www.MegaLab.it

[ste_95]

Se la scansione non rileverà nulla, prova a reinstallare un antivirus diverso, o scarica un'altra copia di quello che possiedi già.

[linho72]

Questo è il risultato della scansione con kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, January 30, 2008 6:42:52 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 29/01/2008
Kaspersky Anti-Virus database records: 500761
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\

Scan Statistics:
Total number of scanned objects: 102209
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:13:33

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson\user.dmp Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtETmp\B534AA73.TMP Object is locked skipped
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Symantec\LiveUpdate\2008-01-29_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped
C:\Documents and Settings\Lino\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Cronologia\History.IE5\MSHist012008012920080130\index.dat Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temp\2815885145.exe Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\8VECAZ0C\120x600[1].swf Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\PIGJYKEN\boxpromo_tgcom[1].swf Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\R57WL0C6\elaborazione_dati[1].swf Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\R57WL0C6\scroller_css[1].css Object is locked skipped
C:\Documents and Settings\Lino\Impostazioni locali\Temporary Internet Files\Content.IE5\R57WL0C6\webank_250x250bgennaio[1].swf Object is locked skipped
C:\Documents and Settings\Lino\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Lino\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService.NT AUTHORITY\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{A9164819-58A0-43CF-9B3B-EABFCE9FCEC9}.crmlog Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_744.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.


Rimango in attesa di vostre istruzioni.
Grazie

[ste_95]

Kaspersky non ha trovato nulla, prova a installare un altro antivirus.

[linho72]

Ho dimenticato di dirti che purtroppo nel registro di sistema c'è ancora questa chiave:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Si può provare a cancellarla entrando in modalità provvisoria?

[crazy.cat]

prova a installare un altro antivirus.

Confermo, hai provato a installare un altro antivirus?
Magari il file di installazione che stavi usando è stato danneggiato e non riesci a reinstallarlo per quello.
Per il momento lasciamo stare le chiavi di registro.

[linho72]

RAGAZZI sono riuscito ad installare Avira Antivir PE..... è già qualcosa.
Appena installato mi ha rilevato il seguente file sospetto:
C:Programmi\WinBudget\bin\matrix.dll

Ora cosa posso fare per completare la pulizia?
Mi potete suggerire anche qualche firewall da poter utilizzare?

Grazie mille Ragazzi !!!!!!!!!!

[crazy.cat]

Codice: Seleziona tutto

RAGAZZI sono riuscito ad installare Avira Antivir PE..... è già qualcosa.

Prima cosa usavi?

Codice: Seleziona tutto

Appena installato mi ha rilevato il seguente file sospetto:
C:Programmi\WinBudget\bin\matrix.dll

Scansione con superantispyware in versione freeware.
http://www.superantispyware.com/superan ... vspro.html

Codice: Seleziona tutto

Mi potete suggerire anche qualche firewall da poter utilizzare?

http://www.MegaLab.it/2592

[linho72]

Prima usavo il Norton Internet Security 2008....... ma non ho ancora provato ad installarlo, che dici provo a rimetterlo dentro?
magari dopo aver fatto la scansione che mi hai suggerito te.....che dici?

[ste_95]

Direi che Antivir è nettamente superiore a Norton, ti consiglio il primo di questi. Scansiona come ha detto crazy.cat con SueprAntiSpyware.

[linho72]

Scansione con SuperAntiSpyware eseguita correttamente.
Per quanto riguarda le chiavi di registro cosa facciamo?

Le chiavi presenti sono queste:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Attendo istruzioni in merito e ringrazio per il prezioso aiuto che mi avete dato !!!

[ste_95]

Prova a cancellarle manualmente.

[linho72]

in modalità provvisoria o normale?

[ste_95]

Come preferisci.

[linho72]

Le chiavi del registro di sistema che ti ho indicato sopra non sono riuscito a cancellarle manualmente, mi da errore, mentre non riesco più ad avviare la modalità provvisoria.

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet001\Services\srosa
HKLM\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet002\Services\srosa
HKLM\SYSTEM\CurrentControlSet002\Enum\Root\LEGACY_SROSA

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.


Ripristina la modalità provvisoria utilizzando questo file.

[linho72]

Questo è il blocco note di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wapopsmx

*******************

Script file located at: bqfhryxu

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

Non è riuscito a cancellarle, infatti sono ancora lì le chiavi !!!!

Ho eseguito avenger con Avira Antivir e Comodo firewall entrambi attivi, avevo anche in precedenza ripristinato la configurazione di sistema.....ho sbagliato?

[ste_95]

Le chiavi non sono importanti, se l'antivirus ti funziona è andato tutto a posto.

[linho72]

OK, volevo solo ringraziarVi per il prezioso aiuto che mi avete dato, per la grandissima competenza ma soprattutto per l'estrema affabilità e gentilezza che vi contraddistingue, merce davvero rara di questi tempi.
Ciao e grazie di nuovo......

[Pie.10]

io ho lo stesso problema che devo fare?


Leggi qui e apri una discussione separata per il tuo problema
http://www.MegaLab.it/forum/viewtopic.p ... 964#327964
by crazy.cat