www.MegaLab.it

[Amantide]

Proviamo così.
Scarica OtMoveIt2, avvialo ed assicurati che la voce Unregister Dll's and Ocx's sia spuntata.
Nello spazio bianco sotto alla voce Paste List of Files/Folders to be Moved incolla il seguente script e clicca su MoveIt:

Codice: Seleziona tutto

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\Documents and Settings\Giuliano\Dati applicazioni\m
C:\WINDOWS\system32\spoolx.exe
C:\Documents and Settings\Asia\Dati applicazioni\insidejunksave\GPLGRIDROAM.exe
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\1GPR6FW1\EvilS2-p[1].exe
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\p1[1].jpg
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\SSSp[1].gif
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\pen-4222[1].jpg
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\support[1].jpg
C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\WHVEEYOT\c2[1].zip
C:\Documents and Settings\Giuliano\belt.exe
C:\Documents and Settings\Giuliano\cbvihv.exe
C:\Documents and Settings\Giuliano\ceeopq.exe
C:\Documents and Settings\Giuliano\dajpaa.exe
C:\Documents and Settings\Giuliano\Dati applicazioni\insidejunksave\ygoqsuuf.exe
C:\Documents and Settings\Giuliano\Desktop\installer-70075-34it-Multi-Virus-Cleaner-Italian.exe
C:\Documents and Settings\Giuliano\gbhsmj.exe
C:\Documents and Settings\Giuliano\gogcu.exe
C:\Documents and Settings\Giuliano\guaq.exe
C:\Documents and Settings\Giuliano\hncyu.exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\4U5YBGVK\ev4[1].exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\ev9[1].exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\evc[1].exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\6C6KGD02\p1[1].jpg
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\DIF2U5PR\forensic[1].jpg
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\K662FE3O\pen-4222[1].jpg
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\Evc4[1].exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\EvX5[1].exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\V0V91CCY\SSSp[1].gif
C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\X4NNM5DF\ev8[1].exe
C:\Documents and Settings\Giuliano\lug.exe
C:\Documents and Settings\Giuliano\lvk.exe
C:\Documents and Settings\Giuliano\mevx.exe
C:\Documents and Settings\Giuliano\mrfmk.exe
C:\Documents and Settings\Giuliano\nfoolfr.exe
C:\Documents and Settings\Giuliano\nocw.exe
C:\Documents and Settings\Giuliano\qexnph.exe
C:\Documents and Settings\Giuliano\sivxs.exe
C:\Documents and Settings\Giuliano\ulvj.exe
C:\Documents and Settings\Giuliano\xchmvj.exe
C:\Programmi\Circle Developement\Uninstall.exe
C:\WINDOWS\system32\fgvgh.exe
C:\WINDOWS\system32\jbiag.exe
C:\WINDOWS\system32\mesjb.exe
C:\WINDOWS\system32\mitgnq.exe
C:\WINDOWS\system32\nosxdlc.exe
C:\WINDOWS\system32\ombvh.exe
C:\WINDOWS\system32\pxa.exe
C:\WINDOWS\system32\selfcx.exe
C:\WINDOWS\system32\shh.exe
C:\WINDOWS\system32\spoolx.exe
C:\WINDOWS\system32\symldrv.exe
C:\WINDOWS\system32\symlsrc.exe
C:\WINDOWS\system32\tuy.exe
C:\WINDOWS\system32\ufh.exe
C:\WINDOWS\system32\ushl.exe
C:\WINDOWS\system32\ybrwuba.exe
C:\Documents and Settings\Giuliano\Impostazioni locali\Temp
C:\Documents and Settings\Asia\Impostazioni locali\Temp

Ad operazione completata verrà creato il report, posta qui il suo contenuto.

[Topo]

ecco il log

File/Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
File/Folder C:\WINDOWS\system32\wintems.exe not found.
File/Folder C:\WINDOWS\system32\hldrrr.exe not found.
File/Folder C:\WINDOWS\system32\trusted.exe not found.
File/Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
File/Folder C:\windows\system32\drivers\hldrrr.exe not found.
File/Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
File/Folder C:\WINDOWS\system32\mdelk.exe not found.
File/Folder C:\WINDOWS\exefnd not found.
File/Folder C:\WINDOWS\exefld not found.
File/Folder C:\WINDOWS\system32\drivers\down not found.
File/Folder C:\Documents and Settings\Giuliano\Dati applicazioni\m not found.
File/Folder C:\WINDOWS\system32\spoolx.exe not found.
File/Folder C:\Documents and Settings\Asia\Dati applicazioni\insidejunksave\GPLGRIDROAM.exe not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\1GPR6FW1\EvilS2-p[1].exe >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\1GPR6FW1\EvilS2-p[1].exe not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\p1[1].jpg >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\p1[1].jpg not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\SSSp[1].gif >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\21XGMZRL\SSSp[1].gif not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\pen-4222[1].jpg >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\pen-4222[1].jpg not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\support[1].jpg >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\NKP2SYUA\support[1].jpg not found.
< C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\WHVEEYOT\c2[1].zip >
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temporary Internet Files\Content.IE5\WHVEEYOT\c2[1].zip not found.
File/Folder C:\Documents and Settings\Giuliano\belt.exe not found.
File/Folder C:\Documents and Settings\Giuliano\cbvihv.exe not found.
File/Folder C:\Documents and Settings\Giuliano\ceeopq.exe not found.
File/Folder C:\Documents and Settings\Giuliano\dajpaa.exe not found.
File/Folder C:\Documents and Settings\Giuliano\Dati applicazioni\insidejunksave\ygoqsuuf.exe not found.
File/Folder C:\Documents and Settings\Giuliano\Desktop\installer-70075-34it-Multi-Virus-Cleaner-Italian.exe not found.
File/Folder C:\Documents and Settings\Giuliano\gbhsmj.exe not found.
File/Folder C:\Documents and Settings\Giuliano\gogcu.exe not found.
File/Folder C:\Documents and Settings\Giuliano\guaq.exe not found.
File/Folder C:\Documents and Settings\Giuliano\hncyu.exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\4U5YBGVK\ev4[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\4U5YBGVK\ev4[1].exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\ev9[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\ev9[1].exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\evc[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\53J6716H\evc[1].exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\6C6KGD02\p1[1].jpg >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\6C6KGD02\p1[1].jpg not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\DIF2U5PR\forensic[1].jpg >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\DIF2U5PR\forensic[1].jpg not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\K662FE3O\pen-4222[1].jpg >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\K662FE3O\pen-4222[1].jpg not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\Evc4[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\Evc4[1].exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\EvX5[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\NNHSJMK8\EvX5[1].exe not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\V0V91CCY\SSSp[1].gif >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\V0V91CCY\SSSp[1].gif not found.
< C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\X4NNM5DF\ev8[1].exe >
File/Folder C:\Documents and Settings\Giuliano\Impostazioni locali\Temporary Internet Files\Content.IE5\X4NNM5DF\ev8[1].exe not found.
File/Folder C:\Documents and Settings\Giuliano\lug.exe not found.
File/Folder C:\Documents and Settings\Giuliano\lvk.exe not found.
File/Folder C:\Documents and Settings\Giuliano\mevx.exe not found.
File/Folder C:\Documents and Settings\Giuliano\mrfmk.exe not found.
File/Folder C:\Documents and Settings\Giuliano\nfoolfr.exe not found.
File/Folder C:\Documents and Settings\Giuliano\nocw.exe not found.
File/Folder C:\Documents and Settings\Giuliano\qexnph.exe not found.
File/Folder C:\Documents and Settings\Giuliano\sivxs.exe not found.
File/Folder C:\Documents and Settings\Giuliano\ulvj.exe not found.
File/Folder C:\Documents and Settings\Giuliano\xchmvj.exe not found.
File/Folder C:\Programmi\Circle Developement\Uninstall.exe not found.
File/Folder C:\WINDOWS\system32\fgvgh.exe not found.
File/Folder C:\WINDOWS\system32\jbiag.exe not found.
File/Folder C:\WINDOWS\system32\mesjb.exe not found.
File/Folder C:\WINDOWS\system32\mitgnq.exe not found.
File/Folder C:\WINDOWS\system32\nosxdlc.exe not found.
File/Folder C:\WINDOWS\system32\ombvh.exe not found.
File/Folder C:\WINDOWS\system32\pxa.exe not found.
File/Folder C:\WINDOWS\system32\selfcx.exe not found.
File/Folder C:\WINDOWS\system32\shh.exe not found.
File/Folder C:\WINDOWS\system32\spoolx.exe not found.
File move failed. C:\WINDOWS\system32\symldrv.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\symlsrc.exe scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\tuy.exe not found.
File/Folder C:\WINDOWS\system32\ufh.exe not found.
File/Folder C:\WINDOWS\system32\ushl.exe not found.
File/Folder C:\WINDOWS\system32\ybrwuba.exe not found.
Folder move failed. C:\Documents and Settings\Giuliano\Impostazioni locali\Temp scheduled to be moved on reboot.
File/Folder C:\Documents and Settings\Asia\Impostazioni locali\Temp not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10132008_005426

[Amantide]

In tempo che noi pensavamo il da farsi il virus ha cambiato i nomi a tutti i file infetti.. oppure sei riuscito alla fine ad eseguire la scansione con qualche programma antimalware
Devo contradire però il tuo titolo della discussione, perché sicuramente non si tratta di Bagle.
Una buona notizia è che siamo riusciti a far funzionare almeno un programma di rimozione, però adesso ci servirebbe un nuovo log di Kaspersky online.
Riprova anche a vedere se parte ComboFix, magari riscaricalo di nuovo, salvandolo con un nome di fantasia.


Edit:
Con la speranza che il virus ha mollato un po' il tuo pc proviamo a ripristinare il regedit, taskmanager e cmd.

Seleziona il seguente testo, copialo ed incollalo su blocco note. Salva il file con il nome restore.vbs ed eseguilo.

Codice: Seleziona tutto

Set WshShell = WScript.CreateObject("WScript.Shell")
With WScript.CreateObject("WScript.Shell")

On Error Resume Next

.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
.RegDelete "HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD"
.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
.RegDelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr"

End With

Mybox = MsgBox(jobfunc & enab & vbCR & "Restore_Finished!", 4096, t)

Altrimenti puoi provare ad usare questo tool, Gargaroz.

[Topo]

rinominando combofix sono riuscito a farlo partire. Ora sembra che il problema sia risolto. Se ci saranno altri problemi vi farò sapere. Per il momento grazie mille siete forti!

[Amantide]

Speriamo che non ci saranno altri problemi

[Topo]

Una cosa, il task manager sono riuscito a riabilitarlo, però non trovo più la funzione esegui su start, dov'è?

[Amantide]

però non trovo più la funzione esegui su start, dov'è?

Hai provato a cercarlo semplicemente nelle Proprietà della Barra delle applicazioni--> Menù di avvio--> Personalizza--> Avanzate--> Elementi del menu di avvio?

Già che ci sei, postami anche il log di ComboFix, non sempre riesce ad eliminare tutto, a volte qualcosa va rimosso manualmente.
Il log si trova nella cartella C:\QooBox


EDIT:

Per quanto riguarda il comando Esegui, forse è meglio se agisci in questo modo:

Copia il seguente script su blocco note , vai su File--> Salva con nome--> nel menu a tendina seleziona la voce Tutti i file e salva il file con il nome run.reg
Esegui il file .reg creato e riavvia il pc.

Codice: Seleziona tutto

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun]

[Topo]

esegui non lo trovo. questo è il lpg di combo

2007-07-03 15:10:18 206,308 C:\Qoobox\Quarantine\C\Documents and Settings\Giuliano\Cookies\hpothb07.dat.vir
2007-07-03 15:10:18 287,759 C:\Qoobox\Quarantine\C\Documents and Settings\Giuliano\Cookies\hpothb07.tif.vir
2008-08-21 11:16:05 398 C:\Qoobox\Quarantine\C\Documents and Settings\Asia\Preferiti\Videos.url.vir
2008-09-26 16:33:04 67,584 C:\Qoobox\Quarantine\C\WINDOWS\system32\symlsrc.exe.vir
2008-10-03 16:41:30 68,096 C:\Qoobox\Quarantine\C\WINDOWS\system32\symldrv.exe.vir
2008-10-07 16:38:53 386 C:\Qoobox\Quarantine\C\Documents and Settings\Giuliano\Desktop\Videos.url.vir
2008-10-07 16:38:53 386 C:\Qoobox\Quarantine\C\Documents and Settings\Giuliano\Menu Avvio\Programmi\Videos.url.vir
2008-10-07 16:38:53 386 C:\Qoobox\Quarantine\C\Documents and Settings\Giuliano\Preferiti\Videos.url.vir
2008-10-08 17:41:09 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\639096.exe.vir
2008-10-08 18:09:24 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\436190.exe.vir
2008-10-08 18:34:54 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\126038.exe.vir
2008-10-08 19:05:19 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\421699.exe.vir
2008-10-08 19:30:49 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\975168.exe.vir
2008-10-08 19:57:44 139,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\275532.exe.vir
2008-10-13 22:13:09 10,116 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-10-13 22:22:05 54 C:\Qoobox\Quarantine\catchme.log
2008-10-13 22:26:58 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-10-13 22:26:58 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-10-13 22:26:58 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-10-13 22:27:02 0 C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}.reg.dat
2008-10-13 22:27:06 137 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Managing Services.reg.dat
2008-10-13 22:27:06 161 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Symantec Drive Services.reg.dat
2008-10-13 22:27:06 161 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Symantec Source Editor.reg.dat
2008-10-13 22:29:52 612 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-KiweeHook.reg.dat
2008-10-13 22:29:52 626 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-NBKeyScan.reg.dat
2008-10-13 22:29:52 628 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-SpybotSD TeaTimer.reg.dat
2008-10-13 22:29:52 648 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-BitTorrent.reg.dat
2008-10-13 22:29:52 674 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-FreeRAM XP.reg.dat
2008-10-13 22:29:52 700 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Coolexitbitsatom.reg.dat
2008-10-13 22:29:52 728 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Love default global mess.reg.dat
[LOG]Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 7.1.0 - Italiano
Aggiornamento della protezione per Windows Internet Explorer 7 (KB928090)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB929969)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB931768)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB933566)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB937143)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB938127)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB939653)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB942615)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB944533)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB950759)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB953838)
Aggiornamento della protezione per Windows Media Player (KB911564)
Aggiornamento della protezione per Windows Media Player 10 (KB911565)
Aggiornamento della protezione per Windows Media Player 11 (KB936782)
Aggiornamento della protezione per Windows Media Player 11 (KB954154)
Aggiornamento della protezione per Windows Media Player 6.4 (KB925398)
Aggiornamento della protezione per Windows Media Player 9 (KB917734)
Aggiornamento della protezione per Windows XP (KB890046)
Aggiornamento della protezione per Windows XP (KB893756)
Aggiornamento della protezione per Windows XP (KB896358)
Aggiornamento della protezione per Windows XP (KB896423)
Aggiornamento della protezione per Windows XP (KB896424)
Aggiornamento della protezione per Windows XP (KB896428)
Aggiornamento della protezione per Windows XP (KB899587)
Aggiornamento della protezione per Windows XP (KB899589)
Aggiornamento della protezione per Windows XP (KB899591)
Aggiornamento della protezione per Windows XP (KB900725)
Aggiornamento della protezione per Windows XP (KB901017)
Aggiornamento della protezione per Windows XP (KB901214)
Aggiornamento della protezione per Windows XP (KB902400)
Aggiornamento della protezione per Windows XP (KB904706)
Aggiornamento della protezione per Windows XP (KB905414)
Aggiornamento della protezione per Windows XP (KB905749)
Aggiornamento della protezione per Windows XP (KB908519)
Aggiornamento della protezione per Windows XP (KB911562)
Aggiornamento della protezione per Windows XP (KB911567)
Aggiornamento della protezione per Windows XP (KB911927)
Aggiornamento della protezione per Windows XP (KB912919)
Aggiornamento della protezione per Windows XP (KB913433)
Aggiornamento della protezione per Windows XP (KB913580)
Aggiornamento della protezione per Windows XP (KB914388)
Aggiornamento della protezione per Windows XP (KB914389)
Aggiornamento della protezione per Windows XP (KB917344)
Aggiornamento della protezione per Windows XP (KB917422)
Aggiornamento della protezione per Windows XP (KB917953)
Aggiornamento della protezione per Windows XP (KB918118)
Aggiornamento della protezione per Windows XP (KB918439)
Aggiornamento della protezione per Windows XP (KB918899)
Aggiornamento della protezione per Windows XP (KB919007)
Aggiornamento della protezione per Windows XP (KB920213)
Aggiornamento della protezione per Windows XP (KB920214)
Aggiornamento della protezione per Windows XP (KB920670)
Aggiornamento della protezione per Windows XP (KB920683)
Aggiornamento della protezione per Windows XP (KB920685)
Aggiornamento della protezione per Windows XP (KB921398)
Aggiornamento della protezione per Windows XP (KB921503)
Aggiornamento della protezione per Windows XP (KB921883)
Aggiornamento della protezione per Windows XP (KB922616)
Aggiornamento della protezione per Windows XP (KB922760)
Aggiornamento della protezione per Windows XP (KB922819)
Aggiornamento della protezione per Windows XP (KB923191)
Aggiornamento della protezione per Windows XP (KB923414)
Aggiornamento della protezione per Windows XP (KB923694)
Aggiornamento della protezione per Windows XP (KB923980)
Aggiornamento della protezione per Windows XP (KB924191)
Aggiornamento della protezione per Windows XP (KB924270)
Aggiornamento della protezione per Windows XP (KB924496)
Aggiornamento della protezione per Windows XP (KB924667)
Aggiornamento della protezione per Windows XP (KB925454)
Aggiornamento della protezione per Windows XP (KB925486)
Aggiornamento della protezione per Windows XP (KB925902)
Aggiornamento della protezione per Windows XP (KB926255)
Aggiornamento della protezione per Windows XP (KB926436)
Aggiornamento della protezione per Windows XP (KB927779)
Aggiornamento della protezione per Windows XP (KB927802)
Aggiornamento della protezione per Windows XP (KB928255)
Aggiornamento della protezione per Windows XP (KB928843)
Aggiornamento della protezione per Windows XP (KB929123)
Aggiornamento della protezione per Windows XP (KB930178)
Aggiornamento della protezione per Windows XP (KB931261)
Aggiornamento della protezione per Windows XP (KB931784)
Aggiornamento della protezione per Windows XP (KB932168)
Aggiornamento della protezione per Windows XP (KB933729)
Aggiornamento della protezione per Windows XP (KB935839)
Aggiornamento della protezione per Windows XP (KB935840)
Aggiornamento della protezione per Windows XP (KB936021)
Aggiornamento della protezione per Windows XP (KB937894)
Aggiornamento della protezione per Windows XP (KB938464)
Aggiornamento della protezione per Windows XP (KB938829)
Aggiornamento della protezione per Windows XP (KB941202)
Aggiornamento della protezione per Windows XP (KB941568)
Aggiornamento della protezione per Windows XP (KB941569)
Aggiornamento della protezione per Windows XP (KB941644)
Aggiornamento della protezione per Windows XP (KB941693)
Aggiornamento della protezione per Windows XP (KB943055)
Aggiornamento della protezione per Windows XP (KB943460)
Aggiornamento della protezione per Windows XP (KB943485)
Aggiornamento della protezione per Windows XP (KB944653)
Aggiornamento della protezione per Windows XP (KB945553)
Aggiornamento della protezione per Windows XP (KB946026)
Aggiornamento della protezione per Windows XP (KB946648)
Aggiornamento della protezione per Windows XP (KB948590)
Aggiornamento della protezione per Windows XP (KB948881)
Aggiornamento della protezione per Windows XP (KB950749)
Aggiornamento della protezione per Windows XP (KB950760)
Aggiornamento della protezione per Windows XP (KB950762)
Aggiornamento della protezione per Windows XP (KB950974)
Aggiornamento della protezione per Windows XP (KB951066)
Aggiornamento della protezione per Windows XP (KB951376-v2)
Aggiornamento della protezione per Windows XP (KB951376)
Aggiornamento della protezione per Windows XP (KB951698)
Aggiornamento della protezione per Windows XP (KB951748)
Aggiornamento della protezione per Windows XP (KB952954)
Aggiornamento della protezione per Windows XP (KB953839)
Aggiornamento per Windows XP (KB894391)
Aggiornamento per Windows XP (KB898461)
Aggiornamento per Windows XP (KB900485)
Aggiornamento per Windows XP (KB904942)
Aggiornamento per Windows XP (KB908531)
Aggiornamento per Windows XP (KB910437)
Aggiornamento per Windows XP (KB911280)
Aggiornamento per Windows XP (KB916595)
Aggiornamento per Windows XP (KB920872)
Aggiornamento per Windows XP (KB922582)
Aggiornamento per Windows XP (KB927891)
Aggiornamento per Windows XP (KB929338)
Aggiornamento per Windows XP (KB930916)
Aggiornamento per Windows XP (KB931836)
Aggiornamento per Windows XP (KB932823-v3)
Aggiornamento per Windows XP (KB933360)
Aggiornamento per Windows XP (KB938828)
Aggiornamento per Windows XP (KB942763)
Aggiornamento per Windows XP (KB951072-v2)
Aggiornamento rapido per Windows Internet Explorer 7 (KB947864)
Aggiornamento rapido per Windows Media Player 11 (KB939683)
Aggiornamento rapido per Windows XP - KB873339
Aggiornamento rapido per Windows XP - KB885835
Aggiornamento rapido per Windows XP - KB885836
Aggiornamento rapido per Windows XP - KB885884
Aggiornamento rapido per Windows XP - KB886185
Aggiornamento rapido per Windows XP - KB887472
Aggiornamento rapido per Windows XP - KB888302
Aggiornamento rapido per Windows XP - KB890859
Aggiornamento rapido per Windows XP - KB891781
Aggiornamento rapido per Windows XP (KB914440)
Aggiornamento rapido per Windows XP (KB952287)
Apple Software Update
Ask Toolbar
Assistente per l'accesso a Windows Live
AutoUpdate
Avira AntiVir Personal - Free Antivirus
CiD Help
Compatibility Pack for the 2007 Office system
Disc2Phone
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DustBuster XP Standard Edition
DVD Shrink 3.1.7
eMule AdunanzA
EVEREST Home Edition v2.20
Google Updater
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
iTunes
Java(TM) 6 Update 3
Messenger Plus! Live & Sponsor (CiD)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft LifeCam
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional with FrontPage
Microsoft SQL Server Desktop Engine
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.3)
MSXML 4.0 SP2 (KB936181)
Nero 7 Premium
neroxml
OpenMG Limited Patch 4.6-06-09-04-01
OpenMG Secure Module 4.6.00
OpenMG Secure Module 4.6.00
PDF Manual NW-S600/S700F Series
QuickTime
RealPlayer
SonicStage 4.1
Sony Ericsson PC Suite
Tux Paint 0.9.16
Tux Paint Stamps 2006-10-21
Ulead Photo Explorer 7.0 SE Platinum
VCRedistSetup
VIA Audio Driver Setup Program
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live installer
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
ZipGenius 6 (6.0.3.1128)

[/LOG]

[Amantide]

Per l'Esegui vedi il mio EDIT nel mesaggio di prima, ma siccome non sono sicura che a quest'ora ho scritto lo script come si deve , caso mai esegui regedit dall'Esegui di task manager, trova manuamente la chiave

Codice: Seleziona tutto

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

e nella scheda a destra elimina il valore NoRun.

Il log di ComboFix invece non è proprio quello che io volevo, nella cartella C:\QooBox dovrebbe essere il file combofix.txt oppure combofix2.txt, è quello che mi serve.

[Topo]

dice che l'editor del registro di sistema è stato disabilitato dall'amministratore di sistema. combofix che dici tu non c'è. ci sonono le liste che ti ho mandato.

[Amantide]

dice che l'editor del registro di sistema è stato disabilitato dall'amministratore di sistema.

Hai provato ad usare Gargaroz per riabilitare le varie funzioni?

[Topo]

mi compare il messaggio di errore impossibile registrare la dll/ocx: regsvr32 è fallito con codice di uscita 0x4. che vordì? comunque tra l'altro adesso avenger funziona .posso utilizzarlo per eliminare definitivamente l'infezione? come dovrei procedere in tal caso?

[Amantide]

Accertiamoci prima che il malware è stato debellato completamente e poi ritorniamo a regedit, esegui ed ecc.

Fai la scansione del sistema con Kaspersky online ed allega qui il report della scansione.

[Topo]

ecco il log

KASPERSKY ONLINE SCANNER 7 REPORT
Thursday, October 16, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, October 15, 2008 11:35:06
Records in database: 1313186
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
G:\
H:\
Scan statistics
Files scanned 66339
Threat name 3
Infected objects 3
Suspicious objects 0
Duration of the scan 01:31:13

File name Threat name Threats count
C:\_OTMoveIt\MovedFiles\10132008_004944\Documents and Settings\Asia\Dati applicazioni\insidejunksave\GPLGRIDROAM.exe Infected: Trojan.Win32.Obfuscated.gen 1
C:\_OTMoveIt\MovedFiles\10132008_004944\Documents and Settings\Asia\Impostazioni locali\Temp\ImInstaller\incredimail_installer.exe.tcmp Infected: not-a-virus:Downloader.Win32.ImLoader.i 1
C:\_OTMoveIt\MovedFiles\10132008_004944\Documents and Settings\Giuliano\Desktop\installer-70075-34it-Multi-Virus-Cleaner-Italian.exe Infected: not-a-virus:AdWare.Win32.FakeInstaller.a 1
The selected area was scanned.

[Amantide]

Ok, l'unici file infetti che ha trovato Kaspersky online si trovano nella cartella backup di OtMoveIt, utilizzato precedentemente.

Mi riepiloghi per favore i programmi ed i sistemi che hai utilizzato per ripristinare i servizi e funzioni disabilitati e che non hanno avuto il successo?

[Topo]

ho provato con gorgoraz, cpn lo script sul blocco note e con regedit da task manager

[Amantide]

Ok, ora ti elenco qualche soluzione e vedi se almeno qualcuna avrà il successo.

Regedit On-Off by MegaLab

RRT (Remove Restrictions Tool) 2.0

Anti-Hax0r

UnHookExec

Oppure apri il gpedit tool ( Start >> Esegui >> gpedit.msc ) oppure se non funziona nemmeno Esegui apri direttamente il file C:\WINDOWS\system32\gpedit.msc)

Nella scheda a sinistra sfoglia le cartelle fino ad arrivare a Configurazione utente >> Modelli amministrativi >> Sistema

Nella scheda a destra fai il doppio clic sulla voce Impedisci accesso agli strumenti di modifica del Registro di sistema, seleziona la voce Attivata, conferma e riavvia il pc.

[Topo]

esegui e il regedit ora funzionano grazie a RRT, però dice che il ripristino configurazione di sistema è stato disattivato e non mi permette di riattivarlo. che faccio.

[Amantide]

però dice che il ripristino configurazione di sistema è stato disattivato e non mi permette di riattivarlo. che faccio.

Ora che hai ripristinato il regedit possiamo agire in modo diretto sia per vedere che ripristinare le restrizioni impostati da malware.

Apri il regedit ed arriva alla chiave

Codice: Seleziona tutto

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Clicca con il tasto destro sulla chiave Explorer e seleziona la voce Esporta. Salva il file come il file di testo .txt ed allegalo qui.

[Topo]

Nome chiave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 17/10/2008 - 18.44
Valore 0
Nome NoDrives
Tipo REG_DWORD
Dati 0x0

Valore 1
Nome NoFolderOptions
Tipo REG_DWORD
Dati 0x1

Valore 2
Nome NoRun
Tipo REG_DWORD
Dati 0x0

Valore 3
Nome NoDriveTypeAutoRun
Tipo REG_DWORD
Dati 0x91


Nome chiave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 14/10/2008 - 0.22