View Full Version : lsacs.exe _help
salve a tutti il mio pc è infetto dal virus chiamato "name:CLSRSS" "filename:LSACS.EXE" "command:C:\Windows\System32\LSACS.EXE" "Added by the W32/SillyFDC-X worm."
il problema è che non riesco più ad aprire con il doppio click i miei hard disk interni C e D nè esterni G, ad ogni doppio click esce la clessidra e nel task manager si aggiungono due voci LSACS.EXE;mentre se apro tramite tasto destro e "apri" non succede e si apre normalmente. Fino ad oggi non ho mai avuto nessun problema di questo tipo e il pc è recentissimo da formattazione.
il problema è iniziato quando oggi ho comprato un nuovo hard disk esterno da 500Gb della Maxtor (in offerta al Mediaworld a 99€ se può essere d'aiuto)da sostituire con il mio vecchio.
siccome ho letto nelle notizie che in passato alcuni hard disk Maxtor similari al mio erano infetti da virus (però diverso da quello preso dal mio pc) volevo sapre se poteva essere che l'ho contratto dal nuovo hard disk e cosa più importante come fare a rimuverlo;ho formattato il maxtor,ho già fatto uno scan con antivir ma niente e pare che neppure con il panda active scan funzioni, non so più che fare.
qualcuno mi aiuti per favore.:muro:
Si tratta di un worm ben noto:
W32/SillyFDC-X is a worm for the windows platform.
When run W32/SillyFDC-X copies itself to
<System>\LSACS.exe
and creates the following files:
<System>\Spiservice.dll
<System>\Winservice.dll
<System>\lsas.exe
The following registry entry is created to run lsacs.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CLSRSS
<System>\LSACS.EXE
Ti invito a leggere prima qui: Guida alla disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
E ad eseguire subito le seguenti operazioni:
1) Disattivare il Ripristino configurazione di sistema in questo modo:
- tasto destro del mouse sull'icona Risorse del Computer;
- selezionare la voce Proprietà;
- aprire la scheda Ripristino configurazione di Sistema;
- spuntare la voce Disattiva ripristino configurazione di sistema;
- confermare, la modifica, con Applica e, poi Ok.
N.B. Una volta che non sei più infetto va riattivato
2) Eseguire una scansione con A-Squared free in modalità Deep.
N.B. Se non sei sicuro su cosa rimuovere posta un log (tenendo presente quali sono le regole relative che trovi qui (http://www.hwupgrade.it/forum/showthread.php?t=1589984) al terzo punto).
Nel caso in cui A-squared non fosse in grado di trovare e/o rimuovere questo worm proveremo con AVG Antispyware.
Bugs Bunny
14-11-2007, 10:28
segui questa guida.
http://www.hwupgrade.it/forum/showthread.php?t=1599603
segui questa guida.
http://www.hwupgrade.it/forum/showthread.php?t=1599603
ho seguito la guida
l'ultima cosa non l'ho ben capita ("Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD), postando il link del file."), l'ho fatte tutte, non ho trovato nessuno autorun.inf nelle mie partizioni, ho eseguito uno scan con antivir ma niente. il problema è che nessun antivirus o scan riesce a individuare il maledetto virus (W32/SillyFDC-X) :muro: e quindi eliminarlo.
per quello che riguarda Nuz, ho effetuato una scansione deep con a-squared e mi ha trovato 6 traking cookie a rischio basso e un trojan-spy.win32.agent.rc in C:\WINDOWS\system\Spiservice.dll ; che sia quello il mio problema?o è solo un ulteriore trojan?
che faccio ora?
mi conviene formattare e reinstallare windows???
Chill-Out
14-11-2007, 11:38
ho seguito la guida
l'ultima cosa non l'ho ben capita ("Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD), postando il link del file."), l'ho fatte tutte, non ho trovato nessuno autorun.inf nelle mie partizioni, ho eseguito uno scan con antivir ma niente. il problema è che nessun antivirus o scan riesce a individuare il maledetto virus (W32/SillyFDC-X) :muro: e quindi eliminarlo.
per quello che riguarda Nuz, ho effetuato una scansione deep con a-squared e mi ha trovato 6 traking cookie a rischio basso e un trojan-spy.win32.agent.rc in C:\WINDOWS\system\Spiservice.dll ; che sia quello il mio problema?o è solo un ulteriore trojan?
che faccio ora?
mi conviene formattare e reinstallare windows???
si è quello falcialo, poi:
HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.net/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
ho eliminato il trojan e riavviato ma la voce LSACS.EXE nel task manager ll avvio c'è ancora, ora gli hard disk li apro con un doppio click ma se termino l'operzione LSACS.EXE dal task manager e faccio doppio click esce la clessidra e fino che nel task manager non riappare LSACS.EXE (a volte anche 2) non mi apre l'hard disk.
inoltre subito dopo l'avvio antivir mi ha individuato TR/Spy.Agent.RC in C:\WINDOWS\system\Winservice.dll io l'ho messo in quarantena, come faccio per curarlo?
inserisco il mio log di hijack subito dopo l'avvio
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.02.27, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\RECYCLER\LSACS.EXE
C:\WINDOWS\system32\LSACS.EXE
C:\HJT\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [CLSRSS] C:\WINDOWS\system32\LSACS.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\spiservice.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
--
Chill-Out
14-11-2007, 12:14
Esegui Hijackthis - clicca su Do a system scan - metti il segno di spunta a sx nella casella bianca di fianco alle sottoindicate voci, clicca su Fix checked:
C:\RECYCLER\LSACS.EXE
C:\WINDOWS\system32\LSACS.EXE
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CLSRSS] C:\WINDOWS\system32\LSACS.EXE
riallega log di HJT, poi ci sono altre cose da fare.
ecco il nuovo log Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.23.08, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\LSACS.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\a-squared Free\a2free.exe
C:\HJT\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\spiservice.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\spiservice.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
--
End of file - 7859 bytes
purtoppo nella lista del programma dove devo spuntare la freccia non mi appare C:\WINDOWS\system32\LSACS.EXE, mentre quando analizzo il log si...
come mai?e con lo spy agent che faccio lo neutralizzo con a-squared?
ho eseguito un'ulteriore passata con a-squared alla cartella windows e ho trovato altri 3 trojan-spy.win32.agent.rc rispettivamente nei file c:\windows\system32\svchost.exe c:\windows\system32\alg.exe e c:\windows\system\Spiservice.dll a addirittura nella cartella dove ho installato il firefox, sono falsi posotivi o li devo eliminare o loasciare in quarantena?il firefox se lo metto in quarantena non mi funziona
Chill-Out
14-11-2007, 12:42
Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip
Lo script da inserire è il seguente:
Files to delete:
C:\WINDOWS\system32\LSACS.EXE
il TR/Spy.Agent.RC è già nella quarantena di Antivir
inoltre per capire hosta su http://www.zshare.net/ il log di a-squared free in modalità deep scan
con avenger insrisco la stringa come detto ma quando cliccko sul semaforo metto si al primo poi mi esce "error:selected file does not appear to be a valid script" do a ok poi esce "press ok to log error and continue or cancel to abort" do a ok "error code:0"
che faccio?
Bugs Bunny
14-11-2007, 12:57
allora toglilo con killbox o unlocker
allora quando avvio windows la voce LSACS.EXE non c'è, appena faccio doppio click su un hard disk (con quello esterno usb collegato) si aprono due LSACS.EXE,poi subito dopo TR/Spy.Agent.RC viene detettato da antivir, lo muovo alla quarantena e poi si modifica la lista start up creando la regol per eseguire LSACS.EXE all'avvio. questa è la mia situazione attuale, più tardi allego log di a-squared full scan.
il log di a-squared basta fare alla fine salva rapporto giusto? e mettere qua il file .txt salvato no?
questo è il log con hijack dopo l'avvio senza fare un doppio click sugli hard disk
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.09.23, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\a-squared Free\a2free.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\HJT\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MemoREX] "D:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
--
End of file - 7572 bytes
Proviamo a ripartire da capo, esegui queste istruzioni di nuovo:
Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
assicurati di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)
ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita
Alla fine riavvia il pc, e allega (o hosta) il log di Elisarta
sto effettuando la scansione elistara, mi ha dato abbastanza crash per aprirlo però alla fine siè aperto prima di aprire la finestra di scansione mi è uscito un messaggi che metteva che c'era un file autorun.inf in C: solo che non so dove sia (penso sia quello il mio problema) però nel tool non esce nessuna voce infettata.
mi segnala che sia in C: che in D: che in G: nella cartella RECYCLER c'è un autorun.inf con ordine open=RECYCLER\LSACS.EXE
come elimino quei file?
allora dopo che hai finito la scansione di elisarta e allegato il log fai cosi:
-assicurati di nuovo di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)
- START - CERCA (in tutto il tuo pc) autorun.inf appena ha finito la ricerca vai nei percorsi trovati e cancella tutto quello che riguarda autorun.inf
domanda: hai DISCO SEAGATE/MAXTOR comprato dopo agosto 2007?
alla fine riavvia il pc e dicci i sintomi
si il Maxtor l'ho comprato ieri al media world, sono sicuro che avesse un virus come ho letto nella notizia, ma il virus ocntenuto non credo sia quello che c'è scritto nella notizia.
con la ricerca non mi ha trovato nessun autorun.inf :muro:
ma la cartella RECYCLER dove la trovo??
con la ricerca non mi ha trovato nessun autorun.inf :muro:
ma la cartella RECYCLER dove la trovo??
come ti ho detto devi assicurati di nuovo di avere abilitato la visualizzazione delle cartelle e file nascosti (pannello controllo - opzioni cartella - visualizzazione - abilita quest'opzione)
dato che un tool ti dice che esiste, vuol dire che ci deve essere per forza nel tuo pc e devi cancellare tutte gli autorun.inf
Inoltre ti avevo chiesto di allegare il log di elisarta.
P.S. non posso darti il mio contatto di msn, dobbiamo cercare di risolvere qui cosi tutti possono capire e leggere se avranno il tuo stesso problema.
Devi cercare di sforzarzi a fare quello che ti si dice. :D
l'opzione della visualizzazione dei file nascosti l'avevo già abilitata e non mi trova niente. non ho ancora messo il log perchè mi sono un po incasinato con i si e i no.ora provo a riavviare.
Tu hai scritto questo messaggio:
mi segnala che sia in C: che in D: che in G: nella cartella RECYCLER c'è un autorun.inf con ordine open=RECYCLER\LSACS.EXE
come elimino quei file?
CHI TI SEGNALA che esiste questo autorun.inf?
Inoltre rifai la scansione di Elisarta e allega il log per favore.
elisarta mi dice che ci sono gli autorun
di seguito il log di ELISARTA(c'è molta robaccia ma il pc non lo uso solo io)
http://www.xzshare.it/913126
Per forza non trovi autorun.inf, l'ha eliminato Elisarta :D
Comiìunque se formattavi il tuo disco appena comprato non avevi questi problemi secondo me. Ad ogni modo ora Elisarta ha tolto un bel po di roba.
Quindi al momento quali sono i tuoi problemi?
il problema è che ora ho provato ad entrare con un doppio click a C: e si mette la clessidra poi nel task manager appare LSACS.EXE e mi si modifica la lista start up mettendomi di eseguire LSACS.EXE all'avvio.
so di avere fatto un grande errore a non formattare ma non pensavo che comprando un hd nuovo ci fossero questi problemi, è come comprare una macchina nuova e i freni sono stati manomessi sai??
Puoi fare una ricerca con START - CERCA - (anche nelle sottocartelle e nelle cartelel nascoste e in tutti i tuoi harddisk) questo LSACS.EXE e LSACS
e dimmi dove riesiede!
trovato questi 3 file in C:\WINDOWS\Prefetch
LSACS.EXE-354BA0B3.pf
LSACS.EXE-15F823DE.pf
LSACS.EXE-0F0E84F5.pf
che faccio?ma prefetch non è la cartella di elisarta???
inoltre sot facendo uno scan con elitriip molto simile a elisarta e mi ha trovato abbastanza cose dopo attacco un log
FAi cosi:
Vai in C:\WINDOWS\Prefetch (che non è la cartella di elisarta) e cancella TUTTO IL CONTENUTO della cartella in questione MA NON LA CARTELLA STESSA.
poi usa CCLEANER: clicca qui per il download (http://www.filehippo.com/download/file/9e3c824ea5022083c1931b103e41f61bd682110283e57f45850f9671f9d09c88//)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
Alla fine riavvia il pc e vediamo se cliccando sul hard disk rippare questo dannato processo. Fammi sapere
ho riavviato e stavo per fare la passata con ccleaner ma antivir non si attiva più, non è possibile nemmeno selezionare la voce antivir guard enable.
penso che ora la cosa migliore sia reinstallare windows...
ora faccio un ultimo tentativo con avg antispyware poi penso che reinstallero windows
reinstallando windows non cambia nulla, con la formattazione LENTA Si.
Ad ogni modo con AVG anti-spyware non risolvi nulla.
qual'è la formattazione lenta?con cosa la faccio?la devo fare all'hard disk Maxtor no?
come non risolvo niente?se reinstallo windows formattando c: non risolvo?poi formatto d: e anche g: disco esterno
ho notato che se vado su esegui e scrivo C:autorun.inf mi esce il maledetto programma (lo stesso vale per D: e per G:) ma no riesco a trovare il file autorun.inf
e se provassi a partire in modalità provvisoria?come faccio?se spingo f8 quando accendo il pc non succede nulla (notebook acer aspire 1692)
1) provi a seguire passo passo questa guida: clicca qui (http://www.hwupgrade.it/forum/showthread.php?t=1599603)
2) la reinstallazione di windows e la formattazione sono due cose diverse. tu dovresti fare la formattazione lenta, ovvero inserisci il disco di XP e dici di formattare poi fa tutto lui. Formatti anche le altre partizioni
3)mi esce il maledetto programma <--- quale programma? spiegati :mbe:
Al posto tuo prima di arrendermi proverei almeno con la trial di KAV (l'antivirus più efficace che c'è), anche perchè mi pare di capire che l'infezione non è tra le più ostiche. Poi vedi te:D .
ora proverò con kav.
ma io voglio capire una cosa se dovessi formattare c e reinstallare windows come posso essere certo che i miei altri due hd uno interno e uno esterno usb siano puliti e non ritornino a infettare c: ?
ho provato anche in modalità provvisoria e in C: non reisco a vedere nè il file autorun.inf nè la cartella RECYCLER dove dovrebbe trovarsi l'.exe LSACS
provo con Kav o con Kis (trial entrambi ovviamente)???
Ti ripeto questa cosa che ti ho detto nei post precedenti.
1) provi a seguire passo passo questa guida: clicca qui (http://www.hwupgrade.it/forum/showthread.php?t=1599603)
Inoltre se tu formatti tutti i tuoi dischi nessuno potrà infettarle l'altro, dato che partiranno da zero, senza virus.
ora che ho scaricato kav provo la guida passo per passo.
quando ho finito vi farò sapere
qualcuno mi dice come faccio una formattazione lenta?tasto destro formatta sull'hardisk?
puoi già andare con la scansione di Kav, perchè il punto 1) della guida che Gle ti ha linkato lo hai già fatto, il 2) nel tuo caso non vale e quindi puoi partire dal 3).
Aspettiamo sviluppi :rolleyes:
Riverside
14-11-2007, 16:40
edit.
Chill-Out
14-11-2007, 16:54
con avenger insrisco la stringa come detto ma quando cliccko sul semaforo metto si al primo poi mi esce "error:selected file does not appear to be a valid script" do a ok poi esce "press ok to log error and continue or cancel to abort" do a ok "error code:0"
che faccio?
devi imputare anche il comando che è:
Files to delete:
allora sto eseguendo di nuovo lo scan con kav perchè prima si era bloccato tutto, solo con il controllo di start mi ha individuato il virus causante LSACS.EXE dove ho potuto ha riparato dove non si potva riparare ho messo in quarantena.
adesso pare che il virus non ci sia più, ma ora al doppio click su C mi da error accesso negato,mentre su D: e G: mi apre la finestra apri con...
qualche consiglio?
fianlmente sono riuscito a vedere il file autorun.inf!!!dove toglier la spunta da opzioni cartella nascondi file protetti di sitema!!!
ora che faccio basta che elimino il file autorun???
finalmente ho risolto!grazie a kav e che sono riuscito a trovare i maledetti autorun.inf. grazie del vostro aituo!
Bugs Bunny
14-11-2007, 20:05
cancella gli autorun
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.