Virus che blocca Spybot e la connessione wireless

[Kira85]

Salve a tutti, giusto ieri ho incautamente scaricato e fatto partire un programmino che ho scaricato. Subito dopo il pc mi ha dato schermata blu di errore e si è riavviato. Dopo di ciò non funzionava più la connessione wireless e neanche Spybot (che avevo usato qualche giorno prima senza problemi). Oggi ho provato la connessione col cavo del modem e sono riuscita a connettermi e sono arrivata su questo forum. Ho scaricato Malwarebytes e ho effettuato la scansione (durata ben due ore! VVoVe: ): sono stati trovati 32 elementi infetti, quasi tutti Trojan. Ecco il log:
http://www.savefile.com/files/1777513
Spero possiate aiutarmi, grazie!

[hell's bells]

Segui questa procedura iniziale se riesci a farla:

scarica elibagla
disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus
lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum

Fatto questo ti posto una procedura di rimozione.

[Kira85]

Ecco qua:
http://www.savefile.com/files/1777661

[hell's bells]

Segui questa procedura:

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\wintems.exe
c:\Windows\System32\drivers\hldrrr.exe
c:\Windows\System32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld\138875.exe
C:\WINDOWS\system32\drivers\downld\146859.exe
C:\WINDOWS\system32\drivers\downld\149000.exe
C:\WINDOWS\system32\drivers\downld\152312.exe
C:\WINDOWS\system32\drivers\downld\190890.exe
C:\WINDOWS\system32\drivers\downld\217046.exe
C:\WINDOWS\system32\drivers\downld\232859.exe
C:\WINDOWS\system32\drivers\downld\243765.exe
C:\WINDOWS\system32\drivers\downld\254328.exe
C:\WINDOWS\system32\drivers\downld\663406.exe
C:\WINDOWS\system32\drivers\downld\665593.exe
C:\WINDOWS\system32\drivers\downld\677156.exe
C:\WINDOWS\system32\drivers\downld\678968.exe
C:\WINDOWS\system32\drivers\downld\686921.exe
C:\WINDOWS\system32\drivers\downld\715703.exe
C:\WINDOWS\system32\drivers\downld\725546.exe
C:\WINDOWS\system32\drivers\downld\728109.exe
C:\WINDOWS\system32\drivers\downld\731562.exe
C:\WINDOWS\system32\drivers\downld\772500.exe
C:\WINDOWS\system32\drivers\downld\779593.exe
C:\WINDOWS\system32\drivers\downld\795953.exe
C:\WINDOWS\system32\drivers\downld\806203.exe
C:\WINDOWS\system32\drivers\downld\80750.exe
C:\WINDOWS\system32\drivers\downld\816921.exe
C:\WINDOWS\system32\drivers\downld\82828.exe
C:\WINDOWS\system32\drivers\downld\91968.exe
C:\WINDOWS\system32\drivers\downld\94578.exe

folders to delete:
c:\Windows\System32\drivers\downld

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\s rosa

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Poi rifai elibagle e ripostami il report.

[Kira85]

Non riesco ad attivare avanger. Mi appare l'avviso di errore. Dice: avanger.exe non è un'applicazione di Win32 valida.

[hell's bells]

Allora facciamo così, usiamo un altro programma con avenger integrato

scarica Systemscan

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla la citazione di avenger di prima, clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.

Al riavvio troverai la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

[Kira85]

(Mi spiace rispondere solo ora ma nel pomeriggio i trojan hanno dato del loro peggio perché avevo dimenticato di riattivare l'antivirus: che testa! )
La scritta era blu. Ed ecco il log:
http://www.savefile.com/files/1778486

[hell's bells]

Un poco di pulizia l'abbiamo fatta, ora per cortesia, risegui elibagla e mi posti il report, riesegui malewarebytes senza cancellare nulla e mi posti il report, poi una volta pulito tutto vediamo di provare a ripristinare la wireless.

D'ora in avanti antivirus attivo mi raccomando

[Kira85]

Log di Elibagla: http://www.savefile.com/files/1778536
Log di malewarebytes: http://www.savefile.com/files/1778694

[hell's bells]

Segui la procedura:

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla la citazione di avenger di prima, clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.

files to delete:
C:\WINDOWS\system32\MDELK.EXE

folders to delete:
c:\Windows\System32\drivers\downld

Al riavvio troverai la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

Poi da start > esegui digita regedit, si aprirà l'editor del registro, nel menu' di sinistra aiutandoti con le crocette, segui questo percorso:

HKEY_CLASSES_ROOT\regfile\shell\open\command\

troverai nel menu' di destra questo valore "regedit.exe" "%1"

devi modificarlo e deve restare così regedit.exe "%1" (mancano le " virgolette)

chiudi il registro, poi riaprilo e controlla che il valore sia rimasto uguale, poi

scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum