probabile virus (applicazione win32 non valida)
  • In diretta da GamesVillage.it
    • News
    • -
    • In Evidenza
    • -
    • Recensioni
    • -
    • RetroGaming
    • -
    • Anteprime
    • -
    • Video
    • -
    • Cinema

Visualizzazione risultati da 1 a 12 di 12

Discussione: probabile virus (applicazione win32 non valida)

Cambio titolo
  1. 8-04-2008, 16:55:36 #1
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555

    KO probabile virus (applicazione win32 non valida)

    da ieri sera il mio computer ha degli strani problemi. l'avg e il zone alarm non partono rispondendo con un "... non è un applicazione di win32 valida" oltre a questi anche altri come ad-aware, spybot e avast si rifiutano di partire. ho provato a riavviare in modalità provvisoria ma dopo il caricamento dei driver il computer si blocca e riavvia. come potete aiutarmi? ho trovato una discussione di un altro forum dove un problema analogo era stato risolto, ma non ho capito bene i passaggi: http://www.giorgiotave.it/forum/sicu...ile-virus.html
    grazie per l'aiuto



    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  2. 8-04-2008, 19:13:08 #2
    antivirus umano
    antivirus umano è offline
    *__________* L'avatar di antivirus umano
    Registrato il
    06-07
    Messaggi
    5.716
    Citazione Eldest285 Visualizza Messaggio
    da ieri sera il mio computer ha degli strani problemi. l'avg e il zone alarm non partono rispondendo con un "... non è un applicazione di win32 valida" oltre a questi anche altri come ad-aware, spybot e avast si rifiutano di partire. ho provato a riavviare in modalità provvisoria ma dopo il caricamento dei driver il computer si blocca e riavvia. come potete aiutarmi? ho trovato una discussione di un altro forum dove un problema analogo era stato risolto, ma non ho capito bene i passaggi: http://www.giorgiotave.it/forum/sicu...ile-virus.html
    grazie per l'aiuto
    Allora per cominciare posta un log di hijackthis, poi scasiona con Spyware doctor e spybot IN MODALITA PROVVISORIA e disattivando il ripristino di configurazione e facci sapere...
    Ultima modifica di antivirus umano; 8-04-2008 alle 19:16:45


    Rispondi con Citazione Rispondi con Citazione
  3. 8-04-2008, 20:34:33 #3
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555
    svolgendo una ricerca più approfondita ho trovato una guida su come eliminare bagle (http://www.hwupgrade.it/forum/showthread.php?t=1562611). ho già eseguito il safeboot e la modalità provvisoria funziona di nuovo. quindi ho passato elibagla e avenger, ma ora non riesco più ad eseguire hijack e ccleaner. il primo parte ma resta acceso solo per pochi secondi. ho provato a rimuovere e reinstallare avg ma alla fine mi ridà il problema "win32 ..."
    EDIT:ho già eliminato il ripristino configurazione di sistema.



    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  4. 8-04-2008, 20:54:25 #4
    enricoros
    enricoros è offline
    Utente L'avatar di enricoros
    Registrato il
    12-05
    Località
    Starfish Island
    Messaggi
    17.803
    Ahia. Il bagle l'ho avuto ank'io, e ti dico che sn cazzi. Sn riuscito ad eliminarlo con The Avenger utilizzando uno script predefinito da inserivi all'interno, ma cmq mi ha danneggiato un settore di avvio del pc, e quindi non riesco + ad entrare in provvisoria. Quindi, bene o male, dovrai prima o poi formattare (se vuoi usare la provvisoria)
    Rispondi con Citazione Rispondi con Citazione
  5. 8-04-2008, 20:58:20 #5
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555
    fortunatamente ho previsto di formattare entro un mesetto, ma vorrei che reggesse un altro pò. comunque ora si è invertito tutto, non va più in provvisoria, ma fa partire hijack:ecco il log

    Spoiler:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 20.53.40, on 08/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Roland\VSC32\vscvol.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\fely\Desktop\bagle\ELIBAGLA.AHØDBØØH.EXE
    C:\Documents and Settings\fely\Desktop\bagle\AntiBagle\MegaLab_copia_hijack .exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
    O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
    O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
    O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBControlle r
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vsc32cnf.exe] C:\Programmi\Roland\VSC32\vsc32cnf.exe
    O4 - HKLM\..\Run: [vscvol.exe] C:\Programmi\Roland\VSC32\vscvol.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\fely\Desktop\bagle\ELIBAGLA.AHØDBØØH.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
    O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F4AF89A3-9C27-4558-8A01-84837B2D08D9}: NameServer = 85.37.17.11 85.38.28.69
    O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  6. 8-04-2008, 21:03:15 #6
    enricoros
    enricoros è offline
    Utente L'avatar di enricoros
    Registrato il
    12-05
    Località
    Starfish Island
    Messaggi
    17.803
    ascolta hijackthis serve a poco segui le istruzioni qui contenute, come ho fatto io tempo fa. Funzionano. (sempre se il tuo virus sia davvero il bagle)
    Rispondi con Citazione Rispondi con Citazione
  7. 8-04-2008, 21:25:22 #7
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555
    1) antivirus disattivati
    2) servizi disabilitati
    3) modalità provvisoria disabilitata

    bagle al 101%

    quale script devo usare però? ce ne sono parecchi
    Ultima modifica di Eldest285; 8-04-2008 alle 21:27:56



    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  8. 8-04-2008, 21:55:12 #8
    enricoros
    enricoros è offline
    Utente L'avatar di enricoros
    Registrato il
    12-05
    Località
    Starfish Island
    Messaggi
    17.803
    Spoiler:
    Files to delete:
    C:\WINDOWS\system32\drivers\hidr.exe
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\system32\trusted.exe
    C:\WINDOWS\system32\drivers\pci32.sys

    folders to delete:
    C:\WINDOWS\exefnd
    C:\WINDOWS\exefld

    registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\srosa
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    HKLM\SYSTEM\CurrentControlSet\Services\pci32
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

    Controllate poi nella cartella
    c:\Documents and Settings\NomeVostroAccount\Dati applicazioni\Impostazioni locali\Temp\
    e cancellate tutti i file ~*.exe e *.tmp non è possibile inserirli nello script in quanto assumono sempre nomi casuali.
    Prova con questo
    Rispondi con Citazione Rispondi con Citazione
  9. 8-04-2008, 21:58:48 #9
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555
    risolto, grazie!



    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  10. 8-04-2008, 22:07:39 #10
    antivirus umano
    antivirus umano è offline
    *__________* L'avatar di antivirus umano
    Registrato il
    06-07
    Messaggi
    5.716
    Citazione Eldest285 Visualizza Messaggio
    risolto, grazie!
    Hai rimosso il virus?


    Rispondi con Citazione Rispondi con Citazione
  11. 8-04-2008, 22:11:23 #11
    Eldest285
    Eldest285 è offline
    Translator insaid L'avatar di Eldest285
    Registrato il
    10-06
    Località
    K city
    Messaggi
    555
    Citazione antivirus umano Visualizza Messaggio
    Hai rimosso il virus?
    a quanto pare si, sto rimettendo gli antivirus e scansionando tutto, ma rimangono ancora degli strascichi.



    evil has seduced mankind. and mankind has shown all the chastity of a three-dollar whore
    DK 2
    Rispondi con Citazione Rispondi con Citazione
  12. 8-04-2008, 22:28:01 #12
    enricoros
    enricoros è offline
    Utente L'avatar di enricoros
    Registrato il
    12-05
    Località
    Starfish Island
    Messaggi
    17.803
    Citazione Eldest285 Visualizza Messaggio
    a quanto pare si, sto rimettendo gli antivirus e scansionando tutto, ma rimangono ancora degli strascichi.
    Il format è inevitabile fra poco tempo..
    Rispondi con Citazione Rispondi con Citazione
« Discussione Precedente | Discussione Successiva »

Regole di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  

Regole di Scrittura