MegaLab.it

Sono nuovo del forum e, quindi, saluto tutti i nuovi amici.

Ho preso bagle come un grandissimo pirlone, eseguendo un software scaricato da emule. Il problema si è presentato subito grave, poichè il PC si è spento e la riaccensione durava qualche secondo, per poi rispegnersi.
Ovviamente (come ho riscontrato in casi analoghi letti qua e là) la modalità provvisoria è partita.

Nonostante un lungo tentativo di ristabilizzazione del sistema, sono ancora in piena confusione. Premetto di avere qualche conoscenza (non al livello di alcuni amici che ho letto sul forum), che mi ha permesso di superare alcune pesantissime difficoltà.

Infatti:
1) Ho installato windows sul secondo hard disk che posseggo ed ho invertito quello infettato in slave, salvando tutti i files che mi interessavano.
2) Dal nuovo sistema ho dapprima fatto una scansione prima con Avast (inutile) e poi ho eliminato manualmente i vari files "virulenti" già noti (tra i quali srosa.sys e hldrrr.exe, nonchè le cartelle temporanee di internet, la directory temp di windows e quella drivers/down di system32).
3) Ho installato la versione shareware di NOD32 (configurata secondo istruzioni dettagliate) ed ho fatto uno scan che ha eliminato un paio di altri files.
4) Ho inserito nella directory system32/drivers una cartella chiamata "srosa.sys" per evitare un'eventuale rigenerazione.

Finalmente, sono riuscito a rientrare nel vecchio sistema dell'hard disk principale. Da qui ho eseguito tutte le istruzioni presenti in http://www.MegaLab.it/2657/3
Il software Avenger che può essere scaricato, però, non ha nulla a che vedere con quello trattato nell'articolo, in quanto molto più semplice e con indicazioni. Non c'è alcun tasto "done", bensì "execute" e vi sono due opzioni "scan for rootkits" (selezionato) e "Automatically disable any rootkits found" (deselezionato ma che io ho ritenuto di selezionare".
Ho utilizzato le stringhe standard.
Vabbè, il risultato, dopo il regedit, è stato già AMBIGUO, poichè alla riaccensione mi sono usciti una serie di errori in sequenza relativi a non meglio precisati dischi che il sistema non riusciva a trovare - errori non riapparsi nelle successive riaccensioni.

Inoltre, il cestino non funziona bene, ovvero cancella tutto ma prima dà il seguente errore "Impossibile eliminare desktop: Disco protetto da scrittura. Rimuovere la protezione da scrittura o utilizzare un altro disco."

Ho provveduto, inoltre, alla rimozione delle chiavi di registro indicate nell'articolo:
da HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ho eliminato solo drvsyskit, cui corrispondeva "hldrrr", mentre non c'era alcun "german.exe".
Ho eliminato HKEY_CURRENT_USER\Software\FirstRRRun, mentre non c'era
HKEY_CURRENT_USER\Software\DateTime4.

Ho riattivato alcuni servizi, compreso Avast, che in memoria non riappariva. così l'ho disinstallato e reinstallato (ora è presente).
Mi sono accorto, però, che in system32 è riapparso hldrrr.exe, che ho nuovamente eliminato sostituendolo con una cartella con lo stesso nome.

Credendo di aver fatto qualche errore, dunque, ho installato ed eseguito GMER ed il log attuale è il seguente:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-03-17 23:50:47
Windows 5.1.2600


---- System - GMER 1.0.14 ----

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF74F3028]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreateKey [0xF74F2FE0]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF74E6B00]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF74E75DC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF74F3120]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenFile [0xF74E6B40]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF74F2FA4]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF74E75FC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF74F3076]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF74F2550]

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [ 06 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 170 804FC688 4 Bytes [ 28, 30, 4F, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [ E0, 2F, 4F, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C0 804FC6D8 4 Bytes [ 00, 6B, 4E, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 229 804FC741 3 Bytes [ 75, 4E, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 230 804FC748 4 Bytes [ 20, 31, 4F, F7 ]
.text ...

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82B86A40

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 828142C8

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \FileSystem\Rdbss \Device\FsWrap 8282D928
Device \Driver\atapi \Device\Ide\IdePort0 82855628
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 82855628
Device \Driver\atapi \Device\Ide\IdePort1 82855628
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 82855628
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 82855628
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 82855628
Device \FileSystem\Srv \Device\LanmanServer 8272C4D0

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8282CD78
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8282CD78
Device \FileSystem\Npfs \Device\NamedPipe 8284E328
Device \FileSystem\Msfs \Device\Mailslot 8280DE98
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target1Lun0 827E0360
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target2Lun0 827E0360
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 827E0360
Device \Driver\a347scsi \Device\Scsi\a347scsi1 827E0360
Device \FileSystem\Fastfat \Fat 828142C8

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82817A18
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82817A18
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82817A18
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82817A18
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82817A18
Device \FileSystem\Cdfs \Cdfs 827FCA00

---- Modules - GMER 1.0.14 ----

Module _________ F7484000-F749A000 (90112 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40@ujdew 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40@ljej40 0x88 0xC6 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ujdew 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ljej40 0xAA 0xC7 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ljej41 0x5A 0xC7 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ljej42 0x5A 0xC7 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ljej43 0x5A 0xC7 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ljej44 0x5A 0xC7 0x4C 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg42
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg42@ujdew 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg42@ljej40 0x8A 0xC6 0x4C 0x55 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%

---- EOF - GMER 1.0.14 ----


Il risultato di Avenger, eseguito (come detto) all'inizio, è:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: "C:\WINDOWS\system32\drivers\srosa.sys" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: file "C:\WINDOWS\system32\trusted.exe" not found!
Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: file "C:\WINDOWS\system32\drivers\pci32.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\pci32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\hldrrr.ex_" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.ex_" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: folder "C:\Muestras" not found!
Deletion of folder "C:\Muestras" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: folder "C:\WINDOWS\exefnd" not found!
Deletion of folder "C:\WINDOWS\exefnd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: folder "C:\WINDOWS\exefld" not found!
Deletion of folder "C:\WINDOWS\exefld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Folder "C:\WINDOWS\system32\drivers\down" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Completed script processing.

*******************

Finished! Terminate.


NON SO COSA FARE - sono in piena crisi.

Il sistema apparentemente funziona, ma so che ci sono vari problemi:
A cosa si riferivano gli errori relativi a quei "dischi" non trovati ?
Che problema ha il cestino ?
Come posso essere sicuro di aver eliminato tutto il virus ?
Come faccio a riattivare le chiavi di registro della modalità provvisoria ?
Posso ricopiare qualcosa dal sistema presente nell'altro hard disk ed in che modo ?

Chiedo un aiuto a voi, perché, leggendo i post di questo forum mi sono reso conto di avere a che fare con persone preparatissime.
Grazie in anticipo.

viaggia.tore ha scritto:Il software Avenger che può essere scaricato, però, non ha nulla a che vedere con quello trattato nell'articolo, in quanto molto più semplice e con indicazioni. Non c'è alcun tasto "done", bensì "execute" e vi sono due opzioni "scan for rootkits" (selezionato) e "Automatically disable any rootkits found" (deselezionato ma che io ho ritenuto di selezionare".

L'articolo sarà aggiornato il primo di Aprile.

Come posso essere sicuro di aver eliminato tutto il virus?

Io credo che tu lo abbi ancora, quindi esegui la scansione on-line estesa con Kaspersky come descritto qui.

Come faccio a riattivare le chiavi di registro della modalità provvisoria ?

Per riattivare la modalità provvisoria:

http://www.MegaLab.it/3250

Posso ricopiare qualcosa dal sistema presente nell'altro hard disk ed in che modo?

Aspetta di aver sradicato completamente l'infezione.

Ste_95, ti ringrazio per aver raccolto la mia richiesta di aiuto.
Premetto che non so usare i forum e quindi non so fare citazioni o robe del genere: voglio capire una cosa.
Come è possibile che sia più valida una scansione on-line (Kaspersky) rispetto a quella fatta da un potente antivirus ??
Ho volutamente evitato di fare scansioni on-line, perché non esiste proprio che il contenuto del mio pc venga setacciato esternamente.

L'articolo diceva che il software GMER serve per "tirare fuori" l'infezione ed è per questo che ho postato il file log, al fine di meglio configurare Avenger.

Quello che non mi spiego, sono quegli errori che nulla c'entrano con il virus bagle (perché mai riscontrate), ma che sembrerebbero collegate, piuttosto, ad un errato funzionamento di Avenger ... in realtà, se l'articolo mi spiega Avenger "vecchio" (programma di cui non avevo mai sentito parlare), avrò benissimo potuto fare qualche di esecuzione.
Ed è, appunto, per questo che ho postato il risultato di Avenger.

Alla fine dei conti, se i danni sono così elevati e se non si riesce a rimediare, a che serve cercare di recuperare il sistema ?

Sul post http://www.MegaLab.it/3250 non c'è nulla, se non un collegamento con l'articolo di cui sopra, il quale non parla di riattivazione della modalità provvisoria, ma dice che si può fare attraverso un file .reg allegato allarticolo che, in realtà, non è allegato.

Ragazzi, non so che fare, dato che sto benedetto sistema sembra funzionare perfettamente, se non per quell'errore in fase di eliminazione dei files (che ho bypassato attivando l'eliminazione diretta):
- Avast reinstallato funziona correttamente;
- AdAware non ha mai smesso di funzionare;
- Firefox appare integro;
- il pc sembra veloce come sempre;
- audio e video ok.

Quali altri problemi (per quanto vi sia noto) dovrebbe darmi questo virus bagle del c----o, così vado a controllare ?
Per esempio, l'articolo diceva che una fase centrale dell'infezione è la creazione di cartelle nelle quali bagle scarica da internet files formato jpg dannosi... ebbene, questa fase da me non è mai avvenuta.

Una domanda specifica: le chiavi di registro che ho elimiato e/o corretto con Avenger, erano del virus ? perché, come vi ho detto, quei messaggi di errore relativi a fatidici "dischi" non trovati, sono sorti a seguito del regedit (quando sono, per la prima volta, riuscito ad entrare nel sistema infetto, non c'era stato alcun messaggio di errore).

Chiedo, ancora, lumi e mi appello al vostro cuore .
Grazie mille.

viaggia.tore ha scritto:Premetto che non so usare i forum e quindi non so fare citazioni o robe del genere: voglio capire una cosa.
Come è possibile che sia più valida una scansione on-line (Kaspersky) rispetto a quella fatta da un potente antivirus ??
Ho volutamente evitato di fare scansioni on-line, perché non esiste proprio che il contenuto del mio pc venga setacciato esternamente.

L'articolo diceva che il software GMER serve per "tirare fuori" l'infezione ed è per questo che ho postato il file log, al fine di meglio configurare Avenger.

Quello che non mi spiego, sono quegli errori che nulla c'entrano con il virus bagle (perché mai riscontrate), ma che sembrerebbero collegate, piuttosto, ad un errato funzionamento di Avenger ... in realtà, se l'articolo mi spiega Avenger "vecchio" (programma di cui non avevo mai sentito parlare), avrò benissimo potuto fare qualche di esecuzione.
Ed è, appunto, per questo che ho postato il risultato di Avenger.

Alla fine dei conti, se i danni sono così elevati e se non si riesce a rimediare, a che serve cercare di recuperare il sistema ?

Sul post http://www.MegaLab.it/3250 non c'è nulla, se non un collegamento con l'articolo di cui sopra, il quale non parla di riattivazione della modalità provvisoria, ma dice che si può fare attraverso un file .reg allegato allarticolo che, in realtà, non è allegato.

Ragazzi, non so che fare, dato che sto benedetto sistema sembra funzionare perfettamente, se non per quell'errore in fase di eliminazione dei files (che ho bypassato attivando l'eliminazione diretta):
- Avast reinstallato funziona correttamente;
- AdAware non ha mai smesso di funzionare;
- Firefox appare integro;
- il pc sembra veloce come sempre;
- audio e video ok.

Quali altri problemi (per quanto vi sia noto) dovrebbe darmi questo virus bagle del c----o, così vado a controllare ?
Per esempio, l'articolo diceva che una fase centrale dell'infezione è la creazione di cartelle nelle quali bagle scarica da internet files formato jpg dannosi... ebbene, questa fase da me non è mai avvenuta.

Una domanda specifica: le chiavi di registro che ho elimiato e/o corretto con Avenger, erano del virus ? perché, come vi ho detto, quei messaggi di errore relativi a fatidici "dischi" non trovati, sono sorti a seguito del regedit (quando sono, per la prima volta, riuscito ad entrare nel sistema infetto, non c'era stato alcun messaggio di errore).

Chiedo, ancora, lumi e mi appello al vostro cuore .
Grazie mille.

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

Ok .. prima di postare il l links, premetto alcune cose.
Pur avendo riattivato il servizio degli aggiornamenti automatici, Nod32 non si aggiorna. Volevo fare uno scan con Nod32, visto che l'altro era stato eseguito dal secondo hard disk.
Avast invece si aggiorna senza problemi. Ho fatto uno scan, ma non ha segnalato nulla.
perché Nod32 segnala che il database dei virus non è aggiornato ?
Peraltro, ho copiato i files della cartella eset/updfiles relativi al sistema dell'altro hard disk (dove Nod32 si è aggiornato), in quella di questo hard disk. Potrebbe essere indirettamente aggiornato ??

Un'ultima domanda: il problema di quei "dischi" non trovati al riavvio di windows (dopo Avenger), potrebbe essere relativo ai dischi-fisici che Nod32 mi segnalava come "errore di lettura nel settore" ?
perché se è così, si trattava del lettore di memory card che ho prontamente staccato per evitare problemi.

Ok, passiamo a GMER.

1° passaggio (no so quale va bene)

direct link
http://www.freefilehosting.net/download/3dif9
forum link
[url="http://www.freefilehosting.net/files/3dif9"]Primo Passo.txt[/url]

2° passaggio

direct link
http://www.freefilehosting.net/download/3difa
forum link
[url="http://www.freefilehosting.net/files/3difa"]Secondo Passo.txt[/url]

Ok, il virus non c'è più.

Da Start Esegui services.msc cerca i servizi relativi a NOD e vedi se ce n'è qualcuno disabilitato.

L'unico servizio presente relativo a Nod32 si chiama "Nod32 Kernel Service" ed è avviato in automatico.

Di disabilitati ci sono solo 2 servizi:
- Accesso periferica Human Interface
- Routing e Accesso remoto.

In Automatico ma non avviati ci sono:
- Servizio Ripristino configurazione di sistema (... l'ho disattivato io)
- Zero Configuration reti senza fili.

Con sistema di avvio "manuale", ma non avviati ce ne sono un po':
- Accesso rete
- Applicazione di sistema COM+
- Archivi rimovibili
- Avvisi e registri di prestazioni
- ClipBook
- Condivisione desktop remoto di NetMeeting
- Copia replicata del volume
- DDE di rete
- DDE DSDM di rete
- Distributed Transaction Coordinator
- Gestione applicazione
- Gestione dischi logici
- Gestione sessione di assistenza mediante desktop remoto
- Gruppo di continuità
- Helper smart card
- Host di periferiche Plug and Play universali
- MS Software Shadow Copy Provider
- Office Source Engine
- Provider supporto protezione LM NT
- QoS RSVP
- RPC Locator
- Scheda WMI Performance
- Servizio amministrativo di Gestione disco logico
- Servizio COM di masterizzazione CD IMAPI
- Servizio di indicizzazione
- smart card
- Windows Installer

Tutti gli altri servizi risultano avviati in modalità automatica o manuale.

Magari il virus non c'è più, ma spero che il mio PC non subisca gli stessi effetti degli uomini ai quali è capitato un problema serio di salute (tipo al cuore) e che, pur riprendendosi, non ritorneranno mai come prima (ad es. Bossi o il povero Castagna).

Cosa mi consigli di fare ? Disinstallo Nod32 ?
Su quell'ipotesi del lettore di memory card, cosa mi dici ?

Ti ringrazio davvero per il tempo che mi stai dedicando.

Prima di ogni altro problema, prova a sostituire a NOD32 Avira Antivir e vedi se funziona correttamente.

Ho installato Avira Antivir.
Completata l'installazione ha tentato l'update e mi ha risposto:
"No valid license file available" con le seguenti informazioni nel report:

18.03.2008,15:13:46 - Installation Directory: C:\Programmi\AntiVir PersonalEdition Classic\ Backup Dir: Temp dir:
18.03.2008,15:13:46 - Backup Directory: C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\BACKUP\
18.03.2008,15:13:46 - Temp Directory: C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\Update\AVUPDATE_47dfce1a\
18.03.2008,15:13:46 - Start the Update GUI... Displaymode: 0

18.03.2008,15:13:46 - Installation Directory: C:\Programmi\AntiVir PersonalEdition Classic\ Backup Dir: Temp dir:
18.03.2008,15:13:46 - Backup Directory: C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\BACKUP\
18.03.2008,15:13:46 - Temp Directory: C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\Update\AVUPDATE_47dfce1a\
18.03.2008,15:13:46 - Start the Update GUI... Displaymode: 0

18.03.2008,15:13:49 - Keyfile: Key expired [DEMO Mode]

18.03.2008,15:13:49 - Critical error: No valid license file available.



Avrei dovuto disinstallare gli altri antivirus (Nod32 e Avast) o il problema è sempre quello dell'aggiornamento ?

Hai registrato il programma?

In effetti no.. come si fa ?

raga ma con avast si è immuni da sto virus o può entrare ugualmente?

viaggia.tore ha scritto:In effetti no.. come si fa ?

E' questa la versione che avevi scaricato?

http://www.free-av.com/en/download/1/av ... virus.html

raga ma con avast si è immuni da sto virus o può entrare ugualmente?

Basta un minimo di attenzione e un antivirus decente, cioè non Avast.

Questo file:

antivir_workstation_win7u_en_h.exe

Esegui la scansione on-line estesa con Kaspersky come descritto qui

Vabbè .. continuo stasera.
Devo aprire lo studio perché ho degli appuntamenti.

Comunque, come avevo detto nel secondo post, non posso (e non voglio) assolutamente eseguire scansioni on-line: sul mio PC sono presenti centinaia di files contenenti dati sensibili, che devo tutelare in ogni modo a causa della legge sulla pèrivacy (sono un avvocato).
Piuttosto, dimmi il nome di un buon antivirus che lo compro e non se ne parla più.

Ti ringrazio ancora per il supporto.

Kaspersky Internet Security.

Allora ... sono riuscito ad aggiornare Nod32 ed ho eseguito una scansione.
L'ho settato in base alle disposizioni della seguente pagina:
http://www.wilderssecurity.com/showthre ... post264587

Non ha rilevato nessun virus ed il rapporto è il seguente:

Tempo di controllo: 18/03/2008 20.35.31
Rapporto di scansione
Versione NOD32: 2957 (20080318) NT
è OK nella memoria operativa.

data: 18.3.2008 tempo: 20:35:49
Tecnologia Anti-Stealth abilitata.
Dischi, cartelle e file controllati: C:; E:
C:\pagefile.sys - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\casa\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\casa\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\casa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\casa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat - errore durante l'apertura del file (il file è bloccato) [4]
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\default - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\default.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SAM - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SAM.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SECURITY - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\software - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\software.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\system - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\config\system.LOG - errore durante l'apertura del file (il file è bloccato) [4]
C:\WINDOWS\system32\drivers\atapi.sys - errore durante l'apertura del file (il file è bloccato) [4]
E:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson\user.dmp - errore durante l'apertura del file (accesso negato) [4]
Numero di file controllati: 76420
Numero di virus trovati: 0
Scansione terminata alle: 20:50:52 Tempo impiegato: 903 sec (00:15:03)

Note:
[4] Il file non può essere aperto. E' in uso esclusivo da parte di un'applicazione o del sistema.

* * * * *

Volevo solo sapre se quei files in system32 che non possono essere aperti, rientrano nella normalità.

Caro ste_95, secondo te posso stare tranquillo con questa scansione, o mi consiglieresti comunque qualcos'altro ?

E' tutto regolare.

Spero di averlo debellato totalmente questo schifoso virus.
Adesso ripristinerò le chiavi della modalità provvisoria e riattiverò il ripristino configurazione di sistema.

Nel frattempo, amico ste_95, ti ringrazio di cuore per la tua gentilezza e, sperando di non dover parlare più di qiuesto argomento, ti saluto.