www.MegaLab.it

da **figio87** » mer feb 20, 2008 5:30 pm

log di KAV

da **ste_95** » mer feb 20, 2008 6:22 pm

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\windows\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\kbdbenev.dll C:\WINDOWS\system32\drivers\MS1000.sys C:\WINDOWS\system32\kbdbenev.dll.bak C:\WINDOWS\system32\Smab0.dll C:\WINDOWS\system32\d3d9caps.dat C:\WINDOWS\system32\drivers\exhapvxy.dat C:\WINDOWS\system32\libssl32.dll C:\WINDOWS\system32\libeay32.dll C:\WINDOWS\system32\oleaut32.dll C:\WINDOWS\system32\dllcache\oleaut32.dll C:\WINDOWS\system32\drivers\tnqxturl.sys C:\WINDOWS\system32\wssec.exe C:\WINDOWS\system32\1D.tmp C:\WINDOWS\system32\DRIVERS\VX1000.sys Folders to delete: C:\WINDOWS\system32\drivers\down C:\!KillBox C:\DOCUME~1\STEFANO\IMPOST~1\Temp Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Services\LEGACY_WGPCQYES HKLM\SYSTEM\CurrentControlSet\Services\wgpcqyes HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086}

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Poi esegui nuovamente le scansioni con HijackThis, GMER e ComboFix.

da **figio87** » gio feb 21, 2008 8:53 am

m'è andato in pappa il computer e non riesco a fare più niente.
mi dice dopo che riavvio
"impossibilie avviare l'applicazione specificata.OLEAUT32.dll non è stato trovato. una installazione del file potrebbe riolvere il problema"
non riesco a far niente a apreire documenti,start,riesco olo a fare il task manager.

da **ste_95** » gio feb 21, 2008 1:15 pm

Dal Task Manager prova ad avviare explorer (File -> Nuova Operazione -> explorer) vedi se ricompare il desktop.

da **figio87** » gio feb 21, 2008 1:32 pm

purtroppo continua a farmi riapparire quell'avviso
e poi devo ho provato a scrivere explorer explorer.exe
ma non fa niente oltre a dirmi che non trova la componente scrivendomi il messagiio di prima

da **ste_95** » gio feb 21, 2008 2:01 pm

Procuratisystemscane scansiona il sistema. Alla fine, carica il log su www.freefilehosting.net e postane qui il link che ti viene assegnato.

da **figio87** » gio feb 21, 2008 2:17 pm

io posso anche scaricarlo sulla chiavetta usb (ora ti sto scrivendo da un portatile)e provare ad aprirlo sul computer danneggiato
ma non lo apre.
mi scrive 10 volte quella cosa e non mi fa fare quasi niente.
ho cercato i file backup di avenger e ho trovato quel file lì che lui dice di non trovare "oleaut32" ma essendo .dll come faccio ad aprirlo o ripristinarlo?

da **ste_95** » gio feb 21, 2008 2:20 pm

Scaricalo da qui:

http://www.dll-files.com/dllindex/dll-f ... l?oleaut32

da **figio87** » gio feb 21, 2008 2:32 pm

ok grande!
grazie mille mi ero spaventato di brutto!

ecco qui avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cqbowppf

*******************

Script file located at: \??\C:\Program Files\ksiahomv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034

File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe not found!
Deletion of file C:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\windows\system32\drivers\hldrrr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

Could not open file C:\WINDOWS\system32\kbdbenev.dll for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll
Status: 0xc0000022

File C:\WINDOWS\system32\drivers\MS1000.sys deleted successfully.

Could not open file C:\WINDOWS\system32\kbdbenev.dll.bak for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll.bak failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll.bak
Status: 0xc0000022

File C:\WINDOWS\system32\Smab0.dll deleted successfully.
File C:\WINDOWS\system32\d3d9caps.dat deleted successfully.

Could not open file C:\WINDOWS\system32\drivers\exhapvxy.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\exhapvxy.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\exhapvxy.dat
Status: 0xc0000022

File C:\WINDOWS\system32\libssl32.dll deleted successfully.
File C:\WINDOWS\system32\libeay32.dll deleted successfully.
File C:\WINDOWS\system32\oleaut32.dll deleted successfully.
File C:\WINDOWS\system32\dllcache\oleaut32.dll deleted successfully.

File C:\WINDOWS\system32\drivers\tnqxturl.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\tnqxturl.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\tnqxturl.sys
Status: 0xc0000034

File C:\WINDOWS\system32\wssec.exe not found!
Deletion of file C:\WINDOWS\system32\wssec.exe failed!

Could not process line:
C:\WINDOWS\system32\wssec.exe
Status: 0xc0000034

File C:\WINDOWS\system32\1D.tmp not found!
Deletion of file C:\WINDOWS\system32\1D.tmp failed!

Could not process line:
C:\WINDOWS\system32\1D.tmp
Status: 0xc0000034

File C:\WINDOWS\system32\DRIVERS\VX1000.sys deleted successfully.

Folder C:\WINDOWS\system32\drivers\down not found!
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc0000034

Folder C:\!KillBox deleted successfully.
Folder C:\DOCUME~1\STEFANO\IMPOST~1\Temp deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\LEGACY_WGPCQYES not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\LEGACY_WGPCQYES failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\LEGACY_WGPCQYES
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\wgpcqyes not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\wgpcqyes failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\wgpcqyes
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086} failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cqbowppf

*******************

Script file located at: \??\C:\Program Files\ksiahomv.txt

Script file not found! Error

Could not open script file! Status: 0xc0000034 Abort!

adesso faccio hijackthis, gmer e combofix e ti invio i log

da **figio87** » gio feb 21, 2008 3:47 pm

ecco i log richiesti

http://www.freefilehosting.net/download/3cba5

da **ste_95** » gio feb 21, 2008 3:57 pm

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Registry keys to delete: HKLM\SYSTEM\ControlSet003\Services\wgpcqyes HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086}

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Poi dal MegaLabCD cancella i seguenti file e cartelle:

Codice: Seleziona tutto: c:\windows\system32\kbdbenev.dll c:\windows\system32\kbdbenev.dll.bak C:\WINDOWS\system32\drivers\exhapvxy.dat C:\WINDOWS\system32\drivers\exhapvxy.dat.bak C:\WINDOWS\system32\drivers\tnqxturl.sys C:\DOCUME~1\STEFANO\IMPOST~1\Temp\gtermddo.sys C:\WINDOWS\system32\DRIVERS\VX1000.sys

da **figio87** » gio feb 21, 2008 11:38 pm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jonmmoaj

*******************

Script file located at: \??\C:\Program Files\cwwchkwc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\ControlSet003\Services\wgpcqyes not found!
Deletion of registry key HKLM\SYSTEM\ControlSet003\Services\wgpcqyes failed!

Could not process line:
HKLM\SYSTEM\ControlSet003\Services\wgpcqyes
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1F9F1983-2C24-46F5-86D6-606C3D202086} failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

da **ste_95** » ven feb 22, 2008 7:02 am

La procedura dal MegaLabCD è riuscita?

da **figio87** » ven feb 22, 2008 12:11 pm

no la procedura non è andata bene.

Poi dal MegaLabCD cancella i seguenti file e cartelle:

Codice:
c:\windows\system32\kbdbenev.dll non c'è
c:\windows\system32\kbdbenev.dll.bak impossibile eliminarlo
C:\WINDOWS\system32\drivers\exhapvxy.dat impossibile eliminarlo
C:\WINDOWS\system32\drivers\exhapvxy.dat.bak non c'è
C:\WINDOWS\system32\drivers\tnqxturl.sys non c'è
C:\DOCUME~1\STEFANO\IMPOST~1\Temp\gtermddo.sys non c'è
C:\WINDOWS\system32\DRIVERS\VX1000.sys non c'è

_________________

da **ste_95** » ven feb 22, 2008 2:25 pm

Come ti notifica l'impossibilità di eliminarlo.

da **figio87** » sab feb 23, 2008 9:28 am

accesso negato per tutti e due i file.

da **ste_95** » sab feb 23, 2008 9:32 am

Da Windows fai una ricerca nel registro per questi file e notificaci dove trovi dei riferimenti:

C:\windows\system32\kbdbenev.dll
C:\windows\system32\kbdbenev.dll.bak
C:\WINDOWS\system32\drivers\exhapvxy.dat

da **figio87** » sab feb 23, 2008 11:48 am

scusa ste ma non ho capito...
devoandare in cerca e scrivere per esempio "kbdbenev.dll.bak" e cercarlo in C?

da **figio87** » dom feb 24, 2008 4:58 pm

Ste,non ho capito dove devo cercare i riferimenti e come.

Ciao
grazie

da **ste_95** » dom feb 24, 2008 6:11 pm

Accedi al registro di sistema (Start -> Esegui -> regedit), menù Modifica, seleziona la voce Trova e uno per uno immetti i percorsi che ti ho elencato prima. Riporta qui quello che trovi.

www.MegaLab.it

win32/trojanclicker.delf NAZ non rimovibile

Chi c’è in linea