Problemi nell'installare un antivirus

sharaku · 11-03-2007, 12:06

Salve,
ho dovuto disinstallare Norton poichè mi era scaduto l'abbonamento ed ero intenzionato a cambiarlo con un altro antivirus. Purtroppo non sono riuscito nell'intento poiche, qualsiasi software voglio installare, mi da continuamente messaggio di errore.

Come devo fare per risolvere il problema?
(ovviamente senza dover formattare l'intero l'intero sistema)

Grazie mille

KingOfTheDark · 11-03-2007, 12:18

che messaggio ti da?

ps:hai provato a ripulire il registro?

wizard1993 · 11-03-2007, 12:18

http://www.megalab.it/articoli.php?id=948&pagina=1

ci scommetto

sharaku · 11-03-2007, 13:25

...e scommetti bene!
Mio caro amico, grazie per la segnalazione. L'articolo che mi hai linkato parla proprio di quello che sicuramente mi ha coinvolto, e cioè il worm Bagle.

Infatti i sintomi sono proprio quelli, tra cui la scomparso di Centro sicurezza PC di Windows e la continua scritta "connetti" appena accendo il mio PC.

Adesso però vorrei sapere come fare per scovarlo ed eliminarlo.
Grazie!

wizard1993 · 11-03-2007, 13:40

Quote:

Originariamente inviato da sharaku

...e scommetti bene!
Mio caro amico, grazie per la segnalazione. L'articolo che mi hai linkato parla proprio di quello che sicuramente mi ha coinvolto, e cioè il worm Bagle.

Infatti i sintomi sono proprio quelli, tra cui la scomparso di Centro sicurezza PC di Windows e la continua scritta "connetti" appena accendo il mio PC.

Adesso però vorrei sapere come fare per scovarlo ed eliminarlo.
Grazie!

pagina due della guida

sharaku · 11-03-2007, 15:47

Ho seguito le istruzioni. Fatto partire Gmer e individuati i file dannosi. Fatto partire Avenger e incollato la stringa generica pubblicata sulla guida; riavviato il pc ma a quanto pare non si è risolto nulla. Probabilmente ho sbagliato a inserire la stringa (era sbagliato oppure sbagliato il nome account).

Al riavvio, si è aperto un blocknotes con la seguente scritta:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dk^glvak

*******************

Script file located at: \??\C:\lsudspxb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Could not open folder C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires for deletion
Deletion of folder C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires failed!

Could not process line:
C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires
Status: 0xc000003a

Could not open folder C::\WINDOWS\exefld for deletion
Deletion of folder C::\WINDOWS\exefld failed!

Could not process line:
C::\WINDOWS\exefld
Status: 0xc000003a

Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.

Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Aiutatemi, vi prego

wizard1993 · 11-03-2007, 15:57

m_hook.sys è stato cancellato, ora fai una scan on-line con il panda e con il trendmicro. poi mi manderesti a wizard1993[at]hotmail.it il file di backup?

(sostistituisdci [at] con @)

amantide · 11-03-2007, 16:53

Ma il nome del tuo account si scrive proprio cosi? Adminisrator con le parentesi quadre? E sei proprio sicuro di usare attualmente proprio l'account Administrator? Controlla bene in quale percorso si trovano i file m_hook.sys e hidr.exe e correggi lo script, se l'account è proprio Administrator allora lo script dovrebbe essere questo:

Files to delete:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Se non ne sei sicuro postami il log di Autostart fatto con Gmer.

wizard1993 · 11-03-2007, 16:59

Quote:

Originariamente inviato da amantide

Ma il nome del tuo account si scrive proprio cosi? Adminisrator con le parentesi quadre? E sei proprio sicuro di usare attualmente proprio l'account Administrator? Controlla bene in quale percorso si trovano i file m_hook.sys e hidr.exe e correggi lo script, se l'account è proprio Administrator allora lo script dovrebbe essere questo:

Files to delete:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Se non ne sei sicuro postami il log di Autostart fatto con Gmer.

ecco il commento (identico a quello ceh avrei fatto io) dell'autrice delle guida

sharaku · 11-03-2007, 23:16

Eccoti il log di autostart generato da Gmer:

GMER 1.0.12.12086 - http://www.gmer.net
Autostart scan 2007-03-11 23:15:15
Windows 5.1.2600 Service Pack 2

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = pushow8.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
Autodesk Licensing Service /*Autodesk Licensing Service*/@ = "C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe"
btwdins /*Bluetooth Service*/@ = C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C-DillaSrv /*C-DillaSrv*/@ = C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
STI Simulator /*STI Simulator*/@ = C:\WINDOWS\System32\PAStiSvc.exe
Wintab32 /*NexTab*/@ = %SystemRoot%\system32\Wintab32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@High Definition Audio Property Page ShortcutHDAShCut.exe = HDAShCut.exe
@SoundMAXPnPC:\Programmi\Analog Devices\Core\smax4pnp.exe = C:\Programmi\Analog Devices\Core\smax4pnp.exe
@SoundMAX"C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray = "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
@RemoteControlC:\Programmi\CyberLink\PowerDVD\PDVDServ.exe = C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@SMSERIALsm56hlpr.exe = sm56hlpr.exe
@Synchronization Manager%SystemRoot%\system32\mobsync.exe /logon = %SystemRoot%\system32\mobsync.exe /logon
@Acecad.WtxploadC:\WINDOWS\Acecad\Wtxpload.exe Acecad = C:\WINDOWS\Acecad\Wtxpload.exe Acecad
@ZPOINT32C:\WINDOWS\system32\ZPOINT32.exe = C:\WINDOWS\system32\ZPOINT32.exe
@BluetoothAuthenticationAgentrundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent = rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@iTunesHelper"C:\Programmi\iTunes\iTunesHelper.exe" = "C:\Programmi\iTunes\iTunesHelper.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background
@NBJ"C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" = "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
@german.exeC:\WINDOWS\system32\wintems.exe = C:\WINDOWS\system32\wintems.exe
@drvsyskitC:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe = C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >>>
@0aMCPClient(null) =
@WPDShServiceObjC:\WINDOWS\system32\WPDShServiceObj.dll = C:\WINDOWS\system32\WPDShServiceObj.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@(null) =
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\system32\btneighborhood.dll = C:\WINDOWS\system32\btneighborhood.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@(null) =

HKCU\Control Panel\[email protected] = C:\WINDOWS\system32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.yahoo.it/ = http://www.yahoo.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll
widimg@CLSID = C:\WINDOWS\system32\btxppanel.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll

C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica = Adobe Gamma.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
BTTray.lnk = BTTray.lnk
Picture Package Menu.lnk = Picture Package Menu.lnk
Picture Package VCD Maker.lnk = Picture Package VCD Maker.lnk
WinZip Quick Pick.lnk = WinZip Quick Pick.lnk

---- EOF - GMER 1.0.12 ----

amantide · 11-03-2007, 23:18

Esegui con Avenger lo script che ti avevo postato prima.

sharaku · 11-03-2007, 23:25

Ok fatto!
Adesso sono nell'editor del registro di sistema e ho eliminato i seguenti elementi:

german.exe
dvsyskit

Non ho trovato il terzo, ossia "hldrrr". Fa lo stesso oppure devo trovarmelo per forza, altrimenti è tutto inutile?

amantide · 12-03-2007, 11:32

Quote:

Originariamente inviato da sharaku

Non ho trovato il terzo, ossia "hldrrr". Fa lo stesso oppure devo trovarmelo per forza, altrimenti è tutto inutile?

Fa lo stesso, oramai la voce da se senza il supporto del file non può fare niente, importante era il primo passaggio, quello da fare con Avenger.

sharaku · 12-03-2007, 18:58

Ok grazie mille!!
Credo di aver risolto il problema.
Ho finalmente ripristinato l'antivirus (ho scelto stavolta AVG free edition) che mi ha anche trovato altri bagle nascosti...in altettanti antivirus :-) e Windows Firewall funziona regolarmente come prima.

Ringrazio te e tutti coloro che mi hanno aiutato in questa vicenza. Siete stati a dir poco grandiosi!

A presto!

11-03-2007, 12:06	#1
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	Problemi nell'installare un antivirus Salve, ho dovuto disinstallare Norton poichè mi era scaduto l'abbonamento ed ero intenzionato a cambiarlo con un altro antivirus. Purtroppo non sono riuscito nell'intento poiche, qualsiasi software voglio installare, mi da continuamente messaggio di errore. Come devo fare per risolvere il problema? (ovviamente senza dover formattare l'intero l'intero sistema) Grazie mille

11-03-2007, 12:18	#2
KingOfTheDark Member Iscritto dal: Mar 2007 Città: Bari... Messaggi: 129	che messaggio ti da? ps:hai provato a ripulire il registro? __________________ Maybe I'm nobody...but nobody is like me

11-03-2007, 12:18	#3
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	http://www.megalab.it/articoli.php?id=948&pagina=1 ci scommetto __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

11-03-2007, 15:47	#6
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	Ho seguito le istruzioni. Fatto partire Gmer e individuati i file dannosi. Fatto partire Avenger e incollato la stringa generica pubblicata sulla guida; riavviato il pc ma a quanto pare non si è risolto nulla. Probabilmente ho sbagliato a inserire la stringa (era sbagliato oppure sbagliato il nome account). Al riavvio, si è aperto un blocknotes con la seguente scritta: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dk^glvak ***************** Script file located at: \??\C:\lsudspxb.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger *************** Beginning to process script file: Could not open folder C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires for deletion Deletion of folder C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires failed! Could not process line: C::\Documents and Settings\[Administrator]\Dati applicazioni\hidires Status: 0xc000003a Could not open folder C::\WINDOWS\exefld for deletion Deletion of folder C::\WINDOWS\exefld failed! Could not process line: C::\WINDOWS\exefld Status: 0xc000003a Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully. Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully. Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run\|hldrrr Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run\|hldrrr failed! Status: 0xc0000034 Completed script processing. ***************** Finished! Terminate. Aiutatemi, vi prego Ultima modifica di sharaku : 11-03-2007 alle 15:49.

11-03-2007, 15:57	#7
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	m_hook.sys è stato cancellato, ora fai una scan on-line con il panda e con il trendmicro. poi mi manderesti a wizard1993[at]hotmail.it il file di backup? (sostistituisdci [at] con @) __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

11-03-2007, 13:25	#4
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	...e scommetti bene! Mio caro amico, grazie per la segnalazione. L'articolo che mi hai linkato parla proprio di quello che sicuramente mi ha coinvolto, e cioè il worm Bagle. Infatti i sintomi sono proprio quelli, tra cui la scomparso di Centro sicurezza PC di Windows e la continua scritta "connetti" appena accendo il mio PC. Adesso però vorrei sapere come fare per scovarlo ed eliminarlo. Grazie!

11-03-2007, 16:53	#8
amantide Member Iscritto dal: Mar 2007 Messaggi: 51	Ma il nome del tuo account si scrive proprio cosi? Adminisrator con le parentesi quadre? E sei proprio sicuro di usare attualmente proprio l'account Administrator? Controlla bene in quale percorso si trovano i file m_hook.sys e hidr.exe e correggi lo script, se l'account è proprio Administrator allora lo script dovrebbe essere questo: Files to delete: C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe folders to delete: C:\Documents and Settings\Administrator\Dati applicazioni\hidires C:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\m_hook HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run \| hldrrr Se non ne sei sicuro postami il log di Autostart fatto con Gmer.

11-03-2007, 23:16	#10
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	Eccoti il log di autostart generato da Gmer: GMER 1.0.12.12086 - http://www.gmer.net Autostart scan 2007-03-11 23:15:15 Windows 5.1.2600 Service Pack 2 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe, HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = pushow8.dll HKLM\SYSTEM\CurrentControlSet\Services\ >>> ATI Smart /ATI Smart/@ = C:\WINDOWS\system32\ati2sgag.exe Autodesk Licensing Service /Autodesk Licensing Service/@ = "C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe" btwdins /Bluetooth Service/@ = C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe C-DillaSrv /C-DillaSrv/@ = C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE MDM /Machine Debug Manager/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE" Spooler /Spooler di stampa/@ = %SystemRoot%\system32\spoolsv.exe STI Simulator /STI Simulator/@ = C:\WINDOWS\System32\PAStiSvc.exe Wintab32 /NexTab/@ = %SystemRoot%\system32\Wintab32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>> @High Definition Audio Property Page ShortcutHDAShCut.exe = HDAShCut.exe @SoundMAXPnPC:\Programmi\Analog Devices\Core\smax4pnp.exe = C:\Programmi\Analog Devices\Core\smax4pnp.exe @SoundMAX"C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray = "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray @RemoteControlC:\Programmi\CyberLink\PowerDVD\PDVDServ.exe = C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe @NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe @SMSERIALsm56hlpr.exe = sm56hlpr.exe @Synchronization Manager%SystemRoot%\system32\mobsync.exe /logon = %SystemRoot%\system32\mobsync.exe /logon @Acecad.WtxploadC:\WINDOWS\Acecad\Wtxpload.exe Acecad = C:\WINDOWS\Acecad\Wtxpload.exe Acecad @ZPOINT32C:\WINDOWS\system32\ZPOINT32.exe = C:\WINDOWS\system32\ZPOINT32.exe @BluetoothAuthenticationAgentrundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent = rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent @QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime @iTunesHelper"C:\Programmi\iTunes\iTunesHelper.exe" = "C:\Programmi\iTunes\iTunesHelper.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>> @MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background @NBJ"C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" = "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" @german.exeC:\WINDOWS\system32\wintems.exe = C:\WINDOWS\system32\wintems.exe @drvsyskitC:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe = C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe @ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >>> @0aMCPClient(null) = @WPDShServiceObjC:\WINDOWS\system32\WPDShServiceObj.dll = C:\WINDOWS\system32\WPDShServiceObj.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>> @{42071714-76d4-11d1-8b24-00a0c9068ff3} /Estensione panoramica video del Pannello di controllo/deskpan.dll /file not found/ = deskpan.dll /file not found/ @{596AB062-B4D2-4215-9F74-E9109B0A8153} /Pagina proprietà versioni precedenti/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll @{9DB7A13C-F208-4981-8353-73CC61AE2783} /Versioni precedenti/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll @{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /Autoplay for SlideShow/(null) = @{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /Extensions Manager Folder/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll @{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /Cartelle Web/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL @{00020D75-0000-0000-C000-000000000046} /Microsoft Office Outlook Desktop Icon Handler/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL @{0006F045-0000-0000-C000-000000000046} /Microsoft Office Outlook Custom Icon Handler/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL @{42042206-2D85-11D3-8CFF-005004838597} /Microsoft Office HTML Icon Handler/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll @{B41DB860-8EE4-11D2-9906-E49FADC173CA} /WinRAR shell extension/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll @{E0D79304-84BE-11CE-9641-444553540000} /WinZip/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL @{E0D79305-84BE-11CE-9641-444553540000} /WinZip/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL @{E0D79306-84BE-11CE-9641-444553540000} /WinZip/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL @{E0D79307-84BE-11CE-9641-444553540000} /WinZip/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL @(null) = @{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /iTunes/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll @{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /Messenger Sharing Folders/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll @{6af09ec9-b429-11d4-a1fb-0090960218cb} /My Bluetooth Places/C:\WINDOWS\system32\btneighborhood.dll = C:\WINDOWS\system32\btneighborhood.dll @{35786D3C-B075-49b9-88DD-029876E11C01} /Portable Devices/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll @{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /Portable Devices Menu/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>> WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>> WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>> WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>> @{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll @(null) = HKCU\Control Panel\[email protected] = C:\WINDOWS\system32\logon.scr HKLM\Software\Microsoft\Internet Explorer\Main >>> @Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome @Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home @Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm HKCU\Software\Microsoft\Internet Explorer\Main >>> @Start Pagehttp://www.yahoo.it/ = http://www.yahoo.it/ @Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL HKLM\Software\Classes\PROTOCOLS\Handler\ >>> dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll its@CLSID = C:\WINDOWS\system32\itss.dll livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll ms-its@CLSID = C:\WINDOWS\system32\itss.dll ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL tv@CLSID = C:\WINDOWS\system32\msvidctl.dll wia@CLSID = C:\WINDOWS\system32\wiascr.dll widimg@CLSID = C:\WINDOWS\system32\btxppanel.dll HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica = Adobe Gamma.lnk C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>> Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk BTTray.lnk = BTTray.lnk Picture Package Menu.lnk = Picture Package Menu.lnk Picture Package VCD Maker.lnk = Picture Package VCD Maker.lnk WinZip Quick Pick.lnk = WinZip Quick Pick.lnk ---- EOF - GMER 1.0.12 ----

11-03-2007, 23:18	#11
amantide Member Iscritto dal: Mar 2007 Messaggi: 51	Esegui con Avenger lo script che ti avevo postato prima.

11-03-2007, 23:25	#12
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	Ok fatto! Adesso sono nell'editor del registro di sistema e ho eliminato i seguenti elementi: german.exe dvsyskit Non ho trovato il terzo, ossia "hldrrr". Fa lo stesso oppure devo trovarmelo per forza, altrimenti è tutto inutile?

12-03-2007, 18:58	#14
sharaku Member Iscritto dal: Nov 2005 Messaggi: 68	Ok grazie mille!! Credo di aver risolto il problema. Ho finalmente ripristinato l'antivirus (ho scelto stavolta AVG free edition) che mi ha anche trovato altri bagle nascosti...in altettanti antivirus :-) e Windows Firewall funziona regolarmente come prima. Ringrazio te e tutti coloro che mi hanno aiutato in questa vicenza. Siete stati a dir poco grandiosi! A presto! Ultima modifica di sharaku : 12-03-2007 alle 19:00.

Strumenti
Mostra una versione stampabile Invia questa pagina per email