PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan.Neprodoor e infezione ndis.sys





Chris82
Principiante Principiante
Chris82
Principiante Principiante
Chris82
Principiante
Principiante

Avatar


Iscritto dal : 12/Settembre/2010
Da: Italy
Status: Offline
Posts: 4
Riporta il testo di: Chris82 Rispondibullet Topic: Post n° 96.048 - Postato: 12/Settembre/2010 alle 17:26


Salve ragazzi sono nuovo e avrei bisogno di un aiutino se possibile!
Ultimamente il pc non appena apro programmi come  e mule, o anche alcune volte per conto suo, mi fa apparire una schermata blu e il pc da li si blocca,solo che non capisco cosa puo essere! riuscite a darmi qualche consiglio almeno per sapere cosa puo essere che mi provoca questa simpatica schermata?
 


RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.202
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 96.049 - Postato: 12/Settembre/2010 alle 19:41


Ciao e benvenuto sul forum !
 
La schermata blu rimane fissa ? puoi leggere l'errore ed il file incriminato in fondo alla schermata ?



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



Chris82
Principiante Principiante
Chris82
Principiante Principiante
Chris82
Principiante
Principiante

Avatar


Iscritto dal : 12/Settembre/2010
Da: Italy
Status: Offline
Posts: 4
Riporta il testo di: Chris82 Rispondibullet Topic: Post n° 96.050 - Postato: 12/Settembre/2010 alle 22:01


si la schermata rimane fissa,devo perforza riavviare il pc
sotto mi conpare questo :  NDIS.SYS - ADDRESS B9E3B128 BASE AT B9E1B000. DATESTAMP 48025d03
 
Nella parte in alto della schermata viene scritto
DRIVER_IRQL_NOT_LESS_OR_EQUAL
 
sai dirmi cosa voglia dire?


RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.202
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 96.056 - Postato: 13/Settembre/2010 alle 16:10


Il file incriminato è relativo alla scheda di rete.
 
Potrebbe essere un reale problema hardware oppure software....o infine una infezione del file ndis.sys...
 
Per quello che posso elenco le varie strade da tentare in ordine di importanza...
 
1) Infezione da virus:
 
Da Start vai su ESEGUI e digita il comando regedit e premi invio.  
 
Devi cercare le seguenti voci di registro..
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run\”Reader_s” = “%System%\reader_s.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run\”Reader_s” = “%UserProfile%\reader_s.exe
 
Se le trovi forse (anzi quasi sicuramente sei infettato).... 
 
2) Problema software:
 
- Prendi un CD di WinXp e naviga nella cartella i386 del disco dove c'è il file "NDIS.SY_" originale!
 
- vai su Esegui e digita CMD seguito dal tasto invio....al prompt dei comandi DOS digita EXPAND nomefile destinazione.

esempio: ( EXPAND c:\i386\drv\ndis.sy_ c:\NuovaCartella )
- adesso rinominalo aggiungendo la "S" ke manca quindi da NDIS.SY_ A NDIS.SYS

- copia il file in un floppy e riavvia il pc.

- Riaccendi il PC  prima che compaia la schermata Blu ti dovrebbe comparire una serie di opzioni tra cui Avvia in Modalità provvisoria: (se nn compare premi F5 o F8 mentre il pc carica) clickkaci e quando il PC si avvia inserisci il floppy!

- vai nella cartella c:\windows\system32\drivers\ dove si trova il file ndis.sys da usare e sostituisci il file con quello che hai nel floppy (cioè ripristini quello originale) e riavvia il PC.

Se il pc riparte fai una scansione con un valido AntiRootkit.

 
3) Problema hardware...
 
Hai per caso una scheda madre ASUS ? sono molto soggette a questi errori...


Modificato da RAVEN - 13/Settembre/2010 alle 16:14



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



Chris82
Principiante Principiante
Chris82
Principiante Principiante
Chris82
Principiante
Principiante

Avatar


Iscritto dal : 12/Settembre/2010
Da: Italy
Status: Offline
Posts: 4
Riporta il testo di: Chris82 Rispondibullet Topic: Post n° 96.059 - Postato: 13/Settembre/2010 alle 20:21


ho trovato la risposta nella tua prima opzione :)
come fò a rimuoverli? sempre se ci si riesce


RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.202
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 96.069 - Postato: 14/Settembre/2010 alle 15:33


Intanto ti do questo sito cosi se hai voglia ti leggi questo nuovo tipo di minaccia informatica che sta ormai prendendo fortemente piede...
 
 
Ecco la soluzione alla rimozione...dal sito di symantec...è in inglese ma comprensibile...
 
 
Faccio comunque un veloce traduzione degli steps essenziali.
 
  1. Disabilitare il system restore (Leggi come fare).
  2. Aggiornare l'antivirus (un buon antivirus)
  3. Scansionare l'intero systema con l'antivirus aggiornato
  4. Cancellare i valori infetti sul registro di sistema
    • Per cancellare i valori dal registro cliccare su START, ESEGUI, digitare il comando REGEDIT e premere invio.
    • Cercare e rimuovere totalmente le seguenti voci
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%System%\reader_s.exe"
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%UserProfile%\reader_s.exe"
  5. Uscire dal registro di sistema.

Ti invito inoltre a scaricare ed usare i software bollati con 5 stelle (Free-5 stars) da questo sito

 


Modificato da RAVEN - 14/Settembre/2010 alle 15:45



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



Chris82
Principiante Principiante
Chris82
Principiante Principiante
Chris82
Principiante
Principiante

Avatar


Iscritto dal : 12/Settembre/2010
Da: Italy
Status: Offline
Posts: 4
Riporta il testo di: Chris82 Rispondibullet Topic: Post n° 96.071 - Postato: 14/Settembre/2010 alle 23:44


fino a Run riesco ad arrivarci nei due file, però non riesco a trovare il resto : Reader_s" = "%System%\reader_s.exe"      e

            "Reader_s" = "%UserProfile%\reader_s.exe"
 
è possibile o sono rinco totalmente io? la seconda molto plausibile :)






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni