Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Non mi funziona più nessun Sftware per la sicurezza del computer. Win XP Opzioni
domino
Inviato: Friday, January 30, 2009 4:30:41 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Non so proprio più cosa fare. Penso che tutto ciò sia a causa dell'apertura di file sospetti scaricati da internet.
Mi succede che non si aprono più i programmi: Avast! Antivirus, ZoneAlarm, CCleaner, Spybot, TuneUp Utilities (solo una parte),
Spybot e Windows Defender. (da un mese avevo anche "Spyware Terminator" che poco prima succeda il danno, lo avevo levato)
Non si aprono ed esce una tabella che visualizza il percorso richiamato e di seguito dice: "non è un'applicazione di Win32 valida".
Ho provato a disinstallare ZoneAllarm ma si è concellato solo su "installazione applicazioni" e i file del programma sono rimasti nella cartella.
Ho disinstallato Avast, bene, poi reinstallato ma fa lo stesso difetto.
Poi ho provato a far partire Windows in modalità provvisoria ma non va, così mi son dovuto fermare.
Cosa posso fare? Aiutatenmi, grazie! Renato
Sponsor
Inviato: Friday, January 30, 2009 4:30:41 PM

 
shapiro
Inviato: Friday, January 30, 2009 4:35:20 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao

molto sicuramente sei stato colpito dal bagle

scarica ► http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Doppio click sull'icona Findykill per avviare l'installazione:
Inserisci la prima spunta per accettare la licenza e prosegui > Suivant
Clicca su "Si" per destinare una cartella al programma
Clicca su Dèmarrer > Quitter per terminare l'installazione.
Cerca l'icona del programma sul desktop o in programmi ed eseguilo
Dovrai usare prima il tasto 1 (invio) per la ricerca e successivamente il tanto 2 (invio) per la pulizia.
Il report delle operazioni effettuate lo trovarai in C:\FindyKill.txt
Allega il rapporto nella tua risposta.


Durante la pulizia ci saranno dei riavvi. e' normale



Per ora cerca di non connetterti ad altri siti internet ( a parte aiutamici) e dammi delle informazioni su quello che accade - se ci sono problemi sono qui

domino
Inviato: Friday, January 30, 2009 5:02:58 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Ciao Shapiro,
Purtroppo non mi esegue neanche questo programma, stessa scritta.
shapiro
Inviato: Friday, January 30, 2009 5:04:56 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
lo hai scaricato e non lo puoi eseguire.....giusto?

qual'e' il tuo sistema operativo?
domino
Inviato: Friday, January 30, 2009 5:14:33 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
è Windows XP
shapiro
Inviato: Friday, January 30, 2009 5:20:22 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
scarica questo file

http://wikisend.com/download/928298/SafeBoot.zip

doppio click, accetta le modifiche al registro, riavvia e dimmi se riesci ad accedere alla provvisoria
domino
Inviato: Friday, January 30, 2009 5:44:27 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Niente da fare, come prima
shapiro
Inviato: Friday, January 30, 2009 5:49:13 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
prova a scaricare il programma da qui

http://wikisend.com/download/224734/FindyKill.exe

shapiro
Inviato: Friday, January 30, 2009 6:10:10 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
scarica questi programmi-

se non riesci a scaricarli direttamente, prendili da un altro pc tramite pen drive, cd o floppy e portali sul pc infetto

scarica

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


http://swandog46.geekstogo.com/avenger.zip



lasciali sul desktop- attendo tue notizie
domino
Inviato: Friday, January 30, 2009 6:36:19 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Eccomi quà, questo è quello che sono riuscito di fare.
Non mi ha fatto inserire il 2 perchè ha terminato prima. Comunque vedi tu.


###################### [ FindyKill V4.715 ]

# User: Renato - BRSRNT
# Executed from : C:\Programmi\FindyKill
# Update on 29/01/09 by Chiquitine29
# Start at 18:15:50 the 30/01/2009
# Windows XP - Internet Explorer 7.0.5730.11

# [ FindyKill V4.715 - Scan ] ##############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Seagate\Schedule2\schedul2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe
C:\WINDOWS\Dit.exe
C:\Programmi\Lexmark X6100 Series\lxbfbmon.exe
C:\Documents and Settings\Renato\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Rainlendar\Rainlendar.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Renato\Dati applicazioni\m\flec006.exe
C:\WINDOWS\system32\wintems.exe

\\\\\\\\\\\\\\\\\\ [ Infected processes stopped ] ///////////////////


"C:\Documents and Settings\Renato\Dati applicazioni\drivers\winupgro.exe" (2340)
"C:\Documents and Settings\Renato\Dati applicazioni\m\flec006.exe" (3160)
"C:\WINDOWS\system32\wintems.exe" (3632)


\\\\\\\\\\\\\\\\\\ [ Infected files / folders ] ///////////////////


################## [ C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\Prefetch ]

Found ! - C:\WINDOWS\prefetch\3075375.EXE-250DA6F4.pf
Found ! - C:\WINDOWS\prefetch\3087734.EXE-22A3314A.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-068DEE89.pf
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-2DD8C4FE.pf

################## [ C:\WINDOWS\system32 ]

Found ! [30/01/2009 17.56] - C:\WINDOWS\system32\mdelk.exe
Found ! [30/01/2009 17.56] - C:\WINDOWS\system32\wintems.exe
Found ! [30/01/2009 17.56] - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\Documents and Settings\Renato\Dati applicazioni ]

Found ! [30/01/2009 17.42] - "C:\Documents and Settings\Renato\Dati applicazioni\m\flec006.exe"
Found ! [30/01/2009 17.43] - "C:\Documents and Settings\Renato\Dati applicazioni\m\list.oct"
Found ! [30/01/2009 17.43] - "C:\Documents and Settings\Renato\Dati applicazioni\m\data.oct"
Found ! [30/01/2009 17.43] - "C:\Documents and Settings\Renato\Dati applicazioni\m\srvlist.oct"
Found ! [30/01/2009 17.44] - "C:\Documents and Settings\Renato\Dati applicazioni\m\shared"
Found ! [30/01/2009 02.37] - "C:\Documents and Settings\Renato\Dati applicazioni\m"
Found ! [30/01/2009 00.54] - "C:\Documents and Settings\Renato\Dati applicazioni\drivers"
Found ! [30/01/2009 17.40] - "C:\Documents and Settings\Renato\Dati applicazioni\drivers\srosa2.sys"
Found ! [30/01/2009 17.40] - "C:\Documents and Settings\Renato\Dati applicazioni\drivers\wfsintwq.sys"
Found ! [24/05/2004 07.07] - "C:\Documents and Settings\Renato\Dati applicazioni\drivers\winupgro.exe"
Found ! [30/01/2009 17.56] - "C:\Documents and Settings\Renato\Dati applicazioni\drivers\downld"

################## [ C:\DOCUME~1\Renato\IMPOST~1\Temp ]


\\\\\\\\\\\\\\\\\\ [ Registry / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ATnotes.exe=C:\Programmi\ATnotes\ATnotes .exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Lexmark X6100 Series="C:\Programmi\Lexmark X6100 Series\lxbfbmgr.exe"
Dit=Dit.exe
Windows Defender="C:\Programmi\Windows Defender\MSASCui.exe" -hide
ZoneAlarm Client="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\ATnotes ]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\setup]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Viewer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////


Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-1140415071-1880152587-3647918729-1005\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

\\\\\\\\\\\\\\\\\\ [ States / Services ] ///////////////////

# Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Safe boot mode not available !!

# Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Safe boot mode not available !!

# Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Safe boot mode not available !!


# Services : [ Auto=2 / Request=3 / Disable=4 ]

/!\ Ndisuio - # Type of startup = 4

EapHost - # Type of startup = 3

/!\ Ip6Fw - # Type of startup = 4

/!\ SharedAccess - # Type of startup = 4

/!\ wuauserv - # Type of startup = 4

/!\ wscsvc - # Type of startup = 4

/!\ WinDefend - # Type of startup = 4


\\\\\\\\\\\\\\\\\\ [ Searching in removable drives ] ///////////////////


# Informations :

C: - Unit… fissa

D: - Unit… fissa

K: - Unit… fissa


# Presence of files :



\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////


-> Not found !


################## [ ! End of report # FindyKill V4.715 ! ]
shapiro
Inviato: Friday, January 30, 2009 6:47:57 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
vedi se riesci a lanciare nuovamente il programma e scegli l'opzione 2- ha trovato parecchie infezioni, ora dobbiamo pulirle

se non dovessi riuscirci, scarica Avenger da qui

http://swandog46.geekstogo.com/avenger.zip

lo installi e lo lanci

Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto:




Files to delete:
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\srosa2.sys
C:\Documents and Settings\Proprietario\Dati applicazioni\drivers\winupgro.exe
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe

Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe



Spunta "Automatically disable any rootkits found"

clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

posta il log di avenger che trovi in c:\


domino
Inviato: Friday, January 30, 2009 8:07:27 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Eccomi, ma purtroppo con esiti per niente buoni.
Con FindyKill e sempre uguale, ad un certo punto finisce con delle scritte che scorrono veloci una parte di cio che dice
....errore impossibile trovare la chiave del registro... e poi esce una tabella dal titolo "Windows - Disco non presente" con all'interno dei dati
e tre pulsanti -Annulla - Riprova - Continua - le quali schiacciandole, dopo molte volte la si fa scomparire. E forma quel logo visto.
Invece Avenger, lo clicco per farlo partire ma si blocca e devo chiuderlo con la Task Manager.
shapiro
Inviato: Friday, January 30, 2009 8:17:52 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
prova se riesci a scaricare ed installare questo programma, altrimenti dobbiamo andare avanti a mano

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

prima di continuare, attendo una conferma
antonpaco
Inviato: Friday, January 30, 2009 8:21:23 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
forse e' qualche ultima versione di bagle, che programma hai scaricato e da dove ultimamente? te lo chiedo perche' un collega ha preso il bagle da emule ed ha il tuo stesso problema, cioe' i programmi che ti indica shapiro non vanno mentre per altyre versioni di bagle hanno funizonato.
domino
Inviato: Friday, January 30, 2009 8:32:58 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Anche questo si blocca.
Si, ho scaricato da emule dei file eseguibili che da fesso che sono stato ne ho aperti.
shapiro
Inviato: Friday, January 30, 2009 8:34:56 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
domino una domanda: si blocca il download o il programma?
domino
Inviato: Friday, January 30, 2009 8:41:45 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Il programma
domino
Inviato: Friday, January 30, 2009 8:43:02 PM

Rank: Member

Iscritto dal : 2/13/2004
Posts: 16
Il programma
shapiro
Inviato: Friday, January 30, 2009 8:46:25 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
disabilita il ripristino e lascialo disabilitato fino a quando te lo dico

Per disattivare il ripristino di sistema vai su :
Start/tasto destro del mouse su risorse del computer/proprietà/Ripristino configurazione del sistema/e metti la spunta su "disattiva ripristino configurazione del sistema



prova di nuovo ad accedere alla provvisoria - vedi se ora funziona
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.