Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Impossibile installare Antivirus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Impossibile installare Antivirus

Messaggioda Totori » mer giu 20, 2007 12:10 pm

Salve!
Ho un problema abbastanza serio.... da qualche giorno nn riesco più ad installare qualsiasi tipo di antivirus; tutto è cominciato con un messaggio di errore di AVG che nn mi faceva usare il medesimo. Poi ho provato ad installare nuovamente Avg ma mi dava un nuovo errore:
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory

Ho provato con Antivir, ma altro errore:
Can't create output file:C:\Document\....temp\WZSE0.TMP\disk_1\AVGCTRL.EXE

E ho provato anche con Active Virus Shield, ma:
Error 1304.Error writing to file C:\Programmi\AOL\Active Virus Shield\avp.exe
Verify that you have access to that directory


Cosa sta succedendo!!!????????
Inoltre quando provo a scrivere con la tastiera avvolte il cursore nn avanza, cioè io scrivo ma sul video nnn spunta nulla. Mentre lavoro mi passa da una finestra all'altra, come se ci fosse qualcosa che sta lavorando o utilizzando la ram. Per sicurezza vi mostro il file di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23.11.47, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Tori\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON Stylus Photo R265 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE /FU "C:\WINDOWS\TEMP\E_S83.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8866275656
O17 - HKLM\System\CCS\Services\Tcpip\..\{43242708-3944-4731-98D9-3DD9B29183B5}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



Grazie in anticipo!!
Avatar utente
Totori
Aficionado
Aficionado
 
Messaggi: 85
Iscritto il: mar mag 01, 2007 3:04 am
Località: Tokyo

Messaggioda crazy.cat » mer giu 20, 2007 12:17 pm

probabile virus bagle
http://www.MegaLab.it/forum/viewtopic.p ... 510#238510
vediamo un log di gmer prima di procedere.
Altrimenti ci sono le istruzioni nell'articolo che vedi segnalato nel post,
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Totori » gio giu 21, 2007 10:36 pm

Ciao Crazy!
Ho il log di gmer ma nn riesco a caricarlo sul post!!! perché? Le dimensioni sono consentite, però nn so se sono abilitato! Fammi sapere.
Avatar utente
Totori
Aficionado
Aficionado
 
Messaggi: 85
Iscritto il: mar mag 01, 2007 3:04 am
Località: Tokyo


Messaggioda crazy.cat » ven giu 22, 2007 8:26 am

Copia e incolla il testo senza allegare il file.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Totori » ven giu 22, 2007 11:03 am

Ok! Solo che è molto lungo, ma se lo dici tu...
Ecco qua:

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-06-21 09:49:42
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.12 ----

SSDT d347bus.sys ZwClose
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwCreateFile
SSDT d347bus.sys ZwCreateKey
SSDT d347bus.sys ZwCreatePagingFile
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwEnumerateKey
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwEnumerateValueKey
SSDT d347bus.sys ZwOpenKey
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwQueryDirectoryFile
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwQueryKey
SSDT \??\C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys ZwQuerySystemInformation
SSDT d347bus.sys ZwQueryValueKey
SSDT d347bus.sys ZwSetSystemPowerState

---- Modules - GMER 1.0.12 ----

Module _________ F8452000-F846A000 (98304 bytes)

---- Processes - GMER 1.0.12 ----

Process C:\WINDOWS\system32\hldrrr.exe (*** hidden *** ) 1820
Process C:\WINDOWS\system32\hldrrr.exe (*** hidden *** ) 1884
Avatar utente
Totori
Aficionado
Aficionado
 
Messaggi: 85
Iscritto il: mar mag 01, 2007 3:04 am
Località: Tokyo

Messaggioda Totori » ven giu 22, 2007 11:18 am

Crazy facciamo così, inserisco solo la parte finale, perché mi pare di capire che è lì ciò che ti interessa!!! Il file è troppo lungo.
Fammi sapere! Ciao.

---- Files - GMER 1.0.12 ----

File C:\Documents and Settings\Tori\Dati applicazioni\hidires
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\hidr.exe
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\m_hook.sys <-- ROOTKIT !!!
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys <-- ROOTKIT !!!
File C:\Programmi\Movie Maker\Shared
File C:\Programmi\Movie Maker\Shared\Empty.txt
File C:\Programmi\Movie Maker\Shared\Filters.xml
File C:\Programmi\Movie Maker\Shared\news.png
File C:\Programmi\Movie Maker\Shared\paint.png
File C:\Programmi\Movie Maker\Shared\Profiles
File C:\Programmi\Movie Maker\Shared\Profiles\Blank.txt
File C:\Programmi\Movie Maker\Shared\Sample1.jpg
File C:\Programmi\Movie Maker\Shared\Sample2.jpg
File C:\WINDOWS\ime\shared
File C:\WINDOWS\ime\shared\res
File C:\WINDOWS\system32\hldrrr.exe
File C:\WINDOWS\system32\wintems.exe

---- Services - GMER 1.0.12 ----

Service C:\Documents and Settings\Tori\Dati applicazioni\hidires\m_hook.sys [MANUAL] m_hook <-- ROOTKIT !!!
Service C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys [MANUAL] rosa <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----
Avatar utente
Totori
Aficionado
Aficionado
 
Messaggi: 85
Iscritto il: mar mag 01, 2007 3:04 am
Località: Tokyo

Messaggioda crazy.cat » ven giu 22, 2007 11:25 am

avevo tagliato il log perché in effetti era esagerato.
Segui le istruzioni dell'articolo per ripristinare i servizi mancanti o danneggiati
http://www.MegaLab.it/2657

Questo dovrebbe essere lo script per avenger, dato che hai beccato quella che sembra una nuova variante, alla fine ti viene dato un log se è riuscito avenger ad eliminare i problemi, postalo qui oppure rifai un controllo con gmer.

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\Tori\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\Tori\Dati applicazioni\hidires\hidr.exe
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\Tori\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Services\rosa.sys
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Totori » sab giu 23, 2007 1:20 am

Ecco il log che mi chiedevi! Sembra tutto ok tranne il file "rosa".
Tu che dici? Grazie grazie grazie

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\veuldddi

*******************

Script file located at: \??\C:\WINDOWS\system32\rmotcrrb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Tori\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys deleted successfully.
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\hidr.exe deleted successfully.
File c:\WINDOWS\system32\wintems.exe deleted successfully.
File c:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\Tori\Dati applicazioni\hidires deleted successfully.
Folder c:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa.sys not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa.sys failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa.sys
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Totori
Aficionado
Aficionado
 
Messaggi: 85
Iscritto il: mar mag 01, 2007 3:04 am
Località: Tokyo

Messaggioda crazy.cat » sab giu 23, 2007 8:41 am

Non ero sicuro che ci fossero tutte quelle voci.
Ha tolto comunque le parti importanti
File C:\Documents and Settings\Tori\Dati applicazioni\hidires\rosa.sys deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa deleted successfully.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » sab giu 23, 2007 7:46 pm

ciao a tutti ho lo stesso problema di totori: non riesco più ad istallare un antivirus, riavviare in modalità provvisoria,ecc e dalla vostra discussione credo anch'io di avere preso un virus BAGLE.
come posso eliminarlo definitivamente e tornare alla normalità???
help me!!!!!
ho provato a fare come dite ma non sono riuscito....mi dareste una mano?

Il file di Hijackthis è questo:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.45.29, on 23/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\acer\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Sitecom\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\acer\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Sitecom\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - c:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Sitecom\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Sitecom\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2872559000
O17 - HKLM\System\CCS\Services\Tcpip\..\{8010DA65-4F42-4921-8373-5FD7A5788026}: NameServer = 85.37.17.12 85.38.28.79
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Programmi\a-squared Anti-Malware\a2service.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Sitecom\Software Bluetooth\bin\btwdins.exe
O23 - Service: DirectX Service (DirectRylw) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

--
End of file - 5532 bytes

qualcuno potrebbe aiutarmi???
grazie
Manuel
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Messaggioda crazy.cat » sab giu 23, 2007 7:54 pm

manutizy ha scritto:[size=9]ciao a tutti ho lo stesso problema di totori: non riesco più ad istallare un antivirus, riavviare in modalità provvisoria,ecc e dalla vostra discussione credo anch'io di avere preso un virus BAGLE.
come posso eliminarlo definitivamente e tornare alla normalità???
help me!!!!!l

Mi serve il log di gmer, hijackthis non mi aiuta per niente.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » lun giu 25, 2007 1:55 pm

la parte finale è questa:

---- Files - GMER 1.0.12 ----

File C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Symantec\Shared


File C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Symantec\Shared\Sessions


File C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Symantec\Shared\Sessions\20060309072826937.liveReg


File C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Symantec\Shared\MyProfile.UserProfile


File C:\WINDOWS\system32\config\systemprofile\Dati applicazioni\Symantec\Shared\Options.VcPref


File C:\WINDOWS\system32\hldrrr.exe


File C:\WINDOWS\ime\shared


File C:\WINDOWS\ime\shared\res


File C:\WINDOWS\ime\shared\res\padrs804.dll


File C:\WINDOWS\ime\shared\res\PADRS404.DLL


File C:\WINDOWS\ime\shared\res\padrs411.dll


File C:\WINDOWS\ime\shared\res\padrs412.dll


File C:\WINDOWS\ime\shared\imlang.dll


File C:\WINDOWS\ime\shared\imepadsv.exe


File C:\WINDOWS\ime\shared\imepadsm.dll


File C:\WINDOWS\ime\shared\imepaden.hlp


File C:\Documents and Settings\Default User\Dati applicazioni\Symantec\Shared


File C:\Documents and Settings\Default User\Dati applicazioni\Symantec\Shared\Sessions


File C:\Documents and Settings\Default User\Dati applicazioni\Symantec\Shared\Sessions\20060309072826937.liveReg


File C:\Documents and Settings\Default User\Dati applicazioni\Symantec\Shared\MyProfile.UserProfile


File C:\Documents and Settings\Default User\Dati applicazioni\Symantec\Shared\Options.VcPref


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared\Sessions


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared\Sessions\20060309072826937.liveReg


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared\Sessions\20061127210311156.liveReg


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared\Options.VcPref


File C:\Documents and Settings\acer\Dati applicazioni\Symantec\Shared\MyProfile.UserProfile


File C:\Documents and Settings\acer\Dati applicazioni\hidires


File C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe


File C:\Documents and Settings\acer\Dati applicazioni\hidires\rosa.sys

<-- ROOTKIT !!!
File C:\Programmi\Movie Maker\Shared


File C:\Programmi\Movie Maker\Shared\Profiles


File C:\Programmi\Movie Maker\Shared\Profiles\Blank.txt


File C:\Programmi\Movie Maker\Shared\Empty.txt


File C:\Programmi\Movie Maker\Shared\Filters.xml


File C:\Programmi\Movie Maker\Shared\news.png


File C:\Programmi\Movie Maker\Shared\paint.png


File C:\Programmi\Movie Maker\Shared\Sample1.jpg


File C:\Programmi\Movie Maker\Shared\Sample2.jpg



---- Services - GMER 1.0.12 ----

Service C:\Documents and Settings\acer\Dati applicazioni\hidires\rosa.sys

[MANUAL] rosa <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----


cosa devo fare?
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Messaggioda crazy.cat » lun giu 25, 2007 2:03 pm

manutizy ha scritto:la parte finale è questa:

Questo è lo script da dare in pasto ad avenger, poi segui il resto delle istruzioni http://www.MegaLab.it/2657 per ripristinare i servizi danneggiati

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\acer\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\acer\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\acer\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » lun giu 25, 2007 2:27 pm

mi potresti dire come eseguire i comandi che mi hai dato?non ho usato mai avenger e sinceramente non ci capisco tanto.....
grazie
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Messaggioda crazy.cat » lun giu 25, 2007 2:32 pm

Leggi l'articolo
http://www.MegaLab.it/2656
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » lun giu 25, 2007 2:35 pm

ecco il risultato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pfihubwm

*******************

Script file located at: \??\C:\WINDOWS\system32\tirixdmc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C::\Documents and Settings\C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C::\WINDOWS\system32\wintems.exe for deletion
Deletion of file C::\WINDOWS\system32\wintems.exe failed!

Could not process line:
C::\WINDOWS\system32\wintems.exe
Status: 0xc000003a



Could not open file C::\WINDOWS\system32\hldrrr.exe for deletion
Deletion of file C::\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C::\WINDOWS\system32\hldrrr.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

è tutto a posto?
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Messaggioda crazy.cat » lun giu 25, 2007 2:38 pm

manutizy ha scritto:è tutto a posto?

No, neanche un po.

Questo è lo script giusto
Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\acer\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\acer\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\acer\Dati applicazioni\hidires\hidr.exe
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\acer\Dati applicazioni\hidires
c:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » lun giu 25, 2007 2:43 pm

al riavvio mi dice così?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ccgvmtoc

*******************

Script file located at: cuehwqcd

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Messaggioda crazy.cat » lun giu 25, 2007 2:57 pm

Ma hai copiato e incollato solo il testo in verde dentro il box?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda manutizy » lun giu 25, 2007 2:59 pm

si....dovevo fare in un altro modo?
MANU
Avatar utente
manutizy
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: sab giu 23, 2007 7:29 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising