il virus che non crea i file .exe

[pooh]

Salve a tutti, volevo chiedervi gentilmente il vostro aiuto perché sto perdendo la testa per due virus che purtroppo non riesco a rimuovere: Trojan-Downloader.Win32.Bagle.dx e Backdoor.Win32.SdBot.bvs. Tutto è iniziato dal nulla, stavo semplicemente navigando su wikipedia per una ricerca quando ad un certo punto il computer si blocca e mi si chiude panda titanium 2007. Provo a riaprirlo ma niente, così ho riavviato il pc e l'ho ritrovato danneggiato. Così, non potendo nemmeno fare la scansione con panda, l'ho disinstallato e volevo reinstallare avast 4.7...ma qualcosa è andato storto: al riavvio avast era a pezzi,senza nemmeno un eseguibile!Allora rimuovo avast e provo ad installare antivir...stessa cosa:non mi crea gli .exe! E la stessa cosa per quanto riguarda avg! Allora ho provato a fare una scansione con hijackthis e ho analizzato il log...nulla di strano! Allora ho fatto scansione con sysclean...niente...e ho pensato che fossero delle chiavi di registro infette o addirittura dei file infetti nascosti e così ho provato a fare la scansione con gmer: mi ha trovato dei file sospetti che però non so come eliminare...mi sono aggrappato perciò a una risorsa online abbastanza utile per capire che virus fossero:kaspersky online scan. Alla fine ho interrotto lo scan perché avevo già capito di che si trattava...ecco qua la session:

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\CurEPGEpisode Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\EPGSignal Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\iEPGChInfo Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\RecEpisode Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\Schedule Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\CyberLink\TinyDB\Series Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\PC HOME\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Dati applicazioni\Microsoft\MSNLiveFav\LiveFavorites.xm l Object is locked skipped

C:\Documents and Settings\PC HOME\Documenti\File ricevuti\IMG5417.zip/IMG5417.jpg-www.imagehosting.com Infected: Backdoor.Win32.SdBot.bvs skipped

C:\Documents and Settings\PC HOME\Documenti\File ricevuti\IMG5417.zip ZIP: infected - 1 skipped

C:\Documents and Settings\PC HOME\Documenti\File ricevuti\lcapi0.log Object is locked skipped

C:\Documents and Settings\PC HOME\Documenti\File ricevuti\MsnMsgr.txt Object is locked skipped

C:\Documents and Settings\PC HOME\Documenti\File ricevuti\Transport0.log Object is locked skipped

C:\Documents and Settings\PC HOME\Documenti\Le mie Conversazioni\settembre 2007\e.marrano@hotmail.it.html Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Cronologia\History.IE5\MSHist01200709112007 0912\index.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\bl.db Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\is2.db Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\Working\database_C884_BEC_840B_DB B6\dfsr.db Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\Working\database_C884_BEC_840B_DB B6\fsr.log Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\Working\database_C884_BEC_840B_DB B6\fsrtmp.log Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\s.blasco@email.it \SharingMetadata\Working\database_C884_BEC_840B_DB B6\tmp.edb Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\s.blasco@email.it\real\members.stg Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\s.blasco@email.it\shadow\members.stg Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\hpodvd09.log Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DF39F.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DFA2A.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DFB9F0.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DFBA92.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DFC16.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temp\~DFDDC6.tmp Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\PC HOME\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\PC HOME\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\PC HOME\NTUSER.DAT.LOG Object is locked skipped

C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide Infected: Trojan-Downloader.Win32.Bagle.dx skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\img4851.zip/img4851.jpg-www.myspace.com Infected: Backdoor.Win32.SdBot.bvs skipped

C:\WINDOWS\img4851.zip ZIP: infected - 1 skipped

C:\WINDOWS\Installer\{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}\PQBoot.exe Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped

C:\WINDOWS\system32\config\OSession.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\winfp.exe Infected: Backdoor.Win32.SdBot.bvs skipped



Ora, non avendo la possibilità di installare nessun'antivirus, è possibile rimuovere manualmente questi scherzi della natura? Vi prego aiutatemi, ho paura che mi infettino file di vitale importanza! Grazie a chi almeno ci prova

[tecnico24]

Ciao, scarica Elibagla (tool apposito) da qui:
http://www.zonavirus.com/datos/desca...5/elibagla.asp

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata

Eseguilo

Ignora eventuali messaggi dell’antivirus

Posta il report dello scan

Torna in cima

[ste_95]

scarica avenger, link alla mia firma...aprilo, vai su input script manully, poi sulla lente e inserisci quanto segue...:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\Documents and Settings\PC HOME\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\PC HOME\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\PC HOME\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\PC HOME\Documenti\File ricevuti\IMG5417.zip
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\img4851.zip/img4851.jpg
C:\WINDOWS\img4851.zip
C:\WINDOWS\winfp.exe

Folders to delete:
C:\Documents and Settings\PC HOME\Dati applicazioni\hidires
C:\WINDOWS\exefld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ros a
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32

poi vai su done, poi sul semaforino, acconsenti, a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu, al riavvio ti apparirà il blocco note, copiane qui il contenuto.

[pooh]

Ciao e grazie per le risposte.
Vi scrivo tramite una amica da un altro pc. Prima di leggere i vostri messaggi ho provato di nuovo a riavviare il pc, solo che questa volta alla schermata di caricamento di Windows mi riavvia il pc. In pratica non riesco più ad accedere a windows. Adesso sono al telefono con una mia amica che mi legge le vostre risposte, spero di riuscire a sistemarlo, sono disperato!

[ste_95]

attendiamo news...

[pooh]

Niente non carica il boot di windows. Per fortuna ho linux in dual boot così almeno non ci sono problemi per aggiornarvi comunque sia nulla da fare, non riesco affatto ad avviare windows. La mia idea era quella di scansionare online con notrace ma in modalità provvisoria. Ma a quanto pare ho fatto male a riavviare

[ste_95]

non ti preuccpare, stacca il tuo hard disk e mettilo come slave in un altro computer, da lì fai una scansione approfondita con kaspersky e vedi se trova e rimuove qualcosa...

oppure puoi provare a: quando vai per entrare in modalità provvisoria, scegli ultima configurazione funzionante, e se si avvia prova a fare i passaggi descritti prima, entrambi..., ma prima di fare il tutto fai questo:

Disabilitare Ripristino configurazione di Sistema

e alla fine di tutto riabilitalo...