strane cose: i programmi e le pagine web si chiudono

**Deifobe** · 05-11-2008, 20:17

si eliminali pure.
poi, con avenger esegui quuesto script:

files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\down
c:\windows\system32\drivers\downld
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA

clicca su execute e posta il report rilasciato

**ilconte30** · 05-11-2008, 20:48

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\hidrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\hldrrr.ex_" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.ex_" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\klif.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\klif.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\pci32.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\pci32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\WINDOWS\system32\hlpuybtr.exe" not found!
Deletion of file "c:\WINDOWS\system32\hlpuybtr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\trusted.exe" not found!
Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys" not found!
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe" not found!
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys" not found!
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open file "c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe"
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe"
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\Documents and Settings\user\Dati applicazioni\m\data.oct"
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\m\data.oct" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: could not open file "c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe"
Deletion of file "c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: folder "c:\WINDOWS\exefld" not found!
Deletion of folder "c:\WINDOWS\exefld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\WINDOWS\exefnd" not found!
Deletion of folder "c:\WINDOWS\exefnd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\WINDOWS\exefqd" not found!
Deletion of folder "C:\WINDOWS\exefqd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\WINDOWS\system32\drivers\down" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\windows\system32\drivers\downld" not found!
Deletion of folder "c:\windows\system32\drivers\downld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "c:\Documents and Settings\user\Dati applicazioni\hidires" deleted successfully.

Error: folder "c:\Documents and Settings\user\Dati applicazioni\hidn" not found!
Deletion of folder "c:\Documents and Settings\user\Dati applicazioni\hidn" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\system\ControlSet002\Services\ srosa" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\system\ControlSet002\Services\ srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ Root\LEGACY_SROSA" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_SROSA" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root \LEGACY_SROSA" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root \LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

**ilconte30** · 05-11-2008, 20:49

il problema persiste
adesso ad esempio mentre tento di scriivere o leggere un post mi ritorna alla pagina precedente, senza fare nulla.
pensavo fosse il mouse ottico e l'ho cambi to.
ma niente.

aiutoooooooooooooooooo

**Deifobe** · 05-11-2008, 22:22

sono indecisa se continuare a cercare o spostarti in un'altra sezione..

1) hai provato con il mouse.. controlliamo anche la tastiera, così scartiamo anche questa ipotesi.. start => esegui => digita osk e scollega la tastiera dal pc.
apri un file word e prova a scrivere. Poi, collegati ad internet e rifai la stessa prova.

2) posta un nuovo systemscan.

3) zippa la cartella c:\avenger, caricala su savefile e inviami il link con un messaggio privato (non metterlo sul forum, mi raccomando)

4) non appena puoi, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) e da questo momento in poi puoi anche disconnettere il pc da internet, la scansione continerà comunque
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

**ilconte30** · 05-11-2008, 23:52

è vero meglio non metterlo nel forum
anzi se puoi cancella il link di sopra, te ne sarei grato.

provo a fare domani quello che mi hai detto e ti faccio sapere.

ciao e grazie per la tua disponibilità.

**Deifobe** · 06-11-2008, 00:05

non ci vedo più.... posso cancellarlo, si... ma quale link?

**ilconte30** · 06-11-2008, 17:29

il 4 post da sopra ossia quello del file savefile
comunque volevo aggiornarti
il mouse è da escludere, provato anche su altri pc
la tastiera ho una a infrarossi e ho letteralmente staccato le batterie e fatto tutte le prove. Funziona benissimo.
noto dei reindirizzamenti quando navigo perchè mi cambia la pagina ma non su altri siti ma o in avanti o indietro sulle pagine che sto vedendo e alcune volte si apre outlook senza aver cliccato nulla.
- ho fatto una scansione con elibagla e ha trovato un file infetto e poi ripulito

- lanciato anche combofix e tutto ok

- adesso sto facendo una scansione di avast all'avvio, mi ha trovato fin'ora del file infetti sempre dallo stesso virus ossia win32:trojan-gen (other) file non riparato.
ne ha trovati 6 in una cartella dove sono parcheggiati alcuni file di aggiornamento di un programma (ho qualche dubbio su falsa positività perchè conosco la fonte dei file) poi uno in system volume information\_restore.ecc.....\rp2\a0000043.exe (non so cos'è)

VVoVe:

- stamattina ho rifatto una scansione con malwarebyte e non ha trovato nulla.

- l'unica cosa: per i bagle mi ricordo che andavano fatte delle verifiche manuali di rimozione, giusto?

- ho rifatto la scansione dopo riavvio con elibagla e non ha trovato nulla

(fatta anche in modalità provvisoria)

grazie per la tua pazienza

**ilconte30** · 06-11-2008, 17:31

Thu Nov 06 10:09:48 2008
EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Thu Nov 06 10:09:51 2008
EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
DC241.ZIP -> Bagle
Nº Total de Directorios: 24563
Nº Total de Ficheros: 525696
Nº de Ficheros Analizados: 22467
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

**ilconte30** · 06-11-2008, 18:32

non appena puoi, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) e da questo momento in poi puoi anche disconnettere il pc da internet, la scansione continerà comunque
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

Putroppo tale procedura non me la fa fare
cambia pagina continuamente (cioè va a quella precedente) e quindi non mi permette di scaricare i database

Adesso sto facendo la scansione con il tool remover kaspersky
e mi ha rimosso alcuni file sospetti e sembra (incrocio le dita) che il problema sia sparito.
Comunque sto facendo finire la scansione.

Senti ma io ho installato avast, molti ne parlano bene e altri no.
Premesso che l'antivirus infallibile non esiste, tu cosa consigli?
Avir-it o altro?

Grazie

**Deifobe** · 06-11-2008, 22:21

posti sia il rapporto di combofix che quello della scansione?

Discussione: strane cose: i programmi e le pagine web si chiudono

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio