MegaLab.it

Da stamattina sono sul forum per documentarmi sul verme che mi ha infestato il computer. Nod32, spybot, regcleaner, agv mi rispondono "non è un applicazione win32 valida" il firewall viene disattivato, IE parte con grandissima difficoltà e ho avuto problemi anche con il driver della scheda video. Ovviamente ci sarà anche tanto altro di cui ancora non mi sono accorto. Ieri ho trovato il computer acceso, ho pensato ai fantasmi, nel pomeriggio ho lanciato la scansione on line di kaspersky, aveva individuato dei files infetti, sono uscito e al ritorno ho trovato che il monitor presntava solo lo sfondo del desktop ed il pointer del mouse. Ho spento di brutto e sono ripartito e ho rilanciato la scansione on line di kaspersky. devo andare a fare la notte a lavoro, spero al ritorno di non trovare altre stranezze. Mi consigliate di scollegare il doppino dal router adsl prima di andare via?
Siete dei mostri.
Grazie
Oto

oto ha scritto:Da stamattina sono sul forum per documentarmi sul verme che mi ha infestato il computer. Nod32, spybot, regcleaner, agv mi rispondono "non è un applicazione win32 valida" il firewall viene disattivato, IE parte con grandissima difficoltà e ho avuto problemi anche con il driver della scheda video. Ovviamente ci sarà anche tanto altro di cui ancora non mi sono accorto. Ieri ho trovato il computer acceso, ho pensato ai fantasmi, nel pomeriggio ho lanciato la scansione on line di kaspersky, aveva individuato dei files infetti, sono uscito e al ritorno ho trovato che il monitor presntava solo lo sfondo del desktop ed il pointer del mouse. Ho spento di brutto e sono ripartito e ho rilanciato la scansione on line di kaspersky. devo andare a fare la notte a lavoro, spero al ritorno di non trovare altre stranezze. Mi consigliate di scollegare il doppino dal router adsl prima di andare via?
Siete dei mostri.
Grazie
Oto

Io pure ho avuto un sacco di problemi, con l'aiuto straordinario degli amci del forum ero riuscito ad eliminare il virus. Successivamente, però, sono stato costretto comunque a formattare il pc, sicuramente per via di bagle, che aveva causato danni maggiori rispetto a quelli scoperti.
La procedura che stai seguendo è corretta, mi auguro che tu possa portarla a compimento. Per quanto attiene alla scansione con Kaspersky, una volta avviata puoi tranquillamente disconnetterti da internet.
Buona fortuna!

Quando hai ultimato la scansione on-line con kaspersky, comprimi il log e allegalo al forum.

Salve ragazzi ho completato la scansione. Allego lo zip. mi pare di capire che mi sono beccato il verme quando ho scaricato da Emule?
Se mi aiutate a preparare lo script e poi avevo letto che bisognava comunque aggiungere un altro paio di files a quelli ricavati dalla scansione.
Grazie in anticipo a chiunque mi darà una mano.
Ciao
Oto

P.S.: Se non sono riuscito ad allegare il file zippato alla prossimalo "appenderò" al messaggio.

In questo periodo emule vuol dire virus bagle, ma tutti continuate a caderci nonostante gli avvisi.

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\LookMeTopconverting.zip 
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\[.Program].-.Eset.NOD32.v2.5.19.+.crack.exe
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[3].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\CVHJEM31\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\CVHJEM31\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[3].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[4].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\FACNNHS9\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\G9IJCLEN\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\G9IJCLEN\b64_31[1].jpg 
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[3].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[4].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\S50HMFCP\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\S50HMFCP\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_1[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_31[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_31[2].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_1[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_2[1].jpg
C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_2[2].jpg
C:\Programmi\eMule\Incoming\[.Program].-.Eset.NOD32.v2.5.19.+.crack.zip   
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
C:\WINDOWS\AdobeR.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà e prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

Crazy, un paio di domande:
- l'Avenger è quello "resistente"?;
- quando dici appaiono due righe copia e incolla qui. Qui dove?
Scusa ma è la prima volta che ciò a che fare con un virus (immagino tu pensi che non sarà l'ultima).
Grazie mille
Oto

Avenger è l'unico tool in grado di rimuovere il trojan. Intendi... "al riavvio posta il contenuto del blocco note"? Se si, dopo che avrai eseguito la procedura e il sistema si sarà avviato ti apparirà un blocco note, copiane in un post il contenuto.

Ecco il log di avenger.


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kraglteq

*******************

Script file located at: \??\C:\Program Files\aifsfhsl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\LookMeTopconverting.zip deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\[.Program].-.Eset.NOD32.v2.5.19.+.crack.exe deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\896BCD67\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\A3QZ6XAR\b64_31[3].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\CVHJEM31\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\CVHJEM31\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[3].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\EH56VQDC\b64_31[4].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\FACNNHS9\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\G9IJCLEN\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\G9IJCLEN\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[3].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KHMRKLUV\b64_31[4].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\S50HMFCP\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\S50HMFCP\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\ST2Z4167\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\UXSBEXI5\b64_2[2].jpg deleted successfully.
File C:\Programmi\eMule\Incoming\[.Program].-.Eset.NOD32.v2.5.19.+.crack.zip deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe deleted successfully.
File C:\WINDOWS\AdobeR.exe deleted successfully.
Folder c:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Installa un antivirus.

Già fatto. NOD32.
Reboot?

Ripristina anche la modalità provvisoria utilizzando questo file.

Ho ripristinato. Devo fare reboot?

Sì.

Ho fato reboot.
Mi ha dato un errore sulla chiusura di IE.
Mi è comparsa l'immagine di NOD32 ma sembra bloccato.

Ste non lasciarmi proprio ora. Ti prego.
Mi è comparsa una finestra sopra l'immagine di NOd32 che era bloccata che dice "Si è verificao un errore durante la comunicazione con il servizio kernel di NOD32".

Non uso nod quindi non so cosa dirti. Prova a reinstallarlo.

Alla reinstallazione mi ha detto:"Si è verificato un errore durante la registrazione del servizio di sistema NOD32MOD_WINNT_ITALIAN_STANDARD" che prima non mi aveva dato.
Non lo ha installato. Niente cartella niente ESET ...

Guarda se GMER segnala delle voci in rosso.

Perdonami Ste cos'è GMER?
Ho sul disco rimovibile anche a-squared e Avg.
Mi consigli qualcosa?

GMER:

http://www.MegaLab.it/2675