[HELP] VIRUS ---> IL PC SI RIAVVIA DA SOLO !!! [Archivio]

T3NAX86

30-05-2007, 11:10

Ragazzi,vi prego di aiutarmi :help:

ho AVG Free Edition come Antivirus...

l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan :muro:

feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato

però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo :mad:

cosa mi consigliate di fare? eccetto formattare o altro :stordita:

GRAZIE

nispo

30-05-2007, 11:37

Ragazzi,vi prego di aiutarmi :help:

ho AVG Free Edition come Antivirus...

l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan :muro:

feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato

però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo :mad:

cosa mi consigliate di fare? eccetto formattare o altro :stordita:

GRAZIE

Se puoi formattare senza problemi ti consiglio di farlo, una volta ripristinato il sistema nn installare avg che fà pietà, metti antivir, sempre free.

T3NAX86

30-05-2007, 11:40

mhhh:( :( ...non vorrei formattare:cry:
il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi:stordita:

c'è qualche rimedio alternativo?

se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai :)

wizard1993

30-05-2007, 15:17

mhhh:( :( ...non vorrei formattare:cry:
il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi:stordita:

c'è qualche rimedio alternativo?

se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai :)

fai una scan con rootkit unhooker e vedi se nella scheda process c'è qualcosa segnalato come hidden

T3NAX86

30-05-2007, 18:16

fai una scan con rootkit unhooker e vedi se nella scheda process c'è qualcosa segnalato come hidden

mhh,ho lanciato il programmino...e mi ritrovo con 6 sezioni chiamate rispettivamente:

SSDT Hooks Detector/restorer
Hidden processes detector
Hidden driver detector
Hidden file detector
Code Hooks detector
Report

nella sezione Hidden Processes Detector ci sarà una lista di una 40ina di file...molti segnalati come Not Accessible from User Mode :help:

che devo fare?:)

wizard1993

30-05-2007, 18:22

mhh,ho lanciato il programmino...e mi ritrovo con 6 sezioni chiamate rispettivamente:

SSDT Hooks Detector/restorer
Hidden processes detector
Hidden driver detector
Hidden file detector
Code Hooks detector
Report

nella sezione Hidden Processes Detector ci sarà una lista di una 40ina di file...molti segnalati come Not Accessible from User Mode :help:

che devo fare?:)

niente di hidden?

T3NAX86

30-05-2007, 18:46

niente di hidden?

no,quasi tutti Non Accessible :rolleyes:...gli altri non c'è scritto niente

wizard1993

30-05-2007, 19:20

no,quasi tutti Non Accessible :rolleyes:...gli altri non c'è scritto niente

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

T3NAX86

31-05-2007, 10:41

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

ecco cosa mi ha egnalato in rosso Gmer:

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateValueKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwQueryDirectoryFile

Service C:\WINDOWS\system32\windev-77c4-5cf5.sys (*** hidden *** )
[AUTO] windev-77c4-5cf5

File C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!

wizard1993

31-05-2007, 11:06

ecco cosa mi ha egnalato in rosso Gmer:

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateValueKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwQueryDirectoryFile

Service C:\WINDOWS\system32\windev-77c4-5cf5.sys (*** hidden *** )
[AUTO] windev-77c4-5cf5

File C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!

ecco un altro simpatico rootkit ancora sconosciuto;

bene ora bisogna riusare rku vai alla scheda driver e controlla se c'è qualcosa di hidden; intanto io trovo qualche altra info

T3NAX86

31-05-2007, 12:34

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

wizard1993

31-05-2007, 16:10

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

disabilità il system restore (http://www.google.it/url?sa=t&ct=res&cd=1&url=http%3A%2F%2Fwww.sicurezzainrete.com%2Fdisabilitare_system_restore.htm&ei=QWNERvWVB4G-0wTTwOgU&usg=AFrqEzc5_nmKaM82rO8fOqtT4PiZ1h7KkQ&sig2=nize6bT48Y2J4qa6gFE-qQ);
e rifai la scan con bitdef; credo tu abbia gromozon, ma di fonte alla non concordansa dei due scanner antirootkit; ne proviamo un terzo
http://download.sysinternals.com/Files/RootkitRevealer.zip

scansiona e vedi che ti dice

nispo

31-05-2007, 16:36

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

mamma mia! ma cosa ci fai con il pc!!!!
Ti conviene, una volta pulito il sistema, o formattato, mettere un livello di pretezione adeguato.

T3NAX86

31-05-2007, 18:39

disabilità il system restore (http://www.google.it/url?sa=t&ct=res&cd=1&url=http%3A%2F%2Fwww.sicurezzainrete.com%2Fdisabilitare_system_restore.htm&ei=QWNERvWVB4G-0wTTwOgU&usg=AFrqEzc5_nmKaM82rO8fOqtT4PiZ1h7KkQ&sig2=nize6bT48Y2J4qa6gFE-qQ);
e rifai la scan con bitdef; credo tu abbia gromozon, ma di fonte alla non concordansa dei due scanner antirootkit; ne proviamo un terzo
http://download.sysinternals.com/Files/RootkitRevealer.zip

scansiona e vedi che ti dice

ecco RootkitRevealer:

HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 20/01/2007 16.24 53 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\RAS Autodial\Control\LoginSessionDisable 31/05/2007 18.30 4 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Znepb\Qrfxgbc\Ahbin pnegryyn\Qocbjrenzc Zhfvp Pbairegre I 1 31/05/2007 18.29 16 bytes Hidden from Windows API.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Zepter Software\RegLib*4c656ba6 11/05/2006 7.12 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 29/03/2007 12.15 19 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03/10/2006 9.17 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\01\10-{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}-v1-{A62002D 24/09/2006 21.42 8 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\11\11-{8178A223-976C-41A4-AC87-6563EDF693B6}-v11-{8178A2 24/09/2006 21.42 3.22 KB Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\14\14-{8178A223-976C-41A4-AC87-6563EDF693B6}-v14-{8178A2 24/09/2006 21.42 3.43 KB Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\16\16-{8178A223-976C-41A4-AC87-6563EDF693B6}-v16-{8178A2 24/09/2006 21.42 80 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 31/05/2007 18.29 36 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat:KAVICHS 29/05/2007 14.06 36 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 31/05/2007 18.29 64.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\windev-77c4-5cf5.sys 29/05/2007 20.48 150.13 KB Hidden from Windows API.
C:\WINDOWS\system32\windev-peers.ini 31/05/2007 18.25 42.81 KB Hidden from Windows API.

wizard1993

31-05-2007, 18:53

mai visto un casino simile; ora vediamo che si può fare; ma forse credo dovrai formattare

wizard1993

31-05-2007, 19:00

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to delete:
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\system32\windev-77c4-5cf5.sys
C:\WINDOWS\system32\windev-peers.ini
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet001\Services\sptd\
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName

per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo

T3NAX86

01-06-2007, 09:10

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to delete:
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\system32\windev-77c4-5cf5.sys
C:\WINDOWS\system32\windev-peers.ini
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet001\Services\sptd\
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName

per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo

usato Avenger...cmq ieri sera ho fatto un'altra scansione con BitDefender....questa volta non mi ha trovato niente

cmq spesso al riavvio,appena arrivato in windows,mi arriva l'errore : Microsoft Windows - Il sistema è stato ripristinato in seguito ad un grave errore

wizard1993

01-06-2007, 18:25

adesso fai una scan con un qualsiasi scan ads

Trickyone

06-06-2007, 02:03

A me pure però con un pc portatile.. Di 4 anni fà.. Prima questi sintomi non c'è li aveva..

wizard1993

06-06-2007, 11:56

posta un log di rootkit revealer