Olimpo Informatico

[alan88]

Ciao a tutti

ho paura di avere un virus. qualcuno mi può aiutare a capire di cosa si tratta?

Non riesco più ad installare alcun antivirus, e il firewall di Win XP si era disattivato.
Ma questi non sono gli unici problemi. Purtoppo mi sono accorto che non funziona più la modalità provvisoria e il comando chkdsk non è più riconosciuto!!
Anche la connessione internet è saltata (ho una connessione senza fili, mi dice che il serivizio è gestito da un altro programma diverso da Windows)

Come veniva suggerito in un altro thread di questo forum, ho provato a fare una scansione con Eligabla (che però non ha trovato nulla) e con GMER.

Ho il log di GMER, ma come faccio a postarlo adesso?

grazie

[Sante62]

Ciao alan88
Guarda quì: http://forum.zeusnews.com/viewtopic.php?t=23440
e posta un log di Hijackthis.


Per i log di GMER fai questi passaggi:
http://forum.zeusnews.com/viewtopic.php?p=194965#194965 passaggio 1 -

http://forum.zeusnews.com/viewtopic.php?p=194966#194966 passaggio 2 -

[alan88]

ciao sante grazie

Allora, ricomincio con ordine

Ho Windows Xp SP2
Uso il firewall di Windows
+
AntiVir (versione free)
SpyBot Search & Destroy,
AdAware SE personal,
Advanced Windows Care V2 Personal

E' cominciato tutto quando ho lanciato un file exe scaricato da internet. L'avevo scansionato prima con AntiVir, che però non aveva rivelato nulla.

A quel punto si sono disattivati il firewall di Xp e AntiVir.
Il collegamento sul desktop di AntiVir, mi dice che il file exe è inesistente, e lo stesso è successo con SpyBot.
Anche gli avvisi del Centro di Sicurezza di Windows sono stati disattivati e non riesco più a riattivarli.

E' anche comparso un avviso di Windows che mi diceva che erano stati sostituiti alcuni file di sistema con file non riconosciuti.
Un'altra cosa strana è che non riconosce più il comando chkdsk.


Nel frattempo sono riuscito a far partire la modalità provvisoria. Ho anche tentato di reinstallare l'antivirus da lì, e ci sono riuscito (anche se molte funzioni risultano stranamente disabilitate), ma poi, appena provo a riavviare in modalità normale, il problema ritorna: il file exe del programma sparisce e AntiVir sembra disinstallato nuovamente.
(avevo provato ad installare Norton IS senza successo)


Qua c'è il log di HJT http://www.freefilehosting.net/download/MTQ5NjY=

Qui invece c'è quello di Gmer http://www.freefilehosting.net/files/MTQ5NjQ
Ho solo la scansione del Rootkit, perchè quella di Autostart non rivelava niente, nepure spuntando "show all"!! ...mi devo preoccupare?!

[bdoriano]

Il log di gmer... non c'è! Al suo posto c'è la foto di uno scooter.
Il log di hijackthis non evidenzia nulla (anche perchè è proprio ridotto ai minimi termini).
Il fatto che l'autostart di gmer non visualizzi nulla è moooooolto strano.

Facciamo un altro controllo...
Clicca qui (tieni premuto il tasto CTRL mentre clicchi).
Salva il file, anche sul desktop se vuoi.
Disattiva temporaneamente il tuo antivirus.
Avvia il file appena scaricato (sys#####)
Assicurati che tutte le voci siano spuntate.
clicca su Scan now
L'operazione può durare diversi minuti... abbi pazienza
Al termine della scansione, ti verrà aperto il blocco note. Puoi chiuderlo tranquillamente.
Chiudi il programma e riattiva il tuo antivirus.
Carica il file c:\suspectfile\report.txt su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

[alan88]

[bdoriano]

Per il momento, non postare l'altro log.

Sembra esserci traccia del virus Bagle. Scaricare il programma EliBagle da http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Lo trovi in fondo alla pagina, clicca sulla voce Descarga ElibaglA
Avvia il programma, dovrebbe crearti un log. Al termine posta qui il log creato insieme a un log aggiornato di hijackthis.

[alan88]

avevo già provato a fare una scansione con alibagla e non aveva trovato nulla. Magari faccio un altro tentativo.


UPDATE : ho trovato questo articolo http://www.megalab.it/articoli.php?id=948&pagina=1
sembra proprio si tratti di un bagle. Quando avrò tempo lo leggerò con calma. Intanto grazie per avermi aiutato a capire cos'era
ciao

[bdoriano]

Se hai voglia....

Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[alan88]

ciao

Ho provato ad usare Avenger con vari script. Sembra che il problema si sia parzialmente risolto. Riesco ad installare solo alcuni antivirus.
Non riesco ad installare Norton per esempio!!

Cercando di eliminare vari eventuali file sospetti con Avenger il responso è sempre "file not found"
però in due casi mi dice "could not open file"!
Questo significa che i file esistono? Con risorse del computer non riesco a trovarli.

I file in questione sono:
Dati applicazioni\hidires\rosa.sys
Dati applicazioni\hidires\hidr.exe

e una chiave di registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrr

[bdoriano]

Facciamo quell'altro controllo...
Clicca qui (tieni premuto il tasto CTRL mentre clicchi).
Salva il file, anche sul desktop se vuoi.
Disattiva temporaneamente il tuo antivirus.
Avvia il file appena scaricato (sys#####)
Assicurati che tutte le voci siano spuntate.
clicca su Scan now
L'operazione può durare diversi minuti... abbi pazienza
Al termine della scansione, ti verrà aperto il blocco note. Puoi chiuderlo tranquillamente.
Chiudi il programma e riattiva il tuo antivirus.
Carica il file c:\suspectfile\report.txt su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.