Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

File exe antivirus cancellato!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

File exe antivirus cancellato!

Messaggioda pama » mer ott 10, 2007 6:27 pm

Salve a tutti,
qualche giorno fà mi sono accorto che il file exe del mio antivirus Avg era sparito e che non c'era modo di riinstallare il programma ne di installare altri antivirus. Penso di essere vittima di bagle. Come da vostro consiglio vi invio il report di Kaspersky e quello di Gmer(autostart).
Grazie tante.
Avatar utente
pama
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mar ott 09, 2007 6:37 pm

Messaggioda crazy.cat » gio ott 11, 2007 7:29 am

Avevi già fatto qualche prova o scansione?
E' un bagle strano il tuo, o è mutato un altra volta.

Questo è lo script per avenger, al riavvio del pc ti esce un file txt, postalo qui che vediamo come è andata.

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\adRT.jar-4a3bd2f-4a8180f0.zip
C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-526002f4-78f8e722.zip
C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-7fa2058c-616d9766.zip
F:\Emule\Verano Total 2007 (Caribe Hits) mayo 2007 Reggaeton,bachata, pop latino y español.rar

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Controlla se hai questi file nel tuo pc, non dovrebbero esserci ma verifichiamo.
windir32.exe, wineyx32.dll
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda pama » gio ott 11, 2007 5:43 pm

Intanto grazie per avermi risposto.
L'unica scansione che sono riuscito a fare dopo l'infezione l'ho fatta, in modo approfondito, con Spyware Terminator senza trovare nulla. Ho provato, anche, con qualche antivirus on-line ma al momento dell'inizio della scansione mi si riavviava il pc.

Questi due file,windir32.exe, wineyx32.dll li ho trovati nel registro di sistema.

Ma soprattutto ho avuto problemi con avenger.
Ho inserito il tuo script, premuto done, premuto il semaforo e premuto "si" ad una richiesta.
Poi più nulla, nessun riavvio del pc. Ho provato il riavvio manuale ma all'accensione nessun file txt.
L'unica cosa che è successo che in c: , oltre alla cartella di avenger, vuota, si è creato un file batch MS-DOS. Ho provato a premerlo e nella cartella da avenger si sono creati 2 file di nome "1.reg" e "2.reg".
Non so cosa fare, mi puoi aiutare?
Avatar utente
pama
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mar ott 09, 2007 6:37 pm


Messaggioda crazy.cat » gio ott 11, 2007 6:14 pm

Metti lo script e avenger in una cartella in c:\avenger e insisti più volte, prova anche dalla modalità provvisoria.
Ti ho detto è un bagle strano, forse siamo ad una nuova mutazione erano tanti giorni che non se ne vedeva uno.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda pama » gio ott 11, 2007 6:46 pm

Purtroppo niente da fare!
In modalità provvisoria non riesco ad andare perche' ogni volta che la seleziono mi si riavvia il pc.
Con avenger ho provato ma non cambia nulla. Mi crea sempre il file batch MS-DOS di nome "avexport.bat" in C:.
In più ho notato che ogni volta che lancio lo script, si crea un file txt nelle altre mie cartelle in C: con nomi diversi tipo "wuccnyog.txt" , "hsxl^ltr.txt" , "wemnifpy.txt" tutti contenenti lo stesso script inserito in avenger.
Avatar utente
pama
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mar ott 09, 2007 6:37 pm

Messaggioda pama » gio ott 11, 2007 11:07 pm

Finalmente sono riuscito a far girare avenger!
Bastava scaricare dal sito il SafeBoot, entrare in modalità provvisoria ed eseguire tutta la procedura.
Questo è il risultato, ci potete dare un'occhiata?
Grazie.


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vuiwofbd

*******************

Script file located at: \??\C:\Program Files\mdxyxbpa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\adRT.jar-4a3bd2f-4a8180f0.zip deleted successfully.
File C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-526002f4-78f8e722.zip deleted successfully.
File C:\Documents and Settings\angelo\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-7fa2058c-616d9766.zip deleted successfully.
File F:\Emule\Verano Total 2007 (Caribe Hits) mayo 2007 Reggaeton,bachata, pop latino y español.rar deleted successfully.


Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034

Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
pama
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mar ott 09, 2007 6:37 pm

Messaggioda crazy.cat » ven ott 12, 2007 7:01 am

reinstalla l'antivirus, adesso dovrebbe andare.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda pama » sab ott 13, 2007 11:31 am

Funziona!
Ho installato Avast e ho fatto una scansione approfondita in modalità provviroria.
L'antivirus ha trovato parecchi file bagle, e li ho eliminati tutti.
Ora, spero, di aver risolto il problema.
Grazie tante crazy.cat per l'aiuto e per il tempo dedicatomi.
Avatar utente
pama
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mar ott 09, 2007 6:37 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising