senza antivirus..

[farewell31]

Mi è stato consigliato di postare qui, temendo un virus...
Vi spiego.

Avevo nel pc avg. Il pc si è resettato...per non so quale motivo. Una volta riacceso ho notato che AVG non c'era più. Ho provato a reinstallarlo. Niente da fare: mi da questo errore
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory
Che posso fare?
Grazie in anticipo a chi mi vorrà aiutare.
Elena

[wizard1993]

Quote:

Originariamente inviato da farewell31

Mi è stato consigliato di postare qui, temendo un virus...
Vi spiego.

Avevo nel pc avg. Il pc si è resettato...per non so quale motivo. Una volta riacceso ho notato che AVG non c'era più. Ho provato a reinstallarlo. Niente da fare: mi da questo errore
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory
Che posso fare?
Grazie in anticipo a chi mi vorrà aiutare.
Elena

fammi un log di hijackthis e prova questo
http://rku.nm.ru/rkunhooker_v3/RkU3.31.150.420.rar

e controlla nella scheda process se c'è qualche hidden

[farewell31]

Scusa..ma non so proprio come si faccia un log di hijackthis e nemmeno so controllare nella scheda process se c'è qualche hidden. Potresti spiegarmelo?
Elena

[wizard1993]

Quote:

Originariamente inviato da farewell31

Scusa..ma non so proprio come si faccia un log di hijackthis e nemmeno so controllare nella scheda process se c'è qualche hidden. Potresti spiegarmelo?
Elena

allora

per quanto riguarda rootkit unhooker; lo scarichi, lo installi e lo avvi dal menù start/programmi/rootkit unhooker

va alla scheda hidden process detector, e controlli se c' è qualcuno in hidden ( non so come lo segnalaperchè non ho mai provato)

poi penseremo al resto

[farewell31]

Allora, ho trovato nella hidden processes detector:
C:\WINDOWS\system32\hldrrr.exe che è segnalato come hidden from windows API e
C:\WINDOWS\system32\wintems.exe che è segnalato come hidden from windows API
...é quello che volevi sapere?

[Tidus Strife]

Sì; è il bagle, clicca qui: http://www.megalab.it/articoli.php?id=948

[farewell31]

ecco..... da poco ho sostituito l'hard disk... ce n'è sempre unaaaaa!!!

...proverò a seguire quella guida e vediamo se risolvo...
GRAZIE RAGAZZI ! !
Elena

[wizard1993]

Quote:

Originariamente inviato da Tidus Strife

Sì; è il bagle, clicca qui: http://www.megalab.it/articoli.php?id=948

se non gli parte gmer usiamo un hooker per far fuori tutto e tutti

[farewell31]

Sto facendo lo scan con gmer.... ma serve ugualmente lo scan? (visto che abbiamo capito già di che si tratta..)
Non posso passare subito a avenger?

[wizard1993]

Quote:

Originariamente inviato da farewell31

Sto facendo lo scan con gmer.... ma serve ugualmente lo scan? (visto che abbiamo capito già di che si tratta..)
Non posso passare subito a avenger?

puoi fare anche subito avenger visto che è un corrispondente

[farewell31]

dunque.
Sono a questo punto. In avenger ho selezionato Input script manually ( come dice la guida)
Devo inserire lo script.. che ci metto?

[wizard1993]

Quote:

Originariamente inviato da farewell31

dunque.
Sono a questo punto. In avenger ho selezionato Input script manually ( come dice la guida)
Devo inserire lo script.. che ci metto?

qual è il nome del tuo utente?

[farewell31]

C:\Documents and Settings\Elena

[wizard1993]

ecco lo script
Files to delete:
C:\Documents and Settings\Elena\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Elena\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\Elena\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

[farewell31]

FATTO....
e si è riavviato da solo... buon segno, no?
faccio anche questo?

Espandete le voci fino ad arrivare a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Nella scheda a destra trovate ed eliminate questi valori (Tasto destro --> Elimina):
hldrrr
drvsyskit
german.exe

Nello stesso modo, eliminate anche le seguenti chiavi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun.

[wizard1993]

Quote:

Originariamente inviato da farewell31

FATTO....
e si è riavviato da solo... buon segno, no?
faccio anche questo?

Espandete le voci fino ad arrivare a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Nella scheda a destra trovate ed eliminate questi valori (Tasto destro --> Elimina):
hldrrr
drvsyskit
german.exe

Nello stesso modo, eliminate anche le seguenti chiavi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun.

posteresti il log che ti ha dato avenger?

[farewell31]

Eccolo.



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cmplibgj

*******************

Script file located at: \??\C:\WINDOWS\jisqvtro.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Elena\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\Elena\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\Elena\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


TUTTO OK?

[wizard1993]

Quote:

Originariamente inviato da farewell31

Eccolo.



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cmplibgj

*******************

Script file located at: \??\C:\WINDOWS\jisqvtro.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Elena\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\Elena\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\Elena\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


TUTTO OK?

a questo punto fai tutto il resto della guida e poi alla fine ti ridico cosa fare

[farewell31]

Ho riattivato alcuni servizi, ma non ho capito come riabilitare la modalità provvisoria...

[wizard1993]

Quote:

Originariamente inviato da farewell31

Ho riattivato alcuni servizi, ma non ho capito come riabilitare la modalità provvisoria...

scaricati il file safeboot che è allegato all'articolo; e poi clicckaci due volte sopra