PDA

View Full Version : Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione


Pagine : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 [16] 17 18 19 20 21 22 23 24 25 26 27 28 29 30

folgore91
24-05-2008, 18:29
siccome inserendo lo script e anche quelli detti nn funziona sto provando a fare l'altro punto.... la scansione con ccleaner

wjmat
24-05-2008, 18:55
siccome inserendo lo script e anche quelli detti nn funziona sto provando a fare l'altro punto.... la scansione con ccleaner
aspetta per la pulizia, hai xp?

turbo5
24-05-2008, 20:32
ragazzi, quando penso di aver definitivamente eliminato questo schifosissimo virus, ecco che ritorna, e ritorna pure dopo 2-3 avvii...
la cosa più strana è che tengo il ripristino di configurazione perennemente disattivato...
CHE DEVO FARE???

turbo5
24-05-2008, 20:34
siccome inserendo lo script e anche quelli detti nn funziona sto provando a fare l'altro punto.... la scansione con ccleaner

per visualizzare i file nascosti (ammesso che tu sappia quelli che ti servano) faccio una ricerca nel punto interressato...
a me li trova:)

folgore91
24-05-2008, 20:56
aspetta per la pulizia, hai xp?

si

Chill-Out
24-05-2008, 20:59
si

Dov'è il log della scansione online col Kaspersky
http://www.hwupgrade.it/forum/showpost.php?p=22591819&postcount=3746

folgore91
24-05-2008, 21:03
Fai una scansione online sempre col Kav http://www.kaspersky.com/virusscanner
selezionando i seguenti parametri: ScanTarget My Computer e Scan using the following antivirus database extended, il log in questo caso và salvato in formato html.

mmm.....nn riesco a farlo partire..... O_O mi chiede di accettare e accetto...ma un parte nulla rimane quella finestra....:mc:

Chill-Out
24-05-2008, 21:17
mmm.....nn riesco a farlo partire..... O_O mi chiede di accettare e accetto...ma un parte nulla rimane quella finestra....:mc:

Per fare la scansione online devi utilizzare ovviamente Internet Explorer da Strumenti - Opzioni Internet - Protezione setta il Livella di protezione per l'area Internet su Medio-Alta - Applica - OK

Premi Accept, presta attenzione che questa schermata può ripetersi più volte durante l’inizio della scansione

http://www.megalab.it/immagini/articoli/bagle_un_worm_che_a/kaspersky_2.jpg

Accetta la richiesta di installare il controllo Active X

http://www.megalab.it/immagini/articoli/bagle_un_worm_che_a/kaspersky_4.jpg

Accettare

http://www.megalab.it/immagini/articoli/bagle_un_worm_che_a/kaspersky_5.jpg

Angelus88
25-05-2008, 01:23
Salve ragazzi... la prima volta questa guida con XP mi ha aiutato ma con Vista c'è un problema... il ripristino dei servizi disattivati come lo fate?

wjmat
25-05-2008, 13:39
ho avuto diversi problemini ....e ancora nn sono riuscito a fare nulla...cmq nn è questo il problema...è che dopo che ho seguito il passo n°1
1) disattivazione ripristino conf di sys:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


non posso + visualizzare le cartelle nascoste..... come faccio?????:mc: :mc:
scarica questo file File nascosti_XP.reg (http://wikisend.com/download/598062/File nascosti_XP.reg) doppio click e conferma.

uazzamerican
25-05-2008, 13:40
L' unica vera cura è stata:

FORMAT c:


grazie comunque.

wjmat
25-05-2008, 13:46
L' unica vera cura è stata:

FORMAT c:


grazie comunque.
Non ti sei arreso un pò presto davanti al problema? ;)
Per non incappare ancora nel problema dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc.

fabiobr
25-05-2008, 16:29
sono finalmente riuscito a fare la scansione con kaspesky allego il log e attento vostre istruzioni.
http://www.fileup.itadib.com/download.php?id=KrziU1yBjK869j2Y1LXZ

elibagla continua a nn riuscire ad entrare in alcune cartelle
allego anche questo log

Chill-Out
25-05-2008, 21:10
sono finalmente riuscito a fare la scansione con kaspesky allego il log e attento vostre istruzioni.
http://www.fileup.itadib.com/download.php?id=KrziU1yBjK869j2Y1LXZ

elibagla continua a nn riuscire ad entrare in alcune cartelle
allego anche questo log

Ciao inserisci in Avenger questo Script

Files to delete:
H:\Documents and Settings\leo\Impostazioni locali\Temporary Internet Files\Content.IE5\0DKOY5E9\b64[1].jpg
H:\Documents and Settings\leo\Impostazioni locali\Temporary Internet Files\Content.IE5\0DKOY5E9\b64_3[1].jpg
H:\Documents and Settings\leo\Impostazioni locali\Temporary Internet Files\Content.IE5\FRPQPZXA\b64_1[1].jpg
H:\Documents and Settings\leo\Impostazioni locali\Temporary Internet Files\Content.IE5\VZ1LZAP7\b64_2[1].jpg
H:\Documents and Settings\leo\Impostazioni locali\Temporary Internet Files\Content.IE5\XBZ96GD2\b64[1].jpg
H:\RECYCLER\S-1-5-21-1390067357-813497703-682003330-1004\Dh4\inCPV.exe

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit


Al termine alleghi il log di Avenger che si Trova in H:\Avenger.txt ed un nuovo log di EliBagla

PS: hai fatto solo la scansione delle cartelle è ciò è male, dovevi scansionare tutto il sistema
Scan Target Folders

solid snake 271
25-05-2008, 22:28
Ragazzi sto seguendo la guida passo passo
ecco il log con elibagla

Sun May 25 23:19:53 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun May 25 23:21:28 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Spybot - Search & Destroy\TEATIMER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 6051
Nº Total de Ficheros: 60797
Nº de Ficheros Analizados: 7492
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Chill-Out
25-05-2008, 22:30
Ragazzi sto seguendo la guida passo passo
ecco il log con elibagla

Sun May 25 23:19:53 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun May 25 23:21:28 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Spybot - Search & Destroy\TEATIMER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 6051
Nº Total de Ficheros: 60797
Nº de Ficheros Analizados: 7492
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2


Inserisci in Avenger lo Scritp indicato in Guida, dopodichè nuovo giro di EliBagla in modalità provvisoria, attendiamo i log.

solid snake 271
25-05-2008, 22:50
Inserisci in Avenger lo Scritp indicato in Guida, dopodichè nuovo giro di EliBagla in modalità provvisoria, attendiamo i log.

In provvisoria non riesco proprio ad andarci. Nel senso che premo F8 e mi visualizza la lista dei drive del pc dove cercare il sistema operativo. E della modalità provvisoria neanche l'ombra. Ecco i nuovi log comunque.


Sun May 25 23:47:08 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun May 25 23:47:10 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5550
Nº Total de Ficheros: 57994
Nº de Ficheros Analizados: 7485
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Chill-Out
25-05-2008, 23:02
In provvisoria non riesco proprio ad andarci. Nel senso che premo F8 e mi visualizza la lista dei drive del pc dove cercare il sistema operativo. E della modalità provvisoria neanche l'ombra. Ecco i nuovi log comunque.


Sun May 25 23:47:08 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun May 25 23:47:10 2008
EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5550
Nº Total de Ficheros: 57994
Nº de Ficheros Analizados: 7485
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


Se il tuo SO è XP segui il Punto 2 della Guida, inoltre manca il log di Avenger

jewel88
26-05-2008, 08:45
Ragazzi sfortunatamente ho preso anche io questo maledetto virus che mi sta torturando la vita..allora elibagla l'ho eseguito scaricando dal sito l'ultima versione ed adesso posterò il log che ha fatto..per il resto non parte in modalità provvisoria il mio windowsxp anche aggiungendo al registro di sistema quei file contenuti in safeboot che ho dovuto scaricare da un altra parte (dentro c'erano do_first e fix,e gli ho aggiungi entrambi)..avenger mi da quasi sempre errore e non mi fa finire di correggere il log che appare la schermata blu di errore di windows..ho solo sistemato internet,almeno quello fortunatamente..!!!!!!!!!aiutatemi per favore..

jewel88
26-05-2008, 09:03
comunque ad avenger mi da un errore del tipo cleanup.bat insomma come se non può aprire certi file..il tool di kasper non si apre...!!!!!!!!!!!

Chill-Out
26-05-2008, 09:03
Ragazzi sfortunatamente ho preso anche io questo maledetto virus che mi sta torturando la vita..allora elibagla l'ho eseguito scaricando dal sito l'ultima versione ed adesso posterò il log che ha fatto..per il resto non parte in modalità provvisoria il mio windowsxp anche aggiungendo al registro di sistema quei file contenuti in safeboot che ho dovuto scaricare da un altra parte (dentro c'erano do_first e fix,e gli ho aggiungi entrambi)..avenger mi da quasi sempre errore e non mi fa finire di correggere il log che appare la schermata blu di errore di windows..ho solo sistemato internet,almeno quello fortunatamente..!!!!!!!!!aiutatemi per favore..

Qual'era il tuo Av prima dell'infezione?

jewel88
26-05-2008, 09:27
nod32..!

Chill-Out
26-05-2008, 09:31
nod32..!

Installa KASPERSKY VIRUS REMOVAL TOOL http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● Scansionare tutto il sistema quindi tutte le partizioni esistenti (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Armarsi di pazienza ;)

Salvatopo
26-05-2008, 11:26
Mi sono beccato questo virus cattivello, ma sono riuscito a rimuoverlo seguendo le vostre info.

Grazie a tutti :mano:

wjmat
26-05-2008, 11:54
Mi sono beccato questo virus cattivello, ma sono riuscito a rimuoverlo seguendo le vostre info.

Grazie a tutti :mano:
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

jewel88
26-05-2008, 13:17
purtroppo io invece non sono riuscito a toglierlo dato che non mi faceva andare in modalità provissoria e soprattutto non mi faceva aprire davvero nessun programma..ho dovuto formattare tutto..!che cavolo..comunque qualcuno mi può consigliare un antivirus decente che non sia nod32..sono proprio incazzato nero con questi antivirus del caspita..!

wjmat
26-05-2008, 13:31
purtroppo io invece non sono riuscito a toglierlo dato che non mi faceva andare in modalità provissoria e soprattutto non mi faceva aprire davvero nessun programma..ho dovuto formattare tutto..!che cavolo..comunque qualcuno mi può consigliare un antivirus decente che non sia nod32..sono proprio incazzato nero con questi antivirus del caspita..!
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc.
Antivir comunque ;)
Ciao

Chill-Out
26-05-2008, 14:30
purtroppo io invece non sono riuscito a toglierlo dato che non mi faceva andare in modalità provissoria e soprattutto non mi faceva aprire davvero nessun programma..ho dovuto formattare tutto..!che cavolo..comunque qualcuno mi può consigliare un antivirus decente che non sia nod32..sono proprio incazzato nero con questi antivirus del caspita..!

Perchè non hai fatto girare quanto indicato qui:
http://www.hwupgrade.it/forum/showpost.php?p=22616604&postcount=3774

Gavril
26-05-2008, 17:36
Ciao a tutti sono nuovo ed anche io sono alla ricerca di aiuto.. I problemi al mio PC sono apparsi da circa un mese forse anche un pò di più ma solo da un paio di giorni mi sono reso conto che si trattava di questo BEAGLE maledetto..

Ho XP e non mi avvia la modalità provvisoria.. I problemi che mi dà sono esattamente quelli descritti solo che procedendo come da guida trovo subito dei problemi con il tool spagnolo ELIBAGLA perchè una volta avviato la scansione parte ma non dura più di 4 o 5 secondi arrivato a circa 10.000 files sparisce.. non dà neanche errore ma si chiude da solo.

:help:

Aggiungo altre INFO magari utili ad aiutarmi :).. avevo Avast che evidentemente non va più e non lo fa nenache disinstallare.. Usando STINGER che non necessita di installazione e scansionando il disco C mi trova il virus o meglio dice che trova 1 o 2 files infetti dice "could not be repaired" e siamo punto e accapo.
Per l'esattezza STINGER mi segnala " C:\Documents and settings\utente\Dati applicazioni\m\flec006.exe

In questi giorni oltre ad un notevole rallentamento del pc sia online che nelle varie applicazioni ho notato in particolare dei problemi audio.

Adesso provo a seguire il consiglio dato da Chill-out a Jewel ma sono sia nuovo del forum che poco abituato ad armeggiare col PC.. Il LOG potrò poi pubblicarlo qui?

Grazie

EDITO: Non mi fa installare KASPERSKY LAB (ho scaicato quello del 18 maggio) o meglio, me lo installa ma durante l'installazione mi dà 2 errori... successivamente non lancia il programma.

Dovrò formattare anche io C ??? Ditemi di NO perfavore

Chill-Out
26-05-2008, 18:03
Ciao a tutti sono nuovo ed anche io sono alla ricerca di aiuto.. I problemi al mio PC sono apparsi da circa un mese forse anche un pò di più ma solo da un paio di giorni mi sono reso conto che si trattava di questo BEAGLE maledetto..

Ho XP e non mi avvia la modalità provvisoria.. I problemi che mi dà sono esattamente quelli descritti solo che procedendo come da guida trovo subito dei problemi con il tool spagnolo ELIBAGLA perchè una volta avviato la scansione parte ma non dura più di 4 o 5 secondi arrivato a circa 10.000 files sparisce.. non dà neanche errore ma si chiude da solo.

:help:

Aggiungo altre INFO magari utili ad aiutarmi :).. avevo Avast che evidentemente non va più e non lo fa nenache disinstallare.. Usando STINGER che non necessita di installazione e scansionando il disco C mi trova il virus o meglio dice che trova 1 o 2 files infetti dice "could not be repaired" e siamo punto e accapo.
Per l'esattezza STINGER mi segnala " C:\Documents and settings\utente\Dati applicazioni\m\flec006.exe

In questi giorni oltre ad un notevole rallentamento del pc sia online che nelle varie applicazioni ho notato in particolare dei problemi audio.

Adesso provo a seguire il consiglio dato da Chill-out a Jewel ma sono sia nuovo del forum che poco abituato ad armeggiare col PC.. Il LOG potrò poi pubblicarlo qui?

Grazie

EDITO: Non mi fa installare KASPERSKY LAB (ho scaicato quello del 18 maggio) o meglio, me lo installa ma durante l'installazione mi dà 2 errori... successivamente non lancia il programma.

Dovrò formattare anche io C ??? Ditemi di NO perfavore

PRIMA DI TUTTO CANCELLATE TUTTI I CRACK E KEYGEN CHE AVETE EVENTUALMENTE SCARICATO DA EMULE, IL VIRUS SI ANNIDA SEMPRE LI'.

1) disattivazione ripristino conf di sys:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Fai una scansione online col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

Gavril
26-05-2008, 19:30
Mi dice che il Karpersky online non funziona se prima non tolgo l'altro mio antivirus che però era AVAST ma che non c'è più.. o meglio non funziona più enon me lo fa disinstallare. :mc:

Chill-Out
26-05-2008, 20:49
Mi dice che il Karpersky online non funziona se prima non tolgo l'altro mio antivirus che però era AVAST ma che non c'è più.. o meglio non funziona più enon me lo fa disinstallare. :mc:

Si che funziona segui queste indicazioni http://www.hwupgrade.it/forum/showpost.php?p=22601310&postcount=3759

fabiobr
26-05-2008, 21:55
[QUOTE=Chill-Out;22612937]Ciao inserisci in Avenger questo Script



QUOTE]
avenger mi da' i seguenti errori:
error:cant't open file H:\cleanup.bat
error:could not open cleanup batch .aborting execution
error:can't open file H:\avenger.txt

allego il lnuovo log di ebaglia

Gavril
26-05-2008, 21:58
GRAZIE!!!

Forse.. dico forse.. ho risolto.

provando e riprovando con il tool spagnolo (prima di riavviare il pc e subito dopo) e scollegando il PC da internet... sono riuscito ad entrare in MOD. PROVVISORIA (cosa che prima non andava) ho nuovamente scansionato me ne ha trovati un bel pò di infetti.

Sono riuscito a fare pulizia (spero definitiva) e finalmente ho installato un antivirus che proprio adesso mi sta scansionando ma gia ho l'impressione che il PC vada molto meglio.

GRAZIE :cry:

Salvatopo
26-05-2008, 22:03
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Certamente.
Grazie ancora e complimenti a tutti per l'ottimo lavoro. :)

Chill-Out
26-05-2008, 22:04
[QUOTE=Chill-Out;22612937]Ciao inserisci in Avenger questo Script



QUOTE]
avenger mi da' i seguenti errori:
error:cant't open file H:\cleanup.bat
error:could not open cleanup batch .aborting execution
error:can't open file H:\avenger.txt

allego il lnuovo log di ebaglia

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Chill-Out
26-05-2008, 22:04
GRAZIE!!!

Forse.. dico forse.. ho risolto.

provando e riprovando con il tool spagnolo (prima di riavviare il pc e subito dopo) e scollegando il PC da internet... sono riuscito ad entrare in MOD. PROVVISORIA (cosa che prima non andava) ho nuovamente scansionato me ne ha trovati un bel pò di infetti.

Sono riuscito a fare pulizia (spero definitiva) e finalmente ho installato un antivirus che proprio adesso mi sta scansionando ma gia ho l'impressione che il PC vada molto meglio.

GRAZIE :cry:

Allega il log di EliBagla

Gavril
26-05-2008, 22:13
Ho questo però allega tutti quelli fatti dopo 18:22:32 ho scansionato ancjhe con OTMOVEit:
http://www.fileqube.com/remove/oeQrdwbzc31904?rytmzNZ31904

editato :D

Chill-Out
26-05-2008, 22:16
I log vanno allegati non copiati ed incollati, edita (modifica) il tuo post e hosta il log qui: http://fileqube.com/ devi solo indicare il link dove prelevarlo

Gavril
26-05-2008, 22:20
Una cosa scordavo.. forse non trascurabile.. verso le 19.00 è uscita una nuova versione di EliBagle la 11.42 e guardacaso a me è con quella che (forse) le cose sono iniziate a funzionare bene

Chill-Out
26-05-2008, 22:26
Una cosa scordavo.. forse non trascurabile.. verso le 19.00 è uscita una nuova versione di EliBagle la 11.42 e guardacaso a me è con quella che (forse) le cose sono iniziate a funzionare bene

Bene gli spagnoli sono prolifici, inserisci in Avenger lo Script indicato in guida in prima pagina ed allega il log, qual'è il tuo AV?

Gavril
26-05-2008, 22:29
prima del problema avevo AVAST adesso ho messo TWISTER

Chill-Out
26-05-2008, 22:30
prima del problema avevo AVAST adesso ho messo TWISTER

TWISTER :eek: e che roba è?

Gavril
26-05-2008, 22:38
TWISTER :eek: e che roba è?

:D
un antivirus graficamente ha un'icona con una freccia bianca che punta in alto a destra.

Per quanto riguarda lo script con avanger non ci riesco mi dice che non è nel formato corretto boh.. eppure ho letto bene la pagina iniziale e ho fatto anche la possibile modifica richiesta ma non va.

Chill-Out
26-05-2008, 22:43
:D
un antivirus graficamente ha un'icona con una freccia bianca che punta in alto a destra.

Per quanto riguarda lo script con avanger non ci riesco mi dice che non è nel formato corretto boh.. eppure ho letto bene la pagina iniziale e ho fatto anche la possibile modifica richiesta ma non va.

Quell'AV io non sò che roba è ma da dove l'hai scaricato, postati il log relativo all'errore di Avenger

wjmat
26-05-2008, 23:18
:D
un antivirus graficamente ha un'icona con una freccia bianca che punta in alto a destra.

Per quanto riguarda lo script con avanger non ci riesco mi dice che non è nel formato corretto boh.. eppure ho letto bene la pagina iniziale e ho fatto anche la possibile modifica richiesta ma non va.
Mai sentito nemmeno io...

tequila mali
27-05-2008, 01:13
Twister....direi ottimo :
http://www.p2pforum.it/forum/showpost.php?p=2619047&postcount=2
http://www.filseclab.com/eng/history/history.htm
http://www.wilderssecurity.com/showpost.php?p=1239110&postcount=1
:)

wjmat
27-05-2008, 01:21
è una trial praticamente...installabile e che funge con bagle... che siano loro a diffonderlo per poi pubblicizzarsi ;)

tequila mali
27-05-2008, 01:28
Ragazzi...........lo uso da un mese e sembra molto interessante
http://www.wilderssecurity.com/showthread.php?t=208887

Chill-Out
27-05-2008, 08:56
Twister....direi ottimo :
http://www.p2pforum.it/forum/showpost.php?p=2619047&postcount=2
http://www.filseclab.com/eng/history/history.htm
http://www.wilderssecurity.com/showpost.php?p=1239110&postcount=1
:)

Ragazzi...........lo uso da un mese e sembra molto interessante
http://www.wilderssecurity.com/showthread.php?t=208887

Un AV Cinese :sofico: al volo ho trovato questo http://www.siteadvisor.com/sites/filseclab.com
adesso mi documento meglio

Alex16v
27-05-2008, 11:38
Ciao a tutti, sono Alessandro da Torino.

Premetto che Mi sono iscritto a questo forum perché è da ieri mattino che ne cerco uno valido per debellare il pluri-famoso Bagle che Mi è apparso l'altro ieri sera scaricando dei driver per una scheda video dal mulo... e invece... SOPRESA!!!
Ho notato poi che è pieno anche di altre informazioni utili su molti altri argomenti.

Ora stò scrivendo dal PC dell'ufficio e da come suggerisce la guida ho cominciato a farMi un cd con tutti quelle graziose applicazioni tipo:

- Elibagla;
- Avenger;
- SafeBoot;
- Gmer;
- ccsetup... ecc... ecc...

Questa sera comincerò a seguire la Guida passo passo e a postare eventuali LOG cosìcché voi esperti Mi potrete dare una mano.

Alcune info preliminari se possibile:

- La guida comincio a seguirla già in modalità provvisoria o c'è un momento particolare per la quale si richiede tale modalità?

- Domanda banale e stupida, ma ricordatevi che proviene da un'ignorante per cui andateci piano con gli insulti:D questo Bagle fa danni solamente all'interno del pc o pesca eventuali tracce di password che ho lasciato per esempio per accedere a eventuali forum (come questo ad esempio) e comincia a provare ad entrare da qualche parte?
non dovrebbero essercene di queste tracce perché uso la funzione di pulizia ogni qualvolta esco dalle pagine visitate con FIREFOX.

Grazie ancora per la collaborazione, c'è ne fosse di gente come voi. Viene più facile alla maggior parte delle persone fregarsene dei problemi altrui invece qui vedo che con gran pazienza e sapienza non ne mandate via uno scontento.

Alex.

wjmat
27-05-2008, 13:00
Alex16v il mulo per i driver della scheda video..... questa le batte quasi tutte ;)
mi raccomando anche il kaspersky removal tool se di là non hai la connessione ad internet...

Alex16v
27-05-2008, 13:55
Alex16v il mulo per i driver della scheda video..... questa le batte quasi tutte ;)
mi raccomando anche il kaspersky removal tool se di là non hai la connessione ad internet...

Ti giuro, nemmeno il produttore aveva dei driver aggiornati per quella scheda... davvero credimi!

Si a casa ho la connessione, ad ogni modo lo scarico ugualmente non si sà mai.

Per quanto riguarda le due info che ho scritto nel post precedente a questo sai dirmi qualcosa?

Bugs Bunny
27-05-2008, 14:13
la modalità provvisoria viene disattivata da questo virus. dalla guida non è richiesta,te la faremo usare se sorgeranno particolari problemi :)

fabiobr
27-05-2008, 14:24
[QUOTE=fabiobr;22628586]

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
come si fa' a disabilitare momentaneamente i realtime?

Chill-Out
27-05-2008, 14:26
[QUOTE=Chill-Out;22628678]
come si fa' a disabilitare momentaneamente i realtime?

Nel tuo caso l'antivirus e disattivato dal Bagle

wjmat
27-05-2008, 14:27
[QUOTE=Chill-Out;22628678]
come si fa' a disabilitare momentaneamente i realtime?
dalle loro rispettive icone a fianco dell'orologio

fabiobr
27-05-2008, 14:32
[QUOTE=fabiobr;22636780]
dalle loro rispettive icone a fianco dell'orologio
scusa..ma se l'av fosse attivo..sarei qui' a scrivere?

wjmat
27-05-2008, 14:34
[QUOTE=wjmat;22636836]
scusa..ma se l'av fosse attivo..sarei qui' a scrivere?
se ne hai altri attivi, cosa molto probabilmente impossibile, disattivali... altrimenti lancia combofix

Bugs Bunny
27-05-2008, 19:44
guida aggiornata :)

Alex16v
27-05-2008, 20:14
Eccoci qua, pronti? VIA!

- Ho disattivato il ripristino di sistema.

- Stò debellando tutti i crack e le keygen anche dall'hard disk esterno.

Domanda, ho dei file zippati che contengono software e crack, devo cancellare anche quelli anche se sono zippati? O Mi posso risparmiare almeno questo fastidio?

EDIT:

Nel dubbio ho cancellato anche quelli.


- Stò effettuando lo scan con ELIBAGLA in c:\ e nell'hard disk esterno. Alla fine riavvierò e quando sarò di nuovo on line posterò il link del log.

Chill-Out
27-05-2008, 20:31
Eccoci qua, pronti? VIA!

- Ho disattivato il ripristino di sistema.

- Stò debellando tutti i crack e le keygen anche dall'hard disk esterno.

Domanda, ho dei file zippati che contengono software e crack, devo cancellare anche quelli anche se sono zippati? O Mi posso risparmiare almeno questo fastidio?

EDIT:

Nel dubbio ho cancellato anche quelli.


- Stò effettuando lo scan con ELIBAGLA in c:\ e nell'hard disk esterno. Alla fine riavvierò e quando sarò di nuovo on line posterò il link del log.

Cosa te ne fai dei crack, ti reinfetti? Suvvia cancellali tutti ;)

Alex16v
27-05-2008, 20:39
Cosa te ne fai dei crack, ti reinfetti? Suvvia cancellali tutti ;)

Si infatti lo pensato anch'io.

Ok, eccomi dal riavvio del pc, ed ecco il log di ELIBAGLA
http://www.zshare.net/download/12676205e9b85424/

Lo postato bene?

Vado avanti con il passo successivo? (Avenger).

Chill-Out
27-05-2008, 20:45
Si infatti lo pensato anch'io.

Ok, eccomi dal riavvio del pc, ed ecco il log di ELIBAGLA
http://www.zshare.net/download/12676205e9b85424/

Lo postato bene?

Vado avanti con il passo successivo? (Avenger).

Si l'hai postate bene, prosegui con la Guida, una cortesia i prossimi log hostali sul primo o secondo Server indicato in Guida.

Alex16v
27-05-2008, 20:50
Si l'hai postate bene, prosegui con la Guida, una cortesia i prossimi log hostali sul primo o secondo Server indicato in Guida.

Le spunte di Avenger devono rimanere oppure le disattivo? Scompattandolo in automatico rimane una sola spunta sulla voce: SCAN FOR ROOTKITS, nell'altra voce: AUTOMATICALLY SCAN... ... ... non c'è la spunta.

Chill-Out
27-05-2008, 20:54
Le spunte di Avenger devono rimanere oppure le disattivo? Scompattandolo in automatico rimane una sola spunta sulla voce: SCAN FOR ROOTKITS, nell'altra voce: AUTOMATICALLY SCAN... ... ... non c'è la spunta.

Lasci il segno di spunta solo su Scan for rootkit.........

Alex16v
27-05-2008, 21:07
Lasci il segno di spunta solo su Scan for rootkit.........

Ok, ho eseguito Avenger copiando e incollando quello script descritto in guida e mi ha riavviato il pc alla fine, ora che lo ho riacceso mi è apparso un foglio di blocco note. Cosa devo fare? Lo posto?

Chill-Out
27-05-2008, 21:10
Ok, ho eseguito Avenger copiando e incollando quello script descritto in guida e mi ha riavviato il pc alla fine, ora che lo ho riacceso mi è apparso un foglio di blocco note. Cosa devo fare? Lo posto?

Si

Alex16v
27-05-2008, 21:14
Si

http://www.mediafire.com/?0tz9jmedz5n

Chill-Out
27-05-2008, 21:17
http://www.mediafire.com/?0tz9jmedz5n

Bene Ale prosegui col Punto 5 della Guida, ci vorrà un pò di tempo ma è necessario, al termine allega il log.

Alex16v
27-05-2008, 21:21
Bene Ale prosegui col Punto 5 della Guida, ci vorrà un pò di tempo ma è necessario, al termine allega il log.

Ok, è partito lo scan, al limite se si fa tardi e vuoi andare a dormire lascio acceso e continuiamo domani.

Grazie fin da ora per l'aiuto comunque.;)

Chill-Out
27-05-2008, 21:27
Ok, è partito lo scan, al limite se si fa tardi e vuoi andare a dormire lascio acceso e continuiamo domani.

Grazie fin da ora per l'aiuto comunque.;)

Come preferisci, in ogni caso quando lo scan è terminato allega il log, magari sono ancora qui che vago :D

Alex16v
27-05-2008, 21:38
Come preferisci, in ogni caso quando lo scan è terminato allega il log, magari sono ancora qui che vago :D

Dopo 15 min è al 1% e ha già "detectato" 2 tracce ti Trojan e una backdoor dentro alla cartella dei file ricevuti tramite MSN Messanger... che disastro, :( non ho comunque intenzione di fermare la scansione.

È chiaro però che andrà avanti tutta la notte.

Ci aggiorniamo a dopo.

Chill-Out
27-05-2008, 21:40
Dopo 15 min è al 1% e ha già "detectato" 2 tracce ti Trojan e una backdoor dentro alla cartella dei file ricevuti tramite MSN Messanger... che disastro, :( non ho comunque intenzione di fermare la scansione.

È chiaro però che andrà avanti tutta la notte.

Ci aggiorniamo a dopo.

Lascia lavora Kaspersky, non ci corre dietro nessuno ;)

Alex16v
27-05-2008, 21:45
Lascia lavora Kaspersky, non ci corre dietro nessuno ;)

Si si assolutamente.

Chill volevo chiederTi una cosa, sarà banale e magari anche stupido, ma sono ignorante in materia è Mi viene spontanea.

Questo bagle fà casini solo all'interno del PC o chi me lo ha inviato può usufruire del virus come "sonda" per farsi i cavoli miei (saminare password, siti visitati, file, ecc... ecc...)?

Chill-Out
27-05-2008, 21:55
Si si assolutamente.

Chill volevo chiederTi una cosa, sarà banale e magari anche stupido, ma sono ignorante in materia è Mi viene spontanea.

Questo bagle fà casini solo all'interno del PC o chi me lo ha inviato può usufruire del virus come "sonda" per farsi i cavoli miei (saminare password, siti visitati, file, ecc... ecc...)?

Di varianti del Bagle ormai che ce ne un'infinità, comunque la risposta è no.
Se si tratta dell'ultima variante è assolutamente consigliato rimanere online il tempo necessario per la disinfezione, perchè l'utimo Bagle si comporta da downloader quindi si collega ad altri indirizzi per farti scaricare altri malware e fra questi ci può essere di tutto.

Alex16v
27-05-2008, 22:06
Di varianti del Bagle ormai che ce ne un'infinità, comunque la risposta è no.
Se si tratta dell'ultima variante è assolutamente consigliato rimanere online il tempo necessario per la disinfezione, perchè l'utimo Bagle si comporta da downloader quindi si collega ad altri indirizzi per farti scaricare altri malware e fra questi ci può essere di tutto.


Ok, per quanto riguarda il firewall e l'antivirus che ho usato fino a oggi (e che ho interrotto per eseguire le applicazioni di disinfestazione) cosa ne devo fare?
Li cancello e ne installo degli altri?
Se si Mi puoi consigliare qualcosa?
Anche con mess. privato se vuoi.

Chill-Out
27-05-2008, 22:13
Ok, per quanto riguarda il firewall e l'antivirus che ho usato fino a oggi (e che ho interrotto per eseguire le applicazioni di disinfestazione) cosa ne devo fare?
Li cancello e ne installo degli altri?
Se si Mi puoi consigliare qualcosa?
Anche con mess. privato se vuoi.

Ale fammi capire l'antivirus funziona?

Alex16v
27-05-2008, 22:20
Ale fammi capire l'antivirus funziona?

No, siccome il mio antivirus s'interrompeva proprio quando iniziava la scansione dell'avvio di windows ho fatto che interromperlo io, magari poteva dare fastidio a KASPERSKY da quanto ho letto nelle pagine precedenti a Kasper dava fastidio l'operato di altri antivirus contemporaneamente.

Quando si avviava windows il mio antivirus cominciava a scansionare l'unità come ha sempre fatto, da quando si è infiltrato il Bagle il mio antivirus faceva appena 2 minuti di scan per poi interrompersi e dare messaggio di errore, allora stasera prima di cominciare la Guida lo disattivato prima che potesse iniziare la scansione all'avvio per non creare "confilitti" con le altre applicazioni per disinfettare.

Chill-Out
27-05-2008, 22:25
No, siccome il mio antivirus s'interrompeva proprio quando iniziava la scansione dell'avvio di windows ho fatto che interromperlo io, magari poteva dare fastidio a KASPERSKY da quanto ho letto nelle pagine precedenti a Kasper dava fastidio l'operato di altri antivirus contemporaneamente.

Quando si avviava windows il mio antivirus cominciava a scansionare l'unità come ha sempre fatto, da quando si è infiltrato il Bagle il mio antivirus faceva appena 2 minuti di scan per poi interrompersi e dare messaggio di errore, allora stasera prima di cominciare la Guida lo disattivato prima che potesse iniziare la scansione all'avvio per non creare "confilitti" con le altre applicazioni per disinfettare.

Strana stà cosa :mbe:, attendo il log del Kav

wjmat
27-05-2008, 22:27
alex li sembra che elibagla non ha tolto nulla, l'antivirus si blocca ma almeno parte, da che altri sintomi ti sei diagnosticato bagle?

Chill-Out
27-05-2008, 22:29
alex li sembra che elibagla non ha tolto nulla, l'antivirus si blocca ma almeno parte, da che altri sintomi ti sei diagnosticato bagle?

Log di Avenger

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

il Bagle dal suo pc è passato ormai siamo qui ed attendiamo il log del Kav

Alex16v
27-05-2008, 22:37
alex li sembra che elibagla non ha tolto nulla, l'antivirus si blocca ma almeno parte, da che altri sintomi ti sei diagnosticato bagle?

Ciao Mat.

Mi sono accorto del Bagle perché lo aveva rilevato il mio antivirus ieri sera, poi ho cominciato a leggere forum su forum e ho letto che per togllerlo bisognava eseguire determinate procedure (tra le quali Kaspersky che non và d'accordo con altri antivirus attivi) così lo interrotto ma tanto s'interrompeva da solo dandomi messaggi di errore (da lì ho capito che BAGLE aveva "intaccato anche il mio antivirus poiché proprio qui sopra ho letto che "disattiva gli antivirus").

Alex16v
27-05-2008, 22:41
Log di Avenger



il Bagle dal suo pc è passato ormai siamo qui ed attendiamo il log del Kav

Intanto al 27% Kaspersky ha questa situazione:

detected: Trojan program Trojan-Downloader.Win32.Agent.fza File: C:\Documents and Settings\Pino La Lavatrice\Documenti\File ricevuti\img-535-jpeg.zip/foto_823.JPEG-lexgp2@hotmail.com
detected: Trojan program Backdoor.Win32.Agent.dbp File: C:\Documents and Settings\Pino La Lavatrice\Documenti\File ricevuti\picturev147.zip/photo_435.JPeG-lexgp2@hotmail.com
detected: Trojan program Trojan.Win32.Pakes.btu File: C:\Documents and Settings\Pino La Lavatrice\Documenti\File ricevuti\pic_828-JPEG.zip/foto-735.jpg_lexgp2@hotmail.com

wjmat
27-05-2008, 22:51
chill avevo visto il log, in questi giorni mi sembra che venga eliminata in molti casi solo quella cartella no?

Chill-Out
27-05-2008, 22:55
chill avevo visto il log, in questi giorni mi sembra che venga eliminata in molti casi solo quella cartella no?

la cartella di solito contiene exe infetti

Alex16v
27-05-2008, 23:07
Chiedo scusa ma alla fine, dei miei sistemi di sicurezza ATTUALI (e ora disattivati) cosa ne faccio visto che l'antivirus è stato disattivato dal Bagle? Se è stato disattivato vuol dire che è stato di conseguenza CONTAMINATO? Ergo devo elimarlo? Se si cosa Mi consigliate al suo posto? (Il mio attuale è AVAST in italiano con aggiornamenti automatici periodici di database virus e nuove versioni).

wjmat
27-05-2008, 23:09
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Alex16v
27-05-2008, 23:13
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Oki, thanks.

Alex16v
27-05-2008, 23:32
Sono le 00:31, Kasper è al 44%, direi che posso andare a dormire. A domani per il log. Grazie ancora.

Compsognathus
28-05-2008, 00:16
scusate

quando uso avenger mi da errore

"non posso aprire c:\cleanup.bat" e "c:\avanger.txt"
(ho cambiato le scritte come descritto)


quando faccio la scansione online mi dice che la licenza è scaduta, ma è gratis

:mc:

lancetta
28-05-2008, 00:39
scusate

quando uso avenger mi da errore

"non posso aprire c:\cleanup.bat" e "c:\avanger.txt"
(ho cambiato le scritte come descritto)


quando faccio la scansione online mi dice che la licenza è scaduta, ma è gratis

:mc:

cioè?

Alex16v
28-05-2008, 06:43
Buongiorno a tutti.

Allora questa mattina appena sveglio ho visto che Kaspe aveva finito di fare il suo scan, o meglio, arrivato al 99% Mi chiede cosa fare dei 3 file contaminati che ha trovato con una finestrella che Mi è apparsa all'altezza dell'orologio che c'è nella barra di avvio.

Come opzioni Mi dà: "DELETE" o "SKIP".
Cosa faccio?
Elimino e Vi posto il report o skippo e Vi posto il report?

Devo riavviare il pc dopo questa scansione?
O faccio subito il passaggio successivo con CCLEANER?

NB:
È normale che il pc durante la scansione nella notte si sia disconnesso da internet?


EDIT:
Farò questa sera perché devo andare a lavoro quindi lascio tutto accesso così com'è su quel messaggio in attesa di vostro riscontro.

Graziole in anticipo.

fabiobr
28-05-2008, 06:52
situazione:combofix non mi si apre,cliccando sopra si blocca il pc e devo riavviarlo.
ho istallato twister e funziona..ma non riesce ad eliminarmi i bagle che trova..

wjmat
28-05-2008, 07:46
ciao fabio, per non dover rastrellare i tuoi post in tutta la discussione ci fai un riassunto dei tool utilizzati, e degli esiti negativi o positivi che hanno avuto, così abbiamo sott'occhio tutta la tua situazione. grazie

Chill-Out
28-05-2008, 09:10
situazione:combofix non mi si apre,cliccando sopra si blocca il pc e devo riavviarlo.
ho istallato twister e funziona..ma non riesce ad eliminarmi i bagle che trova..

Possibile che non fuzioni niente :mbe: tra l'altro ti chiedo di fare la scansione online col Kaspersky di tutto il sistema a tu mi scansioni sole le cartelle
PS: hai fatto solo la scansione delle cartelle è ciò è male, dovevi scansionare tutto il sistema
Scan Target Folders

A questo punto fai una scansione online con F-Secure seguendo questa Guida

http://www.hwupgrade.it/forum/showthread.php?p=22626282&highlight=f-secure#post22626282

Chill-Out
28-05-2008, 09:11
Buongiorno a tutti.

Allora questa mattina appena sveglio ho visto che Kaspe aveva finito di fare il suo scan, o meglio, arrivato al 99% Mi chiede cosa fare dei 3 file contaminati che ha trovato con una finestrella che Mi è apparsa all'altezza dell'orologio che c'è nella barra di avvio.

Come opzioni Mi dà: "DELETE" o "SKIP".
Cosa faccio?
Elimino e Vi posto il report o skippo e Vi posto il report?

Devo riavviare il pc dopo questa scansione?
O faccio subito il passaggio successivo con CCLEANER?

NB:
È normale che il pc durante la scansione nella notte si sia disconnesso da internet?


EDIT:
Farò questa sera perché devo andare a lavoro quindi lascio tutto accesso così com'è su quel messaggio in attesa di vostro riscontro.

Graziole in anticipo.

Delete

fabiobr
28-05-2008, 09:28
Possibile che non fuzioni niente :mbe: tra l'altro ti chiedo di fare la scansione online col Kaspersky di tutto il sistema a tu mi scansioni sole le cartelle


A questo punto fai una scansione online con F-Secure seguendo questa Guida

http://www.hwupgrade.it/forum/showthread.php?p=22626282&highlight=f-secure#post22626282

caro chilli..ti ringrazio per la pazienza e la dedizione che hai..ma se ti dico che non funziona niente e' perche' e' cosi'..

fabiobr
28-05-2008, 09:47
perdonate la mia ignoranza..ma perche' nessuno di voi guru prende in considerazione questo av che e' l'unico ad installarsi e funzionare anche in presenza di bagle?

wjmat
28-05-2008, 11:56
fabio mi fai la lista delle cose che hai fatto e che non ti vanno
twister non hai detto tu che non toglie tutto?

bonsi
28-05-2008, 15:10
ciao ragazzi, ho un groooosso :sofico: problema con un bagle:
- avenger lo apre per un millesimo di secondo poi si chiude :muro:
- idem hijack:muro:
- idem gmer:muro:
- zero configuration disattivato:muro:
sapreste aiutarmi ? :help: ho questo problema su 2 pc (infettati da un achiavetta usb).
vi ringrazio in anticipo.

Clark Hero
28-05-2008, 15:19
salve! sn in cerca di aiuto.
ho scansionato con diversi programmi ma non mi fa funzionare nexun antivirus:mbe: , il windows defender è disattivato e non me lo fa riattivare.
Gli unici scan che sn riuscito a fare sono quelli con prevx csi online, ho pagato anke la licenza ma eliminando i virus presenti non mi ha risolto il problema.:muro: Quando apro gli antivirus sul pc mi dice che non è un operazione di win 32 valida, provo a disattivarlo sui processi ma niente.:mc:
Vedendo sui forum credo sia bagle. sto eseguendo le operazioni di scan dellla pagina obbligatoria, ma molti programmi non mi apre il link.:help:

Chill-Out
28-05-2008, 15:20
ciao ragazzi, ho un groooosso :sofico: problema con un bagle:
- avenger lo apre per un millesimo di secondo poi si chiude :muro:
- idem hijack:muro:
- idem gmer:muro:
- zero configuration disattivato:muro:
sapreste aiutarmi ? :help: ho questo problema su 2 pc (infettati da un achiavetta usb).
vi ringrazio in anticipo.

Ciao segui la Guida iniziando a CANCELLARE TUTTI I CRACK,KEYGEN SCARICATI poi punto 1 e via di seguito, quando arrivi al punto 4 scarica Avenger da qui: http://www.fileqube.com/shared/PPyGpu32727
Ricorda di allegare i log il primo è quello di EliBagla

lancetta
28-05-2008, 15:24
perdonate la mia ignoranza..ma perche' nessuno di voi guru prende in considerazione questo av che e' l'unico ad installarsi e funzionare anche in presenza di bagle?
Per quello che ricordavo è più un antimalware... trial...cmq da testare...(La stessa casa faceva anche un firewall);)

bonsi
28-05-2008, 15:50
ecco il log di elibagla.

Chill-Out
28-05-2008, 15:52
ecco il log di elibagla.

Rifai girare EliBagla presta attenzione alle istruzioni

Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt

bonsi
28-05-2008, 15:55
ho scaricato avenger dal link indicato nel post precedente...
risultato... mi si apre per un millesimo di secondo e poi... zap... scompare...
aiutatemi please:mc:

wjmat
28-05-2008, 16:12
ho scaricato avenger dal link indicato nel post precedente...
risultato... mi si apre per un millesimo di secondo e poi... zap... scompare...
aiutatemi please:mc:
devi prima far girare ancora elibagla e postare il log come ti è stato indicato da chill

bonsi
28-05-2008, 16:21
log di elibagla... eccolo:

Chill-Out
28-05-2008, 16:23
log di elibagla... eccolo:

Già meglio
Hai ripristinato il SAFEBOOT al punto 2, se si fai girare EliBagla in modalità provvisoria F8

bonsi
28-05-2008, 16:30
l'ho già fatto girare in modalità provvisoria

Chill-Out
28-05-2008, 16:32
l'ho già fatto girare in modalità provvisoria

Bene adesso prova a scaricare Avenger sia dal link indicato in Guida sia da qui http://www.fileqube.com/shared/PPyGpu32727 e dimmi se funzionano

bonsi
28-05-2008, 16:35
nada, non va nessuno dei due...
sempre lo stesso problema di prima:cry:

Chill-Out
28-05-2008, 16:53
nada, non va nessuno dei due...
sempre lo stesso problema di prima:cry:

Prova http://www.fileqube.com/shared/qYdLeE32824

bonsi
28-05-2008, 16:57
niente:muro: :cry:

Chill-Out
28-05-2008, 17:03
niente:muro: :cry:

Passa al punto 5

Alex16v
28-05-2008, 17:12
Delete

Ok, eccomi a casa.

Ho fatto Delete su tutti i file infetti che MI ha trovato la scansione di Kasper.

Riavvio il pc? Posto il log?

wjmat
28-05-2008, 17:22
certo

Alex16v
28-05-2008, 17:24
certo

Ecco il report della scansione di Kasper, attendo istruzioni.

report_Kasper.txt (http://wikisend.com/download/563096/report_Kasper.txt)

wjmat
28-05-2008, 17:38
procedi con
6 ccleaner
7 ripristino servizi

Alex16v
28-05-2008, 17:39
procedi con
6 ccleaner
7 ripristino servizi

DOMANDA 1:

Fra la scansione appena fatta con Kasper e l'esecuzione di CCLEANER non devo riavviare il pc?


DOMANDA 2:

Aprendo CCLEANER lascio i segni di spunta che ci sono di default o devo fare qualche modifica?

wjmat
28-05-2008, 17:43
anche si.. ;)

Alex16v
28-05-2008, 17:44
anche si.. ;)

Perdonami ho aggiunto una domanda al mio post mentre Mi ripsondevi...

riavvio il pc prima di eseguire ccleaner?

quando eseguo ccleaner devo modificare qualche parametro o lascio i segni di spunta che ci sono di default?

wjmat
28-05-2008, 17:46
per impostarlo, punto 4 del trattamento che ho nella firma

Alex16v
28-05-2008, 18:00
per impostarlo, punto 4 del trattamento che ho nella firma

Nel punto 4 della guida che hai in firma per la prevenzione citi questo passaggio per ccleaner: "Nelle opzioni Avanzate mettti la spunta su "Disinstallatori aggiornamenti di WinUpdate" ma nelle opzioni AVANZATE di CCLEANER non c'è quella voce, c'è ne sono altre...

EDIT:

Ho scritto 'na cazzata... scusa...

Alex16v
28-05-2008, 18:25
Ho eseguito CCLEANER, ci ha messo un bel pò, ha tolto 2.191,36MB



Riavvio il pc?

bonsi
28-05-2008, 18:37
intanto che mi fa la scansione kaspersky ne approfitto per chiedervi:
- sull'altro pc sono riuscito a togliere il bagle, però non mi funziona "zero configuration" per la connessione senza fili...
come posso fare?grazie mille.

wjmat
28-05-2008, 18:38
Nel punto 4 della guida che hai in firma per la prevenzione citi questo passaggio per ccleaner: "Nelle opzioni Avanzate mettti la spunta su "Disinstallatori aggiornamenti di WinUpdate" ma nelle opzioni AVANZATE di CCLEANER non c'è quella voce, c'è ne sono altre...

EDIT:

Ho scritto 'na cazzata... scusa...
ora non è necessario

wjmat
28-05-2008, 18:39
intanto che mi fa la scansione kaspersky ne approfitto per chiedervi:
- sull'altro pc sono riuscito a togliere il bagle, però non mi funziona "zero configuration" per la connessione senza fili...
come posso fare?grazie mille.
che significa non funziona? hai seguito già il punto 7 della guida?

Alex16v
28-05-2008, 18:42
ora non è necessario

Non è necessario cosa? Riavviare il pc dopo lo scan di ccleaner?

Allora passo alla fase della prevenzione?

wjmat
28-05-2008, 18:50
dopo ccleaner riattiva i servizi e poi trattamento post

Alex16v
28-05-2008, 18:53
dopo ccleaner riattiva i servizi e poi trattamento post

Oddio... aspè... di quali servizi parli?

wjmat
28-05-2008, 19:09
Oddio... aspè... di quali servizi parli?
punto 7

Alex16v
28-05-2008, 19:17
punto 7

Ok.

● Avvisi (Non MI dà la possibilità ne di avviare ne di disattivare, il suo stato risulta invisibile, nel senso che nella colonna "STATO" non Vi è scritto nulla).
● Centro sicurezza P.C. (Non MI dà la possibilità ne di avviare ne di disattivare, il suo stato risulta invisibile, nel senso che nella colonna "STATO" non Vi è scritto nulla)
● Aggiornamenti automatici (Risulta già avviato)
● Connessioni di rete (Risulta già avviato)
● Zero Configuration reti senza fili (Quando clicco su: "Avvia" appare una finestra con la dicitura: "Impossibile avviare il servizio Zero Configuration reti senza fili su Computer locale. Errore 1068: Avvio del gruppo o del servizio di dipendenza non riuscito.")
● Windows Firewall/ Condivisione connessione Internet (ICS) (Risulta già avviato)

Come Mi devo comportare?
----------------------------------------------------------
EDIT:

Ho eseguito la procedura per avviare "Zero Configuration reti senza fili" tramite il file di blocco note denominato registro.reg.

La situazione dei serivizi è quindi questa:

● Avvisi (Non MI dà la possibilità ne di avviare ne di disattivare, il suo stato risulta invisibile, nel senso che nella colonna "STATO" non Vi è scritto nulla).
● Centro sicurezza P.C. (Non MI dà la possibilità ne di avviare ne di disattivare, il suo stato risulta invisibile, nel senso che nella colonna "STATO" non Vi è scritto nulla)
● Aggiornamenti automatici (Risulta già avviato)
● Connessioni di rete (Risulta già avviato)
● Zero Configuration reti senza fili Avviato
● Windows Firewall/ Condivisione connessione Internet (ICS) (Risulta già avviato)

Vado ad eliminare il mio attuale antivirus e il mio attuale anti-spy e seguo quelli indicati nella guida di prevenzione.
Non voglio cantar vittoria, ma pare che non ci siano più tracce del virus.

Alex16v
28-05-2008, 21:49
Ok, penso sia andato tutto bene.

Il pc ha recuperato prestazioni, addirittura naviga più "fluidamente" (e io che già stavo chiamando TELECOM per dire 4 nuovi bestemioni appena inventati :) ).

Ragazzi, che dire? Grazie di tutto.

Siete stati disponibilissimi, complimenti perché avete una conoscenza incredibile.

Ora proverò a disinfestare il portatile della mia ragazza in quanto grazie a delle penne usb ho contaminato anche il suo.

Anche se penso sarà più complicato perché non ho internet sott'occhio lì e poi devo masterizare un cd ogni volta che devo far partire qualche programma scaricato da qui.

Vi aggiornerò.

bonsi
28-05-2008, 21:59
Passa al punto 5

ecco il report di kaspersky...
ho eliminato i due file .exe infetti... ho fatto bene?:stordita:
grazie

p.s. ho dovuto dividere il file altrimenti non me lo allegava

bonsi
28-05-2008, 22:25
che significa non funziona? hai seguito già il punto 7 della guida?

tutto qui?!?!:confused:
e io avrei pagato 30€ a volta il tecnico solo per fare questa c.....a?:muro:
basta tecnici, da oggi solo www.hwupgrade.it - - chi fa da se fa per tre - -
:doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh:

wjmat
28-05-2008, 22:30
Ok, penso sia andato tutto bene.

Il pc ha recuperato prestazioni, addirittura naviga più "fluidamente" (e io che già stavo chiamando TELECOM per dire 4 nuovi bestemioni appena inventati :) ).

Ragazzi, che dire? Grazie di tutto.

Siete stati disponibilissimi, complimenti perché avete una conoscenza incredibile.

Ora proverò a disinfestare il portatile della mia ragazza in quanto grazie a delle penne usb ho contaminato anche il suo.

Anche se penso sarà più complicato perché non ho internet sott'occhio lì e poi devo masterizare un cd ogni volta che devo far partire qualche programma scaricato da qui.

Vi aggiornerò.
masterizzare cd nel 2008??
nella chiavetta copiati tutti i tool, non avendo internet, ovviamente metti il kaspersky removal tool e spera che funzioni ;)

wjmat
28-05-2008, 22:33
tutto qui?!?!:confused:
e io avrei pagato 30€ a volta il tecnico solo per fare questa c.....a?:muro:
basta tecnici, da oggi solo www.hwupgrade.it - - chi fa da se fa per tre - -
:doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh: :doh:
perchè pensi che qui te la cavi con meno??? :D :D :D
a che punto sei?

bonsi
28-05-2008, 22:56
perchè pensi che qui te la cavi con meno??? :D :D :D
a che punto sei?

con il portatile(zero configuration problem) credo di aver risolto, si connette alla rete. il fisso (bagle problem) ho eliminato i due eseguibili infetti segnalati da kaspersky (report postato) e domani finisco il lavoro.
p.s. la connessione alla rete senza fili mi da qualche problemino, ogni minuto mi si disconnette e mi dice che sta acquisendo l'indirizzo di rete, non mi sembra normale visto che il segnale è ottimo.(devo impostarlo io il sever dns o va bene se glielo faccio dare automaticamente?) grazie mille per l'interessamento.:D

Chill-Out
28-05-2008, 22:59
con il portatile(zero configuration problem) credo di aver risolto, si connette alla rete. il fisso (bagle problem) ho eliminato i due eseguibili infetti segnalati da kaspersky (report postato) e domani finisco il lavoro.
p.s. la connessione alla rete senza fili mi da qualche problemino, ogni minuto mi si disconnette e mi dice che sta acquisendo l'indirizzo di rete, non mi sembra normale visto che il segnale è ottimo.(devo impostarlo io il sever dns o va bene se glielo faccio dare automaticamente?) grazie mille per l'interessamento.:D

Inserisci in Avenger lo Script indicato in Guida adesso nno dovresti avere problemi

xcdegasp
28-05-2008, 23:01
con il portatile(zero configuration problem) credo di aver risolto, si connette alla rete. il fisso (bagle problem) ho eliminato i due eseguibili infetti segnalati da kaspersky (report postato) e domani finisco il lavoro.
p.s. la connessione alla rete senza fili mi da qualche problemino, ogni minuto mi si disconnette e mi dice che sta acquisendo l'indirizzo di rete, non mi sembra normale visto che il segnale è ottimo.(devo impostarlo io il sever dns o va bene se glielo faccio dare automaticamente?) grazie mille per l'interessamento.:D

potresti forzargli quelli di www.opendns.com tanto da assicurti che l'infezione non si rigeneri con nuovi download silenti :)
volendo potresti metterli a livello router nella scheda dns-client :)

don_torus
29-05-2008, 07:40
raga facendo una scanzione come veniva spiegato sopra il programma elibagla mi ha creato il file in c:/InfoSat.txt....ora dove dovrei postare questo file e come si posta?e la mia prima volta che capita questo tipo di virus aiutatemi vi prego:cry:

wjmat
29-05-2008, 07:48
Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Alex16v
29-05-2008, 08:29
masterizzare cd nel 2008??
nella chiavetta copiati tutti i tool, non avendo internet, ovviamente metti il kaspersky removal tool e spera che funzioni ;)


Avevo appena scritto che le chiavette usb erano contaminate... è proprio con quelle che ho contaminato il portatile della mia ragazza perché prima erano state sul mio pc infetto, per cui la decisione di masterizzare i cd era obbligatoria.

Ad ogni modo con il portatile ho finito questa notte alle 02:30:( infatti oggi a lavoro sono una larva... ma era diventata una questione personale LOL!

*Piccola curiosità:

Sul portatile seguendo la stessa guida dopo ELIBAGLA facevo partire Avenger che però Mi dava il classico errore che non era un'applicazione WIN 32 valida, questo problema era già capitato qui dentro ad altri utenti e leggendo pagine e pagine e pagine indietro qualcuno di voi ha consigliato di scaricare la versione "anziana" di Avenger per risolvere, così è stato, ho scaricato la versione vecchia di "Avenger" e tramite il Vs script ha potuto eliminare quelle fottute chiavi di registro e altre menate in c:\windows.

Dopodiché ho fatto passare KASPERSKY ma non ha rilevato nulla a quel punto ho eseguito CCLEANER, ho riavviato, ho fatto ripassare ELIBAGLA e non ha trovato più nulla :)
Ora sul portatile devo solo eseguire anche lì la guida di prevenzione.

I ringraziamenti si raddoppiano, Mi avete fatto risparmiare un sacco di soldi!!!

Grazie Chill e grazie wjmat

wjmat
29-05-2008, 08:39
I ringraziamenti si raddoppiano, Mi avete fatto risparmiare un sacco di soldi!!!

Grazie Chill e grazie wjmat
Alex non pensare che siamo dei volontari.... aspetta che arrivi la nostra fattura...x2..... :D :D :D

Alex16v
29-05-2008, 10:14
Alex non pensare che siamo dei volontari.... aspetta che arrivi la nostra fattura...x2..... :D :D :D

Ma... ma... ma LOOOOOL!! :doh:

don_torus
29-05-2008, 10:30
grazie gentilissimo...un ultima cosa...ma li devo postare in questo forum oppure su elibaglia?grazie anticipatamente

don_torus
29-05-2008, 10:36
ciao raga...ecco cosa mi esce alla fine della scansione con elibagla...ora che devo fare?ho sbagliato a postarlo qui?help me?grazie

wjmat
29-05-2008, 10:59
ciao raga...ecco cosa mi esce alla fine della scansione con elibagla...ora che devo fare?ho sbagliato a postarlo qui?help me?grazie
hai fatto giusto, fallo girare ancora

Clark Hero
29-05-2008, 11:11
salve! sn in cerca di aiuto.
ho scansionato con diversi programmi ma non mi fa funzionare nexun antivirus:mbe: , il windows defender è disattivato e non me lo fa riattivare.
Gli unici scan che sn riuscito a fare sono quelli con prevx csi online, ho pagato anke la licenza ma eliminando i virus presenti non mi ha risolto il problema.:muro: Quando apro gli antivirus sul pc mi dice che non è un operazione di win 32 valida, provo a disattivarlo sui processi ma niente.:mc:
Vedendo sui forum credo sia bagle. sto eseguendo le operazioni di scan dellla pagina obbligatoria, ma molti programmi non mi apre il link.:help:

tra l'altro ricordo che mi va anke in crash il pc in modalità provvisoria. Anke quando utilizzo a-squared free arrivando al 3% circa sulla scansione file!:mbe: Quindi sono bloccato al punto 3 del vostro schema di scansioni!
Cosa devo fare?:help: :help: :help:
Ricordo che ho vista. Vistaaaaaaaaaa!!!Uffa!!Non vedo l'ora di beccare sto virus, così lo faccio a pezzi!!!Grrrrr!!!Poi dopo quando ho sistemato il pc e salvato i file, lo formatto, e ci metto linux!!

don_torus
29-05-2008, 11:13
raga sacricando il file che è indicato dopo il punto 3),ho scompattato la cartella e mi sono usciti 3 file
1)MegaLab.it_a_v_e_n_g_e_r.exe,
2)MegaLab.it_G_m_E_r.exe
3)MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe
ho fatto partire il primo,è ho copiato e incollato questo post:
--------------------------------------------------------------------------
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\mdelk.exe

folders to delete:
%UserProfile%\Dati applicazioni\m
%WinDir%\system32\drivers\downld
%AppData%\Roaming\m
%WinDir%\System32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mule_st_key
---------------------------------------------------------------------------
Dandomi errore!ho inserito c: a posto di %SystemDrive% e in %UserProfile% non ho capito bene come lo devo sostituire comunque ho messo il percorso completo C:\Documents and Settings\All Users e il nome mio....penso che sia cosi!
mentre glia altri due come funzionano?
il terzo mi ha dato il segente file log che lo zippato per caricarlo e mostrarlo a voi scompattatelo e vedete cosa mi ha dato,a cosa serve?e come si gestiscono questi programmi,ho notato che si aprono finestre popup in automatico di internetexplores da soloe senza che aprissi io iexplorer,e se faccio terminaprocessi si riapre in automatico raga aiutatemi raga qui win32 mi sta scass*****do!nons so che fare:help: :cry:

wjmat
29-05-2008, 11:49
tra l'altro ricordo che mi va anke in crash il pc in modalità provvisoria. Anke quando utilizzo a-squared free arrivando al 3% circa sulla scansione file!:mbe: Quindi sono bloccato al punto 3 del vostro schema di scansioni!
Cosa devo fare?:help: :help: :help:
l'hai ripristinata la stringa di registro per la modalità provvisoria?
chi ti ha detto di usare a-squared?
continua a far girare elibagle come ti ho già detto

donrovigo
29-05-2008, 11:53
ciao.. ho beccato bagle anche io...

allora.. ho provato la procedura inserita in questo thread ma penso con scarsi riusltati.. (inserisco i link dei file txt di elibagla e avanger)...

la domanda pero' è un'altra.. avevo in previsione un formattone per questo fine settimana e proprio ieri mi sono beccato questo super-virus...
la domanda è... posso salvare tutti i miei dati personali (documenti, foto, etc. etc.) e procedere con la formattazione??

scusate la domanda che per alcuni potrà suonare "stupida"... ma dovrei salvare il tutto su un HD esterno che contiene già altri dati.. ci sono possibilità di "infettarlo"? e da qui magari poi "reinfettare" questo il portatile (che devo formattare) o il pc fisso (decisamente pulito!!)??

spero di essere stato chiaro e di rivedere una vostra risposta quanto prima.. questa situazione mi stressa!!

i link:

http://fileup.itadib.com/download.php?id=5RDCQEuivPu4rB27Qw6e

http://fileup.itadib.com/download.php?id=PtZJSmNWBVQ0T6dUBjmp

un'ultima cosa.. facendo la scansione con gmer non mi è comparsa alcuna voce in rosso..

altre due info: avast! mi sembra non abbia mai smesso di funzionare ma continua a segnarlmi il file infetto srosa.sys il processo hldrrr.exe continua ad avviarsi quando riavvio in pc (non in modalità provvisoria).. ripeto se posso copiare i miei dati il problema lo risolvo formattando.. tanto sabato lo dovevo fare comunque!!

grazie mille, don.

xcdegasp
29-05-2008, 11:53
@ don_torus:
%WinDir% = c:\windows
mentre
%AppData% = C:\Documents and Settings\utente\Application Data

:)

wjmat
29-05-2008, 11:56
ciao potresti spostare tutti i files da backuppare in una cartella e far scansionare solo quella con kaspersky

donrovigo
29-05-2008, 12:08
ciao potresti spostare tutti i files da backuppare in una cartella e far scansionare solo quella con kaspersky


intendi kaspersky virus removal tool?? scusami ma sn inesperto sui virus.. ho sempre lavora di "anticipo" e qta è la prima volta da almeno 3 anni che mi prendo un virus...

quindi sposto tutto in un unica cartella (ho già archiviato la mia roba in questo modo) e faccio una scansione?? ma ci sono rischi di contagiare file non eseguibili??

scusami.. ma dovresti cercare di farmi capire.. sono inesperto!!

grazie!! don.

wjmat
29-05-2008, 12:45
intendi kaspersky virus removal tool?? scusami ma sn inesperto sui virus.. ho sempre lavora di "anticipo" e qta è la prima volta da almeno 3 anni che mi prendo un virus...

quindi sposto tutto in un unica cartella (ho già archiviato la mia roba in questo modo) e faccio una scansione?? ma ci sono rischi di contagiare file non eseguibili??

scusami.. ma dovresti cercare di farmi capire.. sono inesperto!!

grazie!! don.

si se quella cartella risulta pulita con kaspersky removal tool oppure lo scanner online non dovresti infettare l'altro pc, sempre che l'hard disk esterno sia già pulito di suo ;)

bonsi
29-05-2008, 13:16
hola a todos...
il mio pc è completament andato:
ogni tipo 1-2 minuti mi esce la schermata blu con scritto in bianco che il sistema è stato chiuso per non creare danni o qualcosa del genere.
Essendomi completamente rotto di stare lì a fare anti-virus su antivirus, non è che c'è un modo di riprisinare tutto senza dover eliminare i dati?
(i programmi li posso anche eliminare, al massimo li reinstallo)

wjmat
29-05-2008, 16:38
hola a todos...
il mio pc è completament andato:
ogni tipo 1-2 minuti mi esce la schermata blu con scritto in bianco che il sistema è stato chiuso per non creare danni o qualcosa del genere.
Essendomi completamente rotto di stare lì a fare anti-virus su antivirus, non è che c'è un modo di riprisinare tutto senza dover eliminare i dati?
(i programmi li posso anche eliminare, al massimo li reinstallo)
non potrebbe essere un problema hardware? surriscaldamento eccessivo o simili?

Alex16v
29-05-2008, 17:07
Ancora io, domanda idiota:

Siccome ho due chiavette USB che hanno ancora i files eseguibili con BAGLE dentro come posso ripristinarli dal momento che ho una paura FOTTUTA a reinseririli sul pc???

Li inserisco e faccio subito un format sulla suddetta chiavetta?

wjmat
29-05-2008, 17:11
per sicurezza prima disabilità la riproduzione automatica...

Per disabilitare la funzione di riproduzione automatica
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

Alex16v
29-05-2008, 17:49
per sicurezza prima disabilità la riproduzione automatica...

Per disabilitare la funzione di riproduzione automatica
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK


E dopo posso inserire le chiavette una ad una e fare il format su ognuna di esse per essere sicuro di elimnare tracce del virus?

Grazie mille.

Alex16v
29-05-2008, 18:03
Wjmat, scusa se ne approfitto, sul desktop avevo un file di quelli con l'icona con un'ingranaggio verde (penso stia per indicare un file di sistema) stà di fatto che lo reso nascosto perché non me ne facevo nulla di vederlo sul desktop, il problema è che quando ho riavviato il pc Mi è apparsa una finestra che mi dice il seguente messaggio di errore:

"Unhandled exception has occurred in your application. If you click continue, the application will ignore this error and attempt to continue. If you click Quit, the application will close immediately.

Accesso to the path 'C:\Documents & Settings\LukaMarty\Desktop\lCSharpCode.SharpZipLib.dll' is denied."

DETAILS CONTINUE QUIT


Ho fatto l'ennesima cazzata?

Dimenticavo, se voglio visualizzare i file nascosti (così da poter rendere visibile quello che ho nascosto) non c'è l'opzione.
Vado in Opzioni Cartella e non c'è la spunta con la voce: VISUALIZZA FILE E CARTELLA NASCOSTE... non c'è...

EDIT---------------------

HO RISOLTO!!

Start - esegui - regedit - sulla chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
Nel frame di destra ho inserito il Valore di Reg_Dword "Hidden" su "1" (prima era su "2")

Ho riavviato il pc e ho visto il file, sono andato sulle proprietà e gli ho tolto la spunta su "Nascosto", ho fatto "Applica", ho riavviato il pc e tutto è a posto.

Questa soluzione lo trovata qua dentro sempre ma da su un'altro 3d.

GRAZIE DI ESISTERE!

jonpol
29-05-2008, 19:08
Fatemi sapere al più presto le cose da eliminare con avenger!

grazie

jonpol

wjmat
29-05-2008, 19:13
E dopo posso inserire le chiavette una ad una e fare il format su ognuna di esse per essere sicuro di elimnare tracce del virus?

Grazie mille.
si poi formatta tutto ;)

che problema era l'altro mi dai il link della discussione?

wjmat
29-05-2008, 19:14
Fatemi sapere al più presto le cose da eliminare con avenger!

grazie

jonpol

fagli fare ancora un giro, in provvisoria se va...

jonpol
29-05-2008, 19:26
in provvisoria non va ! che cosa posso fare ???????

wjmat
29-05-2008, 19:53
in provvisoria non va ! che cosa posso fare ???????
hai fatto il punto 2?
se non va proprio falla ancora in normale

Alfonso78
29-05-2008, 21:39
intanto posto il result di elibagla come da guida...

poi continuo passando alla fase 4...???

sono su un computer di un cliente... :D

Alfonso78
29-05-2008, 22:11
non mi permette la scansione con kaspersky virus removal tool nè con f-secure on line...

azz... :mc:

wjmat
29-05-2008, 22:18
alfonso....
Modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra

fai girare ancora elibagla

LordOfBrujahs
29-05-2008, 22:28
Buona sera a tt! Ho il seguente problema, dopo aver seguito le istruzioni presenti sul forum ho correttamente eliminato Bagle.Tuttavia la connessione ad internet è instabile.Mi xmette di navigare un po' poi si blocca.Avete qualche suggerimento da darmi? Grazie in anticipo x la disponibilità

xcdegasp
29-05-2008, 22:36
Buona sera a tt! Ho il seguente problema, dopo aver seguito le istruzioni presenti sul forum ho correttamente eliminato Bagle.Tuttavia la connessione ad internet è instabile.Mi xmette di navigare un po' poi si blocca.Avete qualche suggerimento da darmi? Grazie in anticipo x la disponibilità

segui la procedura descritta nel primo messaggio di questo thread (= discussione) :)

Alfonso78
29-05-2008, 22:38
fatto...

adesso riposto il log elibagla...

brutto segno però...un paio di schermate blu con riavvi di windows...brutta storia...

wjmat
29-05-2008, 23:02
fatto...

adesso riposto il log elibagla...

brutto segno però...un paio di schermate blu con riavvi di windows...brutta storia...
riusciresti a farlo in modalità provvisoria?

Alfonso78
29-05-2008, 23:07
proverò...

ma temo quei riavvi di prima...speriamo siano solo temporanei...

Alfonso78
29-05-2008, 23:30
niente da fare...i riavvi sono ciclici...

dovrò formattare... :(

xcdegasp
29-05-2008, 23:47
niente da fare...i riavvi sono ciclici...

dovrò formattare... :(

aspetta... riesci a entrare nel pannello di controllo -> sistema -> ripristino (o qualcosa del genere)
e togliere il fleghettino di spunta da "riavvia automaticamente in caso d'errore?"

fabiobr
30-05-2008, 08:07
come da titolo anche io sono affetto da questi riavvi ciclici,solo che all' ultimo,si e' riavviato e mi e' uscito lo schermo azzurro(non quello blu di errore) con la scritta e il logo di win xp e non fa' nient'altro..
la mod provvisoria non ne vuole sapere di funzionare..(non funzionava nemmeno prima nonostante abbia inserito le chiavi reg modificate..)
non so' che fare..

wjmat
30-05-2008, 08:20
come da titolo anche io sono affetto da questi riavvi ciclici,solo che all' ultimo,si e' riavviato e mi e' uscito lo schermo azzurro(non quello blu di errore) con la scritta e il logo di win xp e non fa' nient'altro..
la mod provvisoria non ne vuole sapere di funzionare..(non funzionava nemmeno prima nonostante abbia inserito le chiavi reg modificate..)
non so' che fare..
ciao, possiamo escludere al 100% problemi hardware?

fabiobr
30-05-2008, 08:31
ciao, possiamo escludere al 100% problemi hardware?

direi di si..

wjmat
30-05-2008, 09:33
direi di si..
prova ad avviare con rescue cd di avira come indicato in guida

Alfonso78
30-05-2008, 09:33
aspetta... riesci a entrare nel pannello di controllo -> sistema -> ripristino (o qualcosa del genere)
e togliere il fleghettino di spunta da "riavvia automaticamente in caso d'errore?"

si già fatto...

l'ho fatto con F8 "disattiva riavvio automatico dopo errore di sistema"...

infatti schermata blu ma senza un errore specifico...solito riferimento all'hardware...

fabiobr
30-05-2008, 09:35
prova ad avviare con rescue cd di avira come indicato in guida

gia' provato..schermata azzurra con logo win xp e null'altro..pc bloccato

xcdegasp
30-05-2008, 09:43
si già fatto...

l'ho fatto con F8 "disattiva riavvio automatico dopo errore di sistema"...

infatti schermata blu ma senza un errore specifico...solito riferimento all'hardware...

precisamente quale hardware? potrebbe essere la mancanza di un driver cancellato da uno dei tool usati...
più indicazioni ci dai e più sappiamo aiutarti :)

LordOfBrujahs
30-05-2008, 09:48
segui la procedura descritta nel primo messaggio di questo thread (= discussione) :)

Dici che cmq nn sono riuscito ad eliminare completamente Bagle se mi da i problemi di connessione che sto avendo?

wjmat
30-05-2008, 09:55
Dici che cmq nn sono riuscito ad eliminare completamente Bagle se mi da i problemi di connessione che sto avendo?
non vedendo i log non possiamo saperlo... ma potresti averlo eliminato e devi ripristinare alcuni servizi e file rovinati dall'infezione

xcdegasp
30-05-2008, 09:56
Dici che cmq nn sono riuscito ad eliminare completamente Bagle se mi da i problemi di connessione che sto avendo?

nel senso di provare il tool per la connessione non funzionante:
http://www.xp-smoker.com/downloads/xptcprep.exe

:)

Alfonso78
30-05-2008, 10:31
precisamente quale hardware? potrebbe essere la mancanza di un driver cancellato da uno dei tool usati...
più indicazioni ci dai e più sappiamo aiutarti :)

ho il sospetto che sia stato un effetto collaterale di ccleaner...

comunque al momento sono fuori e non ricordo l'hardware in questione...

il fatto è che devo consegnare al più presto il pc...si tratta di uno studio dove lavorano e hanno un'urgenza bestiale...

comunque ringrazio tutti come sempre per l'aiuto...;)

mi trovate in networking...ciao...

LordOfBrujahs
30-05-2008, 10:43
Esiste un modo x poter capire quali servizi o file sono danneggiati?

wjmat
30-05-2008, 10:59
Esiste un modo x poter capire quali servizi o file sono danneggiati?
li hai riattivati tutti quelli indicati a fine guida?

wjmat
30-05-2008, 11:01
il fatto è che devo consegnare al più presto il pc...si tratta di uno studio dove lavorano e hanno un'urgenza bestiale...

hanno urgenza bestiale di cosa?? di scaricare e reinfettarsi ??:D :D :D :D
"l'italia che lavora":D :D :D

fabiobr
30-05-2008, 11:10
come da titolo anche io sono affetto da questi riavvi ciclici,solo che all' ultimo,si e' riavviato e mi e' uscito lo schermo azzurro(non quello blu di errore) con la scritta e il logo di win xp e non fa' nient'altro..
la mod provvisoria non ne vuole sapere di funzionare..(non funzionava nemmeno prima nonostante abbia inserito le chiavi reg modificate..)
non so' che fare..

consigli per me?

LordOfBrujahs
30-05-2008, 11:24
li hai riattivati tutti quelli indicati a fine guida?

Riattivati tt,ho anche ricontrollato x sicurezza...ho anche eseguito xptcprep.exe ma nulla di fatto

Chill-Out
30-05-2008, 11:29
Riattivati tt,ho anche ricontrollato x sicurezza...ho anche eseguito xptcprep.exe ma nulla di fatto

Non abbiamo visto un log come possiamo formulare ipotesi, i problemi potrebbere essere causati anche da fattori non strettamente riconducibili al Bagle

xcdegasp
30-05-2008, 11:45
a questo punto se è modem usb (non ricordo la tua configurazione quindi vado a supposizione) reinstalla i driver del modem altrimenti nel caso del router prova a disabilitare la scheda di rete, al riavvio successivo verrà reinstallata :)

se neanche così risolvi, nel caso del router è questione di rete verificabile facendosi imprestare un router da un amico e provandolo sulla propria linea...

fabiobr
30-05-2008, 14:07
consigli per me?
:muro: :muro: :muro:

xcdegasp
30-05-2008, 14:12
:muro: :muro: :muro:

non è che sia stato rimosso il winlogon.exe ?

fabiobr
30-05-2008, 14:14
non saprei dirti..l'unica cosa che succedeva erano i continui riavvi indesiderati..cosa devo fare per vedere?

Chill-Out
30-05-2008, 14:22
non saprei dirti..l'unica cosa che succedeva erano i continui riavvi indesiderati..cosa devo fare per vedere?

Non è che quel cavolo di AV cinese ha falciato qualcosa?

fabiobr
30-05-2008, 14:23
Non è che quel cavolo di AV cinese ha falciato qualcosa?

e perche' avrebbe dovuto..al massimo falciava qualcosa di infetto essendo un av..o no..

xcdegasp
30-05-2008, 14:25
e perche' avrebbe dovuto..al massimo falciava qualcosa di infetto essendo un av..o no..

che antivirus hai usato?

Chill-Out
30-05-2008, 14:27
e perche' avrebbe dovuto..al massimo falciava qualcosa di infetto essendo un av..o no..

mai dare per scontato che un'Av pur essendo tale non sbagli mai e poi stiamo parlando di un prodotto pressochè sconosciuto TWISTER

fabiobr
30-05-2008, 14:32
non ho detto che un av non possa sbagliare..ma penso che al massimo possa commettere l'errore di non individuare files infetti e non di eliminare files necessari al sistema..in ogni caso non sono qui' per fare polemiche o meno sulla bonta' di twister..ho il problema del pc bloccato e vorrei risolverlo

Chill-Out
30-05-2008, 14:35
non ho detto che un av non possa sbagliare..ma penso che al massimo possa commettere l'errore di non individuare files infetti e non di eliminare files necessari al sistema..in ogni caso non sono qui' per fare polemiche o meno sulla bonta' di twister..ho il problema del pc bloccato e vorrei risolverlo

non ho detto che un av non possa sbagliare..ma penso che al massimo possa commettere l'errore di non individuare files infetti e non di eliminare files necessari al sistema.

è successo più di una volta, anche ad AV blasonati

fabiobr
30-05-2008, 14:37
ok..quindi formatto?

Chill-Out
30-05-2008, 14:40
ok..quindi formatto?

arrivi fino alla schermata per l'inserimento del nome utente?

fabiobr
30-05-2008, 14:43
arrivi fino alla schermata per l'inserimento del nome utente?

si
dopo aver inserito la mia password appare lo schermo azzurro con logo e scritta win xp e nient' altro

Chill-Out
30-05-2008, 14:51
si
dopo aver inserito la mia password appare lo schermo azzurro con logo e scritta win xp e nient' altro

Hai il CD di installazione di WIN XP?

fabiobr
30-05-2008, 14:54
Hai il CD di installazione di WIN XP?
si certo originale..ma installando di nuovo xp non mi cancella la cartella documenti e tutto il resto?

Clark Hero
30-05-2008, 15:00
salve raga! visto che non mi avete detto molto ho provveduto da solo:O ad eliminare il virus con una procedura simile che ho visto su un altro sito, ho utilizzato elibagla eliminando dei virus, finalmente riesco a riavviare il pc regolarmente, poi cerco di incollare il codice da inserire in MOVEIT, ma in mod prov non parte, così faccio altre scansioni, e posto il codice da vista normalmente...non cambia niente ovviamente, faccio una scansione approf con Twister aggiornato, che mi rivela molti bagle e inoltre non va in crash durante la scansione, virus tolti ma mod provv non recuperata, ma almeno non si avviano + 10000 processi, indisattivabili, che appesantiscono il pc. l'unico problema che non riesco a risolvere:mc: , è riattivare il windows defender o il centro di sicurezza, e poter dopo quindi riattivare gli altri antivirus, visto che sugli antivirus mi ripete che è un operazione di win32 non valida:mbe: !!!!:mad: GRRRRRRRRRRR
:help: :help: :help:

Chill-Out
30-05-2008, 15:12
si certo originale..ma installando di nuovo xp non mi cancella la cartella documenti e tutto il resto?

Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il seguente comando:
CHKDSK /P /R
il tutto può richiedere alcuni minuti al termine digita Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows
Riavvia il sistema e vediamo che succede

Chill-Out
30-05-2008, 15:15
salve raga! visto che non mi avete detto molto ho provveduto da solo:O ad eliminare il virus con una procedura simile che ho visto su un altro sito, ho utilizzato elibagla eliminando dei virus, finalmente riesco a riavviare il pc regolarmente, poi cerco di incollare il codice da inserire in MOVEIT, ma in mod prov non parte, così faccio altre scansioni, e posto il codice da vista normalmente...non cambia niente ovviamente, faccio una scansione approf con Twister aggiornato, che mi rivela molti bagle e inoltre non va in crash durante la scansione, virus tolti ma mod provv non recuperata, ma almeno non si avviano + 10000 processi, indisattivabili, che appesantiscono il pc. l'unico problema che non riesco a risolvere:mc: , è riattivare il windows defender o il centro di sicurezza, e poter dopo quindi riattivare gli altri antivirus, visto che sugli antivirus mi ripete che è un operazione di win32 non valida:mbe: !!!!:mad: GRRRRRRRRRRR
:help: :help: :help:

Anche tu hai fatto girare TWiSTER e dopo si incasinato tutto, sei il terzo, a questo punto non credo sia una coincidenza.

Leggi punto 2 e 7 della Guida in prima pagina

fabiobr
30-05-2008, 15:20
Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il seguente comando:
CHKDSK /P /R
il tutto può richiedere alcuni minuti al termine digita Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows
Riavvia il sistema e vediamo che succede

ti ringrazio in anticipo..faro' l'operazione stasera e ti faro' sapere perche' il pc che fa' i capricci in questione e' quello che ho a casa

Alfonso78
30-05-2008, 15:49
hanno urgenza bestiale di cosa?? di scaricare e reinfettarsi ??:D :D :D :D
"l'italia che lavora":D :D :D

meglio non prenderlo questo discorso...

avevo formattato la stessa macchina nemmeno un mese fa...

buon per me comunque... :fagiano:

xcdegasp
30-05-2008, 22:01
ma si può sapere chi consiglia in giro per la rete sto antivirus TWISTER?
già il nome mi fa pensare tutto fuorchè d'essere sicuro... :rolleyes:

Chill-Out
30-05-2008, 22:09
ma si può sapere chi consiglia in giro per la rete sto antivirus TWISTER?
già il nome mi fa pensare tutto fuorchè d'essere sicuro... :rolleyes:

http://www.wilderssecurity.com/showthread.php?t=208887&highlight=twister

Vivio
30-05-2008, 22:21
Nel punto uno della guida si dice di disattivare il ripristino delle configurazioni del sistema, ma quella procedura vale per windows xp... io ho windows vista... come faccio? oppure non c'è da fare?

Chill-Out
30-05-2008, 22:28
Nel punto uno della guida si dice di disattivare il ripristino delle configurazioni del sistema, ma quella procedura vale per windows xp... io ho windows vista... come faccio? oppure non c'è da fare?

Per disattivare il Ripristino della configurazione in Vista, vai nel Pannello di controllo -> Sistema -> Protezione sistema e togli il segno di spunta dalla/e partizioni -> conferma quando richiesto

duca bianco
31-05-2008, 01:23
ma si può sapere chi consiglia in giro per la rete sto antivirus TWISTER?
;)

già il nome mi fa pensare tutto fuorchè d'essere sicuro...

Ti sbagli :)

Un saluto a Tutti e complimenti per il forum:flower:

wjmat
31-05-2008, 08:04
;)


Ti sbagli :)

Un saluto a Tutti e complimenti per il forum:flower:
ciao, nuovi consigli, sopratutto se risolutivi sono sempre ben accetti.
qui gli utenti che, ti hanno letto altrove di twister, hanno praticamente sempre riportato che rileva i file infetti ma non sempre li elimina...
se puoi darci dettagli migliori... ;)

Bugs Bunny
31-05-2008, 13:20
twister antivirus in testing... presto saprete se combina casini

Bugs Bunny
31-05-2008, 14:26
Primi risultati:

Twister antivirus una volta avviato inizia con i falsi positivi: chiede di rimuovere la chiave che fa riferimento a guard32.dll un importante file di comodo (AppInitDll)

http://imageup.itadib.com/images/47891guard32dll.JPG

Facendo quindi una scansione della cartella di installazione di comodo identifica un file come adware.
http://imageup.itadib.com/images/6105562.JPG

La protezione in real time individua i files hldrrr.exe,srosa.sys,mdelk.exe e il file che origina l'infezione.
Non individua i files nella cartella downld

Vedremo le capacità di rimozione. Per ora non lo integro ancora nella guida. Usatelo pure ma SOLO per eliminare i files del bagle. Non fategli eliminare nient'altro oltre ai files del bagle(cliccando su trust il file infetto viene ignorato).

Avevo qualche virus sulla macchina e non rileva:
-il dialer di webmeter.ws
-botnet kraken
-storm worm
-virus tenga

Bugs Bunny
31-05-2008, 14:43
non è che sia stato rimosso il winlogon.exe ?

Probabile...

Guardando questa immagine,sembra che bagle utilizzi winlogon per caricare srosa.sys... (ho interpretato bene?)

http://imageup.itadib.com/images/50297918.JPG

lancetta
31-05-2008, 15:07
Attenzione, perchè dalle analisi e prove che stiamo effettuando con Angelus,nell'ultima versione si attacca a exe in esecuzione sostituendosi ad essi (tipo zonebac per intenderci molto simile)...Almeno è quello che abbiamo riscontrato su Vista...Bugs prova a cercare quei file che ti dicevo anche su XP...

xcdegasp
31-05-2008, 15:16
http://www.wilderssecurity.com/showthread.php?t=208887&highlight=twister

sono senza parole :rolleyes:

xcdegasp
31-05-2008, 15:18
;)


Ti sbagli :)

Un saluto a Tutti e complimenti per il forum:flower:

io sono felice di aver sbagliato a non usarlo, ma a quegli utenti che hanno installato sto "coso" chi glielo spiega? :p

Bugs Bunny
31-05-2008, 16:45
sono senza parole :rolleyes:

ora gli ho risposto... potrebbero anche portare un minimo di rispetto

Chill-Out
31-05-2008, 20:59
Attenzione, perchè dalle analisi e prove che stiamo effettuando con Angelus,nell'ultima versione si attacca a exe in esecuzione sostituendosi ad essi (tipo zonebac per intenderci molto simile)...Almeno è quello che abbiamo riscontrato su Vista...Bugs prova a cercare quei file che ti dicevo anche su XP...

Immagino tu ti stia riferendo al Bagle, la nuova variante come tu ben sai funge da Downloader ciò vuol dire che contratta l'infezione ti scarichi un bel fritto misto di malware, comunque una variante del Zonebac et similari è già presente vedi ultime pagine di questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1651594

laserbit
31-05-2008, 21:32
Ciao, a tutti, sono nuovo, è da un paio di giorni che litigo con il virus bagle sul pc della mia ragazza, seguendo gli innumerevoli consigli sulla rete sono riuscito a ripulirlo, ma ho ancora un problema: dal suo pc non riesce più ad accedere agli altri pc della retericevendo il seguente messaggio:

Codice di errore: 0x80070035
Impossibile trovare il percorso di rete

Nonostante l'altro pc sia acceso e la rete stia funzionando correttamente, facendo un giro sempre su internet ho trovato che potrebbe dipendere dal servizio DNS, o dal servizio Active Directory, la connessione internet però funziona regolarmente così come l'antivirus (l'unico che non riesco a fare funzioanre è kapersky)

P.S. il PC ha Vista Home Premium


Grazie a tutti

Chill-Out
31-05-2008, 22:19
Ciao, a tutti, sono nuovo, è da un paio di giorni che litigo con il virus bagle sul pc della mia ragazza, seguendo gli innumerevoli consigli sulla rete sono riuscito a ripulirlo, ma ho ancora un problema: dal suo pc non riesce più ad accedere agli altri pc della retericevendo il seguente messaggio:

Codice di errore: 0x80070035
Impossibile trovare il percorso di rete

Nonostante l'altro pc sia acceso e la rete stia funzionando correttamente, facendo un giro sempre su internet ho trovato che potrebbe dipendere dal servizio DNS, o dal servizio Active Directory, la connessione internet però funziona regolarmente così come l'antivirus (l'unico che non riesco a fare funzioanre è kapersky)

P.S. il PC ha Vista Home Premium


Grazie a tutti

Immagino che prima dell'infezione funzionava tutto regolarmente, qual'è il SO degli altri PC.

laserbit
31-05-2008, 23:24
Esatto, prima funzionava tutto regolarmente, gli altri PC hanno XP PRO SP2,
praticamente su pc fisso ha un HD da 500 GB condiviso con film, ecc. e dal portatile con vista le ho creato un collegamento sul desktop alle varie unità del fisso che ho conviso, ho condiviso anche la stampante USB collegata al fisso, ma da dopo il virus sembra avere problemi a risolvere gli indirizzi degli altri PC o qualcosa del genre, perchè tra le risorse di rete trova solo il router, ma non più il gli altri PC, che vengono però visti tramite "ping"... Mi sta facendo uscire di testa sto problema!!:muro:

wjmat
01-06-2008, 00:57
il punto 7 della guida per ripristinare i servizi già fatto immagino...?

lancetta
01-06-2008, 02:22
Immagino tu ti stia riferendo al Bagle, la nuova variante come tu ben sai funge da Downloader ciò vuol dire che contratta l'infezione ti scarichi un bel fritto misto di malware, comunque una variante del Zonebac et similari è già presente vedi ultime pagine di questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1651594

No chill hai letto bene si sostituisce ad un file in esecuzione automatica...con gli stessi nomi dei exe legittimi....

laserbit
01-06-2008, 07:20
il punto 7 della guida per ripristinare i servizi già fatto immagino...?

Si, già fatto...:muro: :muro: :muro:

xcdegasp
01-06-2008, 15:31
No chill hai letto bene si sostituisce ad un file in esecuzione automatica...con gli stessi nomi dei exe legittimi....

infatti è quello che ha detto chill :D

Chill-Out
01-06-2008, 20:00
No chill hai letto bene si sostituisce ad un file in esecuzione automatica...con gli stessi nomi dei exe legittimi....

è quello che ho detto, ti ho linkato anche la discussione come riferimento, la mia riflessione era ed è la seguente: trattasi dell'ultima variante del Bagle che funge da downloader (dalla discussione non sembrerebbe) trattasi di un'ulteriore ennesima nuova variante oppore di un nuovo Zonebac et similari molto probabile

Bugs Bunny
01-06-2008, 20:45
Twister antivirus si è rivelato inefficiente contro la variante che possiedo io (credo l'ultima-quella con l'icona bianca con la croce rossa) che blocca tutti i programmi,avenger gmer e hijackthis che dovrebbero essere resistenti inclusi...

fabiobr
02-06-2008, 07:38
arrivi fino alla schermata per l'inserimento del nome utente?

siccome scrivo da questo pc ma quello infetto e' a casa(senza aver possibilita' di connettermi) ho errato..non mi da' la possibilita' di accedere alla schermata dove inserire account e passw..dopo l' avvio esce la schermata azzurra con il logo e scritta di win xp e non va' oltre..ho provato a fare l' operazione inserendo il cd di win e facendo chkdsk /r ma senza alcun risultato

shalafi
02-06-2008, 09:20
salve a tutti e grazie per questo splendido e utilissimo forum.
purtroppo (per me XD) ho preso questo maledetto virus :(
ho seguito la guida e questi sono i report:
elibagla (http://www.fileup.itadib.com/download.php?id=5VsFSVCMaLz4AAsIg3T9)

avenger (http://www.fileup.itadib.com/download.php?id=xdGl9SSbyfkoKVP1c8vh)

ho fatto la scansione con F-Secure, avevo installato Kaspersky, e questo è il report (http://www.fileup.itadib.com/download.php?id=IgtcIEAxz4ojkABmuBLY)

potete dirmi se ho risolto?

xcdegasp
02-06-2008, 09:43
salve a tutti e grazie per questo splendido e utilissimo forum.
purtroppo (per me XD) ho preso questo maledetto virus :(
ho seguito la guida e questi sono i report:
elibagla (http://www.fileup.itadib.com/download.php?id=5VsFSVCMaLz4AAsIg3T9)

avenger (http://www.fileup.itadib.com/download.php?id=xdGl9SSbyfkoKVP1c8vh)

ho fatto la scansione con F-Secure, avevo installato Kaspersky, e questo è il report (http://www.fileup.itadib.com/download.php?id=IgtcIEAxz4ojkABmuBLY)

potete dirmi se ho risolto?

carica in avenger questo script:

Files to delete:
C:\DOCUMENTS AND SETTINGS\CASA\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\ICE54G01\B64_3[1].JPG
:\DOCUMENTS AND SETTINGS\CASA\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\91PF3BZH\B64[1].JPG
C:\DOCUMENTS AND SETTINGS\CASA\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\HQUBL1XF\B64_2[1].JPG
D:\EMULE\INCOMING\PROGRAMMI\BSPLAYERPRO\KEYGEN.EXE
H:\DARIO\MIRC\AUTHPATCH.EXE
H:\DARIO\MIRC\KEYMAKER.EXE
C:\DOCUMENTS AND SETTINGS\CASA\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\L8PKRL05\B64_1[1].JPG
C:\DOCUMENTS AND SETTINGS\CASA\TYREDYEP.EXE
C:\DOCUMENTS AND SETTINGS\CASA\MOUGHVOK.EXE
C:\PROGRAMMI\WINRAR\CRACK.EXE
D:\EMULE\INCOMING\PROGRAMMI\ELTIMA SWF TOOLBOX V2.7.0.15\CRACK\PATCH.EXE
D:\EMULE\INCOMING\PROGRAMMI\ELTIMA SWF TOOLBOX CRACK BY AN4LYZER V2.7.0.15(1)\ELTIMA.SWF.TOOLBOX.V2.7.0.15-DVT\DVT\PATCH.EXE


poi fammi per cortesia un log con FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) e dopo un nuovo log con f-secure :)

shalafi
02-06-2008, 09:46
provvedo subito ^^
appena finito posto report
anche se per il log di F-Sicure ci vorà un pò :(

xcdegasp
02-06-2008, 09:51
pubblica subito quello a FindAWF ;)

shalafi
02-06-2008, 09:52
questo è il nuovo report di avenger link (http://www.fileup.itadib.com/download.php?id=gafCyc98HiILszthgzG4)
per Findawf una volta avviato che opzione devo far partire?

xcdegasp
02-06-2008, 09:54
lanumero 1 ossia "find folders bak" o qualcosa di simile :)

shalafi
02-06-2008, 09:55
perfetto..ecco il report link (http://www.fileup.itadib.com/download.php?id=GljgcZB6Wak6Pnot2CM5)
cmq ti ringreazio..sei gentilissimo, specialmente con un nubbio ^^

EDIT: posso far partire F-Secure?

xcdegasp
02-06-2008, 10:02
bene abbiamo constato che non avevi file di sistema sostituiti dal malefico quindi procediamo in questa maniara:

1. ripuliamo il pc da file temporanei ed usiamo il semplicissimo ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html), ti basterà seguire questa semplice procedura:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected";

2. A-Squared Free v3.x -> -> download (http://download5.emsisoft.com/a2FreeSetup.exe) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
_ esiste anche la versione che non richiede installazione: a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log) verrà mostrato dove verrà salvato, in caso ci si dimenticasse i logs sono archiviati in %USERPROFILE%\My Documents\a-squared\Reports ovvero C:\Documents and Settings\nomeutente\My Documents\a-squared\Reports

3. nuovo log di f-secure

così andiamo abbastanza tranquilli :)

laserbit
02-06-2008, 10:44
Per il mio problema nessun'idea di come risolverlo?:mc: :muro:

xcdegasp
02-06-2008, 12:34
Per il mio problema nessun'idea di come risolverlo?:mc: :muro:

controlla i seguenti servizi che siano attivi(start -> esegui:.. -> services.msc):
"browser di computer" (avviato e automatico) esegue questo comando
C:\WINDOWS\system32\svchost.exe -k netsvc
dipende dai servizi "Server" e "Workstation"

"Client DNS" deve essere o automatico o manuale purchè non disabilitato, il comando che esegue
C:\WINDOWS\system32\svchost.exe -k NetworkService

"Distributed Transaction Coordinator" controlla che non sia disabilitato il comando che esegue è
C:\WINDOWS\system32\msdtc.exe

"Manuntenzione collegamenti distribuiti client" controlla che non sia disabilitato, il comando che esegue
C:\WINDOWS\system32\svchost.exe -k netsvcs

"NLA (Network Location Awareness)"controlla che sia avviato quindi non impostato su disabilitato, il comando che esegue
C:\WINDOWS\system32\svchost.exe -k netsvcs

"Provider supporto protezione LM NT" controlla che non sia disabilitato, esegue il comando:
C:\WINDOWS\system32\lsass.exe

"Server", controlla che sia avviato e su automatico, il comando che esegue
C:\WINDOWS\system32\svchost.exe -k netsvcs

"Workstation" , controlla che sia avviato e su automatico, il comando che esegue
C:\WINDOWS\system32\svchost.exe -k netsvcs


prova a vedere se così riescia trovare il problema :)