Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto NUOVO VIRUS!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto NUOVO VIRUS!

Messaggioda johncoscia » ven lug 18, 2008 9:02 am

Salve,

Qualche giorno fa mi era scaduto l'antivirus NOD32.
Ho controllato un file prima di usarlo (con il nod32 scaduto)ma purtroppo penso che erano dei virus

Non ho + l'audio...e gli antivirus non si installano,neanche il Kaspersky online mi funziona.

sembra un bagle di ultima generazione


Sto provando con il panda antivirus online...e sembra che funziona

va bene o provo altra cosa??


aiutatemi per favore


Giovanni
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda linux4ever » ven lug 18, 2008 9:47 am

fai una scansione con HijackThis e posa il log seguendo le solite regole
Visita gratisoft.altervista.org
Avatar utente
linux4ever
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: sab giu 07, 2008 3:25 pm

Messaggioda johncoscia » ven lug 18, 2008 10:41 am

Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am


Messaggioda gio! » ven lug 18, 2008 11:50 am

linux4ever ha scritto:fai una scansione con HijackThis e posa il log seguendo le solite regole

Come si è detto più volte hijackthis non serve per Bagle.
Fixa questo:
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.3.7.cab
Scarica avenger da qui http://swandog46.geekstogo.com/avenger2/download.php
Avvialo e nella casella bianca scrivi:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli la spunta da "scan for rootkit", fai riavviare il pc e postaci il log avenger attenendoti alle regole.

Dopo avenger prova anche elibagle http://www.zonavirus.com/datos/descarga ... ibagla.asp
Avvialo e seleziona "eliminar ficheros automaticamente", quindi clicca su explorar.
Al termine dicci cosa ha trovato.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda johncoscia » ven lug 18, 2008 12:09 pm

come si fa a fixare??

inoltre i 2 avenger (1 e 2) tipo non vanno
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda crazy.cat » ven lug 18, 2008 12:48 pm

johncoscia ha scritto:come si fa a fixare??

Selezioni la casella della riga corrispondente e premi fix checked per eliminarla.

johncoscia ha scritto:inoltre i 2 avenger (1 e 2) tipo non vanno

Prova con systemscan c'è la possibilità di inserire lo script di avenger
http://www.suspectfile.com/systemscan

Tieni conto che non avrai rimosso completamente il virus anche se ci riesci, qualche altro file infetto è sempre presente, per quello cerchiamo sempre lo scan online di kaspersky per avere tutti i nomi in un colpo solo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda johncoscia » ven lug 18, 2008 2:50 pm

ecco il responso di avenger :

http://www.mediafire.com/?lnm123ksffl

sono riuscito ad avviarlo manualmente.

HijackThis non mi funziona ...skompare come lo si avvia

anche elibagla non va

ps non ho potuto fixare quella voce.

inoltre con avenger ,inserendo manualmente il log, non ho potuto spuntare "scan for rootkit"

cosa faccio???aiuto
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda gio! » ven lug 18, 2008 2:57 pm

Prova anche con bagled http://download.bleepingcomputer.com/sUBs/Beagled.exe al termine postaci il log di C:\Bagled.txt
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda johncoscia » ven lug 18, 2008 3:31 pm

ecco :

Bagle_Remover.exe
Date: 18/07/2008
Time: 16.17.17,95
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda johncoscia » ven lug 18, 2008 5:06 pm

adesso l'audio è ricomparso

sono riuscito anche a installare Kasperky 9 (1 mese di prova) e ha rilevato tanti file infetti da bagle


cosa faccio ??Inserisco il report appena finisco???


PS lo script per avenger ha forse un errore........il mio PC ha Windows1 in funzione e non Windows


cosa ne pensate?
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda gio! » ven lug 18, 2008 5:16 pm

Si, allora sostituiscilo con:

Files to delete:
C:\WINDOWS1\system32\drivers\srosa.sys
C:\WINDOWS1\system32\wintems.exe
C:\windows1\system32\drivers\hldrrr.exe
C:\WINDOWS1\system32\mdelk.exe
C:\WINDOWS1\system32\drivers\mdelk.exe
C:\windows1\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS1\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


e postaci il report di kaspersky.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda johncoscia » ven lug 18, 2008 5:33 pm

ecco il report di avenger :



http://www.mediafire.com/?bdlhblilsmt


adesso faccio una passata con Kaspersky 9
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda gio! » ven lug 18, 2008 5:38 pm

Bagled ha fatto il suo compito e ti ha eliminato gran parte dell'infezione. Alla nuova passata di avenger non era rimasto quasi niente.
Prova se va la modalità provvisoria (premi ripetutamente f8 all'avvio di windows) e postaci i risultati di Kaspersky [;)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda johncoscia » lun lug 21, 2008 9:59 am

ecco la scansione fatta con kaspersky 2009 in modalita' provvisoria.

Sembra che non abbaia trovato nulla :

http://www.mediafire.com/?wxzcaebdyqd



PS stranamente quando accendo il pc,una volta completato il caricamento di windows, sul desktop compare una finestra del prompt msdos c: wait


???cosè??
Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda ste_95 » mar lug 29, 2008 3:17 pm

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda johncoscia » mar lug 29, 2008 3:41 pm

Avatar utente
johncoscia
Aficionado
Aficionado
 
Messaggi: 70
Iscritto il: ven apr 11, 2008 10:59 am

Messaggioda ste_95 » ven ago 01, 2008 8:01 pm

Seleziona a sinistra queste voci e premi in basso Fix Checked:

Codice: Seleziona tutto
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\cosgio\IMPOST~1\Temp\RarSFX0\8agle.cmd"
Ultima modifica di ste_95 il sab ago 02, 2008 6:57 am, modificato 1 volta in totale.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda marty89 » mar ago 05, 2008 4:50 pm

ciao a tutti ho 1 problema VIRUS che nn ho mai visto fin'ora. intanto sulla barra degli strumenti mi compare la scritta VIRUS ALERT! mai comparsa fin'ora. poi se vado su Risorse del Computer la C e la D nn ci sono, nn compaiono, poi se vado su Start a destra nn ce + cerca è bianco, io ho Windows Xp. ho installato SpyBot e hijackthis, quest'ultimo però nn sò che cosa eliminare, 1 po' si ma il resto nn ne ho idea nn vorrei finire x rompere il computer vi scrivo quello che mi dice queso programma x favore aiutatemi. se lo sapete ditemi che devo cancellare. e se qualcuno di voi ha avuto il mio stesso problema ditemi cm lo avete risolto. ah poi mi compariva allacensione del pc la scansione da parte di VIST antivirus 2008 che io nn ho e sul deskstop mi sono comparse delle cartelle che nn avevo. mo xrò con SpyBot ho risolto questo problema ma continua a nn vedermi la C.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/results.aspx?mkt=it-it&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe
F3 - REG:win.ini: run="C:\Documents and Settings\pc\Dati applicazioni\Adobe\Manager.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QuickTalk 2.1 - {A34FA88D-8437-4634-8A60-E913011EF2E5} - C:\DOCUME~1\pc\DATIAP~1\sp1\mstalk.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {FB3486FF-2A37-4536-B847-D999BA4E7776} - (no file)
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28
O4 - HKLM\..\Run: [PmProxy] C:\Programmi\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [Run] regsvr32.exe /s "C:\Documents and Settings\pc\Dati applicazioni\sp1\mstalk.dll"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 7416729861
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 7416200410
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://martina-vvb.spaces.live.com/Phot ... nPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9090B93-3A43-4FC0-B9D9-9886B14AF2C1}: NameServer = 85.37.17.46 85.38.28.84
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/pc/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 7870 bytes

Per favore RISPONDETEMI ho assoluto bisogno. Grazie in anticipo.
Avatar utente
marty89
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: mar ago 05, 2008 4:36 pm

Messaggioda gio! » mar ago 05, 2008 5:09 pm

Da hijackthis manca la parte dei running processes.
Comunque seleziona queste voci e premi fix checked:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: QuickTalk 2.1 - {A34FA88D-8437-4634-8A60-E913011EF2E5} - C:\DOCUME~1\pc\DATIAP~1\sp1\mstalk.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {FB3486FF-2A37-4536-B847-D999BA4E7776} - (no file)
O4 - HKCU\..\Run: [Run] regsvr32.exe /s "C:\Documents and Settings\pc\Dati applicazioni\sp1\mstalk.dll"
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/pc/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg


Scarica avenger da qui http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca scrivi:

Files to delete:
C:\Documents and Settings\pc\Dati applicazioni\sp1\mstalk.dll


Poi vai in start-->esegui-->regedit e da l'ok.
Naviga con i + fino a
HKEY_CURRENT_USER\Control Panel\International

la voce sTimeFormat dovrebbe essere qualcosa tipo H.mm : Virus Alert!, cambiala in H.mm se non trovi proprio questa voce, cercane un'altra in cui c'è virus alert

Poi affettuata quest'operazione naviga fino a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

la voce ProductId dovrebbe essere qualcosa tipo Virus Alert!

cambia il valore con quello presente all'interno della stessa voce sotto [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] (notare l'NT di differenza)
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda crazy.cat » mar ago 05, 2008 5:17 pm

Questo è proprio sicuro?
F3 - REG:win.ini: run="C:\Documents and Settings\pc\Dati applicazioni\Adobe\Manager.exe"

Prova a caricare il file Manager.exe sul sito www.virustotal.com e vedi di cosa si tratta.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising