[guida] rimuovere beagle.gx - leggere le Regole di Sezione!!

[wizard1993]

rimuovere beagle.gx


una volta diagnosticata l'infezione fate come qui sotto
innanzitutto disattivate il ripristino di configurazione di sistema,

aprite regedit da esegui,
andate in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services
qui cancellate il file m_hook

poi andate a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

poi eliminate la chiave

HKEY_CURRENT_USER\Software\FirstRuxzx

uscite dal registro di sistema.

scaricate ed eseguite gmer, fate le scan a rootkit e autostart.
riavviate

fate una scan on-line con panda
http://www.pandasoftware.com/actives..._principal.htm
e con trend micro
http://housecall.trendmicro.com/

dopo di che eseguite questo tool
http://swandog46.geekstogo.com/avenger.zip

avviate il programma,
selezionate "Input Script Manually"
clikakte della lente di ingrandimento

incollate nella finestra successiva questo

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

e premete done. e poi sul semaforo verde.

lascaitelo all'opera. aprite il file di log creato in C:\avanger.

se assomiglia a questo
http://www.mytempdir.com/1243796

allora chiedete aiuto al forum, in caso contrario. scaricate un antivirus come antivir aggiornate e fate una bella scansione di sistema a vedere se c'è rimasto qualche cosa

infine
http://www.mytempdir.com/1243836
ed eseguite il file

accetto commenti e consigli

[lorenzo1684]

Ciao wizard1993.. io ho accertato di aver preso questo cavolo di virus del cavolo!!! ma nn mi permette di avviare nessun antivirus..come anche lo stesso AVENGER nn funge!!! mi dice "non è un'applicazzione di Win32 valida" Sono in crisi !!! il file hldrrr.exe ho provato ad eliminarlo con killbox ma niente da fare..come anche srosa.sys... la modalità porvvisoria nn funge.. Cosa diavolo posso inventarmi??? dal Dos posso combinare qlk??? Ciao e grazie spero qlkuno riesca ad aiutarmi!!!

[wjmat]

Quote:

Originariamente inviato da lorenzo1684

Ciao wizard1993.. io ho accertato di aver preso questo cavolo di virus del cavolo!!! ma nn mi permette di avviare nessun antivirus..come anche lo stesso AVENGER nn funge!!! mi dice "non è un'applicazzione di Win32 valida" Sono in crisi !!! il file hldrrr.exe ho provato ad eliminarlo con killbox ma niente da fare..come anche srosa.sys... la modalità porvvisoria nn funge.. Cosa diavolo posso inventarmi??? dal Dos posso combinare qlk??? Ciao e grazie spero qlkuno riesca ad aiutarmi!!!

avenger è quello originale o la versione moddata che hai prelevato dalla nostra guida per bagle?
la modalità hai già provato a riabilitarla tramite registro?

[lorenzo1684]

Avenger è l'originale!!! non l'ho trovata questa versione moddata.. Nel registro nn ho toccato niente... Istruiscimi

[xcdegasp]

messo il tag guida nel titolo

[lorenzo1684]

Anche la vostra versione moddata non parte!!!! come posso procedere??? nel registro di sistema trovo solo una voce relativa a hldrrr.exe e la voce "FirstRRRun" di quelle descritte nei manuali x eliminarlo...

[xcdegasp]

le Regole di Sezione rimangonos empre valide quindi modificare alla svelta il log, grazie

[lorenzo1684]

Volevo farvi sapere che ho finalmente eliminato questo virus...anche senza l'uso di AVENGER che credo nn funga con il mio sistema operativo (Windows Media center SP2) allego qui i log delle scansioni fatte:
HijackThis
Scansione HijackTihis.txt
Gmer
Scansione Gmer.log
Elibagla
InfoSat.txt

Sono apposto? o devo eliminare qualcos'altro? Devo attivare dei servizi che il virus ha bloccato?

Ultima considerazione... Il PC è andato di nuovo una bomba dopo l'eliminazione..ho installato di nuovo ANTIVIR e dopo averlo aggiornato ho scansionato ed eliminato le copie di hldrrr.exe fatte da Killbox. Ora però ad un certo punto mi è tornato l'avviso del centro sicurezza che mi dice che l'antivirus nn è attivo... ed infatti Antivir funziona si, ma nn ha Active Guard Attivo!!!! Cosa diavolo c'è che nn và??? Saluti a tutti

[wjmat]

nel log di hijackthis c'è ancora traccia di bagle...

Codice:

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe

poi potresti fixare queste

Codice:

O3 - Toolbar: (no name) - {66D17C3E-C589-4E86-B772-B03D50846900} - (no file)
O21 - SSODL: vbgtorfd - {E723C2D6-1E3E-4DEC-B4E3-61C6B996BEA0} - (no file)
O21 - SSODL: dwnrpofk - {8A6F50B9-F947-4877-A7AA-CCFAB9FCE70B} - (no file)

verificare di conoscere o analizzare su virustotal queste

Codice:

O16 - DPF: {315B0BFB-2BD4-481B-80A3-A9B80727C61B} (WebIQ Engine Application Object) - http://webiq005.webiqonline.com/WebIQ/DataServer/Pub/DataServer.dll?Handler=GetE ngineDistribution&EDID={896A23A1-5821-4609-A6C6-6D5536C585C9}
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://basturkariel.spaces.live.com/PhotoUpload/MsnPUpld.cab

però per il momento aspetta il responso di qualche esperto
ciao

[lancetta]

Non sò perchè la stiate facendo qui la procedura..poichè secondo le regole andrebbe nel 3d apposito...vabbè deciderà il mod visto che è già intervenuto e non ha detto nulla
Per quanto ti riguarda lorenzo1684 fixa la voce 04 da hijackthis con tasto dx su esso ed "esegui come amministratore" e le due 021
il secondo 016 è il servizio live microsoft per caricare le foto sul tuo space
il primo vedi se lo hai aggiunto tu nei siti attendibili....
scarica l'elibagla e fagli fare prima passata da provvisoria (riavvia il pc e premi ripetutamente F8)poi da normale (sempre con tasto dx ed "esegui come amministratore") il link per l'indirizzo
lo trovi nella discussione ufficiale http://www.hwupgrade.it/forum/showthread.php?t=1562611 poi se continuare qui o lì non saprei

[xcdegasp]

le O16 si possono sempre fixare inquanto riguarda gli activeX che si sono installati

[lancetta]

Quote:

Originariamente inviato da xcdegasp

le O16 si possono sempre fixare inquanto riguarda gli activeX che si sono installati

Ma se gli servono perchè fixarli...
cmq effettivamente ho usato un termine improprio (condiderando che i siti attendibili son gli 015)

[xcdegasp]

Quote:

Originariamente inviato da lancetta

Ma se gli servono perchè fixarli...
cmq effettivamente ho usato un termine improprio (condiderando che i siti attendibili son gli 015)

gli activeX sono validi per la sessione corrente la volta sucessiva che visiti il sito verrebbero comunque reinstallati.. fino alla prossima visita rimangono installati nel sistema anche se scaduti

[lorenzo1684]

Salve a tutti.. ho apprezzato molto i vostri consigli.. le voci le ho fixate... cmq ho trovato un altro problema abbastanza grave, credo derivi dall'azione precedente del virus!!

Praticamente non visualizzo più i FILE NASCOSTI!!! E neanche andando nelle OPZIONI CARTELLE riesco ad attivarle, dato che l'opzione "visualizza file nascosti" è bella che sparita!!!!

Come si potrebbe risolvere??

[wjmat]

x lorenzo

aggiungi la chiave di registro che scarichi da qui

[RINGHIO87]

Raga mi serve una mano ho un sacco di problemi avenger mi dà errori nello script come già avevo letto essere un errore comune per la versione 2... la versione 1 non mi si installa sono disperato
se volete ho lo script di elibaga

[xcdegasp]

Quote:

Originariamente inviato da RINGHIO87

Raga mi serve una mano ho un sacco di problemi avenger mi dà errori nello script come già avevo letto essere un errore comune per la versione 2... la versione 1 non mi si installa sono disperato
se volete ho lo script di elibaga

ho visto dopo che eri già andato nel thread di bagle.. in futuro non aprire un thread e spostarti in altri chiedendo le stesse cose senza inviare un pvt al moderatore di sezione perchè questo è "crossposting" che tradotto è appunto pubblicare messaggi uguali in più luoghi...

quindi prosegui in quella generica del bagle e leggi le Regole di Sezione per pubblicare correttamente i log

[windandfreedom]

in accensione si apre la cartella documenti e ora anche kaspersky.
in questo pc mi sono gia salvato da un bagle(spariti anti virus)usando vostra procedura e sucessivamente da un gromozon)con prevx csi.
altre anomalie che riscontro adesso sono
avenger non siapre
c cleaner neppure
non mi fa entrare in alcuni siti compreso il vostro)scrivo da altro pc)
se clicco avenger in ricerca mi disconnette
qualcuno mi sa dire se e' un nuovo bagle e come eliminarlo
Grazie

[xcdegasp]

Quote:

Originariamente inviato da wizard1993

rimuovere beagle.gx


una volta diagnosticata l'infezione fate come qui sotto
innanzitutto disattivate il ripristino di configurazione di sistema,

aprite regedit da esegui,
andate in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services
qui cancellate il file m_hook

poi andate a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

poi eliminate la chiave

HKEY_CURRENT_USER\Software\FirstRuxzx

uscite dal registro di sistema.

scaricate ed eseguite gmer, fate le scan a rootkit e autostart.
riavviate

fate una scan on-line con panda
http://www.pandasoftware.com/actives..._principal.htm
e con trend micro
http://housecall.trendmicro.com/

dopo di che eseguite questo tool
http://swandog46.geekstogo.com/avenger.zip

avviate il programma,
selezionate "Input Script Manually"
clikakte della lente di ingrandimento

incollate nella finestra successiva questo

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

e premete done. e poi sul semaforo verde.

lascaitelo all'opera. aprite il file di log creato in C:\avanger.

se assomiglia a questo
http://www.mytempdir.com/1243796

allora chiedete aiuto al forum, in caso contrario. scaricate un antivirus come antivir aggiornate e fate una bella scansione di sistema a vedere se c'è rimasto qualche cosa

infine
http://www.mytempdir.com/1243836
ed eseguite il file

accetto commenti e consigli

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpo...&postcount=635