ho un virus?

[Kreatore]

Ciao a tutti. La domanda presumo sia retorica.

Sto usando win xp e oggi ho eseguito un software docxconverter.exe trovato sul mulo.

Da quel momento:
non riesco più ad utilizzare il lettore di schede o le chiavette usb (mi dice sempre... da formattare)
non riesco ad eseguire hijack o avg (antivirus non si avvia) (mi dice sempre.... processo non di win32)
non riesco ad entrare in modalità provvisoria.... (mi da la scelta ma ad un certo punto mi chiede di confermare il non caricamento di un particolare file.sys. Sia in un modo che nell'altro non si avvia)

Come posso risolvere?

Grazie

[bootzenn]

ciao

segui la guida, poi dicci come va
http://forum.html.it/forum/showthrea...hreadid=811189

[Kreatore]

il risultato è il seguente:
0° Elimina i file temporanei:
Non riesco ad eseguire il file. Cliccando non parte e analizzando TM non appare nessun processo.
1° L'antivirus non funziona.
2° Nessuno di questi Antispiware funziona e Super anti spiware già installato si blocca durante l'esecuzione
3° Ho provato Panda e mi ha trovato 28 virus puliti 1 non pulito e 4 spyware non puliti
4° Hijack non parte (stesso problema degli altri programmi)

COn Karspesky, ho ottenuto questo report.

Ora però non so come eliminare i file infetti.


C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\mdelk.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wintems.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\DOCUME~1\Marco\IMPOST~1\Temp\Acr330F.tmp Object is locked skipped

[Deifobe]

Cpminciamo da qui.. Stampa/salva su file queste indicazioni

Scarica dal Toll_rimoz_Bagle Sophos BAGLEGUI, Avenger, elibagla, CCleaner

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta: disattiva ripristino configuraz. di sistema
Visualizza i file e cartelle nascoste

Esegui BAGLEGUI, e inizia la scansione cliccando su "GO", poi esegui ELIGABLA e quindi CCleaner, con cui devi ripulire i file temporanei e cookie e il registro [eseguilo 2 volte ].

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. Nel box bianco, copia/incolla:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\Temp
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_PCI32

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run | hldrrr

(Modifica mettendo al posto dei 9 "user" (in rosso) il tuo user. Non lasciare spazi)
Clicca sul pulsante "Done", poi sul semaforo verde.
Rispondi 2 volte Yes.
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Carica il report rilasciato in C:\Avenger su Sendmefile e posta il link ottenuto.

Riavvia il sistema.

Controlla che l'antivirus funzioni. Se non funziona disinstallalo e prova a reinstallarlo.
NB: I report rilasciati dalle scansioni vanno caricati su Sendmefile.

[Kreatore]

allora ho scaricato i file consigliati.
ho eseguito BAGLEGUI
quindi elibagla
questo è il suo report:

codice:

	  Sun Feb 17 10:53:54 2008
EliBagle v11.00  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.00
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.00
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Sun Feb 17 10:54:32 2008
EliBagle v11.00  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   6891
Nº Total de Ficheros:      82710
Nº de Ficheros Analizados: 7913
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

pustroppo CCleaner no si avvia come on si avvia ATF CLeaner (appare la finestra del programma ma sparisce immediatamente)
e Avenger mi dice che non è una applicazione valida di Win32

[Deifobe]

Apri il blocco note e fai copia\incolla:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersi on"
"InfoTip"="prop:FileDescription;Company;FileVersio n;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

Salva il file con estensione .reg (per esempio ripristino.reg) sul desktop, fai doppio clic sul file (verranno aggiunte le voci al registro) e riavvia il PC


Riprova con i programmi indicati

[Deifobe]

ad ogni modo, puoi entrare in provvisoria ora (o, almeno, dopo elibagla dovresti riuscirci): prova ad elimininare manualmente i file indicati nello script

[Kreatore]

infatti ora riesco ad entrare in modalità provvisoria.

e solo li riesco a lavorare xche in modalità normale dopo circa 3min che win è attivo, il pc si riavvia da solo.

Inoltre quando finisce il caricamento di win, si apre una cartella di SFOGLIA con titolo: cerca il file da crakkare.

COmunque. HO eseguito Baglegui e non ha trovato nulla
Ho eseguito elibagla e mi ha trovato il file mdelk.exe come bagle.
Avg e Avenger sia in modalità provvisoria che in modalità normale non me li riconosce come win32 validi.

Con CCleaner e ATF cleaner ho ripulito quanto possibile.

Sto eseguendo Baglegui in provisoria.

[Deifobe]

come ti ho detto, puoi cercare i files da eliminare.
Comincia da questi, visto che li trovi in due cartelle:

C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe

e poi passi ad avenger, se va.

[Kreatore]

ho eseguito sia buglegui che elibugle.

Buglegui non ha trovato nulla
elibagle ha trovato i seguenti file e li ha eliminati:

mdelk.exe
54718.exe
56890.exe

però avenger e avg e spybot vengono ancora considerati non validi win32