| Autore |
 Discussione  |
|
carler
Junior Member
66 Messaggi |
 Inserito il - 20/01/2009 : 14:14:16
|
Salve a tutti ragazzi! Ho un problema che spero di risolvere, con il vostro aiuto.
Ho un ACER. Da qualche giorno l'avvio del computer è come bloccato, si avvia il sistema operativo (Win xp) e qualche altro programma MA non tutti. Non si avviano l'antivirus (Avira), l'antispyware (spybot) il controller del volume. In più quando cerco di aprire questi programmi, così come CCleaner, Hijackthis, mi compare il messaggio di errore: applicazione win32 non valida. Ma io li ho sempre usati tranquillamente! Non ho modificato nulla eppure non riesco più ad avviarli. .. li ho anche disinstallati e reinstallati tutti ma senza risultato..
Non riesco ad avviare il computer in modalità provvisoria...
In più non riconosce assolutamente gli hard disk esterni. Anzi, credo che me li abbia infettati :cry:
Qualcuno sa dirmi cosa può essere successo o cosa posso fare per capirlo (e risolverlo)?? Grazie.
ho scoperto oggi questo bagle
Ho trovato nel computer i seguenti file:
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\srosa2.sys
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\winupgro.exe
Ho provato ad effettuare una scansione on line con kaspersky ma non ci sono riuscito perchè si blocca (credo ad opera del worm). Ho provato ad installare l'antirootkit gmer ma ancora non funziona (applicazione non valida)....
Il pc non si riavvia in modalità provvisoria.
L'unica scansione che sono riuscito a fare è stata con catchme.exe e questo è il log:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
htt*://[www].gmer.net
scanning hidden processes ...
? [2932]
? [880]
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 2
hidden services: 85
hidden files: 0
(cut by death)
IO NON CI CAPISCO NIENTE.
A proposito del programma findkill, come ho letto sul vostro forum, riuscirei a scaricarlo da un alto computer (perchè il mio non si connette) ma poi non riuscirei a trasferirlo sul mio computer infetto perchè non riconosce le periferiche usb (e credo che me le abbia già infettate)
Non so proprio cosa fare!! Chiedo per favore aiuto. Grazie
i report vanno postati secondo regolamento, i report vanno postati per esteso solo se richiesto da un moderatore. death
|
Modificato da - death in Data 20/01/2009 14:32:34
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 20/01/2009 : 14:29:42
|
Buon giorno e benvenuto su Notrace, ho eliminato l'altra discussione gemella che avevi aperto, appena sono a casa in serata ti posto una procedura, nel mentre vedi se riesci a scaricare questi 3 programmi:
scarica Avenger quando lo salvi rinominalo in pippo.exe
scarica ComboFix
quando lo salvi rinominalo in com_fix.exe
scarica Systemscan
Ci aggiorniamo in serata, nel mentre non girovagare per il web con quel pc mi raccomando. |
 |
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 14:37:24
|
ciao Death. Grazie mille! Scusami per le due discussioni, ma sono nuovo. Ok, provo a scaricare i programmi che mi hai detto. Però non so se riesco a portarli sul computer infetto (che ora è spento) perchè non riconosce le penne usb...
Attendo tuo indicazioni, ti ringrazio. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 14:53:41
|
| Mettili su cd, anche findykill poi li porti nel pc infetto, in qualche modo dobbiamo lavorarci se non riesci a connetterti e scaricarli direttamente. |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 15:03:36
|
| ok. grazie ancora. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 20:12:51
|
Buona sera, vediamo di cominciare le pulizie con il tuo cliente:
procedura 1:
porta FindyKill sul desktop
collegate eventuali pen drive e hard disk esterni, doppio click sull'icona del programma e vi appariranno le seguenti opzioni:
1) Recherche des fichiers infectieux >>>>>>>> Ricerca di file infetti
2) Suppression des fichiers infectieux >>>>>>> Elimina i file infetti
3) Desinstaller FindyKill >>>>>>>>>>>>>>>>> Disinstallare FindyKill
4) Quitter FindyKill >>>>>>>>>>>>>>>>>>>> Chiudere FindyKill
premete il tasto 1 e date invio, attendete la schermata finale dovre leggerete che il rapporto si trova in c:\FindyKill.txt
per rimuovere il bagle, lanciare nuovamente il programma e scegliere l'opzione 2, durante la fase di pulizia il pc potrebbe riavviarsi.
procedura 2:
porta il file di avenger modificato sul desktop, esegui avenger con il nome modificato e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\srosa2.sys
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\winupgro.exe
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Mi raccomando finchè non abbiamo finito non collegarti ad internet con quel pc e non navigarci. |
Modificato da - death in data 20/01/2009 20:13:36 |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 20:59:56
|
Buona Serata a te.
ok, seguo le tue indicazioni... |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 22:32:05
|
Caro death, ho fatto come mi hai detto. Scusa se ti ho fatto attendere...
Questo è il log di Findykill:
###################### [ FindyKill V4.714 ]
# User : Proprietario - ACER-2D60536D59
# Executed from : C:\Programmi\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 22:06:12 the 20/01/2009
# Windows XP - Internet Explorer 7.0.5730.13
# [ FindyKill V4.714 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
(cut)
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-3A83C836.pf
################## [ C:\WINDOWS\system32 ]
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\Proprietario\Dati applicazioni ]
Deleted ! - "C:\Documents and Settings\Proprietario\Dati applicazioni\drivers"
################## [ C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp ]
################## [ C:\Documents and Settings\Proprietario\Local Settings\Temporary Internet Files\Content.IE5 ]
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-294941987-3706862782-3302167259-1003\Software\Local AppWizard-Generated Applications\serial
Deleted ! - HKEY_USERS\S-1-5-21-294941987-3706862782-3302167259-1003\Software\Local AppWizard-Generated Applications\winupgro
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Unit… fissa
D: - Unit… fissa
E: - Unit… CD-ROM
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
2144df1c C:\Qoobox\Quarantine\C\Documents and Settings\Proprietario\Dati applicazioni\drivers\winupgro.exe.vir
ebe38e2fcd97bfaf184cd5386100b529 C:\Qoobox\Quarantine\C\Documents and Settings\Proprietario\Dati applicazioni\drivers\winupgro.exe.vir
Suspect ! - ae871130f2efb8c1cfb9d4d375c86931 C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\1834937.exe
Suspect ! - 2ee1faebb127647063aaef58a992519a C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\643828.exe
Suspect ! - 2ee1faebb127647063aaef58a992519a C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\903421.exe
Suspect ! - 2ee1faebb127647063aaef58a992519a C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\799359.exe
Suspect ! - 2ee1faebb127647063aaef58a992519a C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\15608500.exe
Suspect ! - 2ee1faebb127647063aaef58a992519a C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\16203796.exe
Suspect ! - ebe38e2fcd97bfaf184cd5386100b529 C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP2\A0000024.EXE
Suspect ! - ebe38e2fcd97bfaf184cd5386100b529 C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP2\A0000026.exe
################## [ ! End of report # FindyKill V4.714 ! ]
Questo è il log di avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
htt*://swandog46.geekstogo[.com]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
(cut)
Ti ringrazio ancora. Una domanda: è normale che non mi riconosce ancora l'hard disk esterno (120Gb)? Era collegato prima di findykill (come mi hai detto tu). |
Modificato da - death in data 20/01/2009 22:43:58 |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 22:38:20
|
Nel log di avenger spesso dice "failed, the object does not exist" perchè nel frattempo avevo utilizzato combofix (che li ha cancellati)  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 22:39:29
|
Buona sera, a parte che i report andavano postati secondo regolamento  ci sono ancora delle cose da eliminare, potevi pure dirmi che ti eri già dilettato con combofix, mi puoi postare anche il report di combofix per cortesia (C:\combofix.txt) poi esegui questo tool:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
In quanto all'hard disk esterno per ora non so darti spiegazioni, hai provato a rimuoverlo, riavviare il pc e ricollegarlo? findy è studiato per eseguire la scansione anche sui supporti esterni e non dà di questi problemi, solo per sapere il disco esterno era il d:\?
|
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 23:09:14
|
Scusa non sapevo della procedura dei post 
Certo, ti posto i log di combofix htt*://freefilehosting.net/download/447fa
L'hard disk non era d: e ho provato a scollegarlo riavviare il pc ma niente, neanche su altri computer..che dici?
Faccio il systemscan e te lo posto, questa volta nel modo giusto.. |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 20/01/2009 : 23:23:42
|
ecco il report di systemscan htt*://freefilehosting.net/download/447fc
Che dici? Grazie tante per la pazienza!!  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 08:41:09
|
Buon giorno, findykill e combofix hanno ripulito tutto, non mi è rimasta grossa soddisfazione , eseguimi questo controllo:
abilita la visualizzazione dei file s nascosti:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
e cerca questa cartella: C:\Documents and Settings\Proprietario\Dati applicazioni\driv postami il suo contenuto, mi interessa sapere se ci sono files di questo tipo: 1834937.exe
poi verifica se riesci ad avviare in modalità provvisoria seguendo questo specchietto:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
verifica che la connessione funzioni, specialmente se usi la wireless
In relazione al tuo hard disk, provandolo su piu' pc credo tu abbia avuto la riprova che forse è deceduto, da quello che vedo nel report di findy non ha analizzato nessuna unità esterna, se vedi riporta c:\ e d:\ e ovviamente ha rilevato l'unità ottica, c'e' una cosa che devi controllare ancora, se funzionano le pen drive sul pc, l'autoplay sopratutto, sperando che non siano infette  .
poi disinstalla avira, riavvia il sistema e reinstallalo pulito, non dovresti piu' avere problemi con le applicazioni.
in ultimo esegui questa scansione:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
|
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 21/01/2009 : 20:43:57
|
Buona sera, rispondo al tuo post.
La cartella driv l'avevo rinominata io (era la cartella drivers del worm) nel tentativo di disattivarla, mi sono accorto ieri sera che era piena di file tipo 1834937.exe e li ho cancellati tutti (shift+canc). Ora la cartella non c'è più. Il computer si riavvia in modalità provvisoria, riconosce le pen drive MA non fa l'autoplay quando le inserisco. Come mai?
Avevo reinstallato già ieri sera avira e alla scansione non mi ha rilevato problemi.
Sempre ieri sera ho fatto una scansione in mod provvisoria con malwarebytes ieri sera e il log
non riesco a a trovarlo  . Comnque non mi ha trovato niente.
C'è qualche altra scansione che devo fare secondo te?
Il problema più grosso comunque resta quello dell'hard disk!! Avevo un sacco di dati importanti, è un disastro se non riesco a recuperarlo!! Ho già provato a collegarlo, riavviare, ricollegarlo ma niente. E' un usb 2.0 2.5"
Hai qualche idea? Attendo con ansia...
Grazie mille. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 21:12:42
|
| Buona sera, per le pen drive te lo sistemo io, se non ricordo male hai un valore errato nella chiave di registro dell'autoplay, per l'hard disk esterno se non sei pratico, ti consiglio di portarlo in negozio, lo smontano e provano a montarlo come "slave" su un pc fisso, può essere che si sia solo danneggiato il supporto e non fisicamente il disco, mi spiace solo che sia accaduto in concomitanza dell'infezione, purtroppo non sono i miei programmi di scansione che te l'hanno pensionato. Fammi sapere se visualizzi i files nascosti, domattina ti lascio la procedura per la chiave di registro relativa all'autoplay. |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 21/01/2009 : 21:20:29
|
NO ASSOLUTAMENTE! Non dico che siano stati i tuoi programmi! Anzi quelli mi hanno salvato! Avevo il computer completamente bloccato. Ti devo solo ringraziare. Si, i file nascosti li vedo.
Quindi tu pensi che sia un problema "meccanico o elettrico"?
Pensavo che ci fossero dei programmini per entrare nell'hard disk e salvare almeno alcuni dati, i più importanti. Avevo un sacco di cose dentro!! |
|
|
|
Discussione |
|
Bagle
Forum Bloccato
