Rimuovere Run.exe Virus Scaricato Da Emule

diabolerik · April 4, 2008

salve a tutti...

la mia ragazza ha scaricato da emule un programma dal nome run.exe ...chiaramente una volta aperto è andato in tilt il computer...la connessione internet non va...tutti gli antivirus (compreso hijackthis) non si aprono più e la cpu è impegnata al 70-80% di media da vari processi...

potreste consigliarmi qualcosa da fare...sapete se esiste un tool di rimozione di questo virus...insomma qualcosa per eliminarlo senza connettersi ad internet...grazie

Steve75 · April 4, 2008

ciao

scaricalo da un altro computer e vedi se riesci a fare un fix con Combofix

diabolerik · April 6, 2008

purtroppo da problemi anche con combofix...la connessione internet funziona...non è che posso fare una scansione on line?se si su che sito mi consigliate di andare? :omaggi:

Duca Bianco · April 6, 2008

ciao

Scarica the Avenger(diabolerik)

http://www.freefilehosting.net/download/3elif

lo salvi in una cartella, scompatti il file .zip.

individua "avenger.exe", lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\trusted.exe

C:\WINDOWS\system32\drivers\pci32.sys

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

folders to delete:

C:\WINDOWS\exefqd

C:\WINDOWS\exefnd

C:\WINDOWS\exefld

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\temp

C:\WINDOWS\Tasks

registry keys to delete:

HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\CurrentControlSet\Services\pci32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

3) Esegui anche una scansione online (usando IE)con Nod32 (elimina ciò che trova)

http://www.eset.com/onlinescan/

spunta le caselle:

-Remove found threats

-Scan unwanted applications

Spunta la casella e clicca su start

(IMG:http://img406.imageshack.us/img406/2...4855uz6.th.png)

Installa il controllo ActiveX

(IMG:http://img233.imageshack.us/img233/8...5016lk2.th.png)

Installa il software

(IMG:http://img106.imageshack.us/img106/2...0443ak1.th.png)

clicca su start e attendi il completamento delle firme antivirali

(IMG:http://img405.imageshack.us/img405/5...0836qc7.th.png)

spunta le due caselle e clicca su scan

(IMG:http://img236.imageshack.us/img236/3...1653pm6.th.png)

diabolerik · April 6, 2008

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "srosa" found!

DisplayName: Megadrv3

ImagePath: \??\C:\Windows\system32\drivers\srosa.sys

Start Type: 1 (System)

Rootkit scan completed.

Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!

Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!