virus maledetto, bagle
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 29/Aprile/2024 alle 07:27
Topic: virus maledetto, bagle Postato da: Charly7821
Soggetto: virus maledetto, bagle
Postato in data: 21/Agosto/2007 alle 13:23
salve, il mio sistema xp home è stato infettato da un virus credo da un trojan... inoltre mi ha disabilitato il mio antivirus Avast....e non riesco piu ad reinstallarlo...in pratica mi rimane l'icona di avast ma è bianca e quando ci clicco sopra per aprire il programma mi da la finestrina su sfoglia...come se fosse disinstallato....ho provato ad installare anche altri antivirus ma nulla...in pratica non mi fa installare l'.exe.... per l'altro il computer sembrafunzionarte bene......su installazioni ed applicazioni avast appare installato ma non funziona...in oltre non riesco nad entrare neanche in modalità provvisoria!vi prego!!!aiutatemi!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Risposte:
Postato da: prgn
Postato in data: 21/Agosto/2007 alle 14:38
Ciao... potrebbe essere bagle... per prima cosa http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823151930924 - elimina il ripristino configurazione
di sistema
Poi, scarica questo file .zip http://www.megalab.it/download.php?id=349 - link... lo decomprimi e ci fai doppio clic sopra...
(serve per ripristinare i valori nel registro... relativi alla modalità provvisoria...)
Intanto... prima di avviare in mod. provvisoria... scarica... i seguenti tool...:
1) http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe - link...
Lo scarichi... e quando lo usi...
chiudi tutti i programmi che hai in background... (in mod. provvisoria non ci dovrebbero essere)
lo fai partire... e clicca su Explorar (Salir è per chiuderlo...) badando che
ci sia il segno di spunta in Eliminar Ficheros Automaticamente...
(fai la scansione su ogni disco...)
2) scarica anche il http://www.trendmicro.com/ftp/products/tsc/sysclean.com - tool TrendMicro... ed il http://www.trendmicro.com/ftp/products/pattern/lpt663.zip - pattern aggiornato..., il link del
pattern... dopo pochi giorni...non è più valido... e questo a causa del fatto
che il file viene aggiornato...
Scarica il pattern (è un file .zip) e scompattalo nella cartella del tool di
Trendi Micro... dopo di che potrai far partire lo scan... (naturalmente da
mod. prov.)
Dopo aver scaricato i due tool... segnati le istruzioni e fai ripartire in
modalità provvisoria... e usa i 2 tool... e segnati i risultati delle scansioni...
(file infetti... nome e posizione... e se disinfettati o meno...)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
di sistema
Poi, scarica questo file .zip http://www.megalab.it/download.php?id=349 - link... lo decomprimi e ci fai doppio clic sopra...
(serve per ripristinare i valori nel registro... relativi alla modalità provvisoria...)
Intanto... prima di avviare in mod. provvisoria... scarica... i seguenti tool...:
1) http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe - link...
Lo scarichi... e quando lo usi...
chiudi tutti i programmi che hai in background... (in mod. provvisoria non ci dovrebbero essere)
lo fai partire... e clicca su Explorar (Salir è per chiuderlo...) badando che
ci sia il segno di spunta in Eliminar Ficheros Automaticamente...
(fai la scansione su ogni disco...)
2) scarica anche il http://www.trendmicro.com/ftp/products/tsc/sysclean.com - tool TrendMicro... ed il http://www.trendmicro.com/ftp/products/pattern/lpt663.zip - pattern aggiornato..., il link del
pattern... dopo pochi giorni...non è più valido... e questo a causa del fatto
che il file viene aggiornato...
Scarica il pattern (è un file .zip) e scompattalo nella cartella del tool di
Trendi Micro... dopo di che potrai far partire lo scan... (naturalmente da
mod. prov.)
Dopo aver scaricato i due tool... segnati le istruzioni e fai ripartire in
modalità provvisoria... e usa i 2 tool... e segnati i risultati delle scansioni...
(file infetti... nome e posizione... e se disinfettati o meno...)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 21/Agosto/2007 alle 21:04
ho eliminato il ripristino, e grazie a quella chiave di registro sono riuscito ad entrare in modalità provvisoria....l'unica cosa che non sono riuscito a far funzionare è trend micro....
dalla modalitàprovvisoria sono riuscito ad reinstallare avast.....è mi è apparsa anche l'icona in basso sulla barra...tutto ok...ho provato a fargli fare la scansione all'avvio ma non ha trovato nulla di infetto....e avviato normalmente avast non funziona più!!!!!non c'è piu l'icona in basso sulla barra e l'icona creata sul desktop è diventata bianca e se clicco 2 volte sopra mi esce la finestrella sfoglia...come se il programma fosse disinstallato....ora sto provando con spiwere doctor ma sempre in modalità provvisoria perchè avviandolo normalmente non mi permette di installarlo...come l'antivirus.....cosa devo fare?????aiuto!!!!!Grazie prgn!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
dalla modalitàprovvisoria sono riuscito ad reinstallare avast.....è mi è apparsa anche l'icona in basso sulla barra...tutto ok...ho provato a fargli fare la scansione all'avvio ma non ha trovato nulla di infetto....e avviato normalmente avast non funziona più!!!!!non c'è piu l'icona in basso sulla barra e l'icona creata sul desktop è diventata bianca e se clicco 2 volte sopra mi esce la finestrella sfoglia...come se il programma fosse disinstallato....ora sto provando con spiwere doctor ma sempre in modalità provvisoria perchè avviandolo normalmente non mi permette di installarlo...come l'antivirus.....cosa devo fare?????aiuto!!!!!Grazie prgn!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 21/Agosto/2007 alle 21:51
inoltre ho scoperto perchè non mi fa installare nulla....su taskmanagher è aperto il proce3sso "SP-RSSER.EXE" che dovrebbe essere il virus! è non mi permette di utilizzare i file con estensione .exe!!!!!ma se cerco di terminarlo mi dice "Impossibile portare a termine l'operazione!!!!!porcaccia la miseria!!!!peròpenso che in modalità provvisoria non sia aperto questo processo....visto che in modalità provvisoria mi fa installare è funziona.....ma quando torno in modalità normale quello che ho installato in modalità provvisoria non funziona più!!!!!aiuto!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 21/Agosto/2007 alle 23:08
Ciao, ...scusa... sei riuscito a far funzionare elibagla.exe?
Che cosa ti ti ha rilevato...?
Perché non sei riuscito a far funzionare il tool di trend micro...?
Cosa è successo quando è partito...?
Per farlo funzionare... nella stessa cartella dove sta sysclean.com... si devono
mettere le definizioni dei virus aggiornati... queste definizioni si trovano nel
file lpt633.zip (...che sarebbe quello aggiornato... fra qualche giorno potrebbe
cambiare nome...) quindi..., per poter far fare lo scan a sysclean, devi entrare
nel file lpt633.zip... selezionare i file contenuti... (se non sbaglio sono 2) e
portarli nella cartella dove si trova sysclean... solo allora puoi far partire
sysclean...
Mi raccomando... cerca di usare sysclean... infatti ti fa uno scan.... che non
risolve solo il bagle... (...fallo dalla mod. prov.)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Che cosa ti ti ha rilevato...?
Perché non sei riuscito a far funzionare il tool di trend micro...?
Cosa è successo quando è partito...?
Per farlo funzionare... nella stessa cartella dove sta sysclean.com... si devono
mettere le definizioni dei virus aggiornati... queste definizioni si trovano nel
file lpt633.zip (...che sarebbe quello aggiornato... fra qualche giorno potrebbe
cambiare nome...) quindi..., per poter far fare lo scan a sysclean, devi entrare
nel file lpt633.zip... selezionare i file contenuti... (se non sbaglio sono 2) e
portarli nella cartella dove si trova sysclean... solo allora puoi far partire
sysclean...
Mi raccomando... cerca di usare sysclean... infatti ti fa uno scan.... che non
risolve solo il bagle... (...fallo dalla mod. prov.)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 22/Agosto/2007 alle 18:18
con eliblaga ho fatto la scansione sia avviandolo normalmente che in modalità provvisoria ma non ha rilevato nulla.
con trend micro in modalità normale dopo un po di scansione mi ha scritto "no virus found" e poi ha continuato a scannerizzare e mi ha fatto leggere il rapporto dove dice che non c'è nessun virus.....
è questo dovrebbe essere il rapporto di sysclean che son riuscito a farlo funzionare grazie a te!!!!!
/--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/
2007-08-22, 15:12:59, Auto-clean mode specified.
2007-08-22, 15:12:59, Running scanner "H:\Documents\mio\TSC.BIN"...
2007-08-22, 15:53:12, Scanner "H:\Documents\mio\TSC.BIN" has finished running.
2007-08-22, 15:53:12, TSC Log:
....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
con trend micro in modalità normale dopo un po di scansione mi ha scritto "no virus found" e poi ha continuato a scannerizzare e mi ha fatto leggere il rapporto dove dice che non c'è nessun virus.....
è questo dovrebbe essere il rapporto di sysclean che son riuscito a farlo funzionare grazie a te!!!!!
/--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/
2007-08-22, 15:12:59, Auto-clean mode specified.
2007-08-22, 15:12:59, Running scanner "H:\Documents\mio\TSC.BIN"...
2007-08-22, 15:53:12, Scanner "H:\Documents\mio\TSC.BIN" has finished running.
2007-08-22, 15:53:12, TSC Log:
....
////CANCELLATO IL RESTO PERCHE' SUPERFLUO/////
---------*---------*---------*---------*---------*---------*---------*---------*
2007-08-22, 18:06:48, Scanner "H:\Documents\mio\VSCANTM.BIN" has finished running.
cosa posso fare?
---------*---------*---------*---------*---------*---------*---------*---------*
2007-08-22, 18:06:48, Scanner "H:\Documents\mio\VSCANTM.BIN" has finished running.
cosa posso fare?
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 22/Agosto/2007 alle 18:59
cmq il pc è rimasto come prima...evidentemente non ha cancellato il virus.....sperro si riesca a risolvere cavolo!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 22/Agosto/2007 alle 19:31
Si, hai ragione... ha pulito solo un virus che avevi in un archivio...
adesso sono imp. ma dopo ti do altre indicazioni su cosa provare... (si vede che
mi sono sbagliato)
Ciao.
PS: hai provato con qualche scansione online...? Prova con
http://www.kaspersky.it/Servizi/Virusscan.asp - http://www.kaspersky.it/Servizi/Virusscan.asp
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
adesso sono imp. ma dopo ti do altre indicazioni su cosa provare... (si vede che
mi sono sbagliato)
Ciao.
PS: hai provato con qualche scansione online...? Prova con
http://www.kaspersky.it/Servizi/Virusscan.asp - http://www.kaspersky.it/Servizi/Virusscan.asp
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 22/Agosto/2007 alle 19:34
ok grazie ancora!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 23/Agosto/2007 alle 14:21
purtroppo la scansione la fa solo con internet explorer che al momento non riesco a farlo funzionare.....mentre mozilla funziona ma non posso fare la scansione con mozilla....perchè richiede internet explorer......prgn ti prego!!!!!!chiedo aiuto!!!!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 23/Agosto/2007 alle 16:05
Allora, ripigliamo d'accapo la questione...
segui le indicazioni che trovi a questo http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407 - link...
Per la scansione online...
Potresti provare con Ewido... scaricando il programmino che trovi alla pagina...
oppure con Trend Micro...
dopo aver seguito le info... ed indicato tutte le cose rilevate... (naturalmente
dei log... si dovrebbero indicare solo le info salienti..., ti spiego... se rilevi un
virus... indica solo il virus e la posizione e file... contagiato... se invece non
rivela niente... non indicare niente... postare il log... sarebbe spazio occupato
inutilmente...)
Dopo di che... fai una scansione con Hijackthis... scaricalo da qui... http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe - link
lo metti in una cartella sul disco e lo avvii... fai fare la scansione con log... e incolli il
log nel post.
Ciao.
PS: un'altra cosa... scarica questo software... http://www.ilsoftware.it/querydl.asp?ID=967 - link... il software si chiama gmer
Lo scarichi lo scompatti in una cartella... e lo fai partire... appena ti si apre...
controlla che siano messi i segni di spunta nelle caselle di destra...
fai fare lo scan... quando ha finito... vai nella sezione rootkit... e controlla se ci siano voci indicate in rosso...
(puoi cliccare anche sul tasto copy, nella sezione rootkit, e aprire blocco note
ed incollare la il log... e magari indicarmi i valori rilevati in rosso...)
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
segui le indicazioni che trovi a questo http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407 - link...
Per la scansione online...
Potresti provare con Ewido... scaricando il programmino che trovi alla pagina...
oppure con Trend Micro...
dopo aver seguito le info... ed indicato tutte le cose rilevate... (naturalmente
dei log... si dovrebbero indicare solo le info salienti..., ti spiego... se rilevi un
virus... indica solo il virus e la posizione e file... contagiato... se invece non
rivela niente... non indicare niente... postare il log... sarebbe spazio occupato
inutilmente...)
Dopo di che... fai una scansione con Hijackthis... scaricalo da qui... http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe - link
lo metti in una cartella sul disco e lo avvii... fai fare la scansione con log... e incolli il
log nel post.
Ciao.
PS: un'altra cosa... scarica questo software... http://www.ilsoftware.it/querydl.asp?ID=967 - link... il software si chiama gmer
Lo scarichi lo scompatti in una cartella... e lo fai partire... appena ti si apre...
controlla che siano messi i segni di spunta nelle caselle di destra...
fai fare lo scan... quando ha finito... vai nella sezione rootkit... e controlla se ci siano voci indicate in rosso...
(puoi cliccare anche sul tasto copy, nella sezione rootkit, e aprire blocco note
ed incollare la il log... e magari indicarmi i valori rilevati in rosso...)
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 23/Agosto/2007 alle 21:25
questo spyware:
Oggetti critici : 4
Procedura per la Rimozione:
Preparazione delle strutture
Creazione del punto di ripristino
Rimuovi Trojan/Toosrrr.SRR
Registry eliminato : HKCU\Software\FirstRRRun
Rimuovi Invalid Startup Items
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SDTray="C:\Programmi\Spyware Doctor\SDTrayApp.exe"
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avgnt="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
Chiusura del punto di ripristino
poi GMEr alla fine della scansione mi ha fatto uscire una finestra con scritto:
warning!!!
GMER has found system modification caused by ROOTKIT activity
purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!
resoconto di Ewido:
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : No action taken.
C:\Documents and Settings\Ray\Desktop\mio\EliBaglA.exe -> Heuristic.Win32.AVKiller : No action taken.
C:\Documents and Settings\Ray\Cookies\ray@ads.adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
il pc cmq è sempre nelle stesse condizioni.....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Oggetti critici : 4
Procedura per la Rimozione:
Preparazione delle strutture
Creazione del punto di ripristino
Rimuovi Trojan/Toosrrr.SRR
Registry eliminato : HKCU\Software\FirstRRRun
Rimuovi Invalid Startup Items
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SDTray="C:\Programmi\Spyware Doctor\SDTrayApp.exe"
Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avgnt="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
Chiusura del punto di ripristino
poi GMEr alla fine della scansione mi ha fatto uscire una finestra con scritto:
warning!!!
GMER has found system modification caused by ROOTKIT activity
purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!
resoconto di Ewido:
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : No action taken.
C:\Documents and Settings\Ray\Desktop\mio\EliBaglA.exe -> Heuristic.Win32.AVKiller : No action taken.
C:\Documents and Settings\Ray\Cookies\ray@ads.adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
il pc cmq è sempre nelle stesse condizioni.....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 23/Agosto/2007 alle 21:35
Postato originariamente da Charly7821
...purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!
...purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!
Perché cancelli senza dirmi cosa cancelli?
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 23/Agosto/2007 alle 21:43
scusami!hai perfettamente ragione....pensavo essendo in rosso fossero critici cmq mi ricordo era sulla cartella sistem32>drivers ed il file era sr.rosi.sys è l'altro era una chiave di registro che non ricordo...scusami .......
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 23/Agosto/2007 alle 21:51
Il fatto è che sarebbe stato molto utile sapere di quei file... comunque... adesso
fai fare la scansione con hijackthis... e posta il log.
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
fai fare la scansione con hijackthis... e posta il log.
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 23/Agosto/2007 alle 21:55
eccolo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.38.48, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\AlienGUIse\wbload.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\PROGRA~1\SPEEDB~1\VideoAccelerator.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.38.48, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\AlienGUIse\wbload.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\PROGRA~1\SPEEDB~1\VideoAccelerator.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
////CANCELLATO IL RESTO POICHE' SUPERFLUO...mantenute solo le voci considerate fa fixare //////
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 24/Agosto/2007 alle 00:34
Ciao, fixa queste voci...
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O1 - Hosts: 212.150.54.250 dv-networks.com <- non conosco i siti... quindi fixa
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE relativa a Realtek... (riconosciuta con funzioni spy...)
Poi, ...sei sicuro che il processo sp_rsser.exe ti blocca l'installazione dell'antivirus...?
Se fosse così... deve essere spyware terminator... che è stato impostato a
non accettar modifiche...
quindi... ti conviene a provar a disabilitare... il programma in avvio... e provare
a installare avast...
Ciao.
PS: le voci che hai fixato... non risolvono il problema... dell'antivirus....
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O1 - Hosts: 212.150.54.250 dv-networks.com <- non conosco i siti... quindi fixa
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE relativa a Realtek... (riconosciuta con funzioni spy...)
Poi, ...sei sicuro che il processo sp_rsser.exe ti blocca l'installazione dell'antivirus...?
Se fosse così... deve essere spyware terminator... che è stato impostato a
non accettar modifiche...
quindi... ti conviene a provar a disabilitare... il programma in avvio... e provare
a installare avast...
Ciao.
PS: le voci che hai fixato... non risolvono il problema... dell'antivirus....
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 24/Agosto/2007 alle 00:50
Scusa cosa vuol dire "Fixa"? inoltre non sono sicuro che il processo sp_rsser.exe blocchi l'installazione.....ma tipo quando provo ad installare anche antivir, mi dice che non trova il file con estensione .exe!poi son riuscito a fare la scansione online tramite I.E con panda ecco il resoconto:
Virus:Trj/Passtealer.EK Disinfettato C:\WINDOWS\EXEFQD\212640.EXE
Adware:Adware/ActiveSearch Non Disinfettato C:\Programmi\Toolbar\TBHELPER.DLL
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Virus:Trj/Passtealer.EK Disinfettato C:\WINDOWS\EXEFQD\212640.EXE
Adware:Adware/ActiveSearch Non Disinfettato C:\Programmi\Toolbar\TBHELPER.DLL
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 24/Agosto/2007 alle 01:11
Per fixa intendo di far partire HiJackthis e di far fare lo scan senza log...
cerchi poi le voci che ti ho indicato... metti il segno di spunta e clicchi su fix...
Per quanto riguarda C:\WINDOWS\EXEFQD\212640.EXE mi sembra relativo a
bagle... quindi proveremo a toglierlo almeno manualmente... o con qualche
altro tool...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
cerchi poi le voci che ti ho indicato... metti il segno di spunta e clicchi su fix...
Per quanto riguarda C:\WINDOWS\EXEFQD\212640.EXE mi sembra relativo a
bagle... quindi proveremo a toglierlo almeno manualmente... o con qualche
altro tool...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 24/Agosto/2007 alle 01:50
Scusa, mi dimenticavo... cosi non si perde altro tempo... scarica questo programma...
http://www.suspectfile.com/systemscan - link... (alcuni antivirus lo considerano un virus ma non lo è...)
fallo partire... e mettendo tutti i segni di spunta... fagli fare lo scan...
dopo di che, cerca il file in report.txt (dovrebbe stare in c:/suspectfile)
vai sul sito www.sendmefile.com e tramite prima sfoglia e poi upload...
mettilo su sendmefile, dopo di che metti il link diretto al file all'interno di un
post... (...il log è praticamente enorme... e sarebbe difficoltoso inserirlo direttamente
nel post senza creare problemi...) quindi dobbiamo servirci di un servizio di file hosting...
se non riesci... fammi sapere che ti dico io come fare...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
http://www.suspectfile.com/systemscan - link... (alcuni antivirus lo considerano un virus ma non lo è...)
fallo partire... e mettendo tutti i segni di spunta... fagli fare lo scan...
dopo di che, cerca il file in report.txt (dovrebbe stare in c:/suspectfile)
vai sul sito www.sendmefile.com e tramite prima sfoglia e poi upload...
mettilo su sendmefile, dopo di che metti il link diretto al file all'interno di un
post... (...il log è praticamente enorme... e sarebbe difficoltoso inserirlo direttamente
nel post senza creare problemi...) quindi dobbiamo servirci di un servizio di file hosting...
se non riesci... fammi sapere che ti dico io come fare...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 24/Agosto/2007 alle 02:44
http://www.sendmefile.com/00572752
speriamo in bene!!!!prgn ti ringrazio per quello che stai facendo,grazie mille!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
speriamo in bene!!!!prgn ti ringrazio per quello che stai facendo,grazie mille!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 24/Agosto/2007 alle 11:50
E poi sai cosa ho notato?!tipo sono entrato nella cartella di installazione di Spirewire doctor e dopo neanche un secondo sono spariti i file con estensione .exe!!!!!!infatti anche quando provo ad installare un antivirus qualsiasi non me lo fa installare perchè ad un certo punto dell'installazione mi dice che non trova il file .exe!!!!!mentre dalla modalità provvisoria me lo fa installare,ma prima devo aggiungere nuovamente quella chiave di registro per ripristinare la modalità provvisoria.Ho tolto all'avvio Spyware terminator ma il processo SP_RSSER.EXE è rimasto.......
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 24/Agosto/2007 alle 12:11
No... non dipende da spyware terminator... non ho ancora controllato il log...
bisogna eliminare il trojan e il rootkit... quando controllo di fo' sapere...
Dalla modalità provvisoria... ti permette di installare... perché il malware non
si attiva...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
bisogna eliminare il trojan e il rootkit... quando controllo di fo' sapere...
Dalla modalità provvisoria... ti permette di installare... perché il malware non
si attiva...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 24/Agosto/2007 alle 18:25
ok allora attendo una tua risposta. ho anche provato ad utilizzare trend micro cwshredder ma non ha trovato nulla........grazie ancora!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 25/Agosto/2007 alle 01:34
Ciao, ho dato una vista sommaria e ho la certezza che si tratti di bagle...
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
(file che sono indicativi del contagio...)
Ma su alcune cose... mi trovo un po' disorientato... tanto da pensare a qualche
nuova versione...
Pure il fatto che ELIBAGLA non abbia trovato niente mi fa pensare a questo...
Potresti fargli fare un altro scan con ELIBAGLA dalla modalità normale...?
E leggere con attenzione cosa rileva... dovrebbe produrre anche lui un
log... e potresti usare ancora www.sendmefile.com e mettere il link
al file in modo da poterlo vedere...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
(file che sono indicativi del contagio...)
Ma su alcune cose... mi trovo un po' disorientato... tanto da pensare a qualche
nuova versione...
Pure il fatto che ELIBAGLA non abbia trovato niente mi fa pensare a questo...
Potresti fargli fare un altro scan con ELIBAGLA dalla modalità normale...?
E leggere con attenzione cosa rileva... dovrebbe produrre anche lui un
log... e potresti usare ancora www.sendmefile.com e mettere il link
al file in modo da poterlo vedere...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 25/Agosto/2007 alle 14:45
ecco il link:http://www.sendmefile.com/00573206
cmq i file che avevo cancellato ed erano in rosso sono proprio quelli!
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
speriamo si possano eliminare!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
cmq i file che avevo cancellato ed erano in rosso sono proprio quelli!
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
speriamo si possano eliminare!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 25/Agosto/2007 alle 17:10
Ciao, proviamo un altro tool... http://research.pandasoftware.com/blogs/images/pavcl.zip - link...
Lo scarichi... disconnettiti... chiudi tutti i programmi... in background...
lo scompatti...in una cartella... (mettici come nome lo stesso nome del file... pavcl
in modo da inserire direttamente i comandi che ti detto...) prendi la cartella
e portala nel dico in posizione C: (vai in esplora risorse e fai doppio clic su
C: e trascina la cartella pavcl in C:).
Adesso vai in start -> esegui e digita cmd e clicca su ok per far accettare...
ti si aprirà una finestra con prompt dos...
e digita i seguenti comandi...:
cd\ (premi invio per fare accettare)
cd pavcl (premi invio per fare accettare)
a questo punto il prompt avrà la seguente forma... C:\pavcl>_
Digita allora il seguente comando...:
pavcl -cpm -aex -del C:\ (premi invio per fare accettare)
********************************************
ERRORE il parametro giusto e -cmp e non -cpm
quindi il comando giusto è: pavcl -cmp -aex -del C:\
********************************************
Con C si intede il disco dove vuoi che venga scannerizzato... se hai più
dischi... ti conviene ripetere il comando per ogni disco... sostituendo alla lettera
C la lettera degli altri dischi...
dopo aver fatto questo usa http://www.ccleaner.com/download/ - Ccleaner e cancella tutti i file temporanei compresi
i file prefetch (devi mettere il segno di spunta in avanzate... e in avanzate
mettere il segno di spunta in Vecchi dati prefetch) e avvia la pulizia..
poi vai in problemi... e clicca su trova problemi e successivamente su ripara...
Fai ripartire e speriamo che il tool abbia funzionato...
Il tool provvede a creare un log...
Usando sempre www.sendmefile.com... inseriscilo on line.. e inserisci il link
qua...
Fai ripartire gmer e controlla se ti trova ancora il rootkit
Ciao.
PS: Scusate per l'errore...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Lo scarichi... disconnettiti... chiudi tutti i programmi... in background...
lo scompatti...in una cartella... (mettici come nome lo stesso nome del file... pavcl
in modo da inserire direttamente i comandi che ti detto...) prendi la cartella
e portala nel dico in posizione C: (vai in esplora risorse e fai doppio clic su
C: e trascina la cartella pavcl in C:).
Adesso vai in start -> esegui e digita cmd e clicca su ok per far accettare...
ti si aprirà una finestra con prompt dos...
e digita i seguenti comandi...:
cd\ (premi invio per fare accettare)
cd pavcl (premi invio per fare accettare)
a questo punto il prompt avrà la seguente forma... C:\pavcl>_
Digita allora il seguente comando...:
pavcl -cpm -aex -del C:\ (premi invio per fare accettare)
********************************************
ERRORE il parametro giusto e -cmp e non -cpm
quindi il comando giusto è: pavcl -cmp -aex -del C:\
********************************************
Con C si intede il disco dove vuoi che venga scannerizzato... se hai più
dischi... ti conviene ripetere il comando per ogni disco... sostituendo alla lettera
C la lettera degli altri dischi...
dopo aver fatto questo usa http://www.ccleaner.com/download/ - Ccleaner e cancella tutti i file temporanei compresi
i file prefetch (devi mettere il segno di spunta in avanzate... e in avanzate
mettere il segno di spunta in Vecchi dati prefetch) e avvia la pulizia..
poi vai in problemi... e clicca su trova problemi e successivamente su ripara...
Fai ripartire e speriamo che il tool abbia funzionato...
Il tool provvede a creare un log...
Usando sempre www.sendmefile.com... inseriscilo on line.. e inserisci il link
qua...
Fai ripartire gmer e controlla se ti trova ancora il rootkit
Ciao.
PS: Scusate per l'errore...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 25/Agosto/2007 alle 20:33
questo è link : http://www.sendmefile.com/00573317
ho fatto tutto come mi hai detto per entrambi i dischi.... ma pavcl non so dove mette il rapporto informativo... ho messo le immaggini dei file in rosso che ha trovato gmer...sono sempre gli stessi..... porca.......azz ma è tosto sto virus!!!!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
ho fatto tutto come mi hai detto per entrambi i dischi.... ma pavcl non so dove mette il rapporto informativo... ho messo le immaggini dei file in rosso che ha trovato gmer...sono sempre gli stessi..... porca.......azz ma è tosto sto virus!!!!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 25/Agosto/2007 alle 20:40
Scusa... mi sono dimenticato di dirti dove mette il log...
lo mette nella cartella dove hai messo il programma (pavcl)
adesso scarico le immagini...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
lo mette nella cartella dove hai messo il programma (pavcl)
adesso scarico le immagini...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 25/Agosto/2007 alle 20:56
Ciao... devi mettere anche il log di Pavcl che trovi nella cartella che hai creato...
pavcl
E' praticamente un file di testo che apri con Blocco note...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
pavcl
E' praticamente un file di testo che apri con Blocco note...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 25/Agosto/2007 alle 23:35
Se non lo trovi... il file di log di Pavcl si chiama: pavcl.log
Inoltre, per quanto riguarda gli screenshot di gmer... ci sono (oltre a quelle
già identificate...) ancora un paio... di voci infette... comunque mettimi
il link per il log di pavcl...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Inoltre, per quanto riguarda gli screenshot di gmer... ci sono (oltre a quelle
già identificate...) ancora un paio... di voci infette... comunque mettimi
il link per il log di pavcl...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 26/Agosto/2007 alle 13:53
http://www.sendmefile.com/00574122 sai perchè non me lo fa? c'è un errore...guarda la foto....forse per quello non mi ha tolto il virus...magari se lo fa bene mi toglie il virus......
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 26/Agosto/2007 alle 15:39
SCUSA!!!
Ti ho scritto una cosa sbagliata... ho invertito le lettere di un parametro...
adesso vado a correggere..., quindi il comando da usare è:
pavcl -cmp -aex -del C:\
Ho messo cpm al posto di cmp... scusa di nuovo...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ti ho scritto una cosa sbagliata... ho invertito le lettere di un parametro...
adesso vado a correggere..., quindi il comando da usare è:
pavcl -cmp -aex -del C:\
Ho messo cpm al posto di cmp... scusa di nuovo...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 26/Agosto/2007 alle 16:34
http://www.sendmefile.com/00574360 allora su D la scansione l'ha fatta è ho allegato il log. su C invece purtroppo non me la fa, ho provato anche in modalità provvisoria ma è lo stesso...ho allegato la foto di cosa succede quando lo faccio in C inoltre non genera nessun log per C....
e poi quando chiudo la finestra in dos mi esce l'errore con scritto "termina adesso" ma solo quando lo faccio sul disco C. è proprio un casino....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
e poi quando chiudo la finestra in dos mi esce l'errore con scritto "termina adesso" ma solo quando lo faccio sul disco C. è proprio un casino....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 26/Agosto/2007 alle 17:27
Decisamente... si genera un errore che lo fa uscire dal programma...
non so che dirti... il bello che a noi serviva lo scan di C:
Prova se te lo fa fare da "modalità provvisoria con prompt comandi"
magari senza nemmeno imporgli la pulizia...
pavcl -auto -aex c:
Io comunque adesso ti segno alcuni file da trovare e verificare...
ed eventualmente proviamo a fare una pulizia manuale con avenger...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
non so che dirti... il bello che a noi serviva lo scan di C:
Prova se te lo fa fare da "modalità provvisoria con prompt comandi"
magari senza nemmeno imporgli la pulizia...
pavcl -auto -aex c:
Io comunque adesso ti segno alcuni file da trovare e verificare...
ed eventualmente proviamo a fare una pulizia manuale con avenger...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 26/Agosto/2007 alle 20:43
ho provato anche così ma nel log mi scrive che c'è un errror scanning boot sector sia in modalità normale che in provvisoria....ok allora attendo istruzioni.....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 00:05
Allora... fai partire Ccleaner e cancella tutti i temporanei...
Fai partire avenger (il link + istruzioni per uso... lo si può trovare qui... http://www.megalab.it/articoli.php?id=946 - link )
copia il seguente script (la scritta in rosso... selezionala e copiala, Ctrl+C):
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
folders to delete:
C:\WINDOWS\exefqd
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
Seleziona Input Script Manually (in Avenger) clicca sulla lente di ingrandimento
e nella finestra che ti si aprirà... incolla lo scrip (per incollare fai Ctrl+V)
Clicca su tasto done... clicca sul semaforo e yes... e aspetta che il pc si riavvii...
se non dovesse... prova riavviando... e vedi se ti ha cancellato quei file...
Ti verrà generato un log... che sarebbe bene tu postassi... se non si capisce
bene se è riuscita l'operazione di pulizia...
Se tutto è apposto... fai partire Ccleaner... fai fare un altra pulita... eliminando
anche i file prefetch (selezionabili in avanzate) poi clicca su problemi... e
risolvi anche eventuali problemi di registro... e naturalmente facci sapere come
è andata... (inoltre ci sono altri suggerimenti... da dare...)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Fai partire avenger (il link + istruzioni per uso... lo si può trovare qui... http://www.megalab.it/articoli.php?id=946 - link )
copia il seguente script (la scritta in rosso... selezionala e copiala, Ctrl+C):
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
folders to delete:
C:\WINDOWS\exefqd
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
Seleziona Input Script Manually (in Avenger) clicca sulla lente di ingrandimento
e nella finestra che ti si aprirà... incolla lo scrip (per incollare fai Ctrl+V)
Clicca su tasto done... clicca sul semaforo e yes... e aspetta che il pc si riavvii...
se non dovesse... prova riavviando... e vedi se ti ha cancellato quei file...
Ti verrà generato un log... che sarebbe bene tu postassi... se non si capisce
bene se è riuscita l'operazione di pulizia...
Se tutto è apposto... fai partire Ccleaner... fai fare un altra pulita... eliminando
anche i file prefetch (selezionabili in avanzate) poi clicca su problemi... e
risolvi anche eventuali problemi di registro... e naturalmente facci sapere come
è andata... (inoltre ci sono altri suggerimenti... da dare...)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 14:05
ho fatto come mi hai detto tu ma dopo aver cliccato su yes mi è uscito un errore" Sintax error in line - does not apper to be a valid registry patch. Line will be ignored." gli ho dato l'ok e mi sono uscite in succesione altre due finestre di errore, dopo di che il pc si è riavviato.... ecco il resoconto, il pc cmq è sempre uguale...
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 2
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xwmbawbv
*******************
Script file located at: \??\C:\WINDOWS\qrflarjj.txt
Script file opexxd successfully.
Script file read successfully
Backups directory opexxd successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
Folder C:\WINDOWS\exefqd deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 2
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xwmbawbv
*******************
Script file located at: \??\C:\WINDOWS\qrflarjj.txt
Script file opexxd successfully.
Script file read successfully
Backups directory opexxd successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
Folder C:\WINDOWS\exefqd deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 14:19
Bugiaaaaaa!!!!!ho provato ad installare antivir che prima non mi faceva installare ed ora lo ha installato!!!!!!!ho reinstallato anche avast ed ora sta riavviando la macchina facendo la scansione!!!!!!!speriamo bene!!!!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 14:37
Ma che fai... vuoi farmi venire un colpo? Allora lo abbiamo quasi grattato via... il maledetto...
Fai inoltre un'altra cosa... vai in start -> esegui e digita regedit e clicca su ok...
clicca nella sezione di sinistra su risorse del computer... vai in modifica e in trova... inserisci le seguenti stringhe da cercare... (naturalmente una alla volta
e tra una ricerca e l'altra clicca sempre, nella sezione di sinistra, su risorse del computer):
drvsyskit
hidr.exe
Hai fatto risolvi problemi (nel registro) con Ccleaner, inoltre ricordati di aggiornare
l'antivirus... questa era una versione del virus... di pochi giorni fa... quindi
potrebbe non riconoscerla se non aggiornato... (la scansione ti conviene farla
anche da mod. provvisoria...)
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 15:07
Per onor di cronaca i malware erano:
- srosa.sys:
Kaspersky 4.0.2.24 2007.08.26 Email-Worm.Win32.Bagle.ix
AntiVir 7.4.1.63 2007.08.25 Worm/Bagle.SSI.2
- hidr.exe:
Kaspersky 4.0.2.24 2007.08.26 Trojan-Downloader.Win32.Bagle.cu
AntiVir 7.4.1.63 2007.08.2 Worm/Bagle.SSI.6
- 2670531.exe:
Kaspersky 4.0.2.24 2007.08.26 -
AntiVir 7.4.1.63 2007.08.26 TR/Bagle.Gen.B
Controlla manualmente se i file sono stati effettivamente cancellati...
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
Controlla manualmente se la cartella e stata effettivamente cancellata...
C:\WINDOWS\exefqd
Inoltre c'è da riavviare alcuni servizi... che bagle ti ha disattivato...
Intanto fammi sapere come è andata...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
- srosa.sys:
Kaspersky 4.0.2.24 2007.08.26 Email-Worm.Win32.Bagle.ix
AntiVir 7.4.1.63 2007.08.25 Worm/Bagle.SSI.2
- hidr.exe:
Kaspersky 4.0.2.24 2007.08.26 Trojan-Downloader.Win32.Bagle.cu
AntiVir 7.4.1.63 2007.08.2 Worm/Bagle.SSI.6
- 2670531.exe:
Kaspersky 4.0.2.24 2007.08.26 -
AntiVir 7.4.1.63 2007.08.26 TR/Bagle.Gen.B
Controlla manualmente se i file sono stati effettivamente cancellati...
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
Controlla manualmente se la cartella e stata effettivamente cancellata...
C:\WINDOWS\exefqd
Inoltre c'è da riavviare alcuni servizi... che bagle ti ha disattivato...
Intanto fammi sapere come è andata...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 15:09
mi esce la finestra con scritto "è stata portata a termine la ricerca" gli do "ok" poi clicco a sinistra su risorse del computer ma non c'è nulla per entrambi i valori!!!!cmq sembra tutto normale!!!ho installato sia avast che antivir!!!!tuttto ok!!!!!!non so come ringraziarti!!!!!se vieni in Sardegna ti offro anche mia cugina!!!!!una cosa...ora posso stare tranquillo?inoltre tu cosa mi consigli avast o antivir o un altro?io ho sempre usato avast....oppure posso tenerli assieme sia avast che antivir????grazie ancora Prgn!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 15:27
quie file sono sicurissomo che non ci sono piu!!ho controllato per bene!!!grazie prgn!!!azz pero quanti virus che avevo!!!!ma per il discorso dell'antivirus?tutti e due assieme? ho uno solo?e quale?grazie Prgn!!!!mi hai salvato!!!!!sei troppo bravooo!!!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 15:38
Non mi dire che tua cugina è quella nella foto (avatar)...
Scherzo...
...è un piacere... e sono molto contento che hai risolto...
Io userei Avira Antivir... (ottima scelta)... (due antivirus con protezione in tempo
reale non vanno bene... in quanto si ostacolano a vicenda...)
Inoltre fai fare l'aggiornamento a Spybot (mi sembra che l'hai installato... o comunque all'antyspyware che hai installato...) e fagli fare una scansione
anche con l'antispyware...
Vai in start -> esegui e digita services.msc e clicca su ok... adesso cerca i
seguenti servizi...:
Centro sicurezza PC (se tu non lo hai disabilitato da te)
Aggiornamenti automatici (se tu non lo hai disabilitato da te)
Zero Configuration reti senza fili
e cliccandoci sopra... vedi se hanno impostato lo stato attivo e tipo di avvio
automatico... (che dovrebbero essere le impostazioni di default...)
Inoltre controlla se il firewall risulta attivato... (Centro di sicurezza per quello
di XP...) e il servizio relativo se si tratta di un altro firewall)
Ripristina il ripristino di configurazione di sistema... (se è una funzionalità
che tu usi...) e fai fare un nuovo punto di ripristino... per far fare un nuovo
punto di ripristino... vai in start... programmi... accessori e utilità di sistema...
scegli ripristino configurazione di sistema e scegli di creare un nuovo punto
di ripristino...
Mi sembra che abbiamo fatto tutto...
Comunque se mi viene in mente qualche altra cosa... l'aggiungo...
Ciao.
PS: inoltre... aprendo il centro di sicurezza.... sulla sinistra... trovi...
"Controlla la modalità con cui il centro di sicurezza PC avvisa..."
cliccaci sopra... e vedi se nelle tre caselle c'è il segno di spunta a tutte
e tre le caselle...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Scherzo...
...è un piacere... e sono molto contento che hai risolto...Io userei Avira Antivir... (ottima scelta)... (due antivirus con protezione in tempo
reale non vanno bene... in quanto si ostacolano a vicenda...)
Inoltre fai fare l'aggiornamento a Spybot (mi sembra che l'hai installato... o comunque all'antyspyware che hai installato...) e fagli fare una scansione
anche con l'antispyware...
Vai in start -> esegui e digita services.msc e clicca su ok... adesso cerca i
seguenti servizi...:
Centro sicurezza PC (se tu non lo hai disabilitato da te)
Aggiornamenti automatici (se tu non lo hai disabilitato da te)
Zero Configuration reti senza fili
e cliccandoci sopra... vedi se hanno impostato lo stato attivo e tipo di avvio
automatico... (che dovrebbero essere le impostazioni di default...)
Inoltre controlla se il firewall risulta attivato... (Centro di sicurezza per quello
di XP...) e il servizio relativo se si tratta di un altro firewall)
Ripristina il ripristino di configurazione di sistema... (se è una funzionalità
che tu usi...) e fai fare un nuovo punto di ripristino... per far fare un nuovo
punto di ripristino... vai in start... programmi... accessori e utilità di sistema...
scegli ripristino configurazione di sistema e scegli di creare un nuovo punto
di ripristino...
Mi sembra che abbiamo fatto tutto...
Comunque se mi viene in mente qualche altra cosa... l'aggiungo...
Ciao.
PS: inoltre... aprendo il centro di sicurezza.... sulla sinistra... trovi...
"Controlla la modalità con cui il centro di sicurezza PC avvisa..."
cliccaci sopra... e vedi se nelle tre caselle c'è il segno di spunta a tutte
e tre le caselle...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 16:48
tutto ok!!!!!allora utilizzo antivir.....anche se con avast fino a pochi giorni fa mi trovavo benissimo...mia cugina non è quella dell'avatar ma è molto carina!!!!ci proverei pure io!!!!!!!ha!grazie ancora Prgn!!!!!sei un grande!!!!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 17:12
Ciao, ...senti... io spesso mi trovo a usare vari antivirus... e su vari computer...
però alla fine... finisco sempre per installare Antivir... l'unica pecca è che non
fa lo scan delle email... (la versione a pagamento lo fa...) ma per il resto...
penso che sia uno dei migliori... in circolazione... in questo momento...
Per adesso... poni un po' di attenzione... e se hai degli archivi esterni... (tipo HDD esterni...) fai fare uno scan anche per quelli...
Per ulteriore sicurezza... potresti provare un ulteriore scan online... fra qualche giorno...
Se mi viene qualche altra cosa... te lo aggiungerò nei prossimi giorni...
(rileggo un po' la discussione e ti faccio sapere...)
Un altra cosa... ho visto che hai molte Toolbar... installate... a volte sono
comode... però spesso ci spiano... e ti consiglio di disinstallare quelle che
non usi...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
però alla fine... finisco sempre per installare Antivir... l'unica pecca è che non
fa lo scan delle email... (la versione a pagamento lo fa...) ma per il resto...
penso che sia uno dei migliori... in circolazione... in questo momento...
Per adesso... poni un po' di attenzione... e se hai degli archivi esterni... (tipo HDD esterni...) fai fare uno scan anche per quelli...
Per ulteriore sicurezza... potresti provare un ulteriore scan online... fra qualche giorno...
Se mi viene qualche altra cosa... te lo aggiungerò nei prossimi giorni...
(rileggo un po' la discussione e ti faccio sapere...)
Un altra cosa... ho visto che hai molte Toolbar... installate... a volte sono
comode... però spesso ci spiano... e ti consiglio di disinstallare quelle che
non usi...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 28/Agosto/2007 alle 18:27
ok! si che poi non le uso ste toolbar...mo le tolgo tutte!grazie!
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 28/Agosto/2007 alle 23:48
E fai bene... 
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 29/Agosto/2007 alle 00:36
Scusa... tanto per essere precisi... ho commesso un errore nello script...
lo script corretto doveva essere...:
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
folders to delete:
C:\WINDOWS\exefqd
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
Comunque non ci sono stati problemi... e penso che il valore sia stato
comunque eliminato da Ccleaner... (in pratica ho inserito l'ultima riga tra
le chiavi da cancellare e invece era un valore...)
Ciao e scusa per l'errore.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
lo script corretto doveva essere...:
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
folders to delete:
C:\WINDOWS\exefqd
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
Comunque non ci sono stati problemi... e penso che il valore sia stato
comunque eliminato da Ccleaner... (in pratica ho inserito l'ultima riga tra
le chiavi da cancellare e invece era un valore...
)Ciao e scusa per l'errore.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Charly7821
Postato in data: 30/Agosto/2007 alle 13:15
Prgn!!!ma che scusa!!!azz sono in super debito con te!!!!!!mi piacerebbe avere le tue conoscenze..... in modo da poter aiutare anche io (oltre a me stesso:) anche gli altri!)....
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
-------------
uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>
Postato da: prgn
Postato in data: 30/Agosto/2007 alle 14:40
Va beh... le scuse erano più che dovute... comunque... il fatto non ha avuto
conseguenze... e il valore sarà stato cancellato da risolvi problemi di Ccleaner...
visto che il file comunque lo avevamo cancellato...
Penso che non passando Ccleaner... avremmo lasciato il riferimento ad un
file infetto...:
-----HKCU\Software\Microsoft\Windows\CurrentVersion\Run-----
[Run]
.........................
"drvsyskit"="C:\WINDOWS\system32\drivers\hidr.exe"
Non avresti patito nulla di particolare... ma è sempre meglio rimuovere tutto...
Per il fatto delle conoscenze... sono cose che puoi fare pure tu... io non
ho fatto nulla di particolare... e poi c'è internet che aiuta moltissimo... dandoti
tutte le informazioni che possono servirti...
Hai un'antologia vasta su cui documentarti... se vuoi... sfruttala... potresti
iniziare da questo sito... controllando tutte le discussioni inerenti a questo
tipo di problematiche...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
conseguenze... e il valore sarà stato cancellato da risolvi problemi di Ccleaner...
visto che il file comunque lo avevamo cancellato...
Penso che non passando Ccleaner... avremmo lasciato il riferimento ad un
file infetto...:
-----HKCU\Software\Microsoft\Windows\CurrentVersion\Run-----
[Run]
.........................
"drvsyskit"="C:\WINDOWS\system32\drivers\hidr.exe"
Non avresti patito nulla di particolare... ma è sempre meglio rimuovere tutto...
Per il fatto delle conoscenze... sono cose che puoi fare pure tu... io non
ho fatto nulla di particolare... e poi c'è internet che aiuta moltissimo... dandoti
tutte le informazioni che possono servirti...
Hai un'antologia vasta su cui documentarti... se vuoi... sfruttala... potresti
iniziare da questo sito... controllando tutte le discussioni inerenti a questo
tipo di problematiche...
Ciao.
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />