[HELP] VIRUS ---> IL PC SI RIAVVIA DA SOLO !!!

T3NAX86 · 30-05-2007, 10:10

Ragazzi,vi prego di aiutarmi

ho AVG Free Edition come Antivirus...

l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan

feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato

però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo

cosa mi consigliate di fare? eccetto formattare o altro

GRAZIE

nispo · 30-05-2007, 10:37

Quote:

Originariamente inviato da T3NAX86

Ragazzi,vi prego di aiutarmi

ho AVG Free Edition come Antivirus...

l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan

feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato

però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo

cosa mi consigliate di fare? eccetto formattare o altro

GRAZIE

Se puoi formattare senza problemi ti consiglio di farlo, una volta ripristinato il sistema nn installare avg che fà pietà, metti antivir, sempre free.

T3NAX86 · 30-05-2007, 10:40

mhhh

...non vorrei formattare

il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi

c'è qualche rimedio alternativo?

se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai

wizard1993 · 30-05-2007, 14:17

Quote:

Originariamente inviato da T3NAX86

mhhh

...non vorrei formattare

il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi

c'è qualche rimedio alternativo?

se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai

fai una scan con rootkit unhooker e vedi se nella scheda process c'è qualcosa segnalato come hidden

T3NAX86 · 30-05-2007, 17:16

Quote:

Originariamente inviato da wizard1993

fai una scan con rootkit unhooker e vedi se nella scheda process c'è qualcosa segnalato come hidden

mhh,ho lanciato il programmino...e mi ritrovo con 6 sezioni chiamate rispettivamente:

SSDT Hooks Detector/restorer
Hidden processes detector
Hidden driver detector
Hidden file detector
Code Hooks detector
Report

nella sezione Hidden Processes Detector ci sarà una lista di una 40ina di file...molti segnalati come Not Accessible from User Mode

che devo fare?

wizard1993 · 30-05-2007, 17:22

Quote:

Originariamente inviato da T3NAX86

mhh,ho lanciato il programmino...e mi ritrovo con 6 sezioni chiamate rispettivamente:

SSDT Hooks Detector/restorer
Hidden processes detector
Hidden driver detector
Hidden file detector
Code Hooks detector
Report

nella sezione Hidden Processes Detector ci sarà una lista di una 40ina di file...molti segnalati come Not Accessible from User Mode

che devo fare?

niente di hidden?

T3NAX86 · 30-05-2007, 17:46

Quote:

Originariamente inviato da wizard1993

niente di hidden?

no,quasi tutti Non Accessible

...gli altri non c'è scritto niente

wizard1993 · 30-05-2007, 18:20

Quote:

Originariamente inviato da T3NAX86

no,quasi tutti Non Accessible

...gli altri non c'è scritto niente

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

T3NAX86 · 31-05-2007, 09:41

Quote:

Originariamente inviato da wizard1993

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

ecco cosa mi ha egnalato in rosso Gmer:

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateValueKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwQueryDirectoryFile

Service C:\WINDOWS\system32\windev-77c4-5cf5.sys (*** hidden *** )
[AUTO] windev-77c4-5cf5

File C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!

wizard1993 · 31-05-2007, 10:06

Quote:

Originariamente inviato da T3NAX86

ecco cosa mi ha egnalato in rosso Gmer:

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwEnumerateValueKey

SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!
ZwQueryDirectoryFile

Service C:\WINDOWS\system32\windev-77c4-5cf5.sys (*** hidden *** )
[AUTO] windev-77c4-5cf5

File C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!!

ecco un altro simpatico rootkit ancora sconosciuto;

bene ora bisogna riusare rku vai alla scheda driver e controlla se c'è qualcosa di hidden; intanto io trovo qualche altra info

T3NAX86 · 31-05-2007, 11:34

Quote:

Originariamente inviato da wizard1993

ora fai una scan con gmer e vedi se trova qualcosa in rosso e fai una scan on-line con panda e bitdefender

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

wizard1993 · 31-05-2007, 15:10

Quote:

Originariamente inviato da T3NAX86

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

disabilità il system restore;
e rifai la scan con bitdef; credo tu abbia gromozon, ma di fonte alla non concordansa dei due scanner antirootkit; ne proviamo un terzo
http://download.sysinternals.com/Fil...itRevealer.zip

scansiona e vedi che ti dice

nispo · 31-05-2007, 15:36

Quote:

Originariamente inviato da T3NAX86

intanto questo è il risultato della scansione con BitDefender..mi ha trovato e cancellato 7 file infetti:

Scanned File
Status

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Infected with: Backdoor.Pcclient.GV

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Disinfection failed

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe
Deleted

C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk
Update failed

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Infected with: Trojan.Peed.HUJ.Gen

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe
Deleted

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Infected with: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Disinfection failed

C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe
Deleted

C:\WINDOWS\system32\alt.exe
Infected with: Trojan.Peed.HUJ.Gen

C:\WINDOWS\system32\alt.exe
Deleted

C:\WINDOWS\system32\alt.exe.exe
Infected with: Trojan.Peed.HTN

C:\WINDOWS\system32\alt.exe.exe
Disinfection failed

C:\WINDOWS\system32\alt.exe.exe
Deleted

C:\WINDOWS\system32\jjaa.dll
Infected with: Trojan.Linkoptimizer.AZ

C:\WINDOWS\system32\jjaa.dll
Disinfection failed

C:\WINDOWS\system32\jjaa.dll
Deleted

C:\WINDOWS\system32\pee.exe.exe
Infected with: MemScan:Trojan.Peed.HQX

C:\WINDOWS\system32\pee.exe.exe
Disinfection failed

C:\WINDOWS\system32\pee.exe.exe
Deleted

cmq,con RKU non mi da nessun Driver come Hidden :-)

mamma mia! ma cosa ci fai con il pc!!!!
Ti conviene, una volta pulito il sistema, o formattato, mettere un livello di pretezione adeguato.

T3NAX86 · 31-05-2007, 17:39

Quote:

Originariamente inviato da wizard1993

disabilità il system restore;
e rifai la scan con bitdef; credo tu abbia gromozon, ma di fonte alla non concordansa dei due scanner antirootkit; ne proviamo un terzo
http://download.sysinternals.com/Fil...itRevealer.zip

scansiona e vedi che ti dice

ecco RootkitRevealer:

HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 20/01/2007 16.24 53 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\RAS Autodial\Control\LoginSessionDisable 31/05/2007 18.30 4 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Znepb\Qrfxgbc\Ahbin pnegryyn\Qocbjrenzc Zhfvp Pbairegre I 1 31/05/2007 18.29 16 bytes Hidden from Windows API.
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Zepter Software\RegLib*4c656ba6 11/05/2006 7.12 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 29/03/2007 12.15 19 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03/10/2006 9.17 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\01\10-{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}-v1-{A62002D 24/09/2006 21.42 8 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\11\11-{8178A223-976C-41A4-AC87-6563EDF693B6}-v11-{8178A2 24/09/2006 21.42 3.22 KB Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\14\14-{8178A223-976C-41A4-AC87-6563EDF693B6}-v14-{8178A2 24/09/2006 21.42 3.43 KB Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\16\16-{8178A223-976C-41A4-AC87-6563EDF693B6}-v16-{8178A2 24/09/2006 21.42 80 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 31/05/2007 18.29 36 bytes Hidden from Windows API.
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat:KAVICHS 29/05/2007 14.06 36 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 31/05/2007 18.29 64.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\windev-77c4-5cf5.sys 29/05/2007 20.48 150.13 KB Hidden from Windows API.
C:\WINDOWS\system32\windev-peers.ini 31/05/2007 18.25 42.81 KB Hidden from Windows API.

wizard1993 · 31-05-2007, 17:53

mai visto un casino simile; ora vediamo che si può fare; ma forse credo dovrai formattare

wizard1993 · 31-05-2007, 18:00

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to delete:
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\system32\windev-77c4-5cf5.sys
C:\WINDOWS\system32\windev-peers.ini
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet001\Services\sptd\
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName

per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo

T3NAX86 · 01-06-2007, 08:10

Quote:

Originariamente inviato da wizard1993

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to delete:
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\system32\windev-77c4-5cf5.sys
C:\WINDOWS\system32\windev-peers.ini
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet001\Services\sptd\
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath
HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName

per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo

usato Avenger...cmq ieri sera ho fatto un'altra scansione con BitDefender....questa volta non mi ha trovato niente

cmq spesso al riavvio,appena arrivato in windows,mi arriva l'errore : Microsoft Windows - Il sistema è stato ripristinato in seguito ad un grave errore

wizard1993 · 01-06-2007, 17:25

adesso fai una scan con un qualsiasi scan ads

Trickyone · 06-06-2007, 01:03

A me pure però con un pc portatile.. Di 4 anni fà.. Prima questi sintomi non c'è li aveva..

wizard1993 · 06-06-2007, 10:56

posta un log di rootkit revealer

30-05-2007, 10:10	#1
T3NAX86 Bannato Iscritto dal: Feb 2006 Messaggi: 70	[HELP] VIRUS ---> IL PC SI RIAVVIA DA SOLO !!! Ragazzi,vi prego di aiutarmi ho AVG Free Edition come Antivirus... l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo cosa mi consigliate di fare? eccetto formattare o altro GRAZIE

31-05-2007, 17:53	#15
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	mai visto un casino simile; ora vediamo che si può fare; ma forse credo dovrai formattare __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

31-05-2007, 18:00	#16
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	con the avanger http://www.megalab.it/articoli.php?id=946 insersci questo script Files to delete: C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb C:\WINDOWS\system32\windev-77c4-5cf5.sys C:\WINDOWS\system32\windev-peers.ini Registry keys to delete: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5 HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc HKLM\SYSTEM\ControlSet001\Services\sptd\ HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5 HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5 HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5 HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

01-06-2007, 17:25	#18
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	adesso fai una scan con un qualsiasi scan ads __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

06-06-2007, 01:03	#19
Trickyone Junior Member Iscritto dal: Mar 2007 Messaggi: 1	A me la stessa cosa.. A me pure però con un pc portatile.. Di 4 anni fà.. Prima questi sintomi non c'è li aveva..

30-05-2007, 10:40	#3
T3NAX86 Bannato Iscritto dal: Feb 2006 Messaggi: 70	mhhh ...non vorrei formattare il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi c'è qualche rimedio alternativo? se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai

06-06-2007, 10:56	#20
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	posta un log di rootkit revealer __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

Strumenti
Mostra una versione stampabile Invia questa pagina per email