Pagina 1 di 1

colpito da un probabile bagle!

MessaggioInviato: gio ott 23, 2008 12:57 pm
da vandalo
salve ragazzi, sono un probabile sfortunata vittima di un beagle!
e anche bella grossa si direbbe!
vi spiego cos'è successo!
ieri ho scaricato un programma,l'ho installato e non appariva nessuna finestra ma da quel momento non mi va più l'antivirus mi esce la famosa scritta"C:\programmi\zonealarm\zlclient.exe non è un'applicazione di win32 valida" e oltretutto non riesco a stabilire una connessione a internet!
la prima cosa che ho pensato è stata quella di formattare il pc, senza andarmi a documentare così sulla rimozione del file!l'unico modo che ho per formattare è quello con il cd di ripristino, ma appena carica la prima parte mi viene fuori:"Error 10 operating system <> CD-rom!
allora parlando con un mio amico di questo problema mi ha consigliato di fare una scansione con un utility di avast il quale non mi ha trovato nulla ma non riesce a scannerizzare alcuni file.

23/10/2008, 11.49.49
Memory scanning started...
No virus body found in memory.
Memory scanning finished (1,3s).
----------
Files scanning started...
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Search\Data\Applications\Windows\MSS.log... file could not be scanned!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Search\Data\Applications\Windows\MSStmp.log... file could not be scanned!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Search\Data\Applications\Windows\tmp.edb... file could not be scanned!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Search\Data\Applications\Windows\Windows.edb... file could not be scanned!
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Search\Data\Temp\usgthrsvc\Perflib_Perfdata_f0.dat... file could not be scanned!
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallKB896256$\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\Download\5d4b73873fce556a32881df9d54cb4bc\backup\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\Download\860fd2882d5382dfdbd9b8629634dfa0\SP2GDR\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\Download\860fd2882d5382dfdbd9b8629634dfa0\SP2QFE\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\Download\860fd2882d5382dfdbd9b8629634dfa0\SP3GDR\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\Download\860fd2882d5382dfdbd9b8629634dfa0\SP3QFE\ntkrnlpa.exe... file could not be scanned!
C:\WINDOWS\system32\vsdatant.sys... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
C:\WINDOWS\system32\dllcache\ntkrnlpa.exe... file could not be scanned!
No virus body found.
Files scanning finished (186873 files, 0 infected, 1199,7s).
Drives scanned: C:
----------


allora ho scoperto questo virus, ma nelle procedure da voi consigliate non sono arrivato a nessuna conclusione!
perché kaspersky non posso usarlo in quanto non ho una connessione internet su quel pc, mentre the avenger una volta aperto, dopo pochi secondi si chiude.
Io sono pure disposto a formattare il pc se riesco a risolvere quel punto.L'unica cosa che mi è venuta in mente è di installare linux su tutto l'hard disck(formattandolo) e poi reinstallare windows sopra linux(riformattando tutto)
l'unico problema che ho solo il cd di ripristino, con esso riesco a togliere linux e rimettere windows?
grazie in anticipo per l'aiuto

Re: colpito da un probabile bagle!

MessaggioInviato: gio ott 23, 2008 2:22 pm
da ste_95
Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, ed elimina tutti i file infetti rilevati.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 7:37 am
da vandalo
Grazie per la risposta e scusami per il ritardo nel risponderti!
Ho letto le istruzioni del magalab cd e ho visto che ci vuole il cd di windows, io ho solo il cd di ripristino, va bene lo stesso?
per adesso sto passando l'avast bart cd che dovrebbe funzionare come il MegaLab cd, speriamo bene! [cry]
anche perché ho passato l'antivirus dell'avast quello che non necessita di installazione e l'antivirus della norton che non necessità installazione ma nisba...ma se non trovo niente neanche con questo metodo cosa dovrei fare?
grazie ancora

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 10:47 am
da Amantide
Riesci ad avviare Gmer?
Fai la scansione di Rootkit ed Autostart ed allega qui entrambi log.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 12:42 pm
da vandalo
no!praticamente appena apro mi da degli errori non trova due file(.dll)!(ora sono di passaggio,se può essere utile li riporto nel primo pomeriggio) poi dice che la versione non è compatibile con i driver installati!alla fine me lo apre ma dopo pochi secondi si chiude!

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 1:22 pm
da ste_95
Non hai proprio modo di procurarti un CD originale di Windows, anche in prestito per qualche ora? E? sicuramente la via più semplice e indolore.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 1:27 pm
da Amantide
Siccome quello che volevo controllare di più è la probabile presenza di un rootkit nel MBR, possiamo verificarlo anche in altro modo.

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita c:\mbr.exe
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

Poi scarica OtScanIt, clicca sopra ed estrai i file.
  • Chiudi tutti programmi attivi in memoria.
  • Apri la cartella OtScanIt e clicca sul file OtScanIt.exe per avviare il programma.
  • Spunta la voce Scan All Users
  • In Basic Scans spunta le seguenti voci:
      Files Created Within - 60 days
      Files Modified Within - 60 days
      Rootkit Search - Yes
  • In Additional Scans spunta:
      Reg - BotCheck
      Reg - ControlSets
      Reg - MountPoints2
      File - Additional Folder Scans
      File - Purity Scan
  • Ora clicca su Run Scan ed aspetta il termine della scansione.
  • A scansione terminata verrà aperto un file di blocco note con il report della scansione, posta qui il suo contenuto.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 2:07 pm
da vandalo
purtroppo non riesco ad avere cd originali di windows!tutti i pc che ho a casa hanno il cd di ripristino!
per quanto riguarda i due programmi suggeriti, il primo non funziona(dice che non è un programma di win32) mentre il secondo sta girando adesso...sembra che stia arrivando a qualcosa!appena finisce posto il risultato!

EDIT:
il secondo programma mi ha tirato fuori il log!ma è + di 400.000 caratteri(spero che non siano tutti errori o virus) e in questo forum il limite è di 60.000!cosa faccio?lo divido in vari post,lo mando x e-mail a qualcuno o lo posto da qualche parte e metto il link(ne dubito che me lo concediate)?

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 2:22 pm
da Amantide
Puoi caricare tranquillamente il file su http://www.mediafire.com/ o un sito simile. Purtroppo, quando i log sono troppo voluminosi questa rimane l'unica soluzione accettabile.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 2:34 pm
da Demon@
Vandalo hai un MP

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 2:38 pm
da vandalo
questo è il link:
http://www.mediafire.com/?sharekey=746c ... b9a8902bda
ora leggo l'mp!grazie

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 3:18 pm
da Amantide
Scarica OtMoveIt3, avvialo ed assicurati che la voce Unregister Dll's and Ocx's sia spuntata.
Nello spazio bianco sotto alla voce Paste Instructions for items to be Moved incolla seguente script e clicca su MoveIt!:

Codice: Seleziona tutto
:Processes
explorer.exe

:Files
C:\Documents and Settings\All Users\Dati applicazioni\TEMP:C39AA0B1
C:\Documents and Settings\V A L E R I O\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\V A L E R I O\Dati applicazioni\m
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\V A L E R I O\Impostazioni locali\Temp\gnqcjitf.dll

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"german.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mule_st_key"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]

:services
srosa

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


Il log dell'operazione verrà salvato nella cartella C:\_OtMoveIt\MovedFiles sotto la forma del file [nome_e_data].LOG
Copia il suo contenuto ed inseriscilo qui.

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 6:48 pm
da vandalo
Se ti dico una cosa è vero che non ti arrabbi? [B)]
sono riuscito a formattare il pc, e per adesso funziona tutto bene!scusami se ti ho fatto perdere del tempo nel seguirmi e ho abbandonato a metà, ma ho preferito questa soluzione!comunque grazie mille per la tua disponibilità!ci dovrebbero essere più persone come te!
un'ultima domanda...una persona che ne sa tante come te a riguardo di virus(manco se fossi un medico virologo), come programmi usa per la sicurezza del suo pc?
per adesso sono con la versione free di avast + zone alarm, ma voglio comprarmi qualcosa di più serio!ti ringrazio ancora!a presto

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 7:08 pm
da Amantide
Su quello di mio marito ho messo Antivir e Comodo Firewall, entrambi gratuiti tra altro, (devo ricordarmi di impostare anche la password sull'antivirus, per prevenire che dia il consenso a tutte le operazioni [acc2] ), su quello mio... potrei anche fare ammeno, ma preferisco lo stesso tenere un firewall software installato, per monitorare l'accesso in internet di vari programmi.

Per il formattone invece ti meriti [sedia]

Non si deve arrendersi mai nella vita, anche perché il tuo caso non era tra i più difficili [;)]

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 7:54 pm
da vandalo
ma tanto era questione di tempo...
quindi ho colto l'occasione!poi un pc fresco di formattata è sempre un pc fresco da formattata! [rotolo]
presumo che hai linux allora, purtroppo io devo avere anche windows per un programma che uso...va be!
grazie ancora per l'assistenza e i consigli!la prossima volta non formatterò più!giuro...:-D

Re: colpito da un probabile bagle!

MessaggioInviato: ven ott 24, 2008 8:54 pm
da Amantide
vandalo ha scritto:presumo che hai linux allora,

Anche... [fischio] Però il mio unico grande amore rimane sempre Windows (sono un po' masochista io [rolleyes] ).

Re: colpito da un probabile bagle!

MessaggioInviato: sab ott 25, 2008 1:32 am
da vandalo
io invece sono costretto ad utilizzarlo...e va be dai!c'è di peggio...
a parte che io i mac non li posso vedere!saranno superiori dal punto di vista grafico ma non ci posso far niente!con quello che costano mi ci viene un buon pc con una scheda video quasi paragonabile ad un mac!perciò preferisco un pc con Windows scrupolosamente xp, vista non mi ispira molto!