| Autore |
 Discussione  |
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 09:58:56
|
fatto,e' ricomparsa icona "audio" e icona "avvisi di protezione Windows" che mi avverte che nessun antivirus e' installato..
ecco il log di findykill dopo pulizia :
htt*://[www].wikisend[.com]/download/532564/FindyKill2.txt |
Modificato da - sean69 in data 27/12/2008 10:07:19 |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 27/12/2008 : 10:29:07
|
| Buon giorno di nuovo, dammi solo una mezz'ora e ti posto una procedura da fare, il tempo di sistemare una cosa qui che non posso lasciare a metà. |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 10:32:40
|
ok,grazie
intanto,se puo' essere utile,ho rifatto scansione completa con malwarebytes,ecco il log:
htt*://[www].wikisend[.com]/download/546236/mbam-log-2008-12-27%20(10-46-26).txt |
Modificato da - sean69 in data 27/12/2008 10:49:46 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/12/2008 : 11:02:41
|
Rieccomi, findykill ha fatto uno splendido lavoro, ora ti faccio rimuovere delle voci che dovrebbero ancora esserci, fatto questo rifai malwarebytes ed elimina pure tutto direttamente, ora segui la procedura:
scarica questo file che ti ho preparato:
htt*://wikisend[.com]/download/673032/fix.reg lo devi scaricare in c:\
poi
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Se avenger non dovesse funzionare, riscaricalo e rinominalo in pippo.exe e rilancialo.
Dopo la scansione con malwarebytes e dopo aver rimosso tutto, esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Poi scaricati un file di installazione pulito del tuo antivirus e quello di spybot, finite le pulizie dovrai rimuoverli e reinstallarli, per ora non farlo ma evita di navigare al di fuori di Notrace, infine devo farti fare delle verifiche di sistema, sui files nascosti e sul riavvio in modalità provvisoria. |
Modificato da - death in data 27/12/2008 11:03:23 |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 11:08:30
|
| scusa,devo necessariamente assentarmi un paio d'ore,scusami,si risentiamo dopo.. |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 14:48:22
|
eccomi,mi sa' che ho fatto casino(mannaggia a me,la stanchezza in questi giorni prevale su ogni cosa,pardon,mi sono dato una rinfrescata)ho fatto prima pulizia con malwares e poi ho fatto procedimento con avenger...il fatto e' che facendo cosi' al riavvio mi scrive"impossible trovare il file c:/fix.reg,verificare che il percorso ed il nome siano corretti",pero' io ogni volta lo metto in c:(non e' per caso che devo mettere ACER c:/ perche' io l'unita c l'ho chiamata Acer e si visualizza ACER(C:) in esplora risorse??oppure ho fatto casino io???)e quando si riavvia non c'e' piu' in c: e devo rimetterlo con copia e incolla dalla posizione dove l'ho scaricato.scusami tanto,spero non aver fatto danni..ti mando il log di avnger che mi da' al riavvio..che faccio,continuo con i passi successivi??aspettotuo consiglio..
ecco il log
htt*://[www].wikisend[.com]/download/764068/avenger2.txt |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 15:41:02
|
in ogni caso ho rifatto scansione completa con malwares e mi da'"nessun elemento malvevolo trovato"..
ecco il log
htt*://[www].wikisend[.com]/download/886296/mbam-log-2008-12-27%20(15-27-46).txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/12/2008 : 16:10:06
|
Buona sera, non ti preoccupare se hai pasticciato un poco, il file fix.reg viene eliminato da solo  , ora per cortesia rifai la scansione con FindyKill, solo l'opzione 1 e posta il report, poi fai queste verifiche:
visualizzazione files nascosti:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema o “Nascondi i files protetti di sistema”
avvio in modalità provvisoria:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Poi vorrei sapere se ti connetti in wireless, se si, dimmi se la connessione funziona regolarmente, fatto queste verifiche vedo il rapporto di FindyKill poi ti dico come siamo messi, l'ultima variante del bagle è abbastanza rognosetta da rimuovere. |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 16:23:30
|
come scritto sopra,ancora devo fare i passaggi ccleaner,atfcleaner e svuotamento cache ( aspettavo prima tuo consiglio)...
ti mando subito il rapporto di findkill:
htt*://[www].wikisend[.com]/download/109224/FindyKill3.txt
la connessione e' tramite usb e sembra tornata ai livelli di prima del virus,veloce... |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 16:31:08
|
Citazione:
--------------------------------------------------------------------------------
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema o “Nascondi i files protetti di sistema”
qui' tutto a posto,"Visualizza cartelle e files nascosti" era gia' spuntato..
qui' "Non visualizzare cartelle e files di sistema o “Nascondi i files protetti di sistema” ho presenti tutte e 2 le voci,ho tolto la spunta solo a "Nascondi i files protetti di sistema" perhe' era tra i 2 l'unico spuntato( mi ha anche avvertito che era pericoloso toglierla..)
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/12/2008 : 16:40:49
|
| Allora, l'importante è che visualizzi i files nascosti, e da quello che vedo la risposta è positiva, hai un paio di cosette ancora da rimuovere, mi fai findkill in opzione 2, riavvia il pc e poi me la rifai con l'opzione 1 e mi riposti il report, se non li rimuove li tolgo io a mano, prima di fare tutto questo esegui le pulizie per favore. |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 17:09:45
|
ecco il report:
htt*://[www].wikisend[.com]/download/610934/FindyKill6.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/12/2008 : 17:21:15
|
| Sei praticamente sul quasi pulito, appena mi danno tregua un attimo ti preparo l'ultimo avenger, nel mentre prova la modalità provvisoria se non l'hai ancora fatto. |
|
|
|
sean69
Advanced Member
367 Messaggi |
Inserito il - 27/12/2008 : 17:31:45
|
| la modalita' provvisoria va' bene..funziona |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/12/2008 : 17:38:54
|
Eccomi, segui la procedura:
scarica il file fix1.reg e posizionalo in c:\
htt*://wikisend[.com]/download/493936/fix1.reg
esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
folders to delete:
C:\Documents and Settings\sean69\Dati applicazioni\drivers
C:\Documents and Settings\sean69\Dati applicazioni\drivers\downld
programs to launch on reboot:
c:\fix1.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi esegui questa scansione on-line:
htt*://[www].pandasecurity[.com]/homeusers/solutions/activescan/ e postami il report.
Se dopo Panda non ci sono altri problemi puoi reinstallare antivirus e spybot. |
|
|
|
Discussione |
|
Trojan-Downloader.Win32.Bagle.air
Forum Bloccato
