- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- virus win32-explorer
-
Sì, online!
Vai qui, effettua l'update e scegli la modalità di scansione "my computer" alla voce "scan"!
Salva il log e riportalo sul forum!
-
Ho scaricato superantispyware e hijackthis li provo?
-
Ciao BANG80,
@BANG80 said:
Ho scaricato superantispyware e hijackthis li provo?
è indispensabile il log di kaspersky per poter individuare tutte le infezioni!!!
-
Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.
Come devo fare?
Scarico una delle tre versioni trial e faccio lo scan?Grazie
-
Ciao BANG80,
@BANG80 said:
Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.
riprova, installando prima Java da qui!
@BANG80 said:
Scarico una delle tre versioni trial e faccio lo scan?
Non serve; bagle, blocca quasi tutti gli antivirus!
Comunque, se non riesci ad effettuare la scansione, scarica da qui, avenger.
Copia/Incolla questo script, nel riquadro bianco "input script here" di avenger:
files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sysfolders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Documents and Settings\ALBERTO\Dati applicazioni\m\
C:\WINDOWS\exefnd
C:\WINDOWS\exefldregistry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 - elimina la spunta su: scan for rootkit "in basso a sinistra"- premi su execute
- rispondi SI alle richieste
- il pc, dovrebbe riavviarsi
- al riavvio, riporta il log
-
Salve a tutti
ho provato averange ma niente da fare per vari motivi:- quando lo lancio dopo pochi secondi si chiude;
- andando a velocità missile per inserire lo script, togliere la spunta e cliccare su execute dopo un paio di si a delle domande mi escono due errori:
1° " error can't open file c:\cleanup.bat (error 2 impossibile trovare il file specificato)"
2° " error cleanup batch aborting execute (errore 6 handle non valido)
Ho provato a scaricare il file da internet ma quando lo scaricavo mi diceva che il file non esisteva però non sò se era problema di internet o se il virus mi cancellava in automatico il fiel cleanup.
ho notato in'oltre che a volte averange mi creava dei file txt in
e un file zip.exe.
Consigli?
-
Ciao BANG80,
proprio tosto il signorino "bagle";
-
Ho aggiornato java alla versione6 ma kaspersky voleva la versione1.5 o inferiore.
A pomeriggio provo a disinstallarlo e installare la versione 1.5.Mi hanno consigliato una procedura diversa da questa:
- start?>esegui>?digitare regedit?>ok.
in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa.
- Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:
del C:\windows\system32\drivers\srosa.sys
del C:\windows\system32\drivers\hldrrr.exe
del C:\windows\system32\drivers\mdelk.exe
del C:\windows\system32\wintems.exe
del /Q C:\windows\system32\drivers\downld*.*
rd C:\windows\system32\drivers\downld
del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m*.*
exit
A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l?avvio da cd.Che ne pensi?
- start?>esegui>?digitare regedit?>ok.
-
Il collegamento per riscaricare avenger non è giusto.
-
Scherzavo è ok.
-
Ciao BANG80,
@BANG80 said:
Mi hanno consigliato una procedura diversa da questa:
Che ne pensi?potrei dirti prova; ma qui non si prova "altrimenti si rischia di fare qualche macello";
il registro di sistema è molto delicato!Con le soluzione che ti ho postato precedentemente, ho rimosso diverse varianti di bagle; poi, sei libero di provare quello che vuoi, ci mancherebbe!
@BANG80 said:
Scherzavo è ok.
-
Non capisco, hai risolto o no?
In caso negativo cancella combofix e riscaricalo.
Prima di salvarlo quando ti chiede dove scaricarlo, rinominalo in 123.exe e seleziona come percorso il desktop.
Avvia combofix e vedi se funziona.
Se si al termine della scansione posta qui il log.
-
Salve
aggiungo solo qualche informazione, oltre a Beagled e Combofix (dello stesso autore:sUBs) c'è ora a disposizione un'altro tool per la rimozione del bagle: FindyKillAggiungo inoltre che alcune varianti inibiscono l'uso di Avenger anche rinominato, ma in questi casi possiamo fare affidamento su: OtMoveIt
-
Ciao JeanGrey, benvenuto e grazie per la segnalazione!
-
Ancora non ho risolto ho provato ad usare beagled ma non va'.
mi riavvia il pc e poi basta non fà niente.Ho provato avenger ma niente di niente si chiude come al solito.
Ora scarico findy kill e otmoveit anche combofix e vi faccio sapere.
Grazie mille a tutti
-
Prima di salvare Combofix ricorda di rinominarlo
Findykill va installato
segui il wizard > Suivant > Dèmarrer > QuitterNota: va utilizzato necessariamente in due step 1 ricerca, successivamente 2 pulizia
il report puoi leggerlo in C:**FindyKill.txt
**una volta terminata la pulizia puoi disinstallare il programma usando l'opzione 3
-
Ciao BANG80,
scarica ed avvia FindyKill come suggerito da JeanGrey, scegliendo l'opzione 1; salva e riporta qui sul forum il log!!!
**Edit: **JeanGrey, stavo rispondendo mentre postavi!
-
@Wolf Otakar said:
**Edit: **JeanGrey, stavo rispondendo mentre postavi!
ma io ho le ali..sono più veloce!
(scherzo)
-
Ragazzi abbiamo vintooooooooooooooooooooooo.
Il bagle è stato eliminato.
Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.
Poi ho avviato find kill e posto il log :
----------------- FindyKill V4.095 ------------------
- User : ALBERTO - PC
- Emplacement : C:\Programmi\FindyKill
- Outils Mis a jours le 31/10/08 par Chiquitine29
- Suppression effectuée à 1:06:36 le 04/11/2008
- Windows XP - Internet Explorer 6.0.2900.2180
((((((((((((((( *** Suppression *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Suppression des fichiers dans
»»»» Suppression des fichiers dans C:\WINDOWS
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch
Supprimé ! - C:\WINDOWS\Prefetch\E_S10MT1.EXE-04FC0A82.pf
Supprimé ! - C:\WINDOWS\Prefetch\E_S10RN1.EXE-1666ACA2.pf
Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-024177C5.pf
Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
Supprimé ! - C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-22FA1A42.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-126F8478.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B7EA69.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-14DE9890.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19301221.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1DF8278B.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E72F1F9.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E85CAC.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-279FB1E9.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2964F09C.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2DDC195D.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A32F2E.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-390B3626.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B08B11A.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B0BC7B0.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D32A1FB.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DA83044.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-427082A1.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42B23AC1.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-473CC9C8.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-498110B1.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A877817.pf
Supprimé ! - C:\WINDOWS\Prefetch\WINZIP32.EXE-0B71F9CD.pf
Supprimé ! - C:\WINDOWS\Prefetch\RESCO EXPLORER 2008.EXE-33382CB8.pf
Supprimé ! - C:\WINDOWS\Prefetch\DW20.EXE-12364FF7.pf
Supprimé ! - C:\WINDOWS\Prefetch\WINZIP120.EXE-20E2FE48.pf
Supprimé ! - C:\WINDOWS\Prefetch\BM-AL_2802_PATCH.EXE-33A8367D.pf»»»» Suppression des fichiers dans C:\WINDOWS\system32
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers
»»»» Suppression des fichiers dans C:\Documents and Settings\ALBERTO\Dati applicazioni
»»»» Suppression des fichiers dans C:\DOCUME~1\ALBERTO\IMPOST~1\Temp
--------------- [ Registre / Clés infectieuses ] ----------------
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Supprimé ! - HKEY_USERS\S-1-5-21-1275210071-1708537768-682003330-1003\Software\Local AppWizard-Generated Applications\winfilse-> Certaines clés ont été supprimées au reboot ...--------------- [ Etat / Redémarage des services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
Ndisuio - Type de démarrage = 3Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Nettoyage des supports amovibles ] ----------------
+- Informations :
- Unit? fissa
- Unit? fissa+- Suppression des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\open\Command--------------- [ Recherche Cracks / Keygen ] ----------------
C:\Documents and Settings\ALBERTO\Recent\ALCOOL 120% 120 V1.9.5.2802 + CRACK.rar.lnk
C:\Documents and Settings\ALBERTO\Recent\crack.nfo.lnk
C:\Documents and Settings\ALBERTO\Recent\Serial + Crack.lnk---------------- ! Fin du rapport ! ------------------
Ho avviato anche ot move it ma niente log anche quì.
Alla fine ho istallato avast l'ho avviato e posto il log finale:
11/04/2008 01:14
Controllo di tutti i drives locali
File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000023.exe e infetto da Win32:Trojan-gen {Other}, Cancellato
File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000059.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000073.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
Numero di cartelle cercate: 4103
Numero files controllati: 28197
Numero files infetti: 311/04/2008 01:43
Controllo di tutti i drives locali
Numero di cartelle cercate: 4025
Numero files controllati: 27959
Numero files infetti: 0Ho anche eseguito ccleaner.
Qualche consiglio?
Prima di spegnere avast mi aveva trovato un processo in memoria che pensava infettato e provava ad eliminarlo chiedendomi di riavviarlo e fare la scansione ma al riavvio non trovava niente ma il pc và benissimo.
-
Ciao BANG80,
@BANG80 said:
Il bagle è stato eliminato.
@BANG80 said:
Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.
Vedi in: C:\Combofix.txt
@BANG80 said:
Qualche consiglio?
Effettua una scansione completa con, malwarebytes!
