MegaLab.it

Buongiorno!

Da qualche giorno c'è bagle a casa mia. Mi succede di tutto, si spegne il pc (solita finestra blu, errore bla bla).

Mi è impossibile scaricare gmer, mi è impossibile fare lo scan online con kaspersky, idem per avenger.

Ho scaricato la trial di kaspersky, idem come sopra.

Il lettore dvd non legge nemmeno più i dischi, nemmeno con "esplora".

D:/ è inaccessibile, doppio click per accedere e risposta del tipo "Vuoi formattare il disco?". Io ci provo e mi dice impossibile formattare.

E chissà quali altre cose di cui non mi sono ancora accorto...

L'unica cosa "positiva" è che riesco a fare la scansione online con Panda (tranne quando si spegne il pc a metà operazione...). Il rapporto finale dice che il pc è disinfettato, ma, come ben saprete, non è vero...

Purtroppo non ho trovato nessuna risposta per il mio caso nel forum, nemmeno i procedimenti indicati nelle vostre pagine, qui è un macello.

Qualche consiglio?

Vi ringrazio per la vostra attenzione e vi saluto con la massima cordialità!

Quale errore riporta la scansione online con kaspersky?

Innanzitutto grazie per la velocissima attenzione alla mia richiesta!

Allora, tento di effettuare lo scan online e, dopo aver iniziato l'aggiornamento, al 3% circa si ferma dicendomi:

UPDATE PROCESS FAILED. No further antivirus actions can be performed! Attention: you must be online to activate kaspersky Online scanner, since the latest antivirus bases version must be downloaded prior to scan. Otherwise we cannot guarantee detection of latest viruses. (21)

Naturalmente io online ci sono.....

Grazie ancora, resto in attesa!

michelenascondino ha scritto:Naturalmente io online ci sono...

Sei sicuro che non ti cada la linea anche solo per qualche secondo?

Non cade, sono sicurissimo, controllo il router in continuazione e se cade me ne accorgo. Infatti, quando kaspersky mi ha dato il messaggio, la prima cosa che ho fatto è riprovarci tenendo sotto controllo il router.

Fai la scansione online con Panda e mandaci il log.

Grazie, ora vado a farlo, ci vorrà del tempo. Una domanda: cosa ne pensate di SpyHunter's spyware removal tool ? Funziona? Io non credo.....
Bene, faccio il panda e torno dopo, grazie!

Grazie, ora vado a farlo, ci vorrà del tempo. Una domanda: cosa ne pensate di SpyHunter's spyware removal tool ? Funziona? Io non credo.....
Bene, faccio il panda e torno dopo, grazie!

Sicuramente non per il Bagle

ste_95 ha scritto:Sicuramente non per il Bagle

Immaginavo...grazie!

Di là sto eseguendo il Panda... a dopo!

ste_95 ha scritto:Fai la scansione online con Panda e mandaci il log.

Eccomi qua! Allora, subito qui sotto c'è il log attuale mentre più sotto ce n'è uno che risale a oggi pomeriggio, non so, forse può servire per vedere le differenze tra una scansione e l'altra. Grazie ancora!

LOG ATTUALE CON PANDA:


Incidente Stato Percorso

Virus:w32/bagle.hx.worm Disinfettato Sistema Operativo
Dialer:dialer.su Non Disinfettato hkey_local_machine\software\microsoft\windows\currentversion\uninstall\Switch
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\29259156.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\WINTEMS.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\BNT9Q97R\b64_1[1].jpg
Virus:W32/Bagle.RC.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\ZUNWUXEQ\b64_1[1].jpg
Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@atdmt[2].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@mediaplex[1].txt


LOG DI OGGI POMERIGGIO:


Incidente Stato Percorso

Virus:w32/bagle.hx.worm Disinfettato Sistema Operativo
Dialer:dialer.su Non Disinfettato hkey_local_machine\software\microsoft\windows\currentversion\uninstall\Switch
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\290500.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\299906.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\14881328.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\29409218.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\29414687.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\145031.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\60046.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\62125.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\139593.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\156703.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\63531.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\72640.EXE
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\60843.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\68671.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\96671.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\MDELK.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\WINTEMS.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\BNT9Q97R\b64_31[1].jpg
Virus:Trj/Downloader.RZC Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\D1FO8W5H\b64_1[1].jpg
Spyware:Cookie/Xiti Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@xiti[1].txt
Spyware:Cookie/Overture Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@overture[1].txt
Spyware:Cookie/Com.com Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@com[1].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@mediaplex[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@doubleclick[1].txt
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@bs.serving-sys[2].txt
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@serving-sys[1].txt
Spyware:Cookie/Bluestreak Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@bluestreak[2].txt
Spyware:Cookie/Sextracker Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@sextracker[1].txt
Spyware:Cookie/Sextracker Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@counter5.sextracker[1].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@atdmt[2].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@tradedoubler[1].txt
Spyware:Cookie/Tribalfusion Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@tribalfusion[2].txt

Proviamo:

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

ste_95 ha scritto:Proviamo:

.....................

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

Eccomi qua, buongiorno e grazie ancora!

Questa notte ho spento il pc e credo quindi che il bagle si è allegramente clonato in giro al riavvio... in ogni caso ho fatto Avenger (che questa volta ha funzionato, mentre ieri era impossibile). Di seguito il log di Avenger e il log di panda, che ho rifatto subito dopo. Resto in attesa e ringrazio sinceramente l'apprezzatissimo sostegno!PS: un paio di domande: a questo punto potrei provare ad eseguire il kaspersky online? Ma se invece formatto (alt F10, è un acer ed esiste il ripristino del sistema in modo che mi ritrovo il pc esattamente come quando l'ho acquistato), dicevo, se faccio questa operazione, i virus spariscono?

Log di Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pignxpbf

*******************

Script file located at: \??\C:\WINDOWS\rlgynsko.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Log di panda:

Dialer:dialer.su Non Disinfettato hkey_local_machine\software\microsoft\windows\currentversion\uninstall\Switch
Virus:w32/bagle.hx.worm Disinfettato Sistema Operativo
Virus:W32/Bagle.RC.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\62625.EXE
Virus:W32/Bagle.RP.worm Disinfettato C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
Virus:W32/Bagle.RC.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\8N7IHKJL\b64_1[1].jpg
Virus:W32/Bagle.RC.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\ZUNWUXEQ\b64_1[1].jpg
Virus:W32/Bagle.RP.worm Disinfettato C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\ZUNWUXEQ\b64_31[1].jpg
Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@atdmt[2].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@mediaplex[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@doubleclick[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@tradedoubler[2].txt
Spyware:Cookie/YieldManager Non Disinfettato C:\Documents and Settings\Mich\Cookies\mich@ad.yieldmanager[1].txt
Virus:W32/Bagle.RP.worm Disinfettato C:\AVENGER\BACKUP.ZIP[avenger/srosa.sys]
Virus:W32/Bagle.RP.worm Disinfettato C:\AVENGER\BACKUP.ZIP[avenger/wintems.exe]
Virus:W32/Bagle.RP.worm Disinfettato C:\AVENGER\BACKUP.ZIP[avenger/mdelk.exe]
Virus:W32/Bagle.RC.worm Disinfettato C:\AVENGER\BACKUP.ZIP[avenger/down/250281.exe]
Virus:W32/Bagle.RP.worm Disinfettato C:\AVENGER\BACKUP.ZIP[avenger/down/260156.exe]

[quote="ste_95"]Proviamo:


...................................

Ho provato a eseguire kaspersky ed ora almeno funziona. Al termine della scansione invio il log e vediamo cosa succede. Nel frattempo spero che il pc tenga e non vada in crash....e naturalmente non riavvio.... speriamo bene....

[quote="ste_95"]Proviamo:



Eccomi qua con il verdetto di kaspersky, è un bel casino, io lo posto così com'è. Resto in attesa e commosso ringrazio per l'attenzione!



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, February 25, 2008 12:53:13 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 25/02/2008
Kaspersky Anti-Virus database records: 579441
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 82452
Number of viruses found: 1
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 02:03:12

Infected Object Name / Virus Name / Last Action
C:\i386\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked skipped
C:\WINDOWS\Temp\sqlite_KfRhUuYkfw1NwvL Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mich\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Mich\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DF1474.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DF1479.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DFEC00.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DFEC1C.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DF931E.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temp\~DF9323.tmp Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Cronologia\History.IE5\MSHist012008022520080226\index.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Acer Arcade\Trace.log Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Identities\{B6F88061-569E-46E0-9D80-57A7FB271174}\Microsoft\Outlook Express\Posta in arrivo.dbx Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Identities\{B6F88061-569E-46E0-9D80-57A7FB271174}\Microsoft\Outlook Express\Pop3uidl.dbx Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Identities\{B6F88061-569E-46E0-9D80-57A7FB271174}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped
C:\Documents and Settings\Mich\Impostazioni locali\Dati applicazioni\Identities\{B6F88061-569E-46E0-9D80-57A7FB271174}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped
C:\Documents and Settings\Mich\Cookies\index.dat Object is locked skipped
C:\Programmi\Realtek\InstallShield\AzMixerSel.exe Infected: Trojan-Downloader.Win32.Bagle.kb skipped
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLML_MAIN\CLML.db Object is locked skipped
C:\avenger\backup.zip/avenger/hldrrr.exe Infected: Trojan-Downloader.Win32.Bagle.kb skipped
C:\avenger\backup.zip ZIP: infected - 1 skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.


quote]

Con Avenger, esegui ancora questo script:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
C:\avenger\backup.zip

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

[quote="ste_95"]Con Avenger, esegui ancora questo script:

............................................



Eccomi di nuovo qua!

Grazie intanto per tutto!!!

---Ho provato ad installare AVIRA ma non riesce ad aggiornarsi. L'ho quindi disinstallato ed eliminato.

---Ho installato AVAST e funziona. Al riavvio del pc mi ha dato questo messaggio:

02/25/2008 16:58
Controllo di tutti i drives locali
File C:\WINDOWS\system32\ActiveScan\pskavs.dll e infetto da Win32:CTX
Controllo annullato


Numero di cartelle cercate: 327
Numero files controllati: 12359
Numero files infetti: 1

Per il momento ho fatto ESC senza effettuare riparazioni o eliminazioni.

---Poi ho aggiornato AVAST e ho fatto una scansione completa; ecco il log:


25.02.2008 17:30:50 1203957050 Mich 1692 Sign of "Win32:CTX" has been found in "C:\WINDOWS\system32\ActiveScan\pskavs.dll" file.
25.02.2008 18:45:00 1203961500 Mich 1692 Sign of "Win32:Beagle-AAJ [Trj]" has been found in "C:\avenger\backup-25.02.2008-15.41.40.68.zip\avenger\hldrrr.exe" file.
25.02.2008 18:45:49 1203961549 Mich 1692 Sign of "Win32:Beagle-AAJ [Trj]" has been found in "C:\avenger\backup.zip\avenger\hldrrr.exe" file.
25.02.2008 18:45:57 1203961557 Mich 1692 Sign of "Win32:Beagle-AAJ [Trj]" has been found in "C:\avenger\backup.zip\avenger\AzMixerSel.exe" file.



---Al riavvio del pc appare un messaggio in doppio (cioè 2 finestre) del blocco note che dice:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


---Di seguito, il log di avenger effettuato prima di installare AVAST:


LOG DI AVENGER
---------------------------------------------------------------
---------------------------------------------------------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jvtkdswm

*******************

Script file located at: \??\C:\Program Files\^dohqkws.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File C:\Programmi\Realtek\InstallShield\AzMixerSel.exe deleted successfully.
File C:\avenger\backup.zip deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



DOMANDE:

Che cosa mi tocca fare ora? Rifaccio scansioni eccetera?

E per il ripristino registro di sistema?

Insomma... da buon profano aspetti i migliori consigli, ringraziando immensamente per l'aiuto che ricevo! Quanta pazienza che dovete avere.....






quote]

Sospetto che la prima rilevazione di Avast sia un falso positivo, quindi ti chiederei di farlo analizzare su www.virustotal.com e riportane qui i risultati.

Poi, elimina l'intera cartella C:\Avenger. Puoi riabilitare il ripristino Configurazione di sistema.

Ripristina anche la modalità provvisoria utilizzando questo file.

ste_95 ha scritto:Sospetto che la prima rilevazione di Avast sia un falso positivo, quindi ti chiederei di farlo analizzare su www.virustotal.com e riportane qui i risultati.

Poi, elimina l'intera cartella C:\Avenger. Puoi riabilitare il ripristino Configurazione di sistema.

Ripristina anche la modalità provvisoria utilizzando questo file.

Ehm, chiedo scusa... dove lo metto il file SafeBoot? Ci devo anche clickare sopra?

E dopo devo riavviare in provvisoria e fare uno scan con AVAST?

Grazie e... sorry... ma prima di fare (altri) danni preferisco chiedere.

michelenascondino ha scritto:Ehm, chiedo scusa... dove lo metto il file SafeBoot? Ci devo anche clickare sopra?

Sì.

E dopo devo riavviare in provvisoria e fare uno scan con AVAST?

Non è necessario.