Esegui 
Al che mi sono messo a cercare che cosa poteva essere e ho visto che probabilmente si tratta del worm Bagle..
Allora mi sono letto la guida che c’è nel sito riguardo a questo e ho notato che il mio Bagle sembra essere diverso o comunque mancante in alcune sue parti..
Cominciamo col dire che ho WINDOWS VISTA (Installato 32 gg fa e finito di ottimizzare 10 gg fa GRRRR)..
Innanzitutto provando ad aprire il Task Manager per controllare i processi c’è il blocco immediato del pc quindi non ho potuto verificare la presenza del processo hldrrr.exe..
Poi ho scaricato gmer e ho fatto una scansione e questo effettivamente mi diceva che ero infetto da rootkit ma di file rossi ne evidenziava uno solo.. tutti gli altri non c’erano..
comunque ho deciso nonstante queste discrepanze di seguire la procedura indicata nella guida visto che era l’unica soluzione che sono riuscito a trovare e che rispecchiava la mia situazione o almeno la rispecchiava in parte..
Ho scaricato avenger ma quando lo sono andato ad aprire mi è arrivato un messaggio di errore con scritto che poteva essere eseguito solo con Win 2000 o Xp..
Ho provato anche a modificare la compatibilità ma nulla .. Allora mi sono ricordato che tempo fa avevo rimosso un rootkit con VirIT e !KillBox al che sono andato in modalità provvisoria.. ( io riesco ad entrarci a differenza degli altri) e ho provato ad installare VirIT senza però riuscirci...
Al che ho provato con kaspersky ma la scansione si bloccava anzi non partiva proprio..
Poi riavviando di nuovo in MP con rete sono riuscito a installare VirIT.. Facendo la scansione quel file nascosto trovato da Gmer è stato eliminato e difatti nella scansione successiva dopo il riavvio Gmer non segnalava + file in rosso ne la presenza di un rootkit..
Però ancora Windows Defender non si apriva.. Centro sicurezza Pc nemmeno.. avast e ZA non ho provato nemmeno a reinstallarli..
Allora sono andati avanti con !KillBOX..
Come sapete vista ha la funzione di indicizzazione per la ricerca dei file quindi mi sono messo a cercare i nomi dei file che erano presenti negli script per avenger visti nella guida e di questi ho trovato se nn ricordo male questi: HIDR.EXE-E05F431A.pf e TRUSTEDINSTALLER.EXE-3CC531E5.pf che si trovavano in una cartella chiamata Prefetch e nella cartella drivers l'srosa.sys.
Questi 3 li ho eliminati tramite !KillBox creando dei backup che ho messo all'interno di un rar (non si sa mai).
Poi sono andato nel registro e manualmente ho cercato tutte le chiavi segnalate negli script per avenger e sono riuscito a trovare la chiave srosa e LEGACY_srosa ho creato i backup di entrambe e ho cercato di eliminarle.. La prima, la srosa, si è cancellata senza problemi invece la LEGACY ancora non ne vuole sapere..
Ho anche modificato le autorizzazioni nel registro ma niente.. Mi dice che è impossibile modificarle..
Quindi sono andato avanti lasciando li quest’unica chiave.. Allora sono andato nella cartella Temp e ho cercato sempre tramite la funzione cerca tutti i file *.exe (nessuno) e i *.tmp che ho eliminato tutti…
Poi mi sono accorto della presenza della cartella hidires con dentro m_hook.sys che era nascosta e l’ho eliminata manualmente, creando una copia di backup nell’apposito rar. ( Non chiedetmi perché non ho usato !KillBox.. erano anche le 3 e 30)..
Poi ho fatto una pulizia dei temporary internet file e altri file temporanei con un programma per pulirli e poi anche con CCleaner e poi ho provato a riattivare i servizi ma visto che ero ancora in modalità provvisoria ho pensato che fosse normale che non si avviassero e invece non era così.. Anche in modalità normale niente..
Ma non ho proprio nessun menu che appare col tasto destro o che so io… Sarà il virus o io che nn so usare vista? comunque il Centro sicurezza PC non si avvia nemmeno dall’apposita icona nella tray quindi suppongo che sia colpa del virus..
Poi ho tentanto a rientrare nel registro per togliere la LEGACY_srosa ma niente.. non si elimina..
Ho rifatto un'altra pulizia con CCleaner sia dei file temp e ho analizzato e corretto i problemi del registro.. e sono passato alla scansione con Kaspersky ma in pratica non so se è un problema del sito oppure del virus però quando mi chiede di installare il controllo ActiveX mi ricarica di nuovo la pagina dove ci sono i tasti accetto declino senza questi ultimi e quindi non posso andare avanti..
E poi c’è una scritta che mi dice di disinstallare una versione precedente che però nn compare in installazione applicazione ne nelle componenti aggiuntive di IE7..
Quindi da qui in poi le mie risorse sono esaurite… E anche io dato che sono le 4.45..
Ora metto a fare le scansioni di hijackthis e gmer e poi vi posto i log.. comunque diciamo che i problemi più grossi dopo la mancanza degli antivirus sono le ricorrenti schermate blu (infatti sto scrivendo sul word per evitare che mi si cancelli tutto DI NUOVO!!) e non poter usare il Task Manager..
Spero tanto che qualcuno di voi possa illuminarmi :) e per quanto riguarda kaspersky se mi indicate un sostituto creerò un log anche con quello. Grazie a tutti!! Ciao ciao
P.S. I file che ho cancellato non si sono rigenerati. Il Log dei rootkit ve lo posto domani se ce n'è bisogno.. Sono 2 volte che il pc si riavvia e la scansione non riesce a finire.. Ora è tardino.. comunque sono abbastanza ferrato quindi se mi dite di rivoltare il registro come un calzino si puo fare basta che mi dite dove devo cercare e basta che nn mi dite che devo formattare di nuovo!! Sarebbe una tragedia.. comunque durante questa attesa devo stare attento a non usare password o login importanti? O sono solo esposto ad altri virus? Grazie ciao ciao
![[uhm]](http://www.megalab.it/forum/images/smilies/Dubbio.gif "Uhm...")
comunque per la chiave io potrei avanzare una proposta... Avevo letto da qualche parte che c'è modo di entrare come administrator in MP tramite il cd... Magari in quel modo avrei l'autorizzazione di eliminare tutte le chiavi? comunque ho salvato il log di bit defender... O meglio il log per la parte di scansione effettuata.. Eccolo qui..