aiuto! PC infettato con "backdoor.Prorat virus!"-

**Lloyd** · 02-02-2005, 08:33

ciao a tutti
premetto ke nn sono molto esperto di computer.
il virus backdoor.prorat ha infettato questi file di sistema:

C:windows/system/winkey.dll
C: windows/system/rwginr.dll

quando norton li ha trovati mi ha kiesto di metterli in quarantena e io ho detto si
ora il problema è ke norton è bloccato ,nn riesco a fare aggiornamento virus ne one check button e neppure ad aprire i file in quarantena così via. inoltre nn va + l'utilità di scandisk ne di deframmentazione e ad ogni accensione del PC norton mi kiede se voglio mettere in quarantena i suddetti file.

posso risovere da solo o devo portarlo a riformattare?

se potete aiutarmi x favore .....istruzioni facilissime.......sono ignorante in questo campo.....lo ammetto

il, mio sistema operativo è win 98 sec edizione

grazie a tutti

ciao
Rob

**Delmak_O** · 02-02-2005, 09:25

http://securityresponse.symantec.com...or.prorat.html

**Lloyd** · 02-02-2005, 16:46

Originariamente inviato da Delmak_O
http://securityresponse.symantec.com...or.prorat.html

t ringrazio ma nn riesco a risolvere.............nn cred di aver sufficienti competenze.....
un'ultima domanda.........è fattibile kiamare un tecnico e risolvere il problema da casa o devo dar via il PC e far formattare tutto??

THX sei stato comunque molto gentile :-)

**Delmak_O** · 02-02-2005, 17:49

non è il caso
purtroppo non conosco W98, comunque dopo esserti assicurato di avere le definizioni antivirus aggiornate riavvia dalla modalità provvisoria digitando F8 alle prime schermate del Bios e da lì ripetendo la scansione col Norton

i file infettati non sono file di sistema ma sono da eliminare

per ora lascia stare il registro, se elimini la materia (>il malware stesso) la forma (>il registro) non ha nulla su cui agire...

prima di eliminare i processi, devi prima terminarli, fare in modo che non siano in esecuzione, dalla modalità provvisoria proprio questo dovrebbe accadere, prova...

**Lloyd** · 02-02-2005, 18:52

Originariamente inviato da Delmak_O
non è il caso
prima di eliminare i processi, devi prima terminarli, fare in modo che non siano in esecuzione, dalla modalità provvisoria proprio questo dovrebbe accadere, prova...

ho provato ad avviare in modalità provvisoria -il problema è ke nortomn nn parte -non mi fa l'aggiornamento-nn mi fa la scansione del sistema- nn ottimizza
insomma è piantato
ho scaricato dalla symantec l'aggiornamento "20050201-007-i32" l'ho messo su desktop e lanciato --------qualcosa l'ha fatta...voglio dire sembra ke si sia installato----ma il problema è ---come posso eliminare i file se norton nn fa la scansione??
quando avvio il pc vengono furi le schermate noerton di presenza virus nei file ke t ho detto--io scelgo quarantena............posso agire in quel punto diversamente??

scusa...........ma tutto ciò nn è il mio forte

grazie ancora :-)

**Delmak_O** · 03-02-2005, 09:02

vai nella sezione 'links utili per la sicurezza informatica' in cima a questo forum, cerca il riferimento al programma HijackThis 1.99.0 - valido anche per Windows 98 -, scaricalo lancialo e posta l'esito, nella stessa sezione c'è anche un riferimento ad una guida per l'uso...non ho questo programma però aiuta a capire quello che gira dentro il pc, inoltre non escludere la possibilità di effettuare scansioni on-line con i link suggeriti nella stessa sezione...
dalla modalità provvisoria avevi comunque provato ad eliminare 'a mano' quanto trovato d'infetto? ad esempio quelle .dll o i vari processi (nel loro giusto percorso, mi raccomando, stai attento ai nomi simili, ad eliminare processi autentici...) indicati nella pagina Web della Symantec?

**Lloyd** · 03-02-2005, 14:48

Originariamente inviato da Delmak_O
vai nella sezione 'links utili per la sicurezza informatica' in cima a questo forum, cerca il riferimento al programma HijackThis 1.99.0 - valido anche per Windows 98 -, scaricalo lancialo e posta l'esito, nella stessa sezione c'è anche un riferimento ad una guida per l'uso...non ho questo programma però aiuta a capire quello che gira dentro il pc, inoltre non escludere la possibilità di effettuare scansioni on-line con i link suggeriti nella stessa sezione...
dalla modalità provvisoria avevi comunque provato ad eliminare 'a mano' quanto trovato d'infetto? ad esempio quelle .dll o i vari processi (nel loro giusto percorso, mi raccomando, stai attento ai nomi simili, ad eliminare processi autentici...) indicati nella pagina Web della Symantec?

allora.........ho disinstallato norton e ho caricato AVG free...........ho avviato in mod provvisoria , mi ha trovato i trojan e li ha isolati.....il problema ora è ke lo scandisk comunque nn va +

thx

Rob

**Lloyd** · 04-02-2005, 18:39

kiedo aiuto!!
vi aggiorno sulla situazione........
dopo aver trovato(disinstallando norton) con AVG i virus trojan in questi file
C: windows/system/winkey.dll
C:windows/system/reginv.dll
ho tentato di eliminarli-poi ho reinstallato norton e poikè nn partiva come al solito sono andato in mod.provvisoria ma neanke li parte e nn fa aggiornamento virus.
il PC sembra sotto copertuna antivirus e lo scan delle e-mail va.
da ieri quando riavvio PC norton mi dice che il problema in C: windows/system/winkey.dll è stato risolto.
fatto sta ke poikè norton era piantato-lo scan disk e la deframmentazione nn andava-media player nn partiva -il pc era lentissimo ed avevo qualke problema anke nella configurazione delle pagine web ho deciso di avviare registry mechanic ke come risposta mi ha consigliato di eliminare quanto segue
WIN INI(windows) value run C:/windows/system/sservice.exe
SYSTEM INI (boot)value shell- explorer.exe C:/windows/system/sservice.exe
ho aperto dos e x quanto riguarda run tutto era ok in system ini boot ho cancellato lasciando solo la voce explorer.exe salvato e uscito
ma il tutto ricompare quando riavvio PC
AD Aware personal invece mi dice questo HKY_LOCALMACHINE software\microsoft\windows nt\current version\winlogon"s

sono andato a controllare e in quella posizione c'è dinuovo..
ho trovato questo...... shell "explorer.exe C:\windows\system32\fservice.exe"

ke faccio?? elimino? e come? modalità provvisoria?? ke deve restare in quella voce??

nn sono bravissimo come avrete notato e vorrei fare un ulteriore tentativo prima di portare tutto dal tecnico

grazie

ciao

**amvinfe** · 04-02-2005, 19:29

ti consiglio una scansione online servendoti dell'antivirus messo a disposizione dalla TrendMicro
http://housecall.trendmicro.com/hous...start_corp.asp
prima d'effettuare la scansione devi però terminare i processi che la backdoor ha caricato quando hai avviato il sistema.
Apri la task (CTRL+ALT+CANC) e termina uno alla volta i processi:

services.exe
sservice.exe
fservice.exe

ora puoi collegarti e fare la scansione, finita la scansione riavvia e posta un log di HijackThis

Per cortesia continua la discussione all'interno del 3d che avevi aperto e non aprirne di nuovi, come avevi fatto.
Grazie

**Lloyd** · 04-02-2005, 20:16

Originariamente inviato da amvinfe
finita la scansione riavvia e posta un log di HijackThis

hai ragione.....scusa.....continuerò qui!!

perdona l'ignoranza.......dopo scansione ke devo fare?? vi posto un log??? che cos'è?come e dove??'

mi vergogno come un cane............ke asinO!!

Discussione: aiuto! PC infettato con "backdoor.Prorat virus!"-

Strumenti discussione

Ricerca discussione

Visualizza

aiuto! PC infettato con "backdoor.Prorat virus!"-

Backdoor.prorat-blocco di norton antivirus

Permessi di invio