MegaLab.it

Dopo un tentativo di installazione di Netmeter, ma forse era un file fake, mi è uscita per un istante la schermata blu e si è riavviato il Pc.

Avg e Sygate firewall non partono all'avvio e se aperti manualmente dice che non è un'applicazione win32 valida.

SuperAntiSpyware parte e rileva questo:
Trojan.Wintems.process D:\Windows\system32\wintems.exe

Se lancio HiJackthis, Spybot dice sempre che non è un'applicazione win32 valida.

Il ripristino di configurazione di sistema è abilitato: si può tentare un ripristino e come si fa ?
Altrimenti aspetto qualche aiuto da voi prima di fare altri danni.

Grazie, Andrea

Leggere qui e fare la scansione online
http://www.MegaLab.it/forum/viewtopic.php?t=34966

Sto facendo l'interminabile scansione con Karpersky.
Ho un disco con 3 partizioni: Xp aziendale, Xp privato e Vista.
Il danno rimane circoscritto al sistema operativo che stavo utilizzando in quel momento o hanno subito anche gli altri ?

Andrea

Dagli altri sistemai avevi problemi?

Allego il report di Kaspersky.
Ho provato a creare lo script per Avenger seguendo la guida ma non sembra ben riuscito, se me lo proponete voi forse è meglio.
Intanto ho disabilitato il ripristino ed ho Avenger by Swandog46.

Tra i file infetti ho visto anche questo:
D:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide

Con Avenger questo file verrà eliminato e comporterà la reinstallazione del programma StyleXp ?

grazia, Andrea

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
D:\Documents and Settings\Battistini\Impostazioni locali\Temporary Internet Files\Content.IE5\HLL3QQFO\b64_31[1].jpg
D:\Programmi\TGTSoft\StyleXP\StyleXP.exe
D:\RECYCLER\S-1-5-21-1606980848-1326574676-839522115-1003\Dd545.exe
D:\RECYCLER\S-1-5-21-1606980848-1326574676-839522115-1003\Dd550.zip
D:\WINDOWS\pubprm.vbs

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

Dopo la passata con Avenger ho reinstallato Avg e Hijack e li ha presi.
Ho fatto una scansione con Hijack di cui allego il log: mi potete dare un'occhiata per vedere se c'e' ancora qualche residuo da sistemare ?

Grazie, Andrea

No, è tutto a posto.

Ripristina anche la modalità provvisoria utilizzando questo file.

Mi è rimasto solo un problema: l'orologio in basso a destra visualizza l'orario in formato 12 ore. Se vado nelle proprietà di data e ora mi compare in formato 24 ore, ma quando faccio "applica" nella barra in basso a destra rimane sempre in formato 12 ore.

Per togliere Bagle seguii la vostra guida che a un certo punto diceva:
Nello stesso modo, eliminate anche le seguenti chiavi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun

Questo DateTime può essere il problema ?

Grazie, Andrea

No, quelle erano chiavi del trojan. Non so come aiutarti, mi dispiace.