Virus Che Mi Blocca I Programmi Antivirus

[digitalone]

Salve, credo di aver preso proprio un brutto virus.

Spero mi possiate aiutare.

Stamattina quando accendo il PC, noto che ne l'antivirus (Nod32), ne il firewall (Outpost Firewall Pro v4) si autoavviano.

Allora cerco di farlo manualmente, ma incredibilmente mi appare un messaggio di errore che mi informa sul fatto che il file non è una valida applicazione Win32!

E ciò non mi succede solo con queste applicazioni, ma anche con SpyBot S&D, ed alcuni programmi per la pulizia del registro non partono.

A questo punto mi rendo conto che ho un virus. Ma non avendo Nod32 disponibile perchè Windows mi segnala che non è un applicazione Win32 valida, decido di eseguire un Kapersky Online scanner, di cui allego l'htlm report.

Poi vorrei anche eseguire un log HiJackThis, ma anche questo programma, non si apre...

Ho controllato anche in services.msc se ci fossero servizi sospetti, ma non trovo nulla di strano tranne il servizio del firewall e dell'antivirus che sono disabilitati, ma nonostante li riporti ad automatico e cerchi di avviarli, mi esce un errore 193: 0xc1, che mi indica che è impossibile avviare il servizio sul computer locale.

Insomma il mio PC è in pieno ostaggio di qualche virus, che mi blocca tutto, mi sembra già quasi un miracolo che io possa parlarvi...mi poteva anche andare peggio bloccando i browser!

Cmq guardando il log di Kapersky Scanner, noto che i file infetti sono parecchi, tra cui i file di restore delle configurazioni di sistema ed un certo eMule AutoStart che non so da dove sia sbucato.

Ho provvisto a cancellarli, disabilitando il ripristino configurazione di sistema, ma non cambia niente, e cmq vorrei sottoporre esso al vostro occhio più esperto.

E spero mi indichiate qualche tool che non si blocca all'avvio e che elimini file infetti, perchè ho provato anche ad andare in modalità provvisoria, ma all'accesso, Windows si riavvia!

Quindi niente modalità provvisoria...non so a quale Santo appellarmi!

Vi prego, aiutatemi, grazie.

infected.html

[Steve75]

ciao

prova cosi;

* Scarica ATF Cleaner

Avvia ATF Cleaner.exe con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Scarica Virit

Installalo/aggiornalo e fai uno scan completo del sistema

* Scarica

ELIBAGLA

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar

Posta il log di virit e il log C:\Infosat.txt

[digitalone]

ciao

* Scarica ATF Cleaner

* Scarica Virit

* Scarica ELIBAGLA

Posta il log di virit e il log C:\Infosat.txt

Sono disperato! :sigh:

Oltre all'antivirus, il firewall ed altri programmi per la sicurezza, anche ATF Cleaner non parte!

E Virit non completa l'installazione perchè non si riesce ad aprire il file ViritXP.exe.

Fortunatamente si aprono Elibagla e VundofFix (questo l'ho conservato dopo che me l'avete consigliato di usare l'ultima volta che ho chiesto aiuto).

Ma il loro responso è incredibile!!! Sono PULITO!

Vi posto i log.

Ma allora come è che:

- programmi per la sicurezza non partono?

- programmi per la sicurezza sono applicazioni Win32 non valide?

- quando cerco di spostare un applicazione per la sicurezza (per esempio, ComboFix), la cartella non risponde, e quando chiudo mi si riavvia explorer.exe?

- in accesso alla modalità provvisoria Windows si riavvia?

Mamma mia, stavolta me la sono beccata proprio grossa, vi prego non ditemi che è finita... :sigh: :sigh:

InfoSat.txt

VundoFix.txt

[digitalone]

Che Elibagla sia lodato!

Stamattina quando ho accesso il PC mi è partito elibagla ed ha eseguito una scansione. Non ha provato niente, ma mi ha segnalato un file: hldrrr.exe

E guardate qui:

LinK rimosso da angelique

Ps_ è vietato linkare ad altri forum

Modificato February 3, 2008 da angelique

[ernesto]

Che Elibagla sia lodato!

Stamattina quando ho accesso il PC mi è partito elibagla ed ha eseguito una scansione. Non ha provato niente, ma mi ha segnalato un file: hldrrr.exe

E guardate qui:

bene...allora fixalo e toglilo..hai gia provato suppongo..ed è tornato tutto.

ma se hai seguito i consigli di Steve "Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar"

dovrebbe essersi tolo da solo posto?

[$angelique!?]

Ciao AverageItalian,

ti ringrazio per le informazioni su come rimuovere il Bagle...ma oltre ad essere vietato dal nostro regolamento linkare altri forum...sappiamo benissimo come fare

detto questo, pensi di aver risolto la situazione? Ti ha aiutato qualcun'altro?? :leggi:

Comunque...dovresti procedere cosi:

Disabilita il Ripristino di configurazione su tutte le unità;

http://www.kuma215.it/WI/

Questo ELIMINERA' TUTTI i punti di ripristino, ed eventuali virus in esso contenuti

Una volta terminata la procedura di pulizia, quando sarà tutto a posto riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito.

Ora...

Svuota la quarantena di Nod32

Elimina questi file:

F:\eMule Morph XT\Incoming\Outpost Firewall Pro 4.0.1025.7828 (700) (Serial).zip/Outpost Firewall Pro 4.0.1025.7828 (700) (Serial).exe

F:\eMule Morph XT\Incoming\Outpost Firewall Pro 4.0.1025.7828 (700) (Serial).zip

F:\eMule Morph XT\MorphXT.exe -AutoStart

Scarica The Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip. individua avenger.exe, lo avvii.

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue:

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\trusted.exe

C:\WINDOWS\system32\drivers\pci32.sys

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\Documents and Settings\Nicola\Dati applicazioni\m\data.oct

C:\Documents and Settings\Nicola\Dati applicazioni\m\flec006.exe

folders to delete:

C:\WINDOWS\exefqd

C:\WINDOWS\exefnd

C:\WINDOWS\exefld

C:\WINDOWS\temp

C:\WINDOWS\Tasks

C:\WINDOWS\system32\drivers\down

registry keys to delete:

HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\CurrentControlSet\Services\pci32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

drivers to unload:

srosa

pci32

Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Nota, se avenger non dovesse aprirsi te ne allego uno rinominato

Per ripristinare l'avvio in Mod Provvisoria, eliminato dal Virus BAGLE esegui questo file

SAFEBOOT.REG = http://www.wininizio.it/storage/kfiles/SafeBoot.rar

AverageItalian.exe

[digitalone]

Il problema con elibagla non si risolveva, ma ho formattato, il mio PC aveva bisogno di una pulita e ne ho approfittato.

Grazie cmq per l'aiuto.

[$angelique!?]

Ohhh...che peccato...va beh

se avessi ancora bisogno sai dove trovarci