Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

wintems.exe help..

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

wintems.exe help..

Messaggioda osammot » ven apr 18, 2008 2:35 pm

ciao a tutti ragazzi..mi sono accorto di avere uno strano processo nel task maneger il WINTEMS.EXE che poi ho scoperto essere un virus molto rognoso e pericoloso..non riesco a far partire i vari spy-bot,ad-ware(dice che non non sono apllicazioni di win32 valide),installare antivir nod32..l'unico che mi fa la scansione è ewido che però non me lo rileva..inoltre a volte il pc si spegne da solo e la cpu comincia a lavorare senza che io faccio niente(non so se queste ultime c'entrano col virus)..
comunque mi potete guidare alla eliminazione del virus e ripristinare il normale funzionamento del pc..
ho letto qualche post ma non cio capito, molto tra l'altro ho lanciato Gmer ma mi dice sempre che non è valido
grazie mille
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda ste_95 » ven apr 18, 2008 2:55 pm

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda osammot » sab apr 19, 2008 9:00 am

http://www.mediafire.com/?a0szpkwajmm
questo è il log...
mamma mia sono pieno di file infetti..speriamo di riuscire a curare tutto:)
attendo istruzioni
grazie ste_95
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm


Messaggioda crazy.cat » sab apr 19, 2008 9:54 am

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger nuova versione http://swandog46.geekstogo.com/avenger.zip

Se non dovesse funzionare (Applicazione non valida) utilizzate questi
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\Documents and Settings\Astolfi\Dati applicazioni\m\data.oct
C:\Documents and Settings\Astolfi\Desktop\Nuova cartella (2)\[SOFT.ITA].nod32.antivirus.v2.000.7.italiano con cura\patch.exe    
C:\master\professional software and handbook\file maker\File Maker Pro 8-English.iso
C:\master\ridere\varie\Cazzate\baci.zip
C:\Programmi\eMule\Incoming\CoolPack 2.0.zip
C:\Programmi\eMule\Incoming\PLC_Training_-_RSlogix_Simulator_3.0.zip
C:\Programmi\eMule\Incoming\TerMus_11.00a_Crack_by_0KRam updated-fixed 10-2007.zip    
C:\Programmi\Pinnacle\Studio 11\LaunchList2.exe    
C:\Tommy\streamer\viviplay.exe

folders to delete:
C:\WINDOWS\system32\drivers\downld
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

Dovrai, quasi sicuramente, riscaricare i file d'installazione dei programmi di sicurezza perché danneggiati dal virus
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda osammot » sab apr 19, 2008 10:22 am

scusa ma appena faccio partire avenger mi scompare dopo qualche secondo dal monitor..questo è il secondo link, il primo non funziona proprio mi da applicazione non valida..
che faccio?
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda crazy.cat » sab apr 19, 2008 10:33 am

Ti ho mandato un messaggio privato, leggilo per favore prima di cancellare i file infetti.

Hai provato sia la nuova che la vecchia versione di avenger?

Sino a quando non abbiamo studiato il nuovo virus, mi sa che ti convenga scaricare un cd live di linux e andare a cancellare i file infetti manualmente,
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda osammot » sab apr 19, 2008 10:39 am

ho provato la vecchia che mi da applicazione non valida..e la nuova che invece parte,vedo la schermata per due secondi e poi scompare..
adesso che faccio continuo con il ripristino disattivato?
altri sintomi che ho valutato sono utilizzo cpu sempre elevata anche senza fare operazioni e inoltre non mi fa piu l'audio..cioè non cè proprio la solita icona che raprresenta l'audio sulla barra d'avvio ...è sempre colpa del virus?
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda ste_95 » sab apr 19, 2008 12:45 pm

Sembra che siano riusciti a bloccare i componenti di Avenger... Bastar*i!

Intanto puoi provare a dare una passata con ComboFix che elimina almeno i componenti essenziali di Bagle, questo pomeriggio provo la nuova variante.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » sab apr 19, 2008 1:08 pm

osammot ha scritto:altri sintomi che ho valutato sono utilizzo cpu sempre elevata anche senza fare operazioni e inoltre non mi fa piu l'audio..cioè non cè proprio la solita icona che raprresenta l'audio sulla barra d'avvio ...è sempre colpa del virus?

Il ripristino lo riattivi solo alla fine dopo le pulizie.

scarica gmer http://www.gmer.net/gmer.zip e prova ad avviarlo, se funziona premi il pulsante con le >>> selezioni poi files e vai a cercare tutti i file che ti ho indicato prima, alcuni potresti non trovarli, e premi delete per eliminarli.
LI devi togliere tutti mi raccomando.
Dopo prova a fare un riavvio del pc e vediamo se ti riparte l'antivirus come è successo a me.
Ho provato con i virus che mi hai mandato solo che a me avenger funzionava.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » sab apr 19, 2008 1:16 pm

Sempre con gmer fai una scansione nella sezione dei rootkit e vedi se trova qualche voce hidden, carica magari il log che viene fuori sempre sul solito sito.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ste_95 » sab apr 19, 2008 3:08 pm

Ho provato il virus, non ho visto nessuna variazione considerevole. GMER non funziona più, ma nulla di più.

Prova a lasciare avenger nell'archivio, quindi rinomina l'eseguibile direttamente da dentro l'archivio e poi eseguilo, dovresti riuscire.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda osammot » sab apr 19, 2008 4:33 pm

Gmer non funziona...scusa ste95 ma come faccio a rinominare il file MegaLab.it_avenger.exe da dentro l'arcivio?non cè l'opzione rinomina!
comunque ho provato a far ripartire avenger e per una volta mi è rimasto aperto per 10 secondi poi è scomparso..
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda osammot » sab apr 19, 2008 5:18 pm

sono riuscito con zip genius a rinominare il file da dentro l'archivio,poi lo lancio ma non cambia niente..
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda crazy.cat » sab apr 19, 2008 5:38 pm

Non ti rimane che questa soluzione
crazy.cat ha scritto:mi sa che ti convenga scaricare un cd live di linux e andare a cancellare i file infetti manualmente,


Ho usato i file che mi hai mandato, infettando più volte il pc ed ogni volta sono venute fuori delle infezioni diverse.
Cambiavano i file, cambiavano gli indirizzi a cui si collegava per scaricare gli altri file infetti, però gmer e avenger funzionavano sempre.

Questo virus muta ogni volta sempre in peggio.

Cancella i file individuati manualmente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda poppiski » sab apr 19, 2008 7:06 pm

spero che almeno l'editor del registro ti funzioni

scaricati prima antivir senza installarlo da qui
download

entri in modalità provvisoria
elimina questi
prova a rimuoverli manualmente dal registro

HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

poi vedi se ti fa installare antivir e fai una scansione

e speriamo che funzioni
Ultima modifica di poppiski il sab apr 19, 2008 7:10 pm, modificato 1 volta in totale.
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova

Messaggioda osammot » sab apr 19, 2008 7:09 pm

ma per eliminare i file devo usare il cd live di linux o il semplice elimina di windows...mi puoi dire dove lo trovo e tutta la procedura eseguire...
poi alcuni file tipo wintems non sono visibili!
ragazzi sono nelle vostre mani,possibile che non si risolve il problema!
ciao
ho letto chela modalità provvisoria non dovrebbe funzionare con questo virus
Ultima modifica di osammot il sab apr 19, 2008 7:11 pm, modificato 1 volta in totale.
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda poppiski » sab apr 19, 2008 7:11 pm

Start --> esegui --> regedit

sei pratico?
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova

Messaggioda poppiski » sab apr 19, 2008 7:16 pm

hklm sta per HKEY_local_machine
sfogli i percorsi che ti ho indicato
ed elimini SOLO
le parti finali

srosa

LEGACY_SROSA

pci32

LEGACY_PCI32
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova

Messaggioda osammot » sab apr 19, 2008 7:18 pm

la modalità provvisoria non fa..
Avatar utente
osammot
Aficionado
Aficionado
 
Messaggi: 114
Iscritto il: ven apr 18, 2008 2:17 pm

Messaggioda poppiski » sab apr 19, 2008 7:30 pm

prova ad eliminarlo da modalità normale
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising