|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
Ciao ragazzi,
sab sera ho fatto una enorme caz......
Ho scaricato un antivirus a detta di molti superiore a quello che avevo preinstallato sul portatile e .... probabilmente l'eseguibile non era l'installer ma un Beagle...
Per farla breve:
Connessione a internet bloccata
antivirus sparito
vari tools antivirus non si aprono
Ho passato la domenica scaricando altri tool consigliati sui vari forum ma: esito negativo!
Rispetto ad altri che hanno problemi simili io almeno riesco a partire in modalità provvisoria e mi pare già un aiuto...
Alcuni tool utilizzati mi hanno trovato schifezze e le hanno pulite, ma la radice permane in quanto se vado in modalità normale i tool continuano a non partire e, la rete non si abilita nemmeno lanciando un eseguibile che ho pescato in rete per riattivare la funzionalità...
Dimenticavo, sto parlando di un portatile Acer con un mese di vita e Vista Home Premium preinstallato (al rigurda colgo l'occasione per farvi un ulteriore domanda: su altri portatili acquistati tempo addietro vi è sempre stato nella confezione un disco di ripristino col sistema in modo che, in caso di crash.....su questo pc nulla solo vista preinstallato.....)
Chiedo quindi ai luminari del forum di venirmi incontro....e li ringrazio comunque anticipatamente...
Fino ad ora ho scansionato e pulito con: elibagla - norman - cureit, altri come il famoso Avenger non si aprono...
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
ciao e benvenuto sul forum prova se riesci a scaricarlo da qui http://wikisend.com/download/507332/avenger.zipse dovessi riuscirci, lancialo e segui questa procedura: Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto: files to delete:
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\wintems.exe
c:\Windows\System32\drivers\hldrrr.exe
c:\Windows\System32\drivers\mdelk.exe
folders to delete:
c:\Windows\System32\drivers\downld
c:\Windows\exefld
c:\Windows\exefnd
c:\Windows\exefqd
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\srosaSpunta "Automatically disable any rootkits found" clicca sul pulsante "Execute" Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente posta il log di avenger che trovi in c:\ aspetto una tua risposta
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
grazie mille della veloce disponibilità...
pausa pranzo vado a casa e posto...
devo eseguire in provvisoria deduco ?
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
se riesci in provvisoria e' meglio
se non dovesse funzionare il programma, devi eliminare i file e le cartelle a mano ( sono quelli che ti ho scritto in rosso)
attendo una tua conferma per poter continuare
ciao
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
ecco, di seguito il risultato:
ora il pc qui accanto, quindi posso eseguire immediatamente...
--> the object does not exist
Error: folder "c:\Windows\exefld" not found!
Deletion of folder "c:\Windows\exefld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "c:\Windows\exefnd" not found!
Deletion of folder "c:\Windows\exefnd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "c:\Windows\exefqd" not found!
Deletion of folder "c:\Windows\exefqd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
disattiva il ripristinofai una scansione online con kaspersky http://www.kaspersky.com/virusscanner1. Clicca su Kaspersky Online Scanner 2. Clicca su Accept 3. Partirà un Update 4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer 5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop. Per la scansione è richiesta l'installazione del java. se ci riesci falla da modalita' provvisoria prima di fare la scansione, postami anche un log di hijackthis
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
la farei de non avessi la connessione bloccata...
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
giusto non avevo pensato a questo scarica questo programma e lancialo http://wikisend.com/download/909450/alopew.exeaccertati che ci sia la spunta su ELIMINAR FICHEROS AUTOMATICAMENTE e avvia la scansione cliccando su EXPLORAR alla fine posta il rapporto che ti rilascia postami per favore anche un log di hjt
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
lo avevo già fatto ieri, ora lo sto rifacendo solo che devo confermare di continuo perche dice che non ho accesso a dei files......cmq sto procedendo....
hjt non parte...
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
prova con START\ESEGUI digitando hijackthis e dai invio
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
mi devi scusare ma prima di 1 mese fa usavo solo Xp, di vista ne so poco...
ragion per cui: start esegui in vista ???
libagla ha terminato, nulla di trovato...dove lo mette il file di log???
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
trovi il log in C:\InfoSat.txt.
pensavo avessi xp
dobbiamo fare altro se sei pronto continuiamo
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
vedi se riesci a scaricare dr web altrimenti te lo invio tramite un server ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe se hai avenger sul desktop lancialo di nuovo, copia/incolla tutto lo script in rosso nel box bianco Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSASpunta "Automatically disable any rootkits found" e clicca su "execute". Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
la vedo nera  nessun file col nome che mi hai dato in C... Certo che sono pronto per altro: ho alternative :-)
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
sto scaricando il file che hai detto...
anche avenger mi risponde: applicazione di Win32 non valida...
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
prima eri riuscito ad usarlo avenger
prova a rinominarlo in abc.exe
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
drweb ha scansionato in automatico in modalità express e non ha trovato nulla...
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
bene- ora scegli la scansione completa e lascialo lavorare
elimina tutto cio' che trova
|
|
Rank: Newbie
Iscritto dal : 11/24/2008
Posts: 0
|
sono riuscito a far partire avenger copiandolo direttamente dalla chiavetta al disco c, questo è il risultato:
Deletion of folder "C:\WINDOWS\exefld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Users\ALE\Dati applicazioni\hidires" not found!
Deletion of folder "C:\Users\ALE\Dati applicazioni\hidires" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Users\ALE\Dati applicazioni\hidn" not found!
Deletion of folder "C:\Users\ALE\Dati applicazioni\hidn" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not open folder "C:\Users\ALE\Dati applicazioni\m\shared"
Deletion of folder "C:\Users\ALE\Dati applicazioni\m\shared" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: folder "C:\Users\ALE\Dati applicazioni\m" not found!
Deletion of folder "C:\Users\ALE\Dati applicazioni\m" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\WINDOWS\System32\drivers\down" not found!
Deletion of folder "C:\WINDOWS\System32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\WINDOWS\system32\drivers\downld" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\downld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\rosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\rosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\m_hook" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\m_hook" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
non penso serva a molto.....
cmq ho messo il drweb in scansione completa...
|
|
|
Guest |
