| Autore |
 Discussione  |
|
slevin82
Senior Member
203 Messaggi |
 Inserito il - 28/01/2009 : 12:44:37
|
ciao ragazzi ho bisogno di aiuto ki mi da una mano?
nn mi fa istallare Hijackthis
questo e rep. di Malwarebytes
htt*://[www].savefile[.com]/files/1984767
|
Modificato da - death in Data 06/02/2009 11:10:45
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/01/2009 : 13:01:28
|
Buon giorno e benvenuto su Notrace, dal report c'e' solo una cosa preoccupante hai una cartella del virus bagle e non riesci ad installare hijackthis, tutte le altre infezioni sono nei punti di ripristino, quindi per ora innocue, ti lascio una procedura da eseguire:
scarica FindyKill
collegate eventuali pen drive e hard disk esterni, doppio click sull'icona del programma e vi appariranno le seguenti opzioni:
1) Recherche des fichiers infectieux >>>>>>>> Ricerca di file infetti
2) Suppression des fichiers infectieux >>>>>>> Elimina i file infetti
3) Desinstaller FindyKill >>>>>>>>>>>>>>>>> Disinstallare FindyKill
4) Quitter FindyKill >>>>>>>>>>>>>>>>>>>> Chiudere FindyKill
premete il tasto 1 e date invio, attendete la schermata finale dovre leggerete che il rapporto si trova in c:\FindyKill.txt |
 |
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 30/01/2009 : 15:01:13
|
| iao ecco il testo da te richiesto htt*://[www].savefile[.com]/files/1987922 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/01/2009 : 15:53:24
|
| Buona sera, ripeti la scansione e seleziona l'opzione 2 poi riesegui la scansione con l'opzione 1 e riposta il report, poi continuiamo le pulizie. |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 31/01/2009 : 10:37:50
|
| buon giorno htt*://[www].savefile[.com]/files/1988905 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/01/2009 : 10:53:56
|
| Buon giorno, non è stato eliminato nulla, ci aggiorniamo nel pomeriggio, ti preparo la procedura per rimuovere tutto, nel mentre non restare connesso con quel pc, è già combinato parecchio male. |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 31/01/2009 : 11:01:33
|
ok a dopo
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/01/2009 : 12:34:20
|
Buon giorno, segui la procedura:
scarica questo file che ti ho prediposto htt*://wikisend[.com]/download/484402/fix.reg lo devi salvare in c:\
scarica Avenger (se non dovesse funzionare, riscaricalo e mentre lo salvi rinominalo in paperoga.exe)
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers\winupgro.exe
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers\srosa2.sys
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers\wfsintwq.sys
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers\winupgro.exe
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers
C:\Documents and Settings\franco.CRIMINAL-EEDD02\Dati applicazioni\drivers\downld
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi al riavvio successivo
scarica elibagla
disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus
lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum |
Modificato da - death in data 31/01/2009 12:35:56 |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 31/01/2009 : 14:35:32
|
| ciao death c'è un piccolo probl nn mi fa partire Avenger ho provato anke a modificare il nome ma nn riesco a farlo partire...mi compare un rettangolo nero x 2 secondi e poi sparisce...ke devo fare? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/01/2009 : 17:06:20
|
| Buona sera, tranquillo, lo avevo messo in preventivo, prova se elibagle funziona, poi fammi sapere. |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 03/02/2009 : 15:13:29
|
ciao ragazzi ecco il log di Hijackthis htt*://[www].savefile[.com]/files/1993085
adesso ti do quello elibagla
|
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 03/02/2009 : 15:15:20
|
htt*://[www].savefile[.com]/files/1993090 elibagla
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/02/2009 : 15:47:30
|
| Buona sera, non ha rimosso nulla, disinstalla il findykill che avevi installato (opzione 3) riscaricalo (sempre da quel link) e reinstallalo, eseguilo e seleziona l'opzione 2 , posta il nuovo report. |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 03/02/2009 : 15:59:07
|
ok ma nn mi fa entrare in internet xcio c'è lo nella penna va bene lo stesso
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/02/2009 : 16:13:56
|
| Se non puoi utilizzare un altro pc, riutilizza quello che hai installato, rifai la scansione con l'opzione 2, prova se riesci ad accedere in modalità provvisoria ed esegui la scansione da li, dubito che te lo faccia fare ma preferisco provare, s enon funziona eseguila in modalità normale. |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 03/02/2009 : 19:42:52
|
|
ma in provvisorio entro come amnistradore ? |
|
|
|
Discussione |
|
Bagle
Forum Bloccato
