+ Rispondi alla Discussione
Risultati da 1 a 31 di 31

[Risolto] Problemi con probabile virus

Ultimo Messaggio di Wolf Otakar il:
  1. #1
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16

    Problemi con probabile virus

    Ciao ragazzi, ho un problema con il mio notebook, credo sia dovuto a qualche virus, il mio antivirus avg non parte più perchè mi da errore applicazione win 32 non valida, ho provato ad istallare avira, stesso problema, come posso fare? ho provato a mettere in modalità provvisoria ma non va, insomma non saprei cosa fare, qualcuno può gentilmente aiutarmi?

  2. #2
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao pietro811 e benvenuto nel forum GT!


    Posta pure un log con hijack!

  3. #3
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    non posso...non riesco ad istallarlo.....mi dice applicazione di win32 non valida....

  4. #4
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    non posso...non riesco ad istallarlo.....mi dice applicazione di win32 non valida....
    Ciao Pietro,

    effettua una scansione con Gmer.

    Allega poi, il log qui!

  5. #5
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    per prima cosa un grazie enorme per la disponibilità, ecco il file salvato, spero di non aver sbagliato...non riesco a caricarlo perchè è do 600kb. vi allego la scansione normale con incolla:


    GMER 1.0.14.14205 -
    Rootkit scan 2008-03-16 09:27:33
    Windows 5.1.2600 Service Pack 2

    ---- System - GMER 1.0.14 ----
    SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF748F5DC]
    SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF749B120]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwOpenProcess [0xF5B4B31C]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation [0xF5B50E50]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwSetInformationFile [0xF5B4B41A]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtOpenProcess
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtQuerySystemInformation
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtSetInformationFile
    ---- Devices - GMER 1.0.14 ----
    Device \FileSystem\Ntfs \Ntfs 845654E8
    Device \FileSystem\Fastfat \Fat 83F488F8
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    ---- Modules - GMER 1.0.14 ----
    Module _________ F73FF000-F7417000 (98304 bytes)
    ---- Processes - GMER 1.0.14 ----
    Process C:\WINDOWS\system32\drivers\hldrrr.exe (*** hidden *** ) 1852
    ---- EOF - GMER 1.0.14 ----

  6. #6
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    ...non riesco a caricarlo perchè è do 600kb
    Ciao Pietro,

    mandami il log completo, per e-mail!!!

  7. #7
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    ok inviato...ciao

  8. #8
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao Pietro,

    disattiva il ripristino configurazioni di sistema:

    Start --> programmi --> accessori --> utilita' di sistema --> ripristino configurazioni di sistema --> impostazioni ripristino configurazioni di sistema --> Disattiva ripristino!
    Disattivato il ripristino, scarica the avenger.

    Effettua, un copia/incolla di questo script, nel riquadro bianco "input script here" di the avenger:

    Files to delete:
    C:\WINDOWS\system32\drivers\hidr.exe
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\drivers\down\19567546.exe
    C:\WINDOWS\system32\drivers\down\19578437.exe
    C:\WINDOWS\system32\drivers\down\19591859.exe
    C:\WINDOWS\system32\drivers\down\19599765.exe
    C:\WINDOWS\system32\drivers\down\19632781.exe
    C:\WINDOWS\system32\drivers\down\19695578.exe

    folders to delete:
    C:\WINDOWS\system32\drivers\down
    Procedi pure in questo modo:

    - elimina la spunta su: scan for rootkit "in basso a sinistra"
    - premi su execute
    - rispondi SI alle richieste
    - ora il pc, dovrebbe riavviarsi;
    - al riavvio allega qui nel forum, il log di avenger o manda pure tutto per e-mail!

  9. #9
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    cattive notizie , quando provo a far partire avenger mi dice win 32 non valido....
    Ultima modifica di pietro811; 16-03-08 alle 19:32

  10. #10
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    cattive notizie , quando provo a far partire avenger mi dice win 32 non valido....
    Ti mando per e-mail, una versione che uso io!!!

  11. #11
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    mi dice sempre non è un'applicazione di win 32 valida

  12. #12
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    mi dice sempre non è un'applicazione di win 32 valida
    Pietro,

    effettua una scansione con questo tools; vediamo un po cosa trova!

  13. #13
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http:/
    Platform: Windows XP
    *******************
    Script file opened successfully.
    Script file read successfully.
    Backups directory opened successfully at C:\Avenger
    *******************
    Beginning to process script file:

    Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\wintems.exe" not found!
    Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19567546.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19567546.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19578437.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19578437.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19591859.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19591859.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19599765.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19599765.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19632781.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19632781.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19695578.exe "
    Deletion of file "C:\WINDOWS\system32\drivers\down\19695578.exe " failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: folder "C:\WINDOWS\system32\drivers\down" not found!
    Deletion of folder "C:\WINDOWS\system32\drivers\down" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Completed script processing.
    *******************
    Finished! Terminate.

  14. #14
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da Wolf Otakar Visualizza Messaggio
    effettua una scansione con questo tools
    Trovato/rimosso nulla?

  15. #15
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    avevo stoppato il processo ora rimetto in funzione, ma quel log che ti ho postato che vuol dire? che sono fregato?

  16. #16
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    non ha trovato nulla...

  17. #17
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    quel log che ti ho postato che vuol dire?
    Che Avenger non ha trovato i file!

  18. #18
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Dunque ho provato a fare una scansione con kaspersky on line e mi ha dato 3 virus, ora li posto così potete darmi qualche consiglio:
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NX3EEL1E\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NEONZ1CX\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\MDXY7A1K\b64_2[1].jpg

    PS il pc non mi va + in modalità provvisoria, si blocca e riparte....boh....

  19. #19
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao pietro811,

    apri avenger ed effettua, un copia/incolla di questo script, nel riquadro bianco "input script here" :

    Files to delete:
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NX3EEL1E\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NEONZ1CX\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\MDXY7A1K\b64_2[1].jpg
    ora, elimina la spunta su: scan for rootkit "in basso a sinistra"
    - premi su execute
    - rispondi SI alle richieste
    - ora il pc, dovrebbe riavviarsi;
    - al riavvio allega qui nel forum!


  20. #20
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Allora, mamma mia che casino, ho fatto il copia incolla dello script, e dopo si è riavviato, mi è uscita una scitta che non riesco a postare, ma dice comunque che i file sono stati rimossi, ed ora?

  21. #21
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    ....ma dice comunque che i file sono stati rimossi, ed ora?
    Ora effettua una ripulita con ccleaner e ATF Cleaner!


    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    PS il pc non mi va + in modalità provvisoria, si blocca e riparte....boh....
    Scarica questo ed avvia il .reg per il tuo sistema!

  22. #22
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Citazione Originariamente Scritto da Wolf Otakar Visualizza Messaggio
    Ora effettua una ripulita con.....

    Scarica .... ed avvia il .reg per il tuo sistema!

    Scaricati entrambi ed ho ripulito tutto, per ora tutto ok.

    Grande Wolf!!!!!! La modalità provv è tornata a funzionare!!!!!!!!!!!
    Ed ora?

  23. #23
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Vai su start --> esgui e digita SERVICES.MSC

    Verifica questi servizi: windows firewall, avvisi, centro di sicurezza, connessione di rete, aggiornamenti automatici, zero configuration reti senza fili!

    Se risultano disabilitati, attivali tutti!

  24. #24
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Citazione Originariamente Scritto da Wolf Otakar Visualizza Messaggio
    Vai su start --> esgui e digita SERVICES.MSC

    Verifica questi servizi: windows firewall, avvisi, centro di sicurezza, connessione di rete, aggiornamenti automatici, zero configuration reti senza fili!

    Se sono disattivati, attivali tutti!
    Allora, erano tutti attivi tranne il centro sicurezza, ora l'ho attivato...quindi?

  25. #25
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ora, disinstalla/reinstalla il tuo antivirus e prova a lanciare una scansione!

  26. #26
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Citazione Originariamente Scritto da Wolf Otakar Visualizza Messaggio
    Ora, disinstalla/reinstalla il tuo antivirus e prova a lanciare una scansione!

    Beh wolf, ti ringrazio tantissimo x l'aiuto, ma stasera non ce la faccio +, ci risentiamo venerdi, spero di trovarti.....ciao

  27. #27

  28. #28
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Ciao wolf e scusa ma non ci sono stato in questi giorni, allora, ho disinstallatto e installato l'antivirus ed ora....PARTE!!!!! quindi che significa?

  29. #29
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    ......... ho disinstallatto e installato l'antivirus ed ora....PARTE!!!!! quindi che significa?
    Ciao Pietro,


    beh, significa che hai risolto!


    Ti consiglio di effettuare anche dei controlli antispyware con: SuperAntiSpyware



  30. #30
    User
    Data Registrazione
    Mar 2008
    Messaggi
    16
    Citazione Originariamente Scritto da Wolf Otakar Visualizza Messaggio
    Ciao Pietro,


    beh, significa che hai risolto!


    Ti consiglio di effettuare anche dei controlli antispyware con:

    ottimissimo, non so come ringraziarti, era da tempo che mi dava enormi problemi, uuuuuuuu, cmq come antispyware già ho spybot, ora aggiungo anche il tuo....grazie ancora!!!!

  31. #31
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da pietro811 Visualizza Messaggio
    ....grazie ancora!!!!

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.