MegaLab.it

Inviato: **mar ott 21, 2008 2:52 pm**

Salve a tutti,

con ogni probabilità il mio sistema ha contratto il virus beagle.

Ho provato ad effettuare la scansione on-line con kaspersky, ma dopo aver scaricato tutti i file (più di 36 mega), si blocca il
processo e mi compare una finestra con il seguente messaggio:

___
Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.

You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Scan has failed to start. [0x80004005]]
____

Preciso già da ora che sono on-line, che riesco correttamente acollegarmi alla rete, e che il firewall non stà bloccando il processo.

Vi ringrazio anticipatamente.

TorcH

Inviato: **mar ott 21, 2008 2:57 pm**

Hai aggiornato java all'ultima versione?
Hai riprovato a fare la scansione con browser diverso a seconda di cosa avevi usato prima (funziona sia con IE che con firefox)?

Inviato: **mar ott 21, 2008 3:05 pm**

Java è aggiornato.

Il problema si presenta sia con Firefox che con explorer.

:-(

Inviato: **mar ott 21, 2008 3:17 pm**

...ho provato anche svuotando le varie cache e riavviando il sistema, ma il problema permane...

Inviato: **mar ott 21, 2008 3:42 pm**

Ok.
Direi che sono ufficialmente disperato.

Dopo aver provato più e più volte a far partire la scansione on-line di Kaspersky, non mi si sono più aperte
le pagine web (ne su explorer ne su firefox).

Al riavvio del notebook, questo carica fino ad un certo punto, e poi l'hd smette di caricare... schermata grigia.

Se provo a riavviare in modalità provvisoria, schermata blu.

Ora stò scrivendo dall'altro pc.

Nessuno può essermi d'aiuto?

torcH

Inviato: **mar ott 21, 2008 6:23 pm**

E' un caso così disperato?!? Nessun consiglio?

Ho avviato dal cd di windows e dall console di ripristino ho fatto un checkdisk ma non ha sortito alcun effetto.

Ho la possibilità di smontare l'hd del portatile emetterlo su un case esterno usb commegabile all'altro pc.

Posso risolvere qualcosa in questo modo?

Grazie, torcH

Inviato: **mar ott 21, 2008 6:44 pm**

Abbastanza disperato.
Mi sa tanto che ti conviene preparare il Megalabcd utility e tentare una pulizia disperata dai virus, o più semplicemente salvandoti i dati necessari e poi formattando.

Inviato: **mar ott 21, 2008 6:56 pm**

Salve,

per come fare il MegaLab cd, ora mi cerco sul forum le informazioni.

AL momento, ho messo l'hd su di un case esterno e l'ho collegato al pc di casa (protetto con firewall ed antivirus aggiornati).

Non posso fare niente con questa configurazione? Non posso "guarire" l'hd collegato come unità esterna del desktop?

L'ho collegato al desktop, e le partizioni ed i file vengono visti correttamente.

Grazie

Inviato: **mar ott 21, 2008 7:17 pm**

Come diceva crazy.cat, puoi copiarti i tuoi file dal desktop a cui hai collegato l'hard disk, e quindi formattare, o preparare il MegaLabCD secondo queste indicazioni.

Inviato: **mar ott 21, 2008 8:22 pm**

Grazie ancora per l'assistenza.

Stò preparando il cd.

Ho seguito pedissequamente le istruzioni sul sito, ma quando provo a scrivere il cd (o a premere PLUGIN) su PE Builder, mi viene restituito un "Invalid Source Path" per quel che riguarda i file di windows: ho provato a dare come input il cd di win, la partizione di win del desktop, e la partizione di win del portatile (ora collegato come removibile), ma niente da fare...

Intanto ho lanciato avg sul removibile (dal fisso) e mi ha trovato, per ora:

srosa.sys I-worm bagle windows/system32/drivers srosa.sys
winfilse.exe win32/Themida windows/system32/drivers winfilse.exe

...

Inviato: **mar ott 21, 2008 9:15 pm**

Ok...

sono riuscito a far partire la compilazione del cd.

In tutto il processo, viene rilevato un solo errore:

Error: ReadFile() "E:\I386\asms\52\POLICY\MSFT\WINDOWS\NETWORKING\RTCDLL\RTCDLL.MAN" returned error 1: Incorrect function.

Cosa devo fare?

Grazie

Inviato: **mar ott 21, 2008 10:39 pm**

Salve,

aggiorno la situazione alla luce dei nuovi sviluppi.

dopo aver smontato l'hd dal notebook ed averlo collegato al desktop come unità esterna, ho fatto una scansione con
avg free ed ho cancellato i file infetti.

Rimontato nel notebook, hd ha ripreso a fare il suo dovere!

Chiaramente, è ancora pieno di schifezze.

Mi sono appena collegato a kaspersky e sono riuscito a scaricare tutte le nuove definizioni dei virus.

Ora stà scansionando l'hd (l'ho scollegato dalla rete). Lo lascio lavorare questa notte, e domani posto il log.

Saluti,
torcH

Inviato: **mer ott 22, 2008 6:52 am**

Eccomi qua,

ho fatto fare nottetempo la scansione a kaspersky, ma ho notato che il processo (scansione "My computer") ha impiegato meno di 15 minuti per completare l'operazione (l'ultima volta ci mise una cosa come 6 ore...).

Ora la finestra di kaspersky mi dice: Status=Complete
e lo scan report è vuoto...

Inviato: **mer ott 22, 2008 4:49 pm**

Sono riuscito ad effettuare la scansione completa del sistema con kaspersky.
Allego il Log.

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, October 22, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, October 22, 2008 12:10:38
Records in database: 1334787
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
J:\

Scan statistics:
Files scanned: 220940
Threat name: 8
Infected objects: 17
Suspicious objects: 0
Duration of the scan: 04:07:52

File name / Threat name / Threats count
F:\MegaLabcd\BartPEd\Programs\IPScan\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c 1
F:\MegaLabcd\BartPEd\Programs\Lcp\lcp.zip Infected: not-a-virus:PSWTool.Win32.PWDump.k 2
F:\MegaLabcd\BartPEd\Programs\VundoFix\VundoFix.exe Infected: Trojan-Downloader.Win32.Delf.llp 1
F:\MegaLabcd\plugin\Antispyware\Vundofix\files\VundoFix.exe Infected: Trojan-Downloader.Win32.Delf.llp 1
F:\MegaLabcd\plugin\Password\Lcp\Files\lcp.zip Infected: not-a-virus:PSWTool.Win32.PWDump.k 2
F:\MegaLabcd\plugin\Rete\ipscan\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c 1
G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Infected: Email-Worm.Win32.Zhelatin.a 5
G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Infected: Email-Worm.Win32.Zhelatin.h 1
G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Infected: Email-Worm.Win32.Zhelatin.k 1
G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Infected: Email-Worm.Win32.Zhelatin.o 1
G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Infected: Trojan-Downloader.Win32.VB.ft 1

The selected area was scanned.

Inviato: **mer ott 22, 2008 5:03 pm**

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\windows\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst Folders to delete: C:\WINDOWS\system32\drivers\downld Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Inviato: **mer ott 22, 2008 5:18 pm**

Intanto, grazie.

Ecco il log di Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: could not open file "G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst"
Deletion of file "G:\TMP\TMP_Cornice\maria\Outlook\Outlook.pst" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
-->

bad path / the parent directory does not exist

Error: folder "C:\WINDOWS\system32\drivers\downld" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\downld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet

MegaLab.it

Beagle... ma anche problemi con Kaspersky

Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky

Re: Beagle... ma anche problemi con Kaspersky