao Death ero solo di passaggio 
|
 |
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 13:04:40
|
| dopo un certo punto il programma non parte piu anzi si chiude, |
|
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 13:06:33
|
| aggiungo anche che quando non mi fa partire hijackthis o robba varia dice che non è un applicazione win32 valida,poi ogni tanto nella cartella dei programmi dei antivirus vedo che ogni tanto le icone dopo un pò fanno tipo flash velocissimo,come se stessero aggiornandosi.. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/11/2008 : 16:12:29
|
Buona sera a tutti, shang ha avuto buon naso, il programma che ti ha fatto scaricare riesci ancora a lanciarlo? dovresti trovare un report se la prima volta ha concluso la scansione, precisamente questo C:\InfoSat.txt, poi segui queste istruzioni:
scarica Avenger , quando lo scarichi, mantieni l'estensione exe ma chiamalo pippo.
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Se non funziona fammelo sapere e cambiamo sistema.
|
|
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 20:55:25
|
| non me lo fa aprire pure se cambio nome ad avenger :( |
|
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 21:01:30
|
| ultime novità,cambiando da zip a rar e potendo cambiare nome prima dell'estrazione dopo parte però dopo 1 minuto si chiude da solo e se non sbaglio dice che ci sono 3 o 4 errori che non si possono fixare xkè non si trovano(c cleanup.bat impossibile trovarlo errore 2 impossibile apriro errore 6 impossibile aprire avenger txt(errore 2)e non può loggare i messaggi sul txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/11/2008 : 21:03:04
|
Buona sera, cambiamo sistema, scarica questo file htt*://wikisend[.com]/download/517194/SafeBoot.zip seleziona quello adatto al tuo sistema operativo (spero tu non abbia Vista, se no fermati) , doppio click sul file, accetta le modifiche al registro riavvia il pc, poi:
scarica OTMoveIT2
Vai in modalità provvisoria
Citazione:
per accedere in modalità provvisoria, all'avvio del pc subito dopo la schermata iniziale del bios, premere ripetutamente il tasto F8, si aprirà la console della modalità provvisoria, scegli la voce "Minimal - Avvia Windows XP con un insieme minimo di driver" in alto utilizzando le frecce per muoverti nel menù e poi dai invio.
1) Per avviarlo,doppio click su OTMoveIT2
2) Assicurati che la casella Unregister Dll 's and Ocx's abbia il flag o segno di spunta
3) Copia l'elenco qui riportato (il testo in rosso che vedi sotto) nel riquadro di sinistra Paste List of Files/Folders to be moved
4) Clicca su Moveit per avviare l'eliminazione e accettate la richiesta di riavvio qualora ti venisse richiesta
5) Poi controlla nel riquadro di destra sotto results dovresti trovare l'avviso di avvenuta cancellazione quindi clicca su Exit
Il tool creerà un report con i dettagli dell'operazione in C:\ nome _OTMoveIt\MovedFiles
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%WINDOWS\system32\re_file.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\WINDOWS\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down\*.*
%SystemDrive%\WINDOWS\system32\drivers\downld\*.*
%SystemDrive%\elist.xpt
|
Modificato da - death in data 30/11/2008 21:08:42 |
|
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 21:28:36
|
| ridammi il file dice che non esiste +!!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/11/2008 : 21:34:47
|
Il file è presente, l'ho appena riscaricato. Riprova.
Oppure prova da qui htt*://[www].savefile[.com]/files/1910523 |
Modificato da - death in data 30/11/2008 21:39:38 |
|
|
|
firefox
Senior Member
Città: sant'arpino
Nota:
176 Messaggi |
Inserito il - 30/11/2008 : 22:05:38
|
ultime novità allora io ho provato a mettere modalità provvisoria ma non c'era quella che si apriva con requisiti minimi di sistema,poi dopo aver riavviato il pc è uscito il programma spagnolo in funzione che ha cancellato alcuni file numerati ke appartenevano alla cartella downld in C:\WINDOWS\system32\drivers\downld poi dopo ho usato avengere ho rifatto il procedimento tranquillo senza errori e le cose importanti erano
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" deleted successfully.
ora non so se ho da fare qualcos'altro ma se non sbaglio gli antivirus e cose varie sono sempre operazioni win32 non valide |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/11/2008 : 22:11:41
|
Buona sera, postami il report di avenger appena hai tempo, leggete sempre quello che vi viene scritto, non è per curiosità mia che lo chiedo ma almeno so cosa viene rimosso, vediamo se si è sbloccato per bene, prova a fare questa scansione:
scarica Malwarebytes
- 1) lo installi
- 2) lo aggiorni
- 3) fai una scansione scegliendo la modalità completa
- 4) elimina le eventuali minacce che rileva
- 5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
|
|
|
| |
Discussione |
|
Bagle
Forum Bloccato
