Virus in "imagen-00015ja.zip" help

[mynameisAlex]

Il mio computer è stato contagiato da un virus.
Mi ha tolto i privilegi di amministratore e non posso utilizzare:

- TASKMANAGER di XP pro
- REGEDIT
- MSCONFIG
- L'avvio in Modalità Provvisoria
- Spyboot & Destroy
- Eseguibili in formato .BAT di qualsiasi tipo

E' successo ieri, attraverso un file zippato piombato sul Messenger denominato "imagen-00015ja.zip" che dava indicazioni in spagnolo e mi pare facesse riferimento a Photobucker.


Ho già usato programmi come:

- Panda antivirus pro
- systemScan
- Malwarebytes' antimalware
- Active Scan di Panda antivirus online

Ho visto che ci sono almeno due chiavi di registro che vengono modificate con valori che vengono impostati da 0 ad 1 per quanto riguarda il TASKMANAGER e REGEDIT nella sezione HKEY_CURRENT_USER mentre in HKEY_LOCAL_MACHINE queste due voci non ci sono.
A margine vi scrivo che ho usato un programma chiamato RegistryCommander 1.04, visto che il REGEDIT non funziona.


Qualche idea, a parte la formattazione e le martellate, per eliminare la bestiaccia?

Grazie in anticipo,

Alessandro

[Deifobe]

chi te lo ha controllato systemscan?
cortesemente, caricane uno su Savefile e posta il link ottenuto.

[mynameisAlex]

purtroppo il programma mi dice che salva un file zippato nella cartella "suspectfile" contenuta nel Desktop, ma in realtà non crea nulla o cmq non si vede

Anche l'opzione "Run a System Task" non funziona.

La versione di SystemScan è la 3.5.5 e tutte le opzioni selezionabili sono spuntate, tranne l'ultima che è ombreggiata e quindi apparentemente non selezionabile e che si riferisce ai log di HiJack.

[mynameisAlex]

L'unica cosa che salta agli occhi, usando Prevx CSI è la seguente:

Log - Version v1.9.112.171
Log Generated: 14/9/2008 16:38, Type: 0
C:\WINDOWS\system32\symlnsvc.exe

Simile ad una voce della Symantec, ma non la stessa.
E non riesco ad eliminarla

[Deifobe]

ma viene eseguito, giusto? cioè, la scansione la fa, voglio dire...

tu riesci a creare una nuova cartella sul desktop?

[mynameisAlex]

la scansione apparentemene la fa, ma i risultati che dice di salvare nella cartella suddetta, io non li vedo perchè il programma non crea nessuna cartella con nessun file zippato dentro.

Creare una cartella qualsiasi intendi? Perdona, non capisco.
Se intendi questo si, una cartella la posso creare.


Non sono praticamente più amministratore del sistema, deriva tutto da questo credo.

Esegui
Taskmanager
Regedit
Spyboot&Destroy
ed altri programmi *.BAT non posso eseguirli.


Msconfig lo vedo SOLO attraverso un programma, "xp_emergencyutil", che dovrebbe creare delle copie funzionanti dei files Task, Msconfig e Regedit.
Vedo solo Msconfig.

[Deifobe]

si, intendevo dire se riuscivi a creare una cartella.

la provvisoria? sei abilitato ad entrarci?

a parte tutto, systemscan apre il rapporto sul desktop, quindi lo dovresti vedere "comparire" a prescindere dalla cartella "suspectfile".

scarica questo file e prova ad eseguirlo.

Scarica ed esegui anche SmitfraudFix (da modalità normale), seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo con l'elenco dei file infetti (se presenti): dovresti trovare questo report anche in C:\rapport.txt (NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e'). Posta il log di SmitfraudFix (se te lo fa eseguire).

[Deifobe]

vedi anche se ti fa eseguire questo file http://www.sendmefile.com/00648138
la password per scaricarlo te la mando con un pm.

[mynameisAlex]

Non ho accesso alla modalità provvisoria.

Smit non lo esegue

Il programmino che mi hai segnalato mi permette di avere la lista dei recenti

[Deifobe]

si... lo so quello che fa il programma, ci mancherebbe... si chiama proprio così
ma non mi hai detto se hai il rapporto... non l'hai postato e mi viene qualche dubbio..

se si, caricalo su savefile (wow almeno una cosa funziona...)

edit: Savefile