Computer impestato da worm !

[Frankissimo]

Mi sono ritrovato con il computer completamente
infestato da worm !
Spettacolari, hanno disabilitato tutti i programmi
antivirus, spyware, ADware, Tools removal per worm, ecc....
Non si riesce neppure più ad installarne uno, li ho provati tutti,
dico: tutti ..............compresi AVENGER e HIJACKTHIS!!
Tutti i files e le chiavi di registro infette sono invisibili,
il regedit da start è disabilitato, da dos si apre ma non mi
fa vedere neppure una chiave interessata.
Se provo a cancellare a mano qualcosa mi va in errore Dos
pagina blù o si spenge il computer.
Anche in provvisoria non ci va, muore prima.
Però il computer funziona, anche se lento, e si collega alla adsl.
Minchia ! Questa roba è veramente potente.
Con un programmino online ho trovato questi
bachi, ma non li posso eliminare:

W32.BAGLE.VX
Files associati: hidr.exe srosa.sys
Registro: HEKY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\srosa

W32.Beagle.DP
File associato: winlog.dll
Registro: HKEY_CURRENT_USER\Software\DateTime4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\german.exe "%SystemDir%\wintems.exe"

Trojan.Lodear.G
Registro: HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\anti_troj "%SystemDir%\anti_troj.exe"


Trojan.Lodeight.B
Files associati: wintems.exe act_log.txt
Registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe "%SystemDir%\wintems.exe

BTroj/BagleDl-DB
File associato: hidr2.exe
Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa

Trojan.Mitglieder (SC)
File associato: ibot4.exe

Trojan.Lodeight.B (C )
File associato : wintems.exe act_log.txt
Registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\german.exe "%SystemDir%\wintems.exe"


Troj/Multidr-FP
File associati :
HttpGet.exe
HttpGet16bt8.exe
tubar1232.exe
nsp2.tmp

Forse ce ne sono anche molti altri, ma non posso toccare
nulla a mano, i programmi non vanno, mi sa che dovrò formattare
per forza !
Un pò però mi scoccia, per principio e perché ho dei dati che non
vorrei perdere.

Un aiutino ??!!

[Deifobe]

Stampa/salva su file queste indicazioni

Scarica dal Toll_rimoz_Bagle Sophos BAGLEGUI, Avenger, elibagla, CCleaner

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta: disattiva ripristino configuraz. di sistema
Visualizza i file e cartelle nascoste
Apri il registro [start -> esegui -> regedit], esportane una copia [File -> esporta -> salva] e chiudi il registro.

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. Nel box bianco, copia/incolla:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
c:\temp
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run | hldrrr

(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)
Clicca sul pulsante "Done", poi sul semaforo verde.
Rispondi 2 volte Yes.
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Carica il report rilasciato in C:\Avenger su Sendmefile e posta il link ottenuto.

Esegui BAGLEGUI, e inizia la scansione cliccando su "GO", poi esegui ELIGABLA e quindi CCleaner, con cui devi ripulire i file temporanei e cookie e il registro [eseguilo 2 volte ]. Riavvia il sistema.

Controlla che l'antivirus funzioni. Se non funziona disinstallalo e prova a reinstallarlo.
NB: I report rilasciati dalle scansioni vanno caricati su Sendmefile

[Deifobe]

fammi sapere

[Frankissimo]

Baglegui non trova nulla, Elibagla pure,
tutto il resto è gia stato provato,
ma o non funziona o si blocca tutto.
Non va neppure il tool per il malware di Microsoft.
Esegui è scomparso e regedit va solo da Dos,
ma non si vede nemmeno un file infetto.
Avenger non si apre, nessun antivirus
o simili si può caricare, li ho provati
tutti e di più; Kaspersky che avevo è stato
disabilitato, Avast non funziona, Norton neppure,
AVG nemmeno, e così via per tutti gli altri!
Per ognuno mi dà non è una applicazione di
Win32 valida !
CCleaner e tutti gli antispymware non
funzionano, se qualcosa, per caso inizia a funzionare,
o se riesco a mettere mano a qualche file,
mi va in tilt il computer con la schermata
blù di Dos: errore irreversibile, o si riavvia il
computer da solo.
Anche il Task Manager è disabilitato !
Mamma mia che casino, mai vista una
roba del genere, questo è un genio !
Il computer nelle funzioni normali va,
anche la rete, però non so cosa
posso trasmettere dei miei dati, speriamo bene.
Meno male che ho un altro computer non
infetto !

[Deifobe]

ma le applicazioni .exe funzionano?

hai controllato manualmente la presenza di quei files e cartelle scritte sopra?

[Frankissimo]

Funzionano tutte quelle che non sono
antivirus, antispyware e similari.
I files infetti che ho postato, sono del
tutto invisibili sul registro e su Windows,
se provo la funzione cerca, appena ne trova uno
si spenge il computer o va in errore blù.


Mi sa che questa volta devo proprio formattare......

Per fortuna ho un BackUp con Acronis, ma è vecchio
di più di un anno, perdo tutti i dati non salvabili
e tutti i programmi di cui non ho l'eseguibile.

[Deifobe]

non è detto.. solo che dobbiamo capire di cosa si tratta..

Scarica SistemScan

Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan

[Frankissimo]

Systemscan lo avevo già provato: nulla !
Ho riprovato anche adesso, ma appena
riesce a trovare un file, il computer va in errore Dos blù
e va spento.
SeDebug-Restore non funziona.
L'antivirus non ha bisogno di essere disattivato,
è fottuto proprio !

Sto messo malissimo...........

Penso che ormai Windows sia troppo compromesso,
il computer va in errore e si spenge di continuo,
non mi resta che formattare,
Spero che sia impestato solo C, perché se formatto
e reinstallo tutto da D, dove è l'immagine di Acronis,
se anche questo è inquinato, sono di muovo nella merda !
Purtroppo non posso scannare D con un altro computer,
a meno di smontare il disco metterlo in USB e provarci.

Mah ! proverò a salvare il salvabile e formatto.

Grazie di tutto, buona notte.

[Deifobe]

il seDebug serve solo nel caso in cui systemscan non funzioni..
systemscan, a sua volta, non tocca i files ma li legge solo.. e rilascia un report che va letto..

Scarica navilog1.exe_il mafioso sul desktop e installalo. Lancialo, ti guiderà lui. Al menù di scelta seleziona l'opzione 1 (non scegliere le altre). Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
postalo

[Frankissimo]

Provato, opzione 1, appena parte il computer dà il
solito errore blù.
E' sempre più frequente, penso proprio che ci sia
niente da fare, troppo compromesso.
Pensa che questa merda mi è venuta da una mail
di mio cugino americano, l'ho solo letta, non ho
aperto nessun file e guarda che casino.
Pensa che proprio per evitare queste cose guardo
tutta la mia posta solo online, scarico con Thunderbird
solo un paio di indirizzi conosciuti...........
Da ora in poi esclusivamente on line,
anche il mulo andrebbe eliminato,
non è più utilizzabile, troppa merda...............


Buonanotte, grazie ancora.