Accedi per seguire   
Seguaci 0
clodia

Orans.sys Dannato Virus

51 messaggi in questa discussione

Clodia hai fatto quello che ti ho suggerito? :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ATTENZIONE: se avete bisogno di far leggere il log di HiJack This, siete pregati di allegare il file .TXT che il programma genera.

E' assolutamente vietato copiare e incollare tutto il testo del log in un messaggio, poichè il forum diverrebbe illeggibile e vi potrebbero essere collegamenti a file nocivi per il sistema altrui.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

In effetti nel log ci sono un po' di cosette da levare:

Avvia il Sistema in modalità provvisoria (F8 premuto ripetutamente all'avvio)

Disattiva il ripristino di configurazione (CLICCA

Apri il task manager (ALT+CTRL+CANC) e termina questo processo:

ntsf.exe

usbn.exe

Ora avvia HijackThis e clicca su "Do a system scan only" poi metti la spunta nelle caselle delle voci che ti indico e clicca su "Fix Cheked"

O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c194 -w

O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe

O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)

O23 - Service: SYS MANAGER (system) - Unknown owner - C:\WINDOWS\SYSWIN32.EXE (file missing)

Sempre dalla provvisoria pulisci con i tuoi programmi antispy e di pulizia.

Start/esegui.../digita REGEDIT

Vai qui:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

Nel pannello di destra elimina:

NTSF MICROSOFT SYSTEM = "ntsf.exe"

Vai qui:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Runservices

Nel pannello di destra elimina:

NTSF MICROSOFT SYSTEM = "ntsf.exe"

Vai qui:

HKEY_CURRENT_USER>Software>Microsoft>

Windows>CurrentVersion>Run

Nel pannello di destra elimina:

NTSF MICROSOFT SYSTEM = "ntsf.exe"

Esci dal registro di sistema e riavvia il computer :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

clodia dopo aver fissato quelle voci,Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni).Naturalmente quei programmi li devi scaricare.

Poi installati un buon firewall e aggiornati internet tramite windows update.

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo.Ciao

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Devi anche eliminarli i file

ntsf.exe

usbn.exe <---- C:\WINDOWS\system32

ex.cab

eied_s7.cab

vbsys2.dll <----C:\WINDOWS\System32(potresti non averlo)

dxdmain.exe <----C:\WINDOWS\System32(potresti non averlo)

SYSWIN32.EXE <----C:\WINDOWS(potresti non averlo)

:):P:P:wub:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
grazie..scusami per la petulanza e l'ignoranza.. :)

87586[/snapback]

Ma figuati, come ti ho già detto per me è un piacere aiutarti e magari anche a risolvere :P

Modificato da Steve Fox

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ma devo eliminarli sempre in modalità provvisoria?cmq il resto del procedimento l'ho fatto ma questo maledetto compare sempre :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Si, certo che li devi eliminare dalla modalità provvisoria e con il ripristino di confiugurazione disattivato...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[ma dove li trovo su cerca..oppure sempre nelle chiavi.. :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Quelli che ti ha indicato lucass li trovi su "cerca"

Senti prova a scaricare questo programma e a farci una scansione:

Mwav

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Digli come si usa il programma :ranting2:

1-dopo che l'hai scaricato decomprimilo nella cartella C:\bases

2-dopo che l'hai installato lo devi aggiornare se si apre il programma chiudilo,vai nella cartella c:\bases e clicca due volte su kavupd.exe Se ti da un messaggio d'errore riprova i server possono essere occupati(si apre la finestra del prompt,è nera aspetta che ha finito e prosegui con i passaggi)

3-avvia in modalita provvisoria clicca due volte su mwavscan.com

chiudi tutte le altre finestre, i browser ed i programmi e seleziona le caselle Memory, StartUp-Folders, Drives, All Local Drives, Registry and INI Files, System Folders, Services, e dopo clicca su Scan All Files

escan10cs9zeipg9fb.png

4-una volta finito clicca su Scan clean

5- finita la scansione, clicca su View Log e salvalo

6-durante la scansione ci sono 2 riquadri, uno chiamato file scanned, e laltro chiamato virus log information. clicca sul secondo salva il log e postamelo!!

Spero di esser stato chiaro,se non hai capito qualcosa chiedi pure :):P:P

il programma è scaricabile da qui

ftp://ftp.microworldsystems.com/download/tools/mwav.exe

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Digli come si usa il programma :ranting2:

87690[/snapback]

Si, ok, ma stai tranquillo, non è successo niente <_<

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Io sto tranquillo,ma se io ti dico scaricati questo programma che non è un comune antivirus e non lo sai usare che te lo scarichi a fare?tutto qui,lo so che non è successo niente :wub::P;):):P:P

PS:Penso che quel programma,come tanti altri se non sai le istruzioni non lo usi!!

PPS:Usa questo programma senza istruzioni

ftp://anti-virus.by/pub/vba32-console-scanner-20050511.zip

non cercare info in internet non le trovi e se le trovi tutte in tedesco :andy: :andy: se ci riesci fammelo sapere veramente dico!!

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Bhè non mi sembra affatto la stessa cosa. Quello che mi hai indicato tu è in russo con le istruzioni per internet tedesche, l'unico punto di riferimento è il readme-en, non mi sembra che escan sia uguale <_<.

Comunque chiudiamo qua il discorso che non voglio andare contro le regole :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Veramente una volta scaricato è in inglese,ti chiedevo solo nel caso ci riesci di spiegarmelo,io mi sono fermato al prompt dei comandi,dato che le indicazioni che ho trovato sono tutte tedesche ecc tutto qui :):P:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi non facciamo polemiche inutili :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi...abbiate pazienza! ho bisogno di recuperare questo thread perchè ho lo stesso problema con il file orans.sys <_< :P

Ho eseguito praticamente TUTTO quello che avete indicato in questa discussione e non è il caso che vi annoi elencando la sequenza di quello che ho fatto, sono DUE giorni che sto "sudando" su quel PC.

Ho infine anche fatto analizzare hijackthis.log (GRAZIE Kuma!!!! :( ), che non presenta elementi particolarmente rischiosi.

Ma il virus che ha infettato orans.sys non se ne vuole andare :P:P:wub:

A questo Link al Log KasperSky c'è il dettaglio del TERZO antivirus che ho fatto girare. Inutilmente ;) , perchè AVG continua a segnalare lo stesso problema. Sia che il file venga pulito, sia che venga cancellato, sia che venga rinominato, orans.sys viene ricreato un attimo dopo ed è sempre infetto.

Che altro posso provare? :)

Grazie a tutti!

Nic

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma il virus che ha infettato orans.sys non se ne vuole andare

non tutti i s.o sono identici dipende da molti fattori so per certo che il panda software lo riconosce ed elimina

ma ti ripeto non è valido per tutti diversamente bisogna cercarlo manualmente e non sarà facile e rapido

prova

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti dice in che percorso è il file ???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ti dice in che percorso è il file ???

91331[/snapback]

si

rilascia un report se lo trova ma non può eliminare diversamente bisogna andare cercare il orans.sys nei processi attivi e sono due @@

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ieri ho curato un pc proprio con quella pizza di virus! :)

avevo rdriv.sys e orans.sys che venivano rilevati in \winnt\system32 (il sistema era win2000) ... da notare che quei files sul filesystem non esistevano!!!!!!!

tra i processi avevo solo un settings.exe che non riuscivo a killare!

ho aggiornato alla sp4 e successive patch dal sito microsoft.

innanzi tutto nel registro avevo delle voci in esecuzione automatica

(files .pif) in Run e RunServices

i files sembravano non esistere, ma ho comunque tolto quelle voci.

ho fatto scansioni con

spybot & destroy

norton (ma non ripuliva nulla)

hijackthis (eliminati alcuni processi ... avevo un file settings.exe che partiva in automatico)

dopo mille peripezie, ho tentato la scansione panda on line che mi ha tolto un file infetto (non ricordo quale)

ho ripetuto il tutto... (da spybot in avanti)

ho riavviato e tutto è tornato regolare...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
si

rilascia un report se lo trova ma non può eliminare diversamente bisogna andare  cercare il orans.sys nei processi attivi e sono due @@

:)

91334[/snapback]

Volevo che lo analizzasse nei due link che ci sono nella mia firma... sospetto che si tratti del virus WORM_SDBOT.CBC, e quindi il file che lo ricrea si chiama "Netinfo.exe"

Se vuoi nicnic tentiamo una rimozione manuale delle voci dal registro, ti avviso però che è un po' lunga visto le innumerevoli chiavi che ci sono...

Quindi per prima cosa, ti direi di provare la soluzione che ti posto sotto, e solo se ricevi ancora il messaggio della presenza del virus, passiamo alla rimozione manuale...

Questo tool lo dovrebbe rimuovere definitivamente...

SYSCLEAN (Trend Micro)

1. Create  una nuova cartella sull’hard disc

2. Scaricate SYSCLEAN

e il PATTERN aggiornato

3. Estraete il file Pattern ed inseritelo nella nuova cartella che avete creato insieme al file SYSCLEAN.COM

4. Disabilitate il Ripristino di Sistema (ME/XP)

5. Riavviate in Modalità Provvisoria

6. Chiudete tutte le applicazioni, compresi eventuali AV

7. Lanciate l’ eseguibile Sysclean.com cliccandoci sopra

8. Mettete il segno di spunta su Automatically clean or delete detected files qualora non ci fosse.

9. Premete il pulsante Scan.

9a. Visualizzate il log, per vedere le operazioni effettuate.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dunque, quello che ho fatto (da venerdì a oggi):

lanciato AVG (è questo che ha trovato il malefico virus),

lanciato Ad-Aware,

lanciato SpyBot (2 volte in mod. normale e provvisoria),

modificate a mano alcune chiavi di registro (come indicato nel primo link di questo thread)

fatto girare PandaSoftware online,

fatto girare regCleaner (che mi ha permesso di eliminare un po' di schifezze che partivano allo startup),

ricreato a mano il file hosts,

rilanciato Ad-Aware

lanciato Kaspersky

Installato SP4 (il SO è Windows 2000 Server Family)

fatto upgrade a IE6.0

Risultato: AVG continua a trovare orans.sys infetto

Adesso provo a seguire le ultime indicazioni di Kuma :leggi: :):P su Sysclean, sennò via di nuovo a mano sul registro :o :o

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:) Finalmente ci siamo!!!! :P

Adesso sembra tutto a posto.

Sysclean ha trovato ancora 9 file corrotti che è riuscito a ripulire e ora AVG non dà più alcun messaggio di virus.

Ci fosse un ennesimo tool di scansione magari troverebbe ancora qualcosa :P , qualche file-chiave-o-altro impestato, ma adesso è stabile e VA BENE!!!

Che dire? GRAZIE di cuore a tutti :P:wub:

Non mi resta che configurare un firewall...ma già mi vengono altri mille dubbi...

Magari domani apro un altro thread

Un saluto

Nic

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0