|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
ora aprilo
Copia e incolla nella finestra: "Imput script here" iltesto cosi' come l'ho scritto con la dicitura files to delete:
files to delete:
C:\WINDOWS\WINTEMS.EXE
C:\WINDOWS\MDELK.EXE
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\HIDIRES\FLEC003.EXE
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\FLEC006.EXE
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
@paolopa
scusa non avevo visto il tuo messaggio
se lo hai pronto manda il link
grazie
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
ok era firefox che non mi permetteva di scegliere la destinazione.. con opera ci sono riuscita
e cmq mi dice la stessa cosa: non è un'applicazione di win32 valida
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
ok adesso si è aperto però mi chiede se aggiornare l'archivio
e nella finestra di dialogo:
! Impossibile eseguire "C:\DOCUME~1\MARZIA\IMPOST~1\Temp\Rar$EX07.462\avenger.exe"
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
prova ad eseguirlo con quello script
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
niente da fare
! Impossibile eseguire "C:\DOCUME~1\MARZIA\IMPOST~1\Temp\Rar$EX07.462\avenger.exe"
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
prova se riesci a postarmi hijackthisse non parte vai in start\esegui e digita hijackthis prova se riesci a scaricare malwarebytes
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
malwarebytes mi chiude opera e hjt non parte.. mi sto scoraggiando :((
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
scarica questo file .batsalvalo sul desktop eseguilo con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post. caricalo quinon incollarlo@ paolopa
se hai il link postalo
|
|
Rank: AiutAmico
Iscritto dal : 10/14/2008
Posts: 2,777
|
ti ho inviato per pm,solo che l avevo fatto anche prima e mi sono sbagliato inviandolo al tuo assistito.
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
paolopa
ricevuto e risposto al P.M.
|
|
Rank: AiutAmico
Iscritto dal : 10/14/2008
Posts: 2,777
|
http://forum.wininizio.it/index.php?showtopic=98296&mode=threaded&pid=569799in fondo alla pagina dove c è download malwarebytes exe...è un random e dovresti poterlo scaricare.
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
ho fatto.. spero di avere fatto giusto però
ehm.. scusa l'imbranatezza.. adesso dovrei incollare qui il link x il dl?
riguardo malwarebytes mi chiude opera anche da quel link.
mi avete abbandonata :(
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Prova così: Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella) Poi: Provvedi a svuotare del suo contenuto la cartella Prefetch : clicca su Risorse del Computer clicca su Disco locale C: cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella) SVUOTA IL CESTINO. Poi riesegui ELIBAGLA: (l'unico che hai potuto eseguire, e che hai postato il log) Però questa volta, lo esegui in Modalità Provvisoria. (dovrebbe funzionare) Posta il log. Non confonderlo con quello precedente. Per entrare in Modalità provvisoria, segui questa guida dettagliata: http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
ciao, grazie x l'aiuto
sono riuscita ad entrare in modalità provvisoria, ho fatto la scansione ma l'audio ancora non funziona.. il virus è tenace :(
(20-4-2010 10:31:29 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC003.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\HIDIRES\FLEC003.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\WFSINTWQ.SYS.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\510954.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\535540.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\555368.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\555368.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
(20-4-2010 10:53:40 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLISTART.EXE --> Eliminado Bagle dldr
C:\Qoobox\Quarantine\C\Documents and Settings\DEVIS\Dati applicazioni\drivers\SROSA2.SYS.VIR --> Eliminado Bagle(rootkit)
C:\RECYCLER\S-1-5-21-2000478354-1682526488-1060284298-1003\DC26.EXE --> Eliminado Bagle dldr
C:\RECYCLER\S-1-5-21-2000478354-1682526488-1060284298-1003\DC37.EXE --> Eliminado Bagle dldr
C:\RECYCLER\S-1-5-21-2000478354-1682526488-1060284298-1003\DC38.EXE --> Eliminado Bagle dldr
Nº Total de Directorios: 9417
Nº Total de Ficheros: 85982
Nº de Ficheros Analizados: 16151
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5
(20-4-2010 13:51:23 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC003.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\HIDIRES\FLEC003.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WFSINTWQ.SYS.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\15125909.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\15140310.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\15150194.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\DOWNLD\15150194.EXE --> Eliminado Bagle
Entrada Eliminada [HKCU\...\Run] "flec003.exe"="C:\Documents and Settings\MARZIA\Dati applicazioni\hidires\flec003.exe"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
(20-4-2010 14:12:35 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 9428
Nº Total de Ficheros: 87249
Nº de Ficheros Analizados: 16147
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(20-4-2010 14:57:59 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC003.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\HIDIRES\FLEC003.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WFSINTWQ.SYS.Muestra EliBagle v13.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARZIA\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle.dldr
Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\MARZIA\Dati applicazioni\drivers\winupgro.exe"
Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\wintems.exe"
Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\MARZIA\Dati applicazioni\m\flec006.exe"
Eliminado Servicio, "srosa"
(20-4-2010 15:16:47 (GMT))
EliBagle v13.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Abril del 2010)
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\DEVIS\Dati applicazioni\drivers\WINUPGRO.EXE --> Eliminado Bagle dldr
C:\Documents and Settings\DEVIS\Dati applicazioni\drivers\downld\26342398.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\DEVIS\Dati applicazioni\drivers\downld\26347135.EXE --> Eliminado Bagle
C:\Documents and Settings\DEVIS\Dati applicazioni\drivers\downld\26351571.EXE --> Eliminado Bagle
C:\Documents and Settings\DEVIS\Dati applicazioni\m\FLEC006.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 9444
Nº Total de Ficheros: 87505
Nº de Ficheros Analizados: 16328
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
prova ora ad eseguire findykillcon le istruzioni che ti ho dato nel'altro post usa solo l'opzione 2
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
niente da fare, si riavvia in continuazione il pc. ho dovuto chiudere la finestra di findykill all'avvio
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Lo devi disistallare, e poi reistallare.
Probabilmente, è danneggiato. (come tutti gli altri software di difesa.)
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
ma prima non ero riuscita a scaricarlo, l'ho installato solo adesso..
|
|
Rank: AiutAmico
Iscritto dal : 4/20/2010
Posts: 38
|
sto facendo una scansione online con eset, poi mi è stato suggerito di far girare un certo script con OTMoveIt2. dite di provare o rischio di peggiorare la situazione?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Lascia perdere le indicazioni provenienti fuori da questo topic.Servono solo a metterti in confusione.Prova così: Per eliminare i vari Tooll scaricati: Scarica OTC by OldTimer sul desktop: http://oldtimer.geekstogo.com/OTC.exedoppio clic per eseguirlo Clicca su CleanUp.Ti chiederà di riavviare il pc. Clicca sì. Poi segui queste indicazioni: Scarica Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. Importante: Disabilita il tuo antivirus (Disistallalo, tanto è danneggiato) e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Doppio click su combofix.exe (comparirà una videata.) E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
|
|
|
Guest |
