Virus o rootkit che cancella antivirus!!!?? [Archivio]

View Full Version : Virus o rootkit che cancella antivirus!!!??

androx

13-11-2007, 08:59

Virus o rootkit che cancella antivirus
Aiuto. Problemone.
Ho beccato qualcosa che mi ha fatto fuori nod32 e spyware doctor.
Qualsiasi antivirus che installo mi viene cancellato all'istante (anche in fase di installazione).
A seguire non riesco addirittura ad aprire il taskmanager per mancanza di autorizzazione!!!!!

Che diavolo è ?
PS: mi consideravo un utente molto esperto ma stavolta chiedo aiuto!!!!!!!!!
androx è offline Rispondi citando il messaggio o parte di esso

tequila mali

13-11-2007, 09:38

Scarica e decomprimi avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla quanto segue:

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32

Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd

files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

drivers to unload:
srosa
pci32

Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Fai anche una passata con questo tool
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar

Ripulire tutti i files TEMP con ATF cleaner
http://www.atribune.org/ccount/click.php?id=1

Chill-Out

13-11-2007, 10:08

@ androx
@ tequila mail

Leggere il regolamento di sezione: http://www.hwupgrade.it/forum/showthread.php?t=1589984
Leggere guida alla disinfezione: http://www.hwupgrade.it/forum/showthread.php?t=1599737

Per il tuo problema nella specifico c'è già un Thread:
http://www.hwupgrade.it/forum/showthread.php?t=1562611

grazie per la collaborazione.