aiuto eliminazione virus/trojan/rootkit??

[deroncis]

buongiorno a tutti!

ho bisogno di un esperto un po paziente che mi aiuti a debellare un virus o malware o trojan o chissacosa dal mio pc con win 7

improvvisamente ieri mi è apparsa una finestra con msnmsgr.exe(ma il file .exe cambia ogni volta)
!IMPOSSIBILE TROVARE IL DISCO NELL'UNITà. INSERIRE UN DISCO NELL'UNITà\DEVICE\HARDDISK1\DR3 "

Questo virus disabilita regedit e taskmanager,e avg antivirus e non riesco a riavviare in modalità provvisoria.ho provato con hijackthis e ho fixato la voce
"O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
"
ma non cambia nulla...

ora, se qualche anima gentile si offrisse volontaria per darmi una mano ne sarei molto grato. guardando in 1000 forum diversi ho visto che molti parlano anche di rootkit.parlano di programmi come malware bytes, combofix, rogueremover, postano i log...sembrerebbe un virus molto diffuso.

ditemi che cosa volete che faccia...i log che volete vedere e io eseguo.
non fatemi formattare per favore!!

grazie in anticipo. sergio

[menatwork]

ciao deroncis dai sintomi sembrerebbe bagle

se segui passo passo questi consigli e vedrai che evitiamo la formattazione

Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.scr

se ricevi un messaggio che indica rkill come un' infezione, ignora il messaggio e prosegui , se ti appaiono delle finestre (popup) non chiuderle ma lancia nuovamente rkill e cerca di portare a termine la scansione

Scarica FindyKill ed installalo

http://dc108.4shared.com/download/75...02651-de3379fb

Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt

Appena finite le scansioni consigliate proseguiremo con le altre pulizie

[deroncis]

ciao a tutti ecco i log da voi richiesti x far luce:

premetto che ho provato anche con combofix ma mi esegue la scansione e cancella 3/4 file autorun.inf ecc.. ma non genera nessun log, rimane bloccato lì per ore.


findykill:

codice:

############################## | FindyKill V5.053 | # User : DePo (Administrators) # DEPO-PC # Update on 23/10/2010 by El Desaparecido # Start at: 17:40:13 | 24/08/2011 # Website : http://www.teamxscript.org/ # Contact : eldesaparecido@teamxscript.org # Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz # Microsoft Windows 7 Home Premium (6.1.7600 64-bit) # # Internet Explorer 8.0.7600.16385 # Windows Firewall Status : Enabled # C:\ # Disco rigido locale # 918,48 Go (411,77 Go free) [HP] # NTFS # D:\ # Disco rigido locale # 12,93 Go (1,78 Go free) [FACTORY_IMAGE] # NTFS # E:\ # Disco CD-ROM # 1,91 Go (0 Mo free) [MY_DATA_102710] # CDFS # F:\ # Disco rimovibile # G:\ # Disco rimovibile # H:\ # Disco rimovibile # I:\ # Disco rimovibile # J:\ # Disco CD-ROM # K:\ # Disco rigido locale # 465,76 Go (16,75 Go free) [Expansion Drive] # NTFS ################## | Infected File |

rkill:

codice:

This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Rkill was run on 24/08/2011 at 17:53:24. Operating System: Windows 7 Home Premium Processes terminated by Rkill or while it was running: C:\Users\DePo\AppData\Local\Temp\winwjlu.exe C:\Users\DePo\AppData\Roaming\Dropbox\bin\Dropbox.exe C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\SysWOW64\rundll32.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\DePo\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\SysWow64\rundll32.exe C:\Windows\SysWOW64\grpconv.exe Rkill completed on 24/08/2011 at 17:53:31.

grazie ancora

[menatwork]

ciao a tutti ecco i log da voi richiesti x far luce:

scusa ma non caoisco, io sono solo

premetto che ho provato anche con combofix ma mi esegue la scansione e cancella 3/4 file autorun.inf ecc.. ma non genera nessun log, rimane bloccato lì per ore.

ti ho per caso chiesto combofix? se chiedi aiuto devi seguire i consigli , se vuoi fare di testa tua e' un'altra cosa

l

[deroncis]

il log di findykill è quello che ho postato..in c: c'è un solo file che si chiama fyk.txt e il suo contenuto è quello indicato nel precedente post. combofix l'ho usato perchè in molti forum si parlava di combofix..tutto qui

ps findykill ha eseguito tutto correttamente riavviando il pc ed eseguendo la scansione...poi è apparso il suddetto log

grazie

[menatwork]

il log devi caricarli su un server oppure incollarli se li metti con il quote diventa di difficile lettura

[DiegoFilippo]

scusate se mi intrometto, per vedere se è un bagle come menatwork pensa, basta che apri il blocco note e salvi un file sul desktop con il nome di SROSA.sys. se lo vedrai non è un bagle, mentre se diventerà nascosto potrebbe essere un bagle

[deroncis]

ho risolto . premendo il tasto di spegnimento per 2 secondi ho spento il pc che si era fra l'altro bloccato. l'ho riacceso e mi ha chiesto se riavviarlo in modalità provvisoria(cosa impossibile con un riavvio normale)

ho avviato drweb. scansione completa del sistema e dei dischi e pen drive inserite. trovato w32 sality, curati tutti i file infetti

scaricato salitykiller della kaspersky, mi ha sistemato un altro paio di errori e sistemato le chiavi di registro corrotte...

risolto
grazie