| Precedente :: Successivo |
| Autore |
Messaggio |
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
 Inviato: 09 Apr 2008 14:56 Oggetto: elibagla!!!!! |
 |
|
salve a tutti non so che virus abbia preso ma comunque non riesco più ad installare antivirus! i file nascosti sono scomparsi insieme all'opzione "visualizza cartelle e file nascosti" e non riesco ad aprire hijackthis dicendomi "applicazione win32 non valida etc.." seguendo un recente post ho eseguito il programma elibagla con questo risultato:
Wed Apr 09 13:30:47 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Wed Apr 09 13:32:16 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\TaskSwitchXP\TASKSWITCHXP.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 8425
Nº Total de Ficheros: 94223
Nº de Ficheros Analizados: 10028
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Apr 09 13:42:27 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Wed Apr 09 13:46:42 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Wed Apr 09 13:46:49 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 8422
Nº Total de Ficheros: 94175
Nº de Ficheros Analizados: 10025
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Wed Apr 09 14:03:56 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 643
Nº Total de Ficheros: 14126
Nº de Ficheros Analizados: 83
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Wed Apr 09 14:11:34 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
Wed Apr 09 14:11:42 2008
EliBagle v11.23 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Analog Devices\SoundMAX\SMTRAY.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\14706828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\72234.EXE --> Eliminado Bagle
Nº Total de Directorios: 8436
Nº Total de Ficheros: 94153
Nº de Ficheros Analizados: 10042
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5
ma lo stesso eliminando 5 o più file infetti non riesco a fare ciò che ho detto prima, quindi provo il programma suspect file e riporto il risultato:
link
potete aiutarmi per favore? |
|
| Top |
|
 |
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 09 Apr 2008 15:21 Oggetto: |
|
|
| ragzzi UP!!!!!! |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 09 Apr 2008 16:23 Oggetto: |
|
|
qualcuno mi aiutaaaa  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 09 Apr 2008 16:57 Oggetto: |
|
|
Ciao tony900 
il log di systemscan eventualmente lo rifarai dopo;
Scarica e fai girare Combofix tramite questa discussione;
prova a scaricare Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato.
Riprova a fare il log di Hijackthis... |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 10 Apr 2008 13:11 Oggetto: |
|
|
ho fatto come hai detto e riporto quì i risultati:
link
link
hijackthis ancora non si apre! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Apr 2008 20:14 Oggetto: |
|
|
E' rimasto ancora qualcosa:
scarica The Avenger (Nuova versione)
Scompattalo in una sua cartella in c:\
Avvialo e clicca su OK
all'interno del box bianco
Inserisci queste righe:
| Citazione: | Files to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
folders to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
|
Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, si dovrebbe aprire il blocco note con il risultato, altrimenti lo trovi su C:\Avenger.txt
PS: attenzione a non lasciare interlinee inutili esempio:
| Citazione: | Files to delete:
xxxxxxxxxxxxx |
|
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 11 Apr 2008 18:23 Oggetto: |
|
|
| mi dice che lo script nn è valido e l'escuzione è abortita.... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 11 Apr 2008 19:41 Oggetto: |
|
|
Hai controllato che non vi siano interlinee inutili?
mi fai vedere in quanche modo come inserisci lo script? |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 12 Apr 2008 13:42 Oggetto: |
|
|
| scusa sto scrivendo dalla ps3 cmq lo copiato ed incollato cm hai scritto tu ho provato anche a sostituire la scritta %sistem etc. in c: e nulla da fare ho provato anche a sostituire la scritta user etc. nel nome del mio account principale, ma nulla, che dv fare? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Apr 2008 19:12 Oggetto: |
|
|
Va bene,proviamo con Systemscan;
avevo messo lo script completo per sicurezza, ma in realtà la maggior parte sono stati eliminati;
Avvia systemscan clicca su Removal Script;
Nel box, inserisci solo questa:
| Citazione: | files to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\srosa |
clicca su Proceed Removal script e vedi se va;
Hijackthis non parte ancora? |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 13 Apr 2008 12:28 Oggetto: |
|
|
| nente non va neanche con questo script su sistemscan! e hijack this ancora non si apre... oddio... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Apr 2008 12:36 Oggetto: |
|
|
Prova così:
vai su start->esegui e digita regedit;
si aprirà il registro di sistema, naviga attraverso questa chiave:
| Citazione: | | HKEY_LOCAL_MACHINE\system\controlset001\services\srosa |
clicca col destro sulla chiave in grassetto e scegli elimina;
riavvia il PC e controlla nuovamente che non si sia riformata,
prova a vedere se si avvia Hijackthis, al limite prova a scaricarlo nuovamente, ma la nuova versione |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 13 Apr 2008 13:03 Oggetto: |
|
|
allora lo eliminato manualmente come hai detto, e riavviato il pc non è ricomparso, ma ancora la versine vecchia di hijackthis non si apre mentree la nuova si, e avviando la scansione è uscito questo errore
comunque ho cliccato su si ed ha cotinuato ed il log è questo
link
non mi riconosce neanche più i file RAR, gurda questa immagine:
link
e se clicco su apri con.. e seleziono il prog WinRar si apre ma all'interno mi riesce il file rar e non me lo riconosce...
link |
|
| Top |
|
|
tony900
Mortale devoto
Registrato: 09/04/08 14:49
Messaggi: 9
|
| Inviato: 13 Apr 2008 18:22 Oggetto: |
|
|
| UP!!!! per favore! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Apr 2008 20:38 Oggetto: |
 |
|
Intanto utilizza CCleaner; Avvialo e clicca su opzioni->Avanzate, e togli la spunta da "elimina file solo se più vecchi di 48 ore"
Utilizza l'opzione Pulizia e poi clicca su Analizza; alla fine clicca su Avvia Pulizia. Fai la stessa cosa con l'opzione Trova problemi; eliminerà una serie di chiavi di registro inutili;
deframmenta il disco, per farlo anzichè l'utility di sistema utilizza Auslogics disc defrag che è sicuramente superiore;
per quanto riguarda WinRar disinstallalo e scaricalo un'altra volta;
per Avira Antivir scaricalo dal sito ufficiale, però non ho il link sotto mano, quindi dovresti fare una ricerca;
Controlla tutti gli altri programmi se partono e non solo quelli di sicurezza..
il virus potrebbe aver danneggiato anche qualche altro eseguibile... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
