Nessun Antivirus parte

**Storia** · 20-01-2007, 08:51

Stò facendo una scansione on line BitDefender visto che nessun altro antivirus parte nè nod nè altri.

Posso postare la scansione qui?

Siamo già a 40 file infetti.

Poi se qualcuno mi aiuta gliene sarei grato.

Considerate però che di pc ci capisco davvero poco

:berto:

**Storia** · 20-01-2007, 11:12

Ecco dopo la scansione con bitdefender

Mi aiutate passo passo visto che sono ignorante cronico?

Vi ringriazio tantissimo.

BitDefender Online Scanner

Scan report generated at: Sat, Jan 20, 2007 - 10:11:21

Scan path: A:\;C:\;D:\;E:\;F:\;

Statistics

Time
01:01:02

Files
497601

Folders
4072

Boot Sectors
6

Archives
2421

Packed Files
67956

Results

Identified Viruses
2

Infected Files
10

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
10

Engines Info

Virus Definitions
389963

Engine build
AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010448.exe
Infected with: Win32.Bagle.GR@mm

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010448.exe
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010448.exe
Deleted

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010449.exe
Infected with: Win32.Bagle.GR@mm

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010449.exe
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010449.exe
Deleted

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010451.exe
Infected with: Win32.Worm.Bagle.H

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010451.exe
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010451.exe
Deleted

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010452.sys
Infected with: Win32.Bagle.GR@mm

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010452.sys
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010452.sys
Deleted

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010459.sys
Infected with: Win32.Bagle.GR@mm

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010459.sys
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010459.sys
Deleted

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010461.exe
Infected with: Win32.Worm.Bagle.H

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010461.exe
Disinfection failed

C:\System Volume Information\_restore{AD0A4145-BB93-47A7-BD27-0241593BF9B4}\RP42\A0010461.exe
Deleted

C:\WINDOWS\exefld\29354859.exe
Infected with: Win32.Bagle.GR@mm

C:\WINDOWS\exefld\29354859.exe
Disinfection failed

C:\WINDOWS\exefld\29354859.exe
Deleted

C:\WINDOWS\exefld\29432390.exe
Infected with: Win32.Bagle.GR@mm

C:\WINDOWS\exefld\29432390.exe
Disinfection failed

C:\WINDOWS\exefld\29432390.exe
Deleted

C:\WINDOWS\exefld\316328.exe
Infected with: Win32.Bagle.GR@mm

C:\WINDOWS\exefld\316328.exe
Disinfection failed

C:\WINDOWS\exefld\316328.exe
Deleted

C:\WINDOWS\exefld\316718.exe
Infected with: Win32.Bagle.GR@mm

C:\WINDOWS\exefld\316718.exe
Disinfection failed

C:\WINDOWS\exefld\316718.exe
Deleted

**Storia** · 20-01-2007, 14:53

Vi prego aiutatemi

**holifay** · 20-01-2007, 21:27

OK, sappiamo quali sono i file infetti e che bitdefender non è in grado di cancellarli con la scansione online.

Prima di eliminarli in altro modo, è meglio sapere come vengono avviati. Ti chiedo quindi di fare un'altra scansione. Scarica systemscan da qui: http://www.suspectfile.com/upload/fi...systemscan.exe

Avvialo, premi SCAN NOW e aspetta, anche 30 minuti. Al termine ti aprirà un file di testo con un log, che viene anche salvato nella cartella c:\suspectfile come report.txt e come file zippato.

Carica questo file zip (o il file report.txt) su www.mytempdir.com e posta qui il link al log in modo che possiamo eliminarlo.

Ciao

**Storia** · 20-01-2007, 23:10

In primis Grazie.

Faccio tutto, seguimi passo passo perchè il pc non è per me

**Storia** · 20-01-2007, 23:17

Ecco spero di aver fatto bene i passaggi:

Sono andato su sfoglia e ho carito il file (blocco note)

Il link per il download è questo:

http://www.mytempdir.com/1177379

Ci siamo per ora?

**holifay** · 22-01-2007, 00:07

OK

Scarica The Avenger ed estrai l'eseguibile avenger.exe sul desktop. http://swandog46.geekstogo.com/avenger.zip

seleziona le scritte qui sotto in neretto e premi CTRL +C per copiarle negli appunti

drivers to unload:
m_hook

files to delete:
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\User\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\User\Dati applicazioni\hidires\m_hook.sys

folders to delete:
C:\Documents and Settings\User\Dati applicazioni\hidires
c:\windows\exefld

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |NWEReboot
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |hldrrr

registry keys to delete:
HKLM\SYSTEM\controlset001\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
HKLM\system\controlset001\services\m_hook
HKLM\system\CurrentControlSet\services\m_hook

- Avvia il file avenger.exe e seleziona la casella INPUT SCRIPT MANUALLY
- clicca l'icona con le lente di ingrandimento
- nella finestra che si apre incolla quanto copiato sopra (premi CTRL + V)
- premi DONE
- chiudi la finestra e premi l'icona con il semaforo.

Ti chiederà di riavviare, accetta. Segui le istruzioni, probabilmente riavvierà due volte.

Al termine posta il contenuto del file avenger.txt

**Storia** · 22-01-2007, 11:39

Ecco. Ho seguito passo passo e ti ringrazio perchè pensavo fosse impossibile invece sei sempre chiarissimo.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\ilutydme

*******************

Script file located at: \??\C:\Documents and Settings\ywxijryo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver m_hook unloaded successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\Documents and Settings\User\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\Documents and Settings\User\Dati applicazioni\hidires\m_hook.sys deleted successfully.
Folder C:\Documents and Settings\User\Dati applicazioni\hidires deleted successfully.
Folder c:\windows\exefld deleted successfully.
Registry key HKLM\SYSTEM\controlset001\Enum\Root\LEGACY_M_HOOK deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
Status: 0xc0000034

Registry key HKLM\system\controlset001\services\m_hook not found!
Deletion of registry key HKLM\system\controlset001\services\m_hook failed!

Could not process line:
HKLM\system\controlset001\services\m_hook
Status: 0xc0000034

Registry key HKLM\system\CurrentControlSet\services\m_hook not found!
Deletion of registry key HKLM\system\CurrentControlSet\services\m_hook failed!

Could not process line:
HKLM\system\CurrentControlSet\services\m_hook
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |NWEReboot deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

**holifay** · 22-01-2007, 18:13

bene, lo script ha fatto il suo dovere

adesso fai una scansione online con kaspersky, selezionando "database esteso" e cancella tutto quello che dovesse trovare: http://www.kaspersky.com/virusscanner
è meglio se durante la scansione disabiliti temporaneamente il tuo AV

Poi posta un log di Hijackthis che eliminiamo alcuni residui
http://download.hijackthis.eu/hijackthis_199.zip

**Storia** · 22-01-2007, 19:27

av? antivirus?

che significa un log?

scusami

Discussione: Nessun Antivirus parte

Strumenti discussione

Ricerca discussione

Visualizza

Nessun Antivirus parte

Permessi di invio