MegaLab.it


http://www.megalab.it/forum/

pc lento ,antivirus disattivato,provvisoria disattivata

./viewtopic.php?f=33&t=40088&start=0

Pagina 1 di 1

pc lento ,antivirus disattivato,provvisoria disattivata

MessaggioInviato: sab feb 09, 2008 6:03 pm
da madonialuca
[applauso+] per prima cosa ciao a tutti
sono nuovo da queste parti,ed ho un problema il pc e lentissimo,avast e scomparso misteriosamente,non mi e' possibile attivare la modalita provvisoria,e sopratutto non mi fa istallate tools tipo combofix o simili...mi dive applcazione win 32 non valida....... [cry+] che posso fare ??

MessaggioInviato: sab feb 09, 2008 6:08 pm
da crazy.cat
Leggere e fare la scansione
http://www.MegaLab.it/forum/viewtopic.php?t=34966

(ci risentiamo alla fine della scansione)

MessaggioInviato: sab feb 09, 2008 7:13 pm
da madonialuca
avevo gi dato un'occhiata ai vostri manuali per cui mi ero portato avanti ...sto gia facendo la scansione da circa 2ore e sono solo al 38%...apppena finisce ti faccio sapere...
grazie per l'aiuto [applauso+]

MessaggioInviato: dom feb 10, 2008 9:40 am
da madonialuca
dopo circa 4 ore finalmente ecco il risultato....

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
domenica 10 febbraio 2008 1.01.53
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 9/02/2008
Kaspersky Anti-Virus database records: 555870
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 46690
Number of viruses found: 5
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 04:21:57

Infected Object Name / Virus Name / Last Action
C:\avenger\backup.zip/avenger/srosa.sys Infected: Trojan-Downloader.Win32.Bagle.iw skipped
C:\avenger\backup.zip/avenger/wintems.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\avenger\backup.zip ZIP: infected - 2 skipped
C:\Documents and Settings\GIADA\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Cronologia\History.IE5\MSHist012008020920080210\index.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Dati applicazioni\ApplicationHistory\cli.exe.af01e8cc.ini.inuse Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temp\Perflib_Perfdata_708.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temp\Perflib_Perfdata_934.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temp\~DFFBB7.tmp Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\WTUFK963\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped
C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\ZZ3RGX0U\b64_31[1].jpg Infected: Email-Worm.Win32.Bagle.of skipped
C:\Documents and Settings\GIADA\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\GIADA\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe Infected: Trojan-Downloader.Win32.Bagle.ja skipped
C:\Programmi\IncrediMail\bin\IncrediMail_Install.exe Infected: not-a-virus:Downloader.Win32.ImLoader.e skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\mdelk.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped

Scan process completed.

MessaggioInviato: dom feb 10, 2008 9:56 am
da crazy.cat
Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\avenger\backup.zip
C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\WTUFK963\b64_2[1].jpg
C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\ZZ3RGX0U\b64_31[1].jpg
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\IncrediMail\bin\IncrediMail_Install.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà e prova a reinstallare subito l'antivirus (dovrai forse ricaricare i programmi d'installazione dei software di sicurezza).

MessaggioInviato: dom feb 10, 2008 10:05 am
da madonialuca
[rotolo]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bqmwcefi

*******************

Script file located at: \??\C:\WINDOWS\system32\pqcxhfsk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\avenger\backup.zip deleted successfully.
File C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\WTUFK963\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\GIADA\Impostazioni locali\Temporary Internet Files\Content.IE5\ZZ3RGX0U\b64_31[1].jpg deleted successfully.
File C:\Programmi\Analog Devices\SoundMAX\SMTray.exe deleted successfully.
File C:\Programmi\IncrediMail\bin\IncrediMail_Install.exe deleted successfully.
Folder c:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MessaggioInviato: dom feb 10, 2008 10:25 am
da madonialuca
[rotolo] [rotolo] [rotolo] [rotolo]

adesso avas e' partito...dimmi esiste qualche precauzione particolare per non beccare piu' questa porcheria che gira in rete....sono disposto a cambiare sia l'antivirus che firewall

MessaggioInviato: dom feb 10, 2008 11:05 am
da ste_95
Come sicurezza io ti consiglierei la suite Kaspersky Internet Security.

Ripristina anche la modalità provvisoria utilizzando questo file.

MessaggioInviato: dom feb 10, 2008 11:17 am
da crazy.cat
madonialuca ha scritto:[dimmi esiste qualche precauzione particolare per non beccare piu' questa porcheria che gira in rete...

Provare i file scaricati prima di usarli.
Caricali su questo sito e vedi se sono infetti.
http://www.virustotal.com/it/

MessaggioInviato: dom feb 10, 2008 11:27 am
da madonialuca
ok ....ti ringrazio [applauso+] [applauso+]

MessaggioInviato: dom feb 10, 2008 8:22 pm
da madonialuca
ho riscontrato un'altro problema...la mdalita' provvisorria sembra essere disattivata

Bagle: anch'io stesso problema, in + avenger non parte...

MessaggioInviato: dom feb 10, 2008 8:39 pm
da norfolksquare
Ciao a tutti! Ho già letto i diversi forum aperti sull'argomento virus Bagle (naturalmente anch'io me lo sono beccato...) Ho seguito tutte le indicazioni che ho trovato, in particolare:
- ho disattivato il ripristino automatico
- ho scaricato avenger
- ho eliminato i files da cui credo di aver preso il virus (credo fosse un exe scaricato da emule)
- ho fatto partire la scansione con kaspersky online con internet explorer (sta ancora andando, non appena finito vi posto il log)

Ora il problema è comunque che se cerco di far partire avenger, mi dice che non è un'applicazione valida di win32, ho provato con la modalità provvisoria ma premendo F8 non succede assolutamente nulla. Ho anche inserito nel registro il file SafeBoot.reg che avevo letto serviva per ripristinare la modalità provvisoria, ma niente da fare.

Quindi, come faccio a inserire lo script in avenger se neanche riesco a aprirlo?

Inoltre se mi connetto a internet con la rete wireless, dopo un minuto circa il PC si riavvia da solo dopo avermi mostrato un'inquietante schermata blu di cui riesco a leggere solo le prime due righe (poi sparisce) in cui afferma che la colpa sembra essere di tale srosa.sys...

Attendo fiducioso i vostri consigli, nel frattempo grazie in anticipo, grazie a voi mi sto facendo una cultura sull'argomento [:)]

MessaggioInviato: dom feb 10, 2008 8:43 pm
da ste_95
madonialuca ha scritto:ho riscontrato un'altro problema...la mdalita' provvisorria sembra essere disattivata


Ripristina la modalità provvisoria utilizzando questo file.

@ norfolksquare

In attesa dei risultati della scansione on-line. [:)]

MessaggioInviato: lun feb 11, 2008 8:18 am
da norfolksquare
Dopo ore ed ore ecco finalmente il risultato della scansione!!! Ve lo posto, se poi poteste ripetermi i passi da fare da questo punto in poi... :-) grazie ancora!!!

MessaggioInviato: lun feb 11, 2008 8:41 am
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\0X2V012Z\b64_1[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\0X2V012Z\b64_31[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OTUO9BHS\b64_1[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\EBUP25M1\b64_2[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\TL82SZLF\b64_2[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_31[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_1[1].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_1[2].jpg
C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\CXQZ8DA7\b64_2[1].jpg

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

Avenger non parte!

MessaggioInviato: lun feb 11, 2008 8:42 am
da norfolksquare
Ah a proposito: sono riuscito a riavviare in modalità provvisoria, ma accedendo come administrator non ho avenger sul desktop, allora lo ho eseguito da admin ma cercandolo sul desktop dell'account utente, ma ancora una volta mi dice che non è un' applicazione valida di win32 :-( Come posso risolvere? Mi pare di aver capito che se non parte avenger qua non se ne fa nulla.... sbaglio?

MessaggioInviato: lun feb 11, 2008 8:43 am
da ste_95
Devi scaricare la versione modificata al link che ti ho dato.

Risolto, a quanto pare!

MessaggioInviato: mar feb 12, 2008 1:21 am
da norfolksquare
Dopo aver seguito tutti i passi sembrerebbe che il PC si sia liberato del maledetto bagle!!! Ora la rete wireless funziona (anche se ho dovuto rimpostare un valore del servizio NDIS che si era misteriosamente spostato su 4....), ho potuto installare AVG e il PC non si riavvia più da solo :-)
In realtà dopo aver fatto una scansione con spyeraser della Uniblue, ho trovato ancora 6 chiavi infette, ma questa volta è stato possibile rimuoverle al termine della scansione, mentre in precedenza mi diceva sempre che eano usate dal sistema e non potevano essere eliminate.
Incollo qui il report di avenger, qualche file sembra non averlo trovato, ma per quanto posso vedere tutto è andato per il meglio.
Non so proprio come ringraziarti!!!
A presto!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vxpbooyp

*******************

Script file located at: \??\C:\kxtjlnpm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\0X2V012Z\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\0X2V012Z\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OTUO9BHS\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\EBUP25M1\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\TL82SZLF\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\OD4XARG9\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\Claudio\Impostazioni locali\Temporary Internet Files\Content.IE5\CXQZ8DA7\b64_2[1].jpg deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MessaggioInviato: mar feb 12, 2008 7:18 am
da ste_95
Ripristina anche la modalità provvisoria utilizzando questo file.
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/