Olimpo Informatico

[HouseMaker]

ciao a tutti,

come indicatomi in una discussione, ho eseguito elibagla per rimuovere questi maledetti virus bagle che mi stanno tartassando la salute, il programma ne ha identificati 2 e li ha rimossi ed ora vi metto il log post-scansione...fatemi sapere che devo fare. Vi ringrazio.

P.S. Noto che il file mdelk.exe in system32 della cartella di windows dopo che è stato rimosso si presenta nuovamente nella cartella, come se si rigenerasse.....come devo fare????

P.S.2 Ho notato inoltre che ogni volta che riavvio il pc parte elibagla in automatico dicendo cha ha rilevato un bagle...e all fine dopo la scansione il file che elimina è sempre sto maledetto file mdelk.exe in sistem 32 della cartella di windows!!!!!!!!!!!


FILE LOG DI ELIBAGLA


Thu Feb 28 22:51:12 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Fri Feb 29 20:03:39 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Feb 29 20:04:25 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 9439
Nº Total de Ficheros: 130166
Nº de Ficheros Analizados: 14228
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Fri Feb 29 20:18:09 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Feb 29 20:18:52 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 9439
Nº Total de Ficheros: 130162
Nº de Ficheros Analizados: 14227
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Fri Feb 29 20:28:01 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\emule's downloads\Incoming\DIGITAL MEDIA CONVERTER 2.78 (KEYGEN).ZIP --> Eliminado Bagle.dldr

Nº Total de Directorios: 16
Nº Total de Ficheros: 882
Nº de Ficheros Analizados: 2
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Fri Feb 29 20:28:09 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 16
Nº Total de Ficheros: 881
Nº de Ficheros Analizados: 1
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


cmq ragazzi alla fine di tutto il problema non riesco a risolverlo. Ho provato a reinstallare avast ma non viene avviato. La stessa cosa con hijackthis. Non so piu che fare...aiutatemi!

[Riverside]

Riesegui Elibagla dopo aver disattivato il Ripristino configurazione di sistema.
Poi:
Scarica Avenger: clicca qui per il download

dopo averlo scompattato:

● avvialo
● seleziona Input script manually
● clicca sulla lente d'ingrandimento
● nella nuova finestra, incolla lo script che ti indico sotto
● clicca sul pulsante "Done"
● clicca sull'icona semaforo verde rispondere "yes" due volte
● il pc dovrebbe riavviarsi automaticamente; in caso contrario, riavvialo manualmente
● verrà generato un log in c:\avenger.txt
● lo devi allegare per farlo controllare

questo è lo script che devi inserire (tutta la parte in rosso):

Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

[HouseMaker]

ti ringrazio...ora provvedo...e ti faccio sapere tra qke minuto

[HouseMaker]

senti river...ho un altro problema ke incorre.......improvvisamente il pc si spegne....e mi dice ke si è ripristinato in seguito a un errore grave....e x qsto motivo nn riesco a svolgere le operazioni...porca trota....ke sta succedendo?

[HouseMaker]

allora river...ho fatto tutto quello che mi hai detto....ma il file log non lo crea.....non c'è...

sono avvilito...ora t spiego perchè

ogni volta che riavvio il pc, parte in automatico elibagle ke mi dice che rileva dei bagle....faccio la scansione e mi rileva sempre i soliti due nonostante li avesse cancellati prima...Questa cosa la ripete ogni volta che riavvio...è come se sti file effetivamente non li cancellasse.

ho fato quel ke mi hai detto tu per filo e per segno, ma quando riavvio..solito problema e in piu non mi crea il log......non so proprio che fare...mi si sta impallando di brutto...

[Riverside]

Sistema operativo: XP o VISTA?

[HouseMaker]

ah vero...Xp scusami,,,,

[Riverside]

Prima di eseguire i tool hai disattivato il Ripristino configurazione di sistema?.

P.S.: tra l'altro, avevo precisato che, eseguito Avenger, il P.C., di norma, si riavvia automaticamente (quindi non devi riavviare tu, a meno che non faccia il riavvio in auto); devi dare il tempo ad Avenger di chiudere il ciclo di scansione.

[HouseMaker]

certo....sono andato su risorse del computer, proprietà, ripristino config di sistema e ho spuntato disattiva rpristino config sistema....applica..ok....si fa cosi mi pare...vero?

[Riverside]

Ok, fai una cosa: rifai girare entrambi i tool in modalità provvisoria ed allega i due log (ovviamente con il Ripristino sempre disattivato).

[HouseMaker]

lo sto facendo....aspè

[HouseMaker]

allora

ULTIMO LOG D ELIBAGLE

Fri Feb 29 23:37:33 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LOGITECHDESKTOPMESSENGER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\101046.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\102015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\102234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\10255406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\111062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\113937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\129000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\135203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14365953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14542890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\145921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14607265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14624656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14638250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14650718.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14662968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14668796.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14672000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14680640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\146921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14715078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14726390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14752375.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14979218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\163343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\167500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\1713125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\174187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\21464062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\215484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29248937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\294218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\327781.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\3391578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\3421546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\370156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\415984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\420703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\76000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\763125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\76640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\77359.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\786187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\79781.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\80203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\80828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\8121625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\8134265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\81906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\8322140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\84015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\86203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\86375.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\87171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\87968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\88109.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\88390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89875.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90109.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\91968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\94578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\95203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\95281.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\95671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\96687.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\96890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\99078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\99109.EXE --> Eliminado Bagle

Nº Total de Directorios: 9463
Nº Total de Ficheros: 131943
Nº de Ficheros Analizados: 14378
Nº de Ficheros Infectados: 79
Nº de Ficheros Limpiados: 79

Sat Mar 01 00:11:43 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):




LOG DI AVENGER

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gkpyxpjl

*******************

Script file located at: \??\C:\WINDOWS\system32\wkbgrnyq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Davide\DATI APPLICAZIONI\M\LIST.OCT for deletion
Deletion of file C:\Documents and Settings\Davide\DATI APPLICAZIONI\M\LIST.OCT failed!

Could not process line:
C:\Documents and Settings\Davide\DATI APPLICAZIONI\M\LIST.OCT
Status: 0xc000003a



File C:\WINDOWS\SYSTEM32\BAN_LIST.TXT not found!
Deletion of file C:\WINDOWS\SYSTEM32\BAN_LIST.TXT failed!

Could not process line:
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Davide\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Davide\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Davide\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\Davide\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Davide\Dati applicazioni\m\data.oct for deletion
Deletion of file C:\Documents and Settings\Davide\Dati applicazioni\m\data.oct failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\m\data.oct
Status: 0xc000003a



Could not open file C:\Documents and Settings\Davide\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\Davide\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\m\flec006.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Davide\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Davide\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.ex_ failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.ex_
Status: 0xc0000034



File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\EDLM.EXE not found!
Deletion of file C:\WINDOWS\SYSTEM32\EDLM.EXE failed!

Could not process line:
C:\WINDOWS\SYSTEM32\EDLM.EXE
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\EDLM2.EXE not found!
Deletion of file C:\WINDOWS\SYSTEM32\EDLM2.EXE failed!

Could not process line:
C:\WINDOWS\SYSTEM32\EDLM2.EXE
Status: 0xc0000034



File C:\Windows\system32\LDR64.DLL not found!
Deletion of file C:\Windows\system32\LDR64.DLL failed!

Could not process line:
C:\Windows\system32\LDR64.DLL
Status: 0xc0000034



File C:\WINDOWS\system32\german.exe not found!
Deletion of file C:\WINDOWS\system32\german.exe failed!

Could not process line:
C:\WINDOWS\system32\german.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys.XXX not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys.XXX failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys.XXX
Status: 0xc0000034



File C:\WINDOWS\system32\mdelk.exe.XXX not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe.XXX failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe.XXX
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe.XXX not found!
Deletion of file C:\WINDOWS\system32\wintems.exe.XXX failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe.XXX
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Folder C:\Documents and Settings\Davide\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Davide\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Davide\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\System32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|german.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|german.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[Riverside]

@ HouseMakerk, ottimo: direi che va meglio.
Mi raccomando: Ripristino di sistema sempre disattivato, fino a quando non avremo risolto il problema.
Fai girare, nuovamente, Elibagla in modalità normale ed allega il nuovo log.

Fai girare XPTCPREP: clicca qui per il download

Poi, prosegui in questa maniera:

**********
Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno.
Mi raccomando, non eliminare la cartella

**********
Scarica ed installa CCLEANER: clicca qui per il download

● clicca sulla icona di Setup, si avvierà il Wizard di installazione
● durante l'installazione, tra le diverse opzioni, verrà, anche, richiesta l'installazione della Toolbar di Yahoo: togli la spunta alla relativa voce in maniera da non installarla
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

**********
Scarica ed KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
● verrà creata una apposta cartella sul Desktop
● all?interno della cartella è presente la classica icona (una K) di Kaspersky
● clicca sull?icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere i file infetti rilevati
salva il ed allega il log che verrà rilasciato
Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati

Procedura per disinstallare KASPERSKY VIRUS REMOVAL TOOL:
● clicca sull?icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Esegui la disinstallazione, una volta risolto il probema

**********
Scarica ed installa TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● il log generato verrà salvato in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
Allega il log che verrà rilasciato

**********
Scarica ed installa SUPER ANTISPYWARE: clicca qui per il download

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
Salva ed allega il log che verrà rilasciato

Terminate tutte le scansioni, riavvia il sistema.

**********
Infine, installa HIJACKTHIS v.2.0.2:
● devi creare una apposta Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip
pulisci, prima di tutto, gli eventuali ADS, quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
Salva ed allega il log che verrà rilasciato

Per ragioni di grandezza di alcuni log, per favore, al posto di copiarli/incollarli, hostali su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, in unico post, singolarmente per ogni log, il link che verrà rilasciato per il download.

P.S.: mi scuso con i Moderatori di sezione se l'uso del grassetto fosse ritenuto eccessivo; nel caso, mi venga segnalato. Grazie.

[HouseMaker]

ok river....sto provvedendo...ti faccio sapere tra un po'.....grazie

[HouseMaker]

eccomi river....ho fatto questa caterva di scansioni...finalmente ho finito e ti riporto i link dei vari log

1)log di ELIBAGLE

http://www.fileup.itadib.com/download.php?id=uJz67zA3WLbdspvFit1B

2)log di KASPERSKY (ti ho messo solo i virus che ha trovato e il resoconto...non ho potuto mettere il file intero perchè era enorme)

http://www.fileup.itadib.com/download.php?id=fX9UKZr51rqyrU1soLz3

3)log di ROOTKIT

http://www.fileup.itadib.com/download.php?id=wFO7XUIewCVd60uJUphW

4)il logdi superantispyware non l'ho salvato dopo la scansione. E' un problema?...se vuoi la rifaccio e te lo metto. Cmq nella scansione ha identificato qualche file spia e li ha rimossi


5)log di HIJACKTHIS

http://www.fileup.itadib.com/download.php?id=lK3MBLLYHVq9IcJXXsBt


fammi sapere che devo spuntare in hijackthis...ti ringrazio ancora

[Riverside]

@ HouseMaker: fossi in te rivedrei, decisamente, le abitudini di navigazione ..... dammi retta, certi siti, evitali.
Comunque, rilancia HThis e fixa tutta questa roba:

O1 - Hosts: 210.14.129.6 www.myfilmcodeclive.com

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" ?atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [bend logo clock film] C:\Documents and Settings\All Users\Dati applicazioni\Frag great bend logo\bows sect.exe

O4 - HKCU\..\Run: [01 CURB] C:\DOCUME~1\Davide\DATIAP~1\BATDAL~1\Each Ace.exe

O4 - Global Startup: Bluetooth.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)

O9 - Extra 'Tools' menuitem: Scaricando MP3 - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)

O9 - Extra button: sesso - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\sesso (file missing)

O9 - Extra button: Scaricando MP3 - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\Scaricando MP3 (file missing)

O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)

O9 - Extra 'Tools' menuitem: Cersa Sul Web - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)

O9 - Extra button: ScaricaMP3 - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\Viviana\Dati applicazioni\ScaricaMP3[1].exe (file missing)

O9 - Extra button: Cersa Sul Web - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\Cersa Sul Web (file missing)

O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/link2" (file missing)

O9 - Extra 'Tools' menuitem: sesso - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.sexy-nipples.com/link2" (file missing)

O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/it/TSEasyInstallX.CAB

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1112897.exe

O23 - Service: DirectX Service (Kykep) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

Al termine riavvia il sistema ed allega un nuovo log di Hthis, per favore.

Tieni conto che non abbiamo ancora finito.

[HouseMaker]

eee...river...c'hai ragione....fallo capire a tutti i componenti della famiglia però.

ogni volta mi trovo qke sorpresina...


cmq ad ogni modo questo è il log di hithis....

http://www.fileup.itadib.com/download.php?id=N8s7ccDm9JCj7rQXdWvt

[Riverside]

[HouseMaker]

allora river....in servizi non c'è directX(kykep) ma c'è directX e risulta non avviato......e ogni volta che avvio la scansione con hithis il file risulta non rimosso....cosa devo fare?

[Riverside]