PDA

Visualizza versione completa : Penso ho dei virus nel pc..


Muzik
09-09-2008, 19.32.52
Ciao..il mio pc non mi lascia installare nessun antivirus,quando cerco di installarlo un antivirus,quest'ultimo si installa (pero troppo velocemente quasi una frazione di 5 secondi) e infatti quando apro l'antivirus questo mi dice che non e un applicazione di win32...??...e neanche in modalita provvisoria non riesco ad installare nessun antivirus....ho provato diversi tool ma nessuno di questi trovano qualcosa...? e da oggi vedo che il pc va sempre piu lento certe volte...non riesco neanche ad installare gli aggiornamenti necessari...

cascavel
09-09-2008, 19.39.30
probabile infezione da bagle:
vai in questa pagina http://www.zonavirus.com/datos/descargas/95/elibagla.asp in fondo clicca su desgargar elibagla, il tool e' stand alone, salvalo sul desktop, avvialo e fagli fare una scansione completa del sistema scegliendo la voce explorar. allega il log creato C:\infosat al prosimo post.

Muzik
10-09-2008, 17.25.28
allora ho fatto come hai detto tu...ecco il risultato dopo la scansione: io non ci capisco niente..mi daresti una mano per favore?

cascavel
10-09-2008, 17.34.52
avvia nuovamente elibagla come hai fatto prima,subito dopo scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop. Doppio click su combofix.exe, comparirà la seguente videata:
http://img.bleepingcomputer.com/combofix/en/disclaimer.jpg

prima di fare questa operazione esci dalla rete e spegni il tuo antivirus
premi 1, premi Invio e segui le indicazioni.
al termine, verrà creato un file log chiamato C:\ComboFix.txt.
allega i due log creati al prossimo post in formato .TXT

p.s. anche combofix e' stand alone...

Muzik
10-09-2008, 18.07.27
quando cerco di scaricare Combofix...mi si blocca al 99%..?? e dopo il sistema mi va in crash e devo riavviare il pc

cascavel
10-09-2008, 18.25.01
scaricalo da qui http://www.wikifortio.com/832845/ComboFix.exe

Muzik
10-09-2008, 18.55.52
scusami ma proprio non riesco a scaricarlo da nessuna parte Combofix...mi si blocca sempre al 99%..e poi devo per forza riavviare il pc xke tutto il sistema si blocca

Muzik
10-09-2008, 19.00.20
scusa..ho letto su un altro forum che prima di scaricare Combofix devo rinominarlo in tipo:(abc.exe)..e adesso sono riuscito a scaricarlo...ma ora che devo fare?Grazie x l'aiuto e la pazienza che mi stai dando

cascavel
10-09-2008, 19.54.45
rinomina combofix prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start,esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto, durante la scansione non fare nient'altro con il pc

Muzik
10-09-2008, 20.00.03
ecco ho fatto la scansione con Combofix:di seguito ti allego il file

Muzik
10-09-2008, 20.00.59
e adesso ti allego anche l'altro file di elibagla...::

cascavel
10-09-2008, 20.30.08
fai quest'ultima cosa: scarica avenger http://swandog46.geekstogo.com/avenger.zip salvalo all'interno di una cartella , scompattalo ed avvialo: copia questo script all'interno del box bianco in avenger

Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe

Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.X XX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe

Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ros a
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key

replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

premi execute
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Allega il log che verrà creato in C:\Avenger

Muzik
10-09-2008, 21.17.40
scusa ma ho un po di paura..cosi facendo non rovinero il pc...o canccellero qualche file...vero??

cascavel
10-09-2008, 21.21.41
no, quelle sono solo voci relative a residui di bagle, file e cartelle aggiunte dal malware, se ci fossero verrebbero eliminate solo quelle trovate. non puoi rovinare nulla procedi con tranquillita'....

Muzik
10-09-2008, 21.38.55
ciao...ecco qua il file di avenger (avevi ragione non e successo niente..il pc funziona ancora :jump: :act: ) ed ora cosa devo fare

cascavel
10-09-2008, 21.57.15
ciao...ecco qua il file di avenger (avevi ragione non e successo niente..il pc funziona ancora :jump: :act: ) ed ora cosa devo fare
tutto ok, cosa sarebbe dovuto succedere? , alcune eliminazioni, reinstalla il tuo antivirus e i tuoi sistemi di sicurezza(antispyware, firewall ecc.) ora dovresti riuscire a farlo.

p.s. per sicurezza ulteriore una volta installato l' antivirus disattiva il ripristino http://www.megalab.it/articoli.php?id=510 ed esegui una scansione completa del sistema, ciao ;)

Muzik
10-09-2008, 21.59.51
..e tutto finito adesso...che antivirus mi raccomandi di installare...e il firewall.....??..mi consiglieresti qualcosa di buono...P.S ora posso anche fare gli aggiornamenti??

cascavel
10-09-2008, 22.07.31
pulisci il sistema con questo http://www.megalab.it/articoli.php?id=1161 come antivirus http://www.free-av.de/ , come firewall http://www.personalfirewall.comodo.com/, come antispyware http://www.superantispyware.com/?tag=GOOGLE-SUPERANTISPYWARE. se hai problemi per gli aggiornamenti seglalalo in sistemi operativi.

p.s. mi raccomando: una volta installato ed aggiornato l'AV disattiva il ripristino ed esegui la scansione completa.

p.p.s. elimina pure combofix, la cartella di backup di combofix qoobox .tieni avenger che puo' sempre servire, ciao

Muzik
11-09-2008, 14.56.25
Grazie ora il mio pc e a prova di bomba (speriamo)...