Olimpo Informatico

[risenslayer]

Ciao a tutti, ho un pò di problemi con il pc

Dall'altro ieri il pc mi è impazzito tutto all'improvviso e se cerco di collegarmi senza fili, mi da questo errore:

"Impossiible configurare la connessione senza fili. Se si è attivato un altro programma per la gestione della connessione senza fili, utilizzare quel programma. Se si preferisce che sia windows a configurare la connessione, avviare il servizio zero configuration reti senza fili. Per informazioni sul servizio, vedere l'articolo 871122 nella Microsoft Knowledge Base nel sitoweb Microsoft.com."

Seguo quanto scritto nel sito web:

Per avviare il servizio Zero Configuration reti senza fili, attenersi alla seguente procedura:
1. Fare clic sul pulsante Start, scegliere Esegui, digitare %SystemRoot%\system32\services.msc /s, quindi scegliere OK.
2. Fare doppio clic su Zero Configuration reti senza fili.
3. Nell'elenco Tipo di avvio scegliere Automatico, quindi Applica.
4. Nell'area Stato del servizio scegliere Avvia, quindi scegliere OK.

Però quando cerco di fare come descritto mi da il seguente errore:

"Impossibile avviare il servizio Zero Configuration reti senza fili su Computer locale. Erore 1068: Avvio del gruppo o del servizio di dipendenza non riuscito"

In più oltre a questo mi è sparito l'antivirus: Norton è sparito e non riesco più a farl ripartire... Ho cercato di disinstallarlo definitivamente per installarne un altro (AVG) ma anche lì non sono riuscito... nè a disinstallare Norton nè ad installare AVG...

Supongo che ci sia qualche virus di mezzo...
Ho scaricato ed installato HijackThis ma quando cerco di farlo partire per analizzare il pc mi da questo errore:

"HijackThis.exe non è un'applicazione di Win32 valida."

Sono proprio un caso disperato ... avete qualche idea?

Ciao e grazie a tutti in anticipo

[bdoriano]

Ciao risenslayer,
mi sa che non sei messo proprio bene bene...

1. Disabilita il ripristino di sistema.
   
2. Clicca Start
   
3. Clicca Esegui...
   
4. Digita:

   Codice:

   regedit

   
   
5. Clicca su ok
   
6. portati alla chiave
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
   guarda se esistono
   - explorer.exe e se c'è riporta qui i valori.
   - iexplore.exe e se c'è riporta qui i valori.
   
   
   fai lo stesso con
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   individua nella finestra di destra Userinit
   riporta qui i valori
   

[risenslayer]

[bdoriano]

Bene, non è proprio messo male.
Passiamo alla fase 2:

1. Segui queste istruzioni per usare EliBaglA.
   
2. Segui le istruzioni di questo topic per postare il log di combofix.
   
3. Segui le istruzioni di questo topic per postare il log di hijackthis.

[risenslayer]

Uffa non c'è più nulla da fare...
Dopo aver usato EliBaglA ho dovuto riavviare il pc e d lì in poi non è più partito... Esce la pagina in cui c'è il la barra di caricamento di Window e non succede più nulla... Il pc rimane accesso ma il monitor rimane tutto nero.
Ho provato la modalità provvisoria ma nulla da fare... si riavvia ogni volta e non si accende mai...

Qualche consiglio per questo nuovo problema?

[bdoriano]

Strano.
Vediamo se c'è anche un problema con il disco fisso:

1. Inserire il cd di XP e riavviare il computer eseguendo il boot da cd.
   
2. Premere un tasto qualsiasi quando verrà chiesto di farlo per fare il boot dal cd.
   
3. Quando viene proposto di installare Windows premere invece R per accedere alla Console di ripristino
   
4. Se si ha un sistema multiboot verrà chiesto di scegliere l'installazione a cui accedere.
   
5. Inserire la password dell'utente Administrator (di norma è vuota e basta dare invio)
   
6. Digitare il comando "chkdsk c: /f /r" (senza virgolette)

Eventualmente, dai un'occhiata a questa discussione e a questo messaggio.

[risenslayer]

Sto facendo esattamente come mi hai detto ma quando in C:\WINDOWS> digito il comando chkdsk c: /f /r mi dice che è un parametro non valido... forse sbaglio qualcosa nella digitazione? Ma non mi sembra...

chkdsk[spazio]c:[spazio]/f[spazio]/r

P.S= nel frattempo sto scaricando UBCD4win

[bdoriano]

Probabilmente ho fatto confusione io con i parametri di chkdsk in modalità console.
Non mi ricordo se ci va il /f, il /r o il /v...

Adesso non ho sottomano un pc per provare...

[risenslayer]

li ho provati tutti e alla fine era il chkdsk c: /r e ora sta facendo lo scandisk Vediamo cosa ne esce....

[risenslayer]

Rieccomi con un aggiornamento...
Sono riuscito a fare lo scandisk come mi hai suggerito di fare tu ma non mi ha segnalato particolari errori... Ho riavviato e non si accendeva comnque... Allora ho ripristinato direttamente Windows:ora è partito e posso continuare con la fase 2 che mi suggerivi tu... Mentre ripristinavo Windows mi è partita più volte la scansione di EliBaglA ed ecco ora cosa dice:


Mon Mar 17 19:55:23 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Mon Mar 17 20:02:48 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Mon Mar 17 20:02:50 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Mon Mar 17 20:24:04 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 20:28:54 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Free Download Manager\FUM\FUMOEI.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 7670
Nº Total de Ficheros: 102447
Nº de Ficheros Analizados: 8043
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Mon Mar 17 20:39:06 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7670
Nº Total de Ficheros: 102446
Nº de Ficheros Analizados: 8042
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Mar 17 20:48:26 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 20:55:24 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 20:59:30 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 21:00:14 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 21:06:37 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 20:07:34 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 21:10:23 2008
EliBagle v11.15 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

[risenslayer]

Dopo aper riportato i dati di EliBaglA, ho fatto partire Combofix e Hijackthis ma per entrambi ho avuto un messaggio di errore:





Grazie ancoraaaaa

[bdoriano]

Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[risenslayer]

[bdoriano]

• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  Drivers to delete: mbr srosa Files to delete: c:\WINDOWS\system32\drivers\hldrrr.exe c:\WINDOWS\system32\drivers\srosa.sys C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mbr.sys C:\Programmi\Free Download Manager\FUM\fumoei.exe Folders to delete: c:\WINDOWS\system32\drivers\down

  
  e clicca Proceed with removal
  
  Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.

[risenslayer]

Ho fatto come hai detto solo che nello script che hai postato ho dovuto mettere "DRIVERS TO UNLOAD" (seguendo i suggerimenti del programma) e non "DRIVERS TO DELETE" perchè me lo segnalava come non valido...

Ecco il contenuto del file avenger.txt:

[bdoriano]

Eh già, io stavo pensando alla versione 2 di avenger...

Hijackthis non funziona, perché non siamo riusciti a eliminare il tuo virus.

Facciamo una variante allo script:

[risenslayer]

Buona Pasqua (...in ritardo...) e grazie mille per l'aiuto.

Ho fatto la variante allo script che mi hai detto ed ecco il risultato di Avanger.txt:

[bdoriano]

Rifai la scansione con SystemScan.

Lo eliminiamo piano-piano, un pezzo alla volta...

[risenslayer]

Ieri ho riprovato a fare di nuovo la variante dello script che mi hai detto

[bdoriano]

Vedo dal log che hai 2 antivirus attivi (Norton e AVG), è meglio disinstallarne uno.
Se vuoi disinstallare Norton velocemente, scarica questo programma ed eseguilo.

• Segui queste istruzioni per EliBaglA.
  
• Segui le istruzioni di questo topic per postare il log di combofix.