Buongiorno a tutto il forum,
ho un piccolo (spero) problema dovuto ad un eseguibile infettato che avast non mi ha bloccato.
Praticamente appena lanciato mi ha cancellato gli eseguibili di avast, ad-ware, spybot, sygate firewall (me ne sono accorto perchè nella tray non c'erano + attive le icone e riavviando ho notato che non trovavano l'eseguibile).
Facendo una scansione on-line con Kaspersky e bitdefender no ho trovato grandi cose...
la cosa che mi lascia molto dubbioso è che se installo un antivirus (tipo avast o antivir) o non me lo lascia installare o appena installato nella cartella non trovo l'eseguibile (quindi non parte).
riavviando in F8 appena scelgo "modalità provvisoria" il pc resetta subito.
cosa posso fare e cosa può avermi danneggiato/cancellato?
Grazie 1000
Ste

Sezione Aiuto sono infetto! Cosa faccio? probabile nuova variante Bagle, nella sezione segnalata ci sono molti altri casi.

sposto la discussione nell'area corretta sperando che la prossima volta venga posta maggior attenzione ;)

fai così, scarica avenger, aprilo, vai su input script manually, poi sulla lente e incolla queste righe:


Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

Folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

poi vai su done, poi sul semaforino, acconsenti, a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu, al riavvio ti apparirà il blocco note, copiane qui il contenuto...

come va?

grazie 1000 a tutti,
mi scuso per lo sbaglio sezione... prometto di non rifare lo sbaglio ;)
stasera provo e poi posto quanto mi dice..
l'importante è riuscire a toglierlo e non dover riformattare il pc.
Grazie ancora Ste

ps:
cercando in internet ho trovato su Sophos un programma per la disinfezione chiamato BAGLEGUI... non so se anche questo possa servire...

grazie 1000 a tutti,
mi scuso per lo sbaglio sezione... prometto di non rifare lo sbaglio ;)
stasera provo e poi posto quanto mi dice..
l'importante è riuscire a toglierlo e non dover riformattare il pc.
Grazie ancora Ste

ps:
cercando in internet ho trovato su Sophos un programma per la disinfezione chiamato BAGLEGUI... non so se anche questo possa servire...

Oltre ad inserire lo script in The Avenger segui anche la procedura standard:
Disattiva ripristino configurazione sistema, se non sai come fare leggi la guida del Supporto Tecnico Microsoft http://support.microsoft.com/kb/310405/it

Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/751ed68330a1fa7712035248d9aebaab/download/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore"

inoltre per sicurezza scarica e fai girare questo tool http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe controlla che la casella Eliminar Ficheros Automaticamente sia spuntata poi
posta il log che trovi in: C:\InfoSat.txt

Scarica Panda Antirootkit da qui: http://research.pandasoftware.com/blogs/images/AntiRootkit.zip decomprimi il file, ed eseguilo alla ricerca di eventuli elementi nascosti