problemi con antivirus,ripristino configurazione e cartelle nascoste[win xp]

[gnappo]

Ciao a tutti!
Allora, da qualche giorno, ho vari problemi col pc. Avevo installato un programma (OkMap) per gestire le mappe gps, ma l'installazione è durata una vita e mi ha installato .NET Framework. Inoltre il programma non funzionava (non si apriva neanche)ed in più il pc è diventato lentissimo. Allora ho provato a fare un "ripristino configurazione di sistema" e qui arrivano i problemi...mi fa fare tutto (scelgo il punto di ripristino, il pc si riavvia) ma al riavvio mi dice che non è stato possibile far tornare il pc al punto selezionato. Ho provato con più punti di ripristino ma niente, ho provato anche con il programmino "system restore repair" a riparare la configurazione, ma niente.
Il giorno dopo mi sono accorto che non si visualizzano più le cartelle nascoste (in strumenti->opzioni cartella->visualizzazione, non c'è più "visualizza file e cartelle nascosti" bensì al suo posto ci sono tre voci da spuntare).
Ultima chicca, provo a fare una scansione con AVG e non me lo fa aprire. Allora lo disinstallo e provo a reinstallarlo ma non me lo fa reinstallare. Provo ad installare Avast, me lo installa ma quando provo ad avviarlo, stesso problema, mi esce "...ashAvast.exe non è un'applicazione di win32 valida" e non si avvia.
Premesso che ho eseguito scansioni di registro con Advanced windows Care, windows registry repair e una scansione con CCleaner, qualcuno saprebbe dirmi di cosa può trattarsi e come risolvere?
Grazie anticipatamente

[Deifobe]

Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\

Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Nella finestra a destra individua:
CheckedValue => deve essere Dati 0x1

DefaultValue => deve essere Dati 0x2

Se i dati sono diversi, modificale: clicca su CheckedValue 2 volte e modificalo in 1. Poi clicca su DefaultValue e modificalo in 2.

Poi vai in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

"Hidden" => deve essere 01
"ShowSuperHidden" => deve essere 01

Riavvia il pc e controlla se riesci a visualizzare i files e le cartelle nascoste.


Poi, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

[ikol22]

Sono particolarmente interessato allo sviluppo di questa discussione perché a me è occorso ed è purtroppo ancora in corso, esattamente lo stesso problema. Fra l'altro i browser che funzionano sono Firefox e Avant (IExplorer si blocca), ATF-Cleaner non viene eseguito, confermo il problema di Avast e oltre a non riuscire a ripristinare il sistema il mio antiviurs (Avira Antivir) è sparito...

Mentre scrivo sta girando su Avant: Kaspersky.... Speriamo. Se tuttavia qualcuno con lo stesso problema ha trovato il modo di risolverlo gli sarei grato per sempre.

[ikol22]

Ho seguito con attenzione le istruzioni che riportate e non potendo far girare il mio antivirus (Avira Antivir) perché... Sparito, ho atteso la bellezza di 4 ore e 43 minuti affiché Kaspersky terminasse la sua scansione online per trovarmi *un pugno di mosche* giacché non rimuove alcuno dei virus trovati... Ma allora, scusate, perché lo consigliate?!?!? E, soprattutto, cosa faccio ora?

[Deifobe]

su kaspersky: siamo noi che indichiamo come rimuovere eventuali files infetti, ovvio.
Se vuoi un aiuto, posta il rapporto.

Vista la tua descrizione, comunque, esegui anche quest'altra scansione: scarica elibagla, eseguilo e clicca su Explorar - riavvia il pc quando finisce . Posta il rapporto (C:\Infosat.txt)

[ikol22]

Deifobe, prima di tutto Grazie !!! Ho un disperato bisogno di aiuto, infatti.

Nell'ordine:

1- Report_Kaspersky.html

2- SystemScan_Report.txt

3- InfoSat14.txt

Fra l'altro, a proposito di Elibagla, il computer, ora, come se non bastasse il resto, all'avvio, continua a mostrare il pop-up di Elibagla che poi si avvia (come si toglie?)

---------------
Se interessato è forse bene io chiarisca come il virus è entrato. Era il 14.4 verso le 00:40. Ho installato un programma (TagRunner) che coinvolge anche MS .NET Framework. Dal momento che esigeva l'inserimento della licenza ho scaricato, lo ammetto, una patch che lanciata (estraendola da un file .zip), ha impiegato qualche secondo prima di aprire una finestra (che apre anche ora dacché ho lanciato Elibagla, all'accensione del computer) perché io potessi, da lì, inserire il programma .exe da... elaborare. Verificato che quella "elaborazione" non produsse alcun risultato, ho disinstallato quel programma. -- Da quel momento, come detto:

1. è sparita l'icona di Avira Antivir (l'ombrellino rosso) che, se lanciato da Pannello di Controllo, non avvia
2. Se ripristinato a data anteriore (qualunque data) durante la fase di ripristino che inizia regolarmente, improvvisamente termina salvo dirmi una volta riavviato "Impossibile ripristinare il computer"
3. Ho notato, nei processi, dei programmi "strani" (67593.exe / 82312.exe / ...) che assorbono risorse alla CPU, li stoppo ma nulla cambia
4. IExplorer se avviato viene bloccato (sembra un'immagine)
5. Ho provato a lanciare ATC_Cleaner ma appare velocemente il pop-up che lo riguarda per poi sparire
6. Ad-Aware non riesce a pulire ciò che dallo scan segnala
7. Ho installato Avast ma non si avvia

Ti ringrazio anticipatamente per tutto ciò che potrai fare

Fabrizio.

[Deifobe]

apri il blocco note e copiaci dentro questo script:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"drvsyskit"=-
"german.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
"C:\WINDOWS\system32\drivers\mdelk.exe"=-
"C:\WINDOWS\system32\drivers\hldrrr.exe"=-
"C:\WINDOWS\system32\drivers\downld\67593.exe" =-
"C:\WINDOWS\system32\drivers\downld\52359.exe" =-
"C:\WINDOWS\system32\mdelk.exe"=-
"C:\WINDOWS\system32\drivers\downld\55734.exe" =-
"C:\WINDOWS\system32\drivers\downld\56765.exe" =-
"C:\WINDOWS\system32\wintems.exe"=-
"C:\WINDOWS\system32\drivers\downld\94156.exe" =-
"C:\WINDOWS\system32\drivers\downld\2038718.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2040046.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2041296.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2079359.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2082843.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2120750.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2124828.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2161156.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2162343.ex e"=-
"C:\WINDOWS\system32\drivers\downld\55062.exe" =-
"C:\WINDOWS\system32\drivers\downld\57265.exe" =-
"C:\WINDOWS\system32\drivers\downld\60343.exe" =-
"C:\WINDOWS\system32\drivers\downld\64375.exe" =-
"C:\WINDOWS\system32\drivers\downld\82312.exe" =-
"C:\WINDOWS\system32\drivers\downld\639203.exe "=-
"C:\WINDOWS\system32\drivers\downld\679343.exe "=-
"C:\WINDOWS\system32\drivers\downld\681656.exe "=-
"C:\WINDOWS\system32\drivers\downld\721984.exe "=-
"C:\WINDOWS\system32\drivers\downld\15241781.e xe"=-
"C:\WINDOWS\system32\drivers\downld\a.bat"=-
"C:\WINDOWS\system32\drivers\downld\29737906.e xe"=-
"C:\WINDOWS\system32\drivers\downld\29740296.e xe"=-
"C:\WINDOWS\system32\drivers\downld\29742578.e xe"=-
"C:\WINDOWS\system32\drivers\downld\74593.exe" =-
"C:\WINDOWS\system32\drivers\downld\2333328.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2335312.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2338453.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2373812.ex e"=-
"C:\WINDOWS\system32\drivers\downld\2376046.ex e"=-
"C:\WINDOWS\system32\drivers\downld\17119671.e xe"=-
"C:\WINDOWS\system32\drivers\downld\17132015.e xe"=-
"C:\WINDOWS\system32\drivers\downld\24781625.e xe"=-
"C:\WINDOWS\system32\drivers\downld\24785125.e xe"=-
"C:\WINDOWS\system32\drivers\downld\24787562.e xe"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA]

salvalo come:
nome: fix.reg
tipo di file: tutti i file
salvalo in c:\


scarica ed esegui Avenger. Nella finestra principale, copia/incolla:

files to delete:
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\hldrrr.exe
c:\WINDOWS\system32\drivers\mdelk.exe
c:\WINDOWS\system32\mdelk.exe
c:\WINDOWS\system32\wintems.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\n3edgfet.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\38D7FD1A.TMP
C:\DOCUME~1\Utente\IMPOST~1\Temp\k2z155.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\wjj156.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\7tb157.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\4qa63.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\oiq64.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\adb29F.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\689211B7.TMP
C:\DOCUME~1\Utente\IMPOST~1\Temp\fqv56ox8.exe
C:\Programmi\TagRunner\TagRunner_2.0.0.16_Patch.ex e
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\0DMVC1YN\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\0DMVC1YN\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\0DMVC1YN\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\0DMVC1YN\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\6HI7PEVT\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\B6NIOJIU\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\CJF7IGX5\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\CJF7IGX5\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\HOOBX5KT\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\HOOBX5KT\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\HOOBX5KT\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K52R8L27\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K52R8L27\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K52R8L27\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\KN83IHOF\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\MVW9A14V\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\O5IB8963\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\O5IB8963\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\OTIFCDIB\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\S56V4PEF\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\S56V4PEF\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\S56V4PEF\b64_2[3].jpg

folders to delete:
c:\WINDOWS\system32\drivers\downld

Drivers to disable:
srosa

Drivers to delete:
srosa

Programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

[ikol22]

Premesso: Ancora e Sempre Grazie !!!

Purtroppo non posso avviare Avenger perché -come è occorso con Avast- all'avvio apre un pop-up con scritto: "c:\avenger.exe non è un'applicazione di Win32 valida."" --

A questo proposito ho però perso un po' di tempo perché grazie a ZTreeWin (che spero tu conosca: è il vecchio XTreeGold che gira su windows), ho potuto constatare -solo dopo aver avviato il computer in modalità provvisoria, cosa fra l'altro possibile solo se Elibagla si avvia col computer...- che esistono i maledetti srosa.sys, hldrrr.exe, mdelk.exe, wintems.exe che con avvio normale non vedevo.

Non ci sono però i files .tmp nella directory TMP di Utente / Impostazioni Locali...

Cosa mi suggerisci di fare? Di procedere a mano con le istruzioni che avrebbe eseguito Avenger?

Fabrizio

[Deifobe]

si, puoi cominciare ad eliminarli a mano, da modalità provvisoria:
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\hldrrr.exe
c:\WINDOWS\system32\drivers\mdelk.exe
c:\WINDOWS\system32\mdelk.exe
c:\WINDOWS\system32\wintems.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\n3edgfet.exe

se qualcuno non si elinima, controlla anche che non sia attivo nel task manager (eventualemente, termini il processo)

erano i files indicati nello script.

[ikol22]

Senza il tuo aiuto mi sarei trovato nella condizione di formattare con un lavoro di ripristino che mi avrebbe richiesto mesi. Ti ringrazio ancora tanto tanto tanto.

Questo è il report che Avenger -quando finalmente ha potuto girare- ha stilato:

- avenger83.txt

Ovviamente risulta "failed" quasi tutto lo script perché avevo provveduto a cancellare a mano quanto da te segnalato. Ho comunque fatto girare Avenger perché eseguisse fix.reg sempre da tue istruzioni. Ho reinstallato Avira Antivir e anche quello, ora, viene aperto correttamente all'avvio.

Unica, ultimissima -perdonami- cortesia: in un altro post, QUI spiegavi come ripristinare la possibilità di vedere i file e le cartelle nascoste. Ora a me manca nella prima delle due chiavi la parte Hidden\SHOWALL (nel senso che sotto "folder" quelle ultime due cartelle mancano). C'è modo per ricostruirle con i valori che citi in seno all'ultima?

Grazie Comunque. Fabrizio.