Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 10 su 10
  1. 27-12-2008, 17:59 #1
    Ricky180770bis
    Ricky180770bis non è in linea
    Utente di HTML.it L'avatar di Ricky180770bis
    Registrato dal
    Dec 2008
    Messaggi
    4

    winupgro.exe (please help me)

    Ciao...
    Il mio nome è Riccardo e forse non sarei mai venuto a conoscenza di questo sito se non avessi "beccato" winupgro.exe sul computer(SO Windows XP)...
    WINUPGRO.EXE Si è installato nonostante avast che è stato subito disattivato, ho provato ATF Cleaner e CCleaner ma non partono neppure, ho disattivato il punto di ripristino ma il computer non parte, comunque, in modalità provvisoria;
    kasperkis online è fallito mentre ho il responso di simantec online,
    Hijackthis non parte e l'errore è applicazione non valida
    ho usato system scan e ho il report...

    (ovviamente sono alla mia prima "discussione" e spero di non aver errato procedura)

    GRAZIE IN ANTICIPO PER L'ASSISTENZA...

    CIAO...
    RICCARDO

    PS: COMUNQUE VADA BUONE FESTE A TUTTI!!!
    Riccardo Piccoli
    (Facebook - Travian - Hattrick - Ikariam - Tribal Wars)
    Rispondi quotando Rispondi quotando
  2. 27-12-2008, 18:33 #2
    Ricky180770bis
    Ricky180770bis non è in linea
    Utente di HTML.it L'avatar di Ricky180770bis
    Registrato dal
    Dec 2008
    Messaggi
    4

    REPORT DI SYSTEM SCAN

    CIAO...
    visto il messaggio di KziPpu
    ho fatto anche io l'upload del report di system scan...
    Ciao e grazie...
    Riccardo


    http://freefilehosting.net/download/43bic
    Riccardo Piccoli
    (Facebook - Travian - Hattrick - Ikariam - Tribal Wars)
    Rispondi quotando Rispondi quotando
  3. 27-12-2008, 18:34 #3
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    scarica sul desktop e decomprimi il file http://www.suspectfile.com/forum/dow...ile.php?id=963 ed eseguilo.
    Segui attentamente le procedure che ti vengono via-via consigliate.

    NB
    ricordati che non deve esserci connessione internet.
    Non usare il pc, mouse compreso durante le procedure di rimozione.

    Il log lo trovi in C:\ (ComboFix.txt)
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  4. 27-12-2008, 19:04 #4
    Ricky180770bis
    Ricky180770bis non è in linea
    Utente di HTML.it L'avatar di Ricky180770bis
    Registrato dal
    Dec 2008
    Messaggi
    4
    per iniziare: grazie...

    ho fatto l'upload del file log di combofix:

    http://freefilehosting.net/download/43bjl

    questo è il risultato;

    ora aprendo task manager il file "winupgro.exe" non c'e' piu', ma al suo posto c'e' :

    "wscntfy.exe"

    Ciao...
    Riccardo

    GRAZIE!!!!!
    Riccardo Piccoli
    (Facebook - Travian - Hattrick - Ikariam - Tribal Wars)
    Rispondi quotando Rispondi quotando
  5. 27-12-2008, 19:17 #5
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla


    Windows Registry Editor Version 5.00
    [-HKEY_USERS\.DEFAULT\Software\bisoft]
    ;
    Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva sul desktop.
    Esegui fix.reg, accetta le modifiche ma non riavviare.



    Apri SystemScan clicca su "Removal Script".
    Allinterno del box bianco copia ed incolla i valori riportati qui sotto

    Registry values to replace with dummy:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

    registry keys to delete:
    HKLM\system\currentcontrolset\services\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA

    Files to delete:
    C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\srosa.sys
    C:\Documents and Settings\nomeutente\Desktop\winupgro.exe
    C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\winupgro.exe
    C:\WINDOWS\system32\wintems.exe
    c:\windows\system32\ban_list.txt
    c:\windows\system32\mdelk.exe
    C:\Documents and Settings\nomeutente\Dati applicazioni\m\flec006.exe
    C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\srosa2.sys

    Folders to delete:
    C:\Documents and Settings\LocalService\Dati applicazioni\drivers
    C:\Documents and Settings\nomeutente\Dati applicazioni\drivers
    C:\Documents and Settings\nomeutente\Dati applicazioni\m
    ora clicca su "Proceed with removal" e poi su OK.

    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

    Postami il log di avenger (C:\avenger.txt) un nuovo SystemScan e scrivimi in quale directory è presente il file wscntfy.exe
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  6. 27-12-2008, 19:19 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    se il file wscntfy.exe è presente nella system32 è legittimo
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 27-12-2008, 19:25 #7
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    scusa, avevo copiato uno script che avevo preparato giorni fa e non ho sostituito il nome utente, non tenere conto del primo script te lo riscrivo corretto scusami.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  8. 27-12-2008, 19:32 #8
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    allora, anche per te vale lo stesso discorso. Lo script corretto è questo con il tuo nome utente, per il resto segui le stesse indicazioni che ti ho dato nel post precedente.

    Registry values to replace with dummy:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

    registry keys to delete:
    HKLM\system\currentcontrolset\services\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA

    Files to delete:
    C:\Documents and Settings\dell\Dati applicazioni\drivers\srosa.sys
    C:\Documents and Settings\dell\Desktop\winupgro.exe
    C:\Documents and Settings\dell\Dati applicazioni\drivers\winupgro.exe
    C:\WINDOWS\system32\wintems.exe
    c:\windows\system32\ban_list.txt
    c:\windows\system32\mdelk.exe
    C:\Documents and Settings\dell\Dati applicazioni\m\flec006.exe
    C:\Documents and Settings\dell\Dati applicazioni\drivers\srosa2.sys

    Folders to delete:
    C:\Documents and Settings\LocalService\Dati applicazioni\drivers
    C:\Documents and Settings\dell\Dati applicazioni\drivers
    C:\Documents and Settings\dell\Dati applicazioni\m
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  9. 27-12-2008, 20:33 #9
    Ricky180770bis
    Ricky180770bis non è in linea
    Utente di HTML.it L'avatar di Ricky180770bis
    Registrato dal
    Dec 2008
    Messaggi
    4
    Per favore non scusarti per niente...

    questo è il file di avenger...
    http://freefilehosting.net/download/43bli

    questo il report di scan file...
    http://freefilehosting.net/download/43blj


    per quanto riguarda il file wscntfy.exe è in
    c:\windows\system32

    mentre ho trovato il file:
    wscntfy.exe-1b24f5eb.pf (non so cosa sia un file pf)
    nella directory:
    c:\windows\prefetch

    pendo dalle tue dita...

    ciao e grazie...
    Riccardo
    Riccardo Piccoli
    (Facebook - Travian - Hattrick - Ikariam - Tribal Wars)
    Rispondi quotando Rispondi quotando
  10. 27-12-2008, 21:00 #10
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    i .pf (prefetch) servono per velocizzare l'apertura dei file, se avevi aperto un determianto file, lo stesso, riaperto in un secondo momento, verrà eseguito più velocemente.

    Usa nuovamente SystemScan, questa volta inserisci questo script.

    Files to delete:
    C:\zip.exe
    C:\avexport.bat
    C:\whegcpxm.bat
    C:\avenger.txt
    C:\ComboFix.txt
    C:\WINDOWS\system32\drivers\siqjktqk.sys

    Registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | rpionyks
    sono file o valori collegati a programmi che ti ho fatto usare.
    Installa un antivirus, non l'ho visto installato. Posso consigliarti AntivirPe
    http://www.free-av.com/en/download/1...antivirus.html


    verifica che funzioni l'audio, fra i danni causati da bagle c'è anche questo. Se non dovesse funzionare basta installare nuovamente i driver.

    Ciao
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.