ma se ti dico che non mi si avvia elibagla, che c'entrano i log? :p

scusa ma non è nemmeno un rebus in cui devo io scervellarmi per capire la tua situazione su delle figure e 3 lettere :D
magari se tu fossi più prolisso ed esaustivo nelle risposte ti si potrebbe aiutare di più... illustrando completamente la situazione si intende.

grazie

scusa ma non è nemmeno un rebus in cui devo io scervellarmi per capire la tua situazione su delle figure e 3 lettere :D
magari se tu fossi più prolisso ed esaustivo nelle risposte ti si potrebbe aiutare di più... illustrando completamente la situazione si intende.

grazie

più che dirti che elibagla mi dice di non essere un'applicazione di win32 valida che vuoi che ti dica? :D
comunque non importa più, è stata occasione per fare quel format che rimandavo da mesi ;)

Grazie!
Questa guida mi ha salvato! :D

Grazie!
Questa guida mi ha salvato! :D

questo è confortante, ogni tanto qualcuno si rimbocca le maniche.

Sembra sia tornato tutto a funzionare..
Ero quasi tranquillo quando ho voluto fare la prova del nove e....

Il pc non va in modalità provvisoria.. non ne vuole sapere proprio..
Se premo f8 e dico "avvia in modalità provvisoria " o "mod provvisoria con rete" il pc fa il reboot e torna allo screen di partenza....

Cosa potrei fare?

ho debellato tutto beagle (avevo beagleDL e beagle YN) e inoltre trojan.lodear.g e mirar toolbar....

Ho scansionato di nuovo con panda, con noadware e rifatto il logo di hijackthis..

Sembra tutto in regola...

Volevo riavviare avast e spybot in mod provvisoria..ma come detto la mod provvisoria non va..
Provo a fare un controllo cosi, in attesa di risposte....

Comunque grazie a tutti voi che davvero siete riusciti finora ad aiutarmi..
speriamo che riesca a scampare del tutto il pericolo...

@snapshot83

sarebbe utile vedere i log

mi potresti dare i log dei tool usati?


li ho postati, li trovi nella pagina precedente

:muro: :muro: :muro: disastro.

se e' possibile mi servirebbe aiuto.. ho fatto prima da me, credendo fosse cosa da poco, poi mi sono reso conto che era tosta.. perche' pare sia una variante particolarmente bastarda. rifacendomi alle istruzioni contenute all'inizio di queto thread non risolvo niente. anche elibagle dice di aver fatto ma tutto torna come prima. seguendo i passaggi, al momento di installare kaspersky non posso farlo perche' bagle ancora rompe i ma**ni.

segnalo alcune cose:

- ogni tanto cancella ntoskrnl.exe da c:\windows\system32
- ad ogni avvio o due viene cambiata la chiave HKLM\SYSTEM\CurrentControlSet\Services\Ndisuio, valore "start" settato a 4 invece che a 1, il che impedisce al servizio zero configuration service di partire e far funzionare cosi' la rete wireless.
- il file sta in C:\WINDOWS\system32\drivers\hldrrr.exe, ma avenger NON LO RIMUOVE, nonostante il log (che allego) dica il contrario.
- gli eseguibili random stanno in C:\WINDOWS\system32\drivers\down, ma avenger NON LA RIMUOVE, nonostante il log dica il contrario.

il log allegato e' relativo allo script indicato all'inizio di questo thread con le aggiunte che ho citato, che pero' non vengono rimosse. allego anche il log di elibagle. allego anche il log di hijackthis, lanciato pero' da modalita' provvisoria.

potete immaginare lo sbattimento, specie per le prime due cose che ho citato


VI PREGO, cosa posso fare?


:muro: :muro: :muro: :muro: :muro:

li ho postati, li trovi nella pagina precedente

a parte il fatto che stai facendo crossposting e domani potrei cominciare la sospensione... ti era già stato detto che non eri affetto di bagle quindi perchè sei ostinato da 10 giorni con sta storia?
sarebbe il caso che continuassi dall'altra non ti pare?

- gli eseguibili random stanno in C:\WINDOWS\system32\drivers\down, ma avenger NON LA RIMUOVE, nonostante il log dica il contrario.

Quella cartella non è nello script di avenger. Puoi postare uno screen della cartella così l'aggiungo allo script?

Quella cartella non è nello script di avenger. Puoi postare uno screen della cartella così l'aggiungo allo script?

sfortunatamente non posso, scrivo da un altro pc ora. avevo modificato io lo script, te lo incollo qui:

===
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys


folders to delete:
%SystemDrive%\WINDOWS\system32\drivers\down
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

===

se dai un'occhiata al log che ho postato noterai che avener sostiene di aver cancellato entrambi, il file hldrrr.exe e la cartella down in c:\windows\system32\drivers. la cartella sono riuscito a rimuoverla, ma il file e' rimasto...!!! e temo che sia lui la causa del fatto che ancora il bastar*o e' ancora sul pc...

:muro: :muro:

che posso fare?

sfortunatamente non posso, scrivo da un altro pc ora. avevo modificato io lo script, te lo incollo qui:

*** CUT ***

se dai un'occhiata al log che ho postato noterai che avener sostiene di aver cancellato entrambi, il file hldrrr.exe e la cartella down in c:\windows\system32\drivers. la cartella sono riuscito a rimuoverla, ma il file e' rimasto...!!! e temo che sia lui la causa del fatto che ancora il bastar*o e' ancora sul pc...

:muro: :muro:

che posso fare?

aggiornamento: da modalita' provvisoria la rimozione c:\windows\system32\drivers\hldrrr.exe era riuscita. al riavvio non si presenta. tutto bene? sembra di si', dato che riesco persino ad installare kaspersky e fargli fare l'aggiornamento... poi kaspersky mi chiede di riavviare per completare l'installazione e ZAC! al riavvio mi trovo senza kaspersky, con la chiave di registro per la disabilitazione della wireless riportata da 1 a 4, e con il file c:\windows\system32\drivers\hldrrr.exe e la cartella c:\windows\system32\drivers\down di nuovo al loro posto.. e' peggio della peste.

VI PREGO, so che e' l'inizio dell'anno ma sono DISPERATO.

qualcuo puo' darmi una dritta?
:help: :help: :help: :muro:

righe in rosso di gmer grazie

righe in rosso di gmer grazie

vi allego il log di gmer per intero... assieme al contestuale re-log di hijackthis... e al log aggiornato di elibagle.

:help: :help: :help: :cry:

aggiornamento: nod32 stand-alone lanciato da modalita' provvisoria identifica c:\windows\system32\drivers\hldrrr.exe come Win32/Bagle.LI worm; ovviamente non riesce a ripulirlo ne' a cancellarlo. Identifica poi alcuni (e stranamente non tutti...) dei file eseguibili con nomi casuali della cartella c:\windows\system32\drivers\down (esempio:267694.exe) come Win32/Balw.LF Worm, naturalmente anche qui senza cleaning ne' cancellazione. Questo puo' aiutare?

se vi dico che sono davvero disperato mi credete? :cry:

*

*

? :confused:

Usa questo script

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys

folders to delete:
C:\WINDOWS\system32\drivers\down

Usa questo script

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys

folders to delete:
C:\WINDOWS\system32\drivers\down

avevo aggiunto queste righe allo script proposto sulla prima pagina del thread, ma stranamente avenger al riavvio e' uscito con errore "fatale". il testo di c:\avenger.txt e':


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cpdcagcb

*******************


Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!

riprovo?

invece che incollare lo script in avenger,incollalo in un file di testo e salvalo. Su avenger seleziona "load script from file" e seleziona il file contenente lo script.

invece che incollare lo script in avenger,incollalo in un file di testo e salvalo. Su avenger seleziona "load script from file" e seleziona il file contenente lo script.

una cosa strana.... riavviando il pc dopo l'errore che ti ho detto, il file e la cartella incriminati sono diventati visibili da esplora risorse.. inoltre la chiave di registro di ndsuio relativa all'autostart del servizio necessario per la zero configuration etc etc non era stata reimpostata a 4, ma era rimasta ad 1.. ho rimosso con "unlocker" le cosette incriminate... e sono andate via (tra l'altro non c'erano nemmeno handler appesi..). almeno apparentemente. ho fatto una passata con ccleaner per smazzare un po' di roba. ho poi lanciato panda antirootkit, e dice di non aver trovato niente (pero' l'ho lanciato senza l'opzione per il riavvio, che dovrebbe essere piu' "deep"). quindi ho lanciato kaspersky online, e ho cancellato, sempre con unlocker, le 4 cose che mi diceva essere infette. Ho poi lanciato hijackthis, e ho salvato il log. Elibagle per la prima volta da quando lo lancio non dice di aver trovato bagle (non gli ho fatto fare una scansione profonda, pero'). Infine, ho rilanciato gmer, e l'ho lasciato lavorare fino alla fine: non ci sono linee rosse. il pc e' acceso da 2 ore e non pare esserci attivita' sospetta, al momento (il registro su ndisuio non cambia, non ci sono strani exe tra i processi attivi). non vorrei fosse solo una illusione.. pertanto ora rilancio avenger con lo script di 3 righe che mi hai mandato... e dopo il riavvio provo ad installare un antivirus.. che so, kaspersky come consigliate all'inizio del thread, o cos'altro?

in allegato i log di quanto ho lanciato adesso: kaspersky online, hijackthis, elibagle, gmer. ops, niente allegato, troppo grande: ecco il link (file .zip): http://www.sendspace.com/file/prdwl5

dimenticavo, aggiungo anche la sezione "autostart" di gmer: http://www.sendspace.com/file/uj403k


il fatto che gmer non mi dia niente e' sufficiente per sentirmi tranquillo? cosa mi consigliate di fare ora? :help:

nuovo log di gmer,non della sezione autostart

nuovo log di gmer,non della sezione autostart

Eccolo QUI (http://www.sendspace.com/file/4x2sjf)

Se serve, QUI (http://www.sendspace.com/file/prdwl5) ci sono anche i log di hijackthis,elibagla,kasperskyonline.

scusate per i link a sendspace, ma non posso postare allegati superiori ai 25KB.

aspetto notizie...

hostalo su zshare che almeno fornisce un servizio gratuito serio. Con questo dice che il server è sovraccarico ed invita ad attendere

Eccolo QUI (http://www.sendspace.com/file/4x2sjf)

Se serve, QUI (http://www.sendspace.com/file/prdwl5) ci sono anche i log di hijackthis,elibagla,kasperskyonline.

scusate per i link a sendspace, ma non posso postare allegati superiori ai 25KB.

aspetto notizie...

i log li puoi hostare in formato .txt su www.zshare.net

hostalo su zshare che almeno fornisce un servizio gratuito serio. Con questo dice che il server è sovraccarico ed invita ad attendere

i log li puoi hostare in formato .txt su www.zshare.net

perdonatemi!

gmer_1-0-13.log.txt - 3.39MB (http://www.zshare.net/download/6116858e4c48c9/) <-- qui c'e' in plain text il log di GMER

logsvari.zip - 0.14MB (http://www.zshare.net/download/61169660858a15/) <-- qui invece e' in uno zip con gli altri log di cui ho parlato nei post precedenti.

vi prego ancora di scusarmi. :Prrr:

aspetto notizie... :rolleyes:

ok srosa e hldrrr non sono più nel log di gmer...

ok srosa e hldrrr non sono più nel log di gmer...

no, dannazione.

nell'euforia, ho cercato di installare kaspersky, la trial, come consigliato dalla guida in prima pagina del thread. ha inaspettatamente chiesto di riavviare, e ora c'e' tutto di nuovo... elibagle mi segnala di nuovo il maledetto, il file c:\windows\system32\drivers\hldrrr.exe e' ancora al suo posto e la cartella c:\windows\system32\drivers\down e' di nuovo li'!

ora mi ammazzo, vi giuro. e' peggio della peste.... che COSA devo FARE?!? :muro: :muro: :muro:

le ho provate tutte, tutte tutte...

vi prego............. vi scongiuro...

hai disattivato ripristino configurazione di sistema?

Un augurio di buon anno a tutti ed un grosso grazie perchè con la Vs guida sono riuscito a debellare questo inquietante virus:eek:
Devo precisare che non ho seguito proprio tutto: per esempio non ho usato avenger, la scansione con l'antivirus l'ho fatta prima di usare elibagle e l'ho fatta online, delle cartelle ed è durata 3 ore..
Cmq mi sono rifatto più alla guida di Riverside specialmente per quanto riguarda la parte di check dopo l'operazione di rimozione usando a.squared e panda antirootkit in deep scan e devo dire tutto ok, la mod prov lavora, gli av e fw si sinsatllano (usavo e uso ancora avira e sygate) però:

-AVG non ne vuole sapere di reinstallarsi, continua a dire che si è deciso di rimuovere una precedente installazione e che perciò devo ravviare ma anche facendolo mi dice la stessa cosa;
- non riesco a disinstallare AVAST! che, in preda al panico avevo installato sperando di rimediare ( a questo proposito può aiutare inserire nella sua cartella l'eseguibile per procedere alla rimozione?)
- ho fatto una passata con CCleaner ma mi ha trovato così tante cose che prima di fare pulizia volevo chiedervi se effettivamente tutto quello che trova lo posso eliminare tranquillamente

In sostanza sono sorpreso di essermi liberato così facilmente della bestia, o esiste qualche altro check che posso fare?

Grazie infinite a chi vorrà rispondermi.

@kali: tieni duro, come diceva il grande Eduardo: ".. ha da finì 'a nuttata!"

puoi eliminare tutto quello che trova ccleaner, e fai anche la pulizia di registro, eliminando tutto:ccleaner è un programma piu che collaudato
se hai problemi con avg, poi ti linko il tool specifico x la sua rimozione in caso di problemi
ciao ciao e auguri anche a te

@roBErto_1615

io avrei seguito la guida passo-passo.

@kali: tieni duro, come diceva il grande Eduardo: ".. ha da finì 'a nuttata!"

grazie per il supporto morale, ma sono giorni che non riesco a venirne a capo.. e ho del lavoro importante da fare... non ce la faccio piu' :(

hai disattivato ripristino configurazione di sistema?

si'... e' stata la prima cosa che ho fatto, in accordo alla guida che sta all'inizio di questo thread...

sto iniziando da capo,


verifica di dissattivazione di ripristino configurazione di sistema


fix della modalita' provvisoria con elibagle senza scan


riavvio in modalita' provvisoria


lancio di elibagle con l'opzione di eliminazione automatica spuntata, in deep scan


al momento sono a questo punto. elibagle non ha trovato niente, pare, a parte wintems.exe: non mi chiede nemmeno di riavviare. ad ogni buon conto, allego il log, eccolo QUI: infosat.txt - 0.01MB (http://www.zshare.net/download/6123308c9be2ec/).

Ora dovrei riavviare e tentare con kaspersky, secondo la guida (che gia' ho seguito prima..) ma non mi fido... :muro: :muro: :muro:

che faccio!?!? :confused: :confused: :confused: :confused:

@roBErto_1615

io avrei seguito la guida passo-passo.

Il fatto è che ieri non avevo la possibilità di spegnere e restartare molte volte il pc (in collegamento con mia moglie) e poi quando ho visto che il virus era stato debellato e fatti ripetuti scan ho pensato che magari avevo preso qualche variante blanda, non so, anche se a dire il vero l'hldrrr risiedeva in win/system32/drivers come l'ultima var :confused:
In precedenza avevo provato a usare anche un altro tool, killbox seguendo un indizio: avevo notato che da tweeknowPP2006 nell'elenco dei processi appariva quello di un piccolo tool della mainboard (ITE Smart guardian) con la stessa icona di hldrrr.exe e siccome mi ricordavo di avere scaricato un sedicente installatore di ACR (advanced cab repair) e guardacaso dando esecuzione ad esso i miei problemi sono iniziati, con total commander sono andato a confrontare il file scaricato e quello del tooll che aveva assunto la stessa icona e in effetti non era l'icona soltanto ma i files con diverso nome erano identici fino all'ultimo bit! Ho quindi provato a rimuovere i 2 files con il succitato killbox e poi sono arrivato a fare tutto il resto con la guida presente in questo 3D..
Rimango ovviamente incredulo perchè avevo cominciato, come dicevo, col seguire passo passo le istruzioni di Riverside ma quando ho riavviato la prima volta e ho visto che dopo la rimozione con elibagle ho potuto scansionare in mod prov riportando una negatività ho pensato di non sfidare la fortuna usando avenger che mi faceva tremare un pochino i polsi:bimbo: e ora sembra che giri tutto a dovere a parte quelle cosette di cui parlavo.

@murack83pa: grazie dei consigli e.. Ti sarei grato se mi linkassi quella utility :)

grazie per il supporto morale, ma sono giorni che non riesco a venirne a capo.. e ho del lavoro importante da fare... non ce la faccio piu' :(

si'... e' stata la prima cosa che ho fatto, in accordo alla guida che sta all'inizio di questo thread...

sto iniziando da capo,


verifica di dissattivazione di ripristino configurazione di sistema


fix della modalita' provvisoria con elibagle senza scan


riavvio in modalita' provvisoria


lancio di elibagle con l'opzione di eliminazione automatica spuntata, in deep scan


al momento sono a questo punto. elibagle non ha trovato niente, pare, a parte wintems.exe: non mi chiede nemmeno di riavviare. ad ogni buon conto, allego il log, eccolo QUI: infosat.txt - 0.01MB (http://www.zshare.net/download/6123308c9be2ec/).

Ora dovrei riavviare e tentare con kaspersky, secondo la guida (che gia' ho seguito prima..) ma non mi fido... :muro: :muro: :muro:

che faccio!?!? :confused: :confused: :confused: :confused:

ok, ho riavviato, sempre in modalita' provvisoria, ho rimosso a mano file e voci di registro, comprese quelle indicate da SmitFraudFix (da modalita' provvisoria non e' stato un problema, tranne che per un paio che regedit non mi permetteva di modificare), quindi ho lanciato su avenger lo script integrato con le 3 righe suggerite da bugs bunny (lui pare non aver trovato niente tranne quello che non ero riuscito a rimuovere, e pare averlo rimosso). riavviato il sistema in modalita' standard (non provvisoria), c:\windows\system32\drivers\hldrrr.exe non c'e', la cartella c:\windows\system32\drivers\down si', ma e' vuota: l'ho rimossa da cmd senza problemi. il registro su ndisuio sembra a posto (lo start e' correttamente su 1 e non si e' messo su 4), e non pare esserci attivita' sospetta. ho rilanciato hijackthis e gmer, e di nuovo elibagle. qui ci sono i log, in particolare quello di gmer. logsvari-new.zip - 0.02MB (http://www.zshare.net/download/6132592de89c6b/)

sembro essere nella stessa situazione di oggi, prima che lanciassi l'installazione di kaspersky (cosa dopo la quale sono ripiombato nel baratro).

ho controllato per sicurezza, e il ripristino configurazione di sistema e' disattivato.

ora lancio panda antirootkit con in-depth scan (che prevede il riavvio) e vado a letto.. domattina trovero' il risultato. Lo pubblichero' appena riesco a connettermi di nuovo ad internet.

la domanda e': dato che anche prima sembrava essere tutto finito, cosa faccio ora? vi confesso che psicologicamente (sara' stupido...) non mi va di rilanciare l'installazione di kaspersky... ma forse e' quello che dovrei fare? oppure? vi prego, illuminatemi, o corro il rischio di farmi del male fisico da solo....

:help: :cry: :help: :cry:

*** CUT ***

la domanda e': dato che anche prima sembrava essere tutto finito, cosa faccio ora? vi confesso che psicologicamente (sara' stupido...) non mi va di rilanciare l'installazione di kaspersky... ma forse e' quello che dovrei fare? oppure? vi prego, illuminatemi, o corro il rischio di farmi del male fisico da solo....

:help: :cry: :help: :cry:

panda antirootkit ha terminato il deep scan. non ha trovato niente.... i log sono quelli.. che faccio, rilancio gmer/hijackthis o cosa? che installo? che antivirus provo a mettere?

ripristino configurazione di sistema e' ancora disattivato (ho il terrore che si riattivi da solo...).

insomma, non so quale possa essere il prossimo passo..

:help:

se evitassi di zippare i log sarebbe meglio, mica lo paghi lo spazio utilizzato su zshare, thx. ;)

se evitassi di zippare i log sarebbe meglio, mica lo paghi lo spazio utilizzato su zshare, thx. ;)

perdonatemi, vecchia scuola netiquettiana, devo abituarmi a tutto lo spazio che c'e' ora sul web...

gmer_1-0-13.log-new.txt - 0.85MB (http://www.zshare.net/download/614434991db49d/)

infosat.txt - 0.01MB (http://www.zshare.net/download/6144323350a6ef/)

hijackthis.log-new.txt - 0.01MB (http://www.zshare.net/download/61443337bea1f0/)

avenger.txt - 0.01MB (http://www.zshare.net/download/6144383e43d76a/)

rapport.txt - 0.00MB (http://www.zshare.net/download/6144395d8bf173/)

la domanda resta ancora sospesa... :P che faccio ora? :( :help:

scan col KAV

fixa le seguenti voci:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - (no file)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓƵ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O16 - DPF: {82A65D41-DD82-47CD-B19D-AD26148AA74C} - hxxp://www2.unyk.com/Diffusion/ActiveX/UNYK%20Contacts%20Finder.cab

scan col KAV

devo installarlo (ieri durante la sua installazione si e' ripresentato il worm.. anche se lo so che probabilmente non c'entra...)? oppure la faccio online?

dubito che l'installazione del Kav richiami il worm, ma se preferisci falla online (NB: non disinfetta), in ogni caso devi salvare ed allegare il report

dubito che l'installazione del Kav richiami il worm, ma se preferisci falla online (NB: non disinfetta), in ogni caso devi salvare ed allegare il report

ok, parto con lo scan online e quando finisce posto il log. al max installo kaspersky dopo per la rimozione eventuale. stay tuned (grazie per la pazienza...)

prego, fixa le voci indicate al post #288 preferibilmente da mod.provvisoria F8.

scan col KAV

fixa le seguenti voci:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - (no file)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓƵ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O16 - DPF: {82A65D41-DD82-47CD-B19D-AD26148AA74C} - hxxp://www2.unyk.com/Diffusion/ActiveX/UNYK%20Contacts%20Finder.cab

mi pare di capire che sia parte del log di hijackthis. come faccio a fixare le voci?

mi pare di capire che sia parte del log di hijackthis. come faccio a fixare le voci?

up :P

devi rifare la scansione, poi selezioni le voci che ti hanno consigliato e premi il pulsante "fix" :)

devi rifare la scansione, poi selezioni le voci che ti hanno consigliato e premi il pulsante "fix" :)

in effetti e' banale... che stupido!

la scansione online di kaspersky frulla da ore ed e' al 23%... quasi quasi la interrompo, riavvio in modalita' provvisoria e fixo quelle voci, poi riavvio in modalita' normale e installo kaspersky... oppure ormai conviene aspettare la scansione online.... e fixare le voci dopo?

prima del kav fai un apassata di Dr.Web CureIT che puoi lanciare in provvisoria e anche questo toglie molta immondezza ;)

prima del kav fai un apassata di Dr.Web CureIT che puoi lanciare in provvisoria e anche questo toglie molta immondezza ;)

ok, interrotto il kav online verso il 50%. il log fino a quel momento e' questo qui:
kasperskyonlinescan-200801031745.htm - 0.05MB (http://www.zshare.net/download/61526382aafa98/)

in pratica niente di che, a quanto pare (ma credo che dovesse ancora arrivare alla cartella WINDOWS, se va in ordine alfabetico...).

mi appresto a riavviare in modalita' provvisoria, secondo il vostro consiglio, e a fixare quanto consigliato con hijackthis e poi lanciare cure it. poi riavvio in modalita' normale e.. installo kaspersky?

ditemi voi :)

intanto riavvio.....

ok, interrotto il kav online verso il 50%. il log fino a quel momento e' questo qui:
kasperskyonlinescan-200801031745.htm - 0.05MB (http://www.zshare.net/download/61526382aafa98/)

in pratica niente di che, a quanto pare (ma credo che dovesse ancora arrivare alla cartella WINDOWS, se va in ordine alfabetico...).

mi appresto a riavviare in modalita' provvisoria, secondo il vostro consiglio, e a fixare quanto consigliato con hijackthis e poi lanciare cure it. poi riavvio in modalita' normale e.. installo kaspersky?

ditemi voi :)

intanto riavvio.....

ok, avviata la modalita' provvisoria e lanciato hijackthis per fissare quanto consigliato. fatto, il log di hijackthis dopo il fix e' il seguente: hijackthis.log-200801031909.txt - 0.01MB (http://www.zshare.net/download/6154723e90bac3/).

ho lanciato cureIt in express scan, ci ha messo pochi minuti e dice di non aver trovato niente. tanto per non saper ne' leggere ne' scrivere lancio ora cureIt con scansione completa. il passaggio successivo? (lo so, lo so, sono pesante... ma non mi era mai capitato di dover lottare tanto per ripulire il sistema..)

Il log di HJT è pulito, allega il log di CureIt e lancia questa scansione col Kav :O

Ciao, sono nuovo del forum.
Per la seconda volta mi sono preso il virus Bagle...sul portatile nuovo su cui ho installato vista.
Mi sono ricordato che esisteva un sito che spiegava bene come debellarlo (il megalab, grazie al quale sono riuscito a cancellarlo la prima volta sul fisso dei miei nonni, con windows xp).
Mi sono accorto che con vista non si possono fare le stesse cose indicate dal sito...o almeno io non ne sono capace.
Comunque, per ora non posso collegare il portatile ad internet finchè i driver del modem non sono aggiornati per vista e quindi alcuni passaggi come la scansione con kaspersky on-line non mi è possibile farla.
Ci sarebbe la wireless ma come ho potuto leggere in qualche post potrebbe essere mi abbia danneggiato anche quella quindi posso dire di essere fuori da internet.
Ad ogni modo ho cercato di eliminare manualmente i file infetti che ho trovato nel vostro forum e che vengono citati un po' ovunque (tranne l'hldrrr che è rispuntato) ma non credo di averli eliminati tutti.
Io purtroppo per queste cose non ci capisco molto bene e se poi gli aiuti per risolvere questo problema non riesco ad usarli del tutto vado un po' nel panico.
Cosa devo fare di preciso per rimuovere sto dannato virus?

Posto il file log di EliBagle...sperando che serva.
Ho provato ad usare GMER ma non so bene cosa debba succedere.
Quando comincia a scansionare le chiavi di registro (credo) ci sta sopra un sacco di tempo e l'unica riga rossa che vedo è quella dell'hldrrr.
Ad un certo punto l'ho data su perchè dava l'impressione di non procedere.

Il log di HJT è pulito, allega il log di CureIt e lancia questa scansione col Kav :O

sta ancora frullando, mi sa che ci vuole la notte. :(

cmq dopo riavvio in modalita' normale, installo KAV e lo lancio? conferma please. :)

sta ancora frullando, mi sa che ci vuole la notte. :(

cmq dopo riavvio in modalita' normale, installo KAV e lo lancio? conferma please. :)

confermo anche perchè un AV prima o poi bisognerà installarlo, ciao.

*** CUT ***

Comunque, per ora non posso collegare il portatile ad internet finchè i driver del modem non sono aggiornati per vista e quindi alcuni passaggi come la scansione con kaspersky on-line non mi è possibile farla.
Ci sarebbe la wireless ma come ho potuto leggere in qualche post potrebbe essere mi abbia danneggiato anche quella quindi posso dire di essere fuori da internet.


allora, io sono qui a chiedere aiuto agli altri su bagle, quindi non so se posso esserti d'aiuto, ma in tanti giorni di sbattimento un po' di cosette le ho notate..

in particolare, forse puoi collegarti ad internet. non so bene come sia fatto vista, ma probabilmente ha un registro di configurazione come XP e i precedenti (ah! registro... croce e delizia di windows...). Questa variante di bagle, oltre ad eliminare antivirus e programmi di protezione, cerca di impedire l'uso della rete; con la wireless, in particolare, si limita ad impedire l'avvio di alcuni servizi di sistema che sono necessari per la gestione della wireless. In particolare, il valore di avvio della chiave relativa a ndisuio viene settata a 4, mentre dovrebbe essere 1, 2 o 3. QUI --> http://www.megalab.it/articoli.php?id=948&pagina=4
dovresti facilmente trovare soluzione, sempre ammesso che le chiavi in vista siano le stesse che in xp, ma probabilmente puoi trovare facilmente soluzione a questo.

Per eliminare hldrrr e tutto il resto, puoi usare avenger: puoi farlo a mano usando il prompt dei comandi o programmi come unlocker o killbox, magari durante l'esecuzione in modalita' provvisoria, ma qualche chiave di registro restera' sempre. se rileggi i post degli ultimi giorni e la mia odissea sono certo che convergerai verso una soluzione, come SPERO stia succedendo a me..

fatti sentire.

confermo anche perchè un AV prima o poi bisognerà installarlo, ciao.

ok. positivo. domani posto il log di cureIt e poi installo kav.

a tal proposito, una domanda. sono stato per anni senza il minimo problema grazie a norton prima e AVGfree dopo, assieme a sygate Personal Firewall. abbandonato norton scaduta la licenza avg mi e' sembrato buono... ora anche sygate e' a pagamento.

considerato che dopo questo casino dovro' rimettere un'accoppiata antivir/firewall, cosa mi consigliate? naturalmente roba free o gnu e' preferibile. sentivo parlare di avira e comodo, o cos'altro? (non so se e' questo il forum piu' adatto per chiederlo..).

in attesa dei risultati di domani, ringrazio tutti per la pazienza.. :)

baci

Dunque, ho cercato di eliminare le chiavi di registro ma quella di LEGACY_SROSA non si vuole cancellare.
In più mi dice che non posso eliminare hdlrrr perchè è in uso da un altro programma ma non vedo proprio come sia possibile dato che nei processi non risulta in funzione e l'antivirus è disinstallato.
Non c'è proprio nessuno che sa dirmi i passi da fare avendo vista e non potendo collegarmi ad internet?

Dunque, ho cercato di eliminare le chiavi di registro ma quella di LEGACY_SROSA non si vuole cancellare.
In più mi dice che non posso eliminare hdlrrr perchè è in uso da un altro programma ma non vedo proprio come sia possibile dato che nei processi non risulta in funzione e l'antivirus è disinstallato.
Non c'è proprio nessuno che sa dirmi i passi da fare avendo vista e non potendo collegarmi ad internet?

segui la Guida

....... considerato che dopo questo casino dovro' rimettere un'accoppiata antivir/firewall, cosa mi consigliate? naturalmente roba free o gnu e' preferibile. sentivo parlare di avira e comodo ....
Avira + Comodo, sarebbe, certamente, una ottima soluzione.
Per il resto, vedo che il problema che avevi posto, si è risolto.
Due soli appunti:
1) FlashGet sarà un buon download manager ma è, anche, portatore sano di spyware (vedi Cydoor, per esempio);
2) sono ancora presenti, rimasugli derivanti dalla disinstallazione di Norton.

Chill-Out, parli della guida all'inizio della discussione?

Chill-Out, parli della guida all'inizio della discussione?

certo
http://www.hwupgrade.it/forum/showpost.php?p=18884140&postcount=1

EliBagle non mi segnale niente di strano e il file srosa lo elimino manualmente.
Anzi, mi segnala che l'accesso ad alcune cartelle è negato; le cartelle le ho scritte qui http://www.zshare.net/download/6174213043f324/
Cmq per la scansione on-line con kaspersky non posso farci niente finchè non posso usare internet.
GMER come funziona?
Si avvia e poi cosa deve succedere?
Anche qui niente di eclatante o interessante; rileva un processo nascosto e poi sta un sacco di tempo a cercare nelle chiavi di registro senza visualizzare altre righe rosse.

Cmq adesso sto cercando di rifare una scansione con EliBagle.
Appena finisce vi mando i risultati; la cosa strana delle cartelle a cui non riesce ad accedere è che sono vuote...

EliBagle: http://www.zshare.net/download/6174189bb5990d/

Log di Hijackthis: http://www.zshare.net/download/6174426b7f47f2/

Forse gmer ha funzionato...
Ecco il log: http://www.zshare.net/download/617453390826ec/

EliBagle non mi segnale niente di strano
infatti il log è pulito

e il file srosa lo elimino manualmente.

srosa.sys come è possibile che Gmer non rilevi questo file come Rootkit, siamo sicuri che il tuo problema è solo il Bagle?

Credo di sì.
L'antivirus non si installa, gmer mi trova un file in rosso.
Adesso provo la modalità provvisoria.
Nel caso non fosse il Bagle cosa potrebbe essere?
Possibile che l'unica soluzione sia di formattare?

Comunque a caricato la modalità provvisoria...mo che devo fa'?

qual'è il file rilevato da Gmer?

Mi rileva l'hldrrr e basta in rosso.

Posto l'immagine del file hdlrrr (non se può servire, ormai le provo tutte!!).
http://www.zshare.net/image/617565247f61e0/

Mi rileva l'hldrrr e basta in rosso.

Riesegui Gmer al termine della scansione/rilevazione di questo processo Process hldrrr.exe (*** hidden *** ) selezionalo col tasto dx del mouse e clicca su KILL PROCESS

dopodichè clicca su Start - Esegui - digita Regedit e navigha fina alla seguente chiave di registro HKLM\Software\Microsoft\Windows\CurrentVersion\Run (HKLM stà per HKEY_LOCAL_MACHINE) selezionala e nel pannello di destra cancella il seguente valore: hldrrr

dopodichè apri una cartella qualsiaasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
apri hijackthis clicca "open the misc tools section",click su delete file on reboot ti sia apre la finestra esplora risorse da lì cerchi ed inserisci questo file: C:\WINDOWS\system32\hldrrr.exe una volta inserito hijackrhis ti chiederà di ravviare,clicca su si, il pc dovrebbe riavviarsi

NB: il PC è da ravviare solo quando lo chiede HJT cioè al termine di questa procedura
Edit: purtroppo con Svista bisogna fare le cose a manina

Normalmente quanto dura la scansione di Gmer?

Normalmente quanto dura la scansione di Gmer?

dura quel che dura, non mi sembra un problema la durata della scansione.

Non c'è l'hldrrr in HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Hijackthis ha fatto quello che doveva fare...
Il passaggio successivo qual'è?

Ritiro il post di prima: Hijackthis non ha fatto quello che doveva fare.
Mi ero illuso perchè avevo guardato nel buco sbagliato.

Aggiungo che Ad-Watch mi segnala una modifica del registro in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersione\Run e mi dice che il valore è "drvsyskit"; poi mi dice "Nuovi dati" in C:\Windows\system32\drivers\hldrrr.exe quindi è probabile che questa modifica genera l'hldrrr.
Ho cercato in Run ma non c'è niente con il nome "drvsyskit".

@ edo vech: apri il registro di sistema e segui questo percorso:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

● clicca sulla cartella Run, dovresti trovare nella parte destra qeste due voci:

hldrrr C:\WINDOWS\system32\hldrrr.exe = C:\WINDOWS\system32\hldrrr.exe

Drvsyskit C:\Documents and Settings\TUO NOME UTENTE\Dati applicazioni\hidires\hidr.exe

tasto destro su ognuna di esse e scegli Elimina, ed al termine chiudi il Registro


Scarica avenger sul desktop: http://swandog46.geekstogo.com/avenger.zip
● scompatta il file.zip
● avvia il file avenger.exe
● seleziona l'opzione Input Script Manually
● clicca sulla lente di ingrandimento
● si aprirà una finestra View/edit script
All'interno del box bianco, copia e incolla una per volta (quindi esegui quattro diversi diversi passaggi) gli script in rosso:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Folders to delete:
C:\Documents and Settings\TUO NOME UTENTEi\Dati applicazioni\hidires

Files to delete:
C:\WINDOWS\system32\hldrrr.exe

● clicca sul pulsante Done
● clicca sull'icona del semaforo verde
● rispondi due volte Yes
● Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Allega i 4 log che verranno rilasciato (li trovi in C: con il nome avenger.txt)

Ma ho vista; non posso usare avenger...e quel maledetto hldrrr in Run non c'è.

Ma ho vista; non posso usare avenger...e quel maledetto hldrrr in Run non c'è.
Non avevo fatto caso al fatto di Windows Vista :(.
Esegui una scansione del sistema, in modalità provvisoria con Virit: http://www.tgsoft.it/italy/index_ita.html (prima, ovviamente aggiornalo).
Al termine pubblica il report che verrà rilasciato e un nuovo log di Hiths.

E se non si installa come posso fare?

"Can't create output file:
C:\Users\EDOVEC~1\AppData\Local\Temp\WZSE0.TPM\Dislite.exe"
Cosa vuol dire?
Sto ancora facendo la scansione con Gmer; possibile che sia per colpa di questo che non lo installa?

Sto ancora facendo la scansione con Gmer; possibile che sia per colpa di questo che non lo installa?
Chiudi la scansione con GMer, riavvia il P.C. e prova ad installare VirIt.

ok. positivo. domani posto il log di cureIt e poi installo kav.

a tal proposito, una domanda. sono stato per anni senza il minimo problema grazie a norton prima e AVGfree dopo, assieme a sygate Personal Firewall. abbandonato norton scaduta la licenza avg mi e' sembrato buono... ora anche sygate e' a pagamento.

considerato che dopo questo casino dovro' rimettere un'accoppiata antivir/firewall, cosa mi consigliate? naturalmente roba free o gnu e' preferibile. sentivo parlare di avira e comodo, o cos'altro? (non so se e' questo il forum piu' adatto per chiederlo..).

in attesa dei risultati di domani, ringrazio tutti per la pazienza.. :)

baci

ecco il log di cureit (e' zippato, era oltre 50 mega di file di testo... ) doctorweblog-drwebreportlist-200801041257.zip - 3.39MB (http://www.zshare.net/download/617809942f3c9f/)

a questo punto sto per installare kaspersky (la trial) e lanciarlo, non so quanto ci mettera'. fatemi capire, se anche kaspersky si installa e non trova niente siamo a posto?

a tra poco

In modalità provvisoria non me lo fa installare perchè non riesce a creare la cartella dei file temporanei del programma, per colpa dell'amministrazione, se ho capito bene...

Niente, ho riprovato con Virit ma non si installa..

la procedura te l'avevo già indicata, devi killare questo processo hldrrr.exe, poi dal momento che hai abilitato la visualizzazione del file nascosti e di sistema vai in C:\WINDOWS\system32\hldrrr.exe ed elimini hldrrr.exe, altra cosa non avevi detto di non avere la connessione attiva?

Ma non riesco ad eliminare il file dalla cartella.
Mi dice che è già in uso.

devi killare questo processo hldrrr.exe

In modalità provvisoria non me lo fa installare perchè non riesce a creare la cartella dei file temporanei del programma, per colpa dell'amministrazione, se ho capito bene...
Fai una immagine dei processi attivi in Task Manager ed allegala hostandola qui: http://my.imageshack.us/
Per il linkare l'immagine, utilizza Hotlink for forums (1)

Da dove?
Il task manager di windows non lo rileva, gmer, sotto la scheda processi, ne trova uno o due ma non li cancella; gli dico di farlo ma non lo fa, senza darmi alcun errore.

Da dove? Il task manager di windows non lo rileva, gmer, sotto la scheda processi, ne trova uno o due ma non li cancella; gli dico di farlo ma non lo fa, senza darmi alcun errore.
Scusa, ma non è possibile che GMer rilevi un processo che non esiste.
Ti avevo chiesto un nuovo log di Hthis, ma non ne vedo traccia.
Tra l'altro inizio ad avere l'impressione che, da una parte, tu sia piuttosto confuso e, dall'altra, con tutta questa storia Beagle c'entri come i cavoli a merenda.
Vediamo di ripartire dall'inzio; e siccome, non ho alcuna voglia di rileggermi l'intero thread per capire in che situazione sei, prima di ogni altra cosa:
1) descrizione completa (e breve) del problema;
2) indica l'antivirus attualmente in uso.
3) dimmi quali software hai installato, fino ad ora, per cercare di risolvere il problema e quali tool hai utilizzato
Dopodiché valuteremo la procedura seguire.

altra cosa non avevi detto di non avere la connessione attiva?

in attesa di risposta

Dunque, sì, sono molto confuso perchè di queste non ci capisco mai niente.
Allora, io ho sempre usato avast come antivirus e ad-aware come antispyware; da quando ho questo problema, cioè l'antivirus sparisce e non se ne installa un altro, windows defender da errore all'avvio, ho scaricato l'EliBagle, il Gmer, l'Hijackthis, CCleaner, Virit e il file di registro safeboot per la modalità provvisoria.
Nessuno di questi programmi è servito a qualcosa.
Ho riprovato ora ad eliminare hldrrr e stavolta ha funzionato ma cmq la chiave sotto HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run in cui dovrei trovare hldrrr e quell'altro strano non ci sono.

Ecco i processi ......
i due link inseririsci tra il tag link immagine per favore.
Quindi riedita il post precedente.

Sentite, capisco che vi sto dando solo noia perchè non riesco a spiegarmi.
Formatto e non se ne parla più...scusate ancora per il tempo che vi ho fatto perdere.

Sentite, capisco che vi sto dando solo noia perchè non riesco a spiegarmi.
Formatto e non se ne parla più...scusate ancora per il tempo che vi ho fatto perdere.
Cerchiamo di capirci: se ritieni che il formattare sia la soluzione migliore, puoi seguire quella strada; la conseguenza è che non avresti imparato nulla.
Se, al contrario, ne vuoi uscire cercando di capire cosa può essere successo, devi deciderti a seguire quello che ti viene suggerito.
Non ci sono altre strade.
Ora decidi tu, perché (e mi sembra palese) nessuno può e deve obbligarti a seguire una strada piuttosto che un'altra.

ecco il log di cureit (e' zippato, era oltre 50 mega di file di testo... ) doctorweblog-drwebreportlist-200801041257.zip - 3.39MB (http://www.zshare.net/download/617809942f3c9f/)

a questo punto sto per installare kaspersky (la trial) e lanciarlo, non so quanto ci mettera'. fatemi capire, se anche kaspersky si installa e non trova niente siamo a posto?

a tra poco

MALEDIZIONE. Dopo l'installazione e l'aggiornamento di kaspersky trial, ho riavviato il sistema come mi chiedeva l'installer, pronto a fare la scansione e finalmente mettermi alle spalle questa vicenda. sfortunatamente il riavvio per completare l'installazione non va a buon fine: sostanzialmente la schermata di login mostra in alto a destra il logo di KAV, vado per fare il login ma si vede solo il desktop, poi le icone, poi la barra delle applicazioni col menu avvio, e dopo un po' cessa l'attivita' dell'hard disk e il tutto rimane STUCK, bloccato. dopo 15 min era apparsa solo l'iconetta del touchpad nel systray. ho provato 3 volte (ogni volta essendo costretto a spegnere brutalmente il pc). COSA diavolo puo' essere? ora sto riavviando in modalita' provvisoria, penso di far fare lo scan a KAV da qui, se me lo permette. che diavolo succede? :(

MALEDIZIONE. Dopo l'installazione e l'aggiornamento di kaspersky trial, ho riavviato il sistema come mi chiedeva l'installer, pronto a fare la scansione e finalmente mettermi alle spalle questa vicenda ........
Domandina da metà pomeriggio: è necessaria l'installazione di Kaspersky, peraltro in versione trial? e poi, per fare cosa? una scansione?.

La ritengo la più veloce.
Non riesco a capire niente di quello che leggo perchè probabilmente non riesco a spiegarmi e tanto anche se cercassi di seguire quello che leggo la prossima volta sarebbe uguale.
Quando succede così la ritengo una fatica inutile.

Quando succede così la ritengo una fatica inutile.
Indiscutibile.
Prima di formattare, un ultimo suggerimento: informati in merito ad un antivirus da installare che sia compatibile per vista (Avira mi pare lo sia) ed un firewall software.
Quelle sono i primi due software che dovrai installare una volta formattato; tutto il resto (aggiornamenti di sistema compresi) viene dopo.

Ok, grazie per l'aiuto.
Scusate ancora per il disturbo.
Buon lavoro.

Domandina da metà pomeriggio: è necessaria l'installazione di Kaspersky, peraltro in versione trial? e poi, per fare cosa? una scansione?.

beh, si, cosi' mi si era consigliato, sempre in questo thread di questo forum, per chiudere la faccenda. posso evitare?

potrei installare direttamente antivirus e firewall che terro' definitivamente e fare per scrupolo la scansione con l'antivirus. che dite? cosi il pc e' inutilizzabile... :(

se e' il caso e mi conviene disinstallare KAV (tra l'altro ho fatto partire la scansione e prevede di metterci 2giorni... non posso aspettare tanto!), cosa installo? tornare ad avg e sygatePF, oppure cambiare?

mi rimetto ai vostri consigli....

che faccio? :help: :help: :help:

beh, si, cosi' mi si era consigliato, sempre in questo thread di questo forum, per chiudere la faccenda. posso evitare?

evidentemente ci sono dei problemi per quanto riguarda l'installazione del Kav dovuti forse ad una precedente installazione/disinstallazione fatta non si sà bene come

potrei installare direttamente antivirus e firewall che terro' definitivamente e fare per scrupolo la scansione con l'antivirus. che dite? cosi il pc e' inutilizzabile... :(

in ambito free puoi installare l'accoppiata Antivir + Comodo Firewall

se e' il caso e mi conviene disinstallare KAV (tra l'altro ho fatto partire la scansione e prevede di metterci 2giorni... non posso aspettare tanto!), cosa installo? tornare ad avg e sygatePF, oppure cambiare?

2 giorni ma cosa c'è su quel PC?

a questo punto disinstalla Kav da installazione applicazioni, poi utilizza il Kavremover http://support.kaspersky.com/faq/?qid=208279463 e fai pulizia con Ccleaner

Domandina da metà pomeriggio: è necessaria l'installazione di Kaspersky, peraltro in versione trial? e poi, per fare cosa? una scansione?.

successivamente si può anche acquistare la licenza, tra l'altro è indiscutibilmente uno dei migliori ;)

che faccio?
Lascia perdere l'installazione di Kaspersky (se lo hai installato, disinstallalo) e, per ora, procedi in questa maniera:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

Scarica DUSTBUSTER (richiede l’installazione)
clicca qui per il download (http://files3.majorgeeks.com/files/6005fb5ae0d58f2b5c9dd63b6089b92b/drives/dustbuster.zip)

● una volta installato, lancialo:
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili presenti sull’hard disk

Riavvia e poi:

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un activex: segui la procedura guidata.
allega il log che verrà rilasciato

ed allega un nuovo log di Hthis, effettuato dopo la scansione online

evidentemente ci sono dei problemi per quanto riguarda l'installazione del Kav dovuti forse ad una precedente installazione/disinstallazione fatta non si sà bene come



in ambito free puoi installare l'accoppiata Antivir + Comodo Firewall



2 giorni ma cosa c'è su quel PC?

a questo punto disinstalla Kav da installazione applicazioni, poi utilizza il Kavremover http://support.kaspersky.com/faq/?qid=208279463 e fai pulizia con Ccleaner

sfortunatamente da modalita' provvisoria non posso disinstallare il programma da installazione applicazioni, dato che windows installer non e' accessibile in questa modalita'... e il riavvio normale e', come vi ho descritto, impossibile... che cosa posso fare?

sfortunatamente da modalita' provvisoria non posso disinstallare il programma da installazione applicazioni, dato che windows installer non e' accessibile in questa modalita'... e il riavvio normale e', come vi ho descritto, impossibile...
Andiamo alla grande :cool:
che cosa posso fare?
Se in modalità provvisoria con rete, hai modo di utilizzare la Lan e/o connetterti ad Internet, segui la procedura che ti ho indicato un paio di post sopra (lasciando da parte la disinstallazione di Kaspersky).

Andiamo alla grande :cool:

Se in modalità provvisoria con rete, hai modo di utilizzare la Lan e/o connetterti ad Internet, segui la procedura che ti ho indicato un paio di post sopra (lasciando da parte la disinstallazione di Kaspersky).

che odissea. cmq la rimozione di KAV non era cosi' complicata a pensarci. magari a qualcuno e' utile: riavviato in modalita' provvisoria, ho lanciato manualmente KAV e ho disabilitato tutte le protezioni attive, oltre al lancio automatico con l'avvio del sistema. poi da msconfig ho deselezionato le voci relative a KAV dalle sezioni "servizi" e "avvio". et voila. la modalita' standard di windows e' di nuovo accessibile. da disinstallazione applicazioni ho lanciato la rimozione e poi ho riavviato come chiesto. quindi ho lanciato il tool di rimozione, ma dice che non rileva alcun KAV sul sistema, il che mi fa capire che la disinstallazione e' andata a buon fine.

un piccolo sorriso.

ora mi accingo a seguire le procedure suggerite da riverside (btw: il link che mi hai dato per dustbuster e' broken. hai qualche altro posto da cui possa scaricarlo?).

baci

..... et voila. la modalita' standard di windows e' di nuovo accessibile ......
Perfetto (buona anche la segnalazione della procedura di rimozione) :cool:
ora mi accingo a seguire le procedure suggerite da riverside (btw: il link che mi hai dato per dustbuster e' broken. hai qualche altro posto da cui possa scaricarlo?)
Certo: prova uno dei diversi mirror qui:
http://www.majorgeeks.com/download.php?det=1182

Perfetto (buona anche la segnalazione della procedura di rimozione) :cool:

Certo: prova uno dei diversi mirror qui:
http://www.majorgeeks.com/download.php?det=1182

grazie mille.

ripristino conf di sistema l'ho disabilitato da quando mi sono accorto di avere bagle. ho anche rimosso manualmente le cartelle che erano dentro C:\System Volume Information dopo la disabilitazione, ma ho lasciato i 2 file tracking.log e MountPointManagerRemoteDatabase (posso rimuovere anche questi?).

ho anche svuotato la cartella C:\WINDOWS\Prefetch, senza rimuoverla.

grazie per il nuovo link di dustbuster, lo scarico, lo installo e lo lancio. (aggiornamento: l'ho lanciato, e dice letteralmente "l'analisi di questo sistema potrebbe richiedere alcuni minuti a causa del numero di file archiviati sull'unita' predefinita" :D - gira da 10 min e sto ancora aspettando..).

quando avra' finito riavviero', lancero' ccleaner, poi bitdefender online e postero' il log, assieme a quello di hijackthis aggiornato.

stay tuned, please (e grazie..)

...... ho lasciato i 2 file tracking.log e MountPointManagerRemoteDatabase (posso rimuovere anche questi?)
No :nonsifa: sono file di sistema presenti nella cartella System Volume Information e, in caso di cancellazione si ricreano automaticamente, anche con il Ripristino Configurazione di sistema disabilitato.
Quello che mi interessa è vedere il log di Hthis e quello di Bitdefender.
...... grazie per il nuovo link di dustbuster, lo scarico, lo installo e lo lancio ..... aggiornamento: l'ho lanciato, e dice letteralmente "l'analisi di questo sistema potrebbe richiedere alcuni minuti a causa del numero di file archiviati sull'unita' predefinita" :D - gira da 10 min e sto ancora aspettando...
Lascialo terminare; credo abbia parecchia roba da rimuovere ;)

Ciao! Sono Mr.Sambo...ed è il mio primo post qui nel forum!

L'altro giorno, da buon fesso, scaricando questo mondo e quell'altro...mi sono accorto che AntiVir non c'era più! Ho provato a rimetterlo, a far partire SpyBoot S&D, poi altri antivirus...e niente! Gli eseguibili scomparivano, modalità provvisoria Kaputt...ergo: Bagle!

Intanto grazie per questa guida alla disinfestazione! E' veramente fantastica!
Ho seguito pari pari i vostri consigli e vi posto i log.

1 - disattivazione ripristino conf di sys: fatto!

2 - elibagla: ha effettivamente trovato un pò di immondizia. Vi posto il log:
http://www.zshare.net/download/61942720e27d66/

3 - kaspersky: trova 7 trojan! di cui 4 sono il nostro amico Bangle, 1 è l'exe da dove era partito tutto (un ipotetico crack che mi ha fregato come un pollo), 1 è una dll di Flight Simulator che può essere confusa (così mi hanno detto sul sito del produttore dell'Add-on di FS, quindi son tranquillo) e l'ultimo è localizzato nella cartella C:\Muestras creata da Elibagla. Alla fine ho fatto "elimina" su tutti questi files.

4 - Avenger: fatto, vi posto il log: Visto che molte delle righe finali del log erano "Registry Key....not found", ho rifatto la scanasione mettendo "C" e il mio "Nome utente" nei parametri da voi indicati.
http://www.zshare.net/download/6194355b7b92de/

5 - Panda non ha trovato niente;

6 - CC ha pulito qui e li (gli ho fatto verificare anche l'integrità di registro)

7 - HijackThis ha prodotto il seguente log:
http://www.zshare.net/download/619417731aa1be/

Mo che faccio!?
Posso riattivare il ripristino config/sys, godermi i 29 gg rimasti di Kaspersky e poi ritornare ad AntiVir?
E' finita sta rottura di scatole!?

Grazie mille e scusate il disturbo!

Mr.Sambo

Mo che faccio!?
Posso riattivare il ripristino config/sys, godermi i 29 gg rimasti di Kaspersky e poi ritornare ad AntiVir?
E' finita sta rottura di scatole!?

Riesegui HijackThis clicca su Do a system scan - metti il segna di spunta nella casella bianca a sx delle voci sottoindicate e clicca su Fix checked:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2BDC9A-676D-4199-AA68-5833A40BDEAD}: NameServer = 203.223.153.21,203.223.145.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{62A8C968-1506-4DDE-A251-2577892D0EEB}: NameServer = 203.223.153.21,203.223.145.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD76DE56-698D-4BDA-972F-ACEE6B3C3C77}: NameServer = 203.223.153.21,203.223.145.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2332524-8B11-4235-B5A6-DB54D5117A15}: NameServer = 203.223.153.21,203.223.145.179
O20 - Winlogon Notify: esucmd32 - esucmd32.dll (file missing)
al termine riallega un nuovo log di HJT.

Inoltre dovresti aggiornare IE alla versione 7 a prescindere dal fatto che usi Firefox

Puoi goderti tranquillamente i 29GG del Kaspersky per poi tornare ad Antivir ma ricorda di affiancare all'antivirus un firewall software

Grazie mille e scusate il disturbo!
Nessun disturbo finalmente qualcuno che segue la Guida (appositamente scritta) in autonomia e con ottimi risultati, ciao.

*** CUT ***

Lascialo terminare; credo abbia parecchia roba da rimuovere ;)

Ha finito, ma non ha minimamente interagito con l'utente... lascia dei log da qualche parte? :o

cmq sto facendo partire bitdefender online, al termine postero' il suo log e quello di hjthis.

Sono uno di quelli che sono stati colpiti da bagle a causa di un file scaricato da emule e ho un grosso problema.
Usando ElibaglA sono riuscito a installare la versione trial 30gg di kaspersky internet security 7.0 che mi ha trovato e cancellato i files infetti solo che adesso il servizio wireless di windows non si attiva!!!!!!!!:mc:

NON SO COSA FARE :cry: SE QUALCUNO SA QUALCOSA PER FAVORE MI AIUTI!!!



P.S. ho Windows Vista home premium
P.P.S. se postate la soluzione per favore mandatemela anche a thecheater@libero.it

@TheCheater

Il system restore è stato disabilitato?

Gmer
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.
Download: http://www.gmer.net/gmer.zip

Passata con Ccleaner e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK
http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/

HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.com/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Log da allegare:
Gmer
HijackThis

Prova a ripristinare il servizio wireless così:
Start --> Esegui --> digita SERVICES.MSC --> Ok
cerca ed abilita i seguenti servizi:
Connessioni di rete, Zero Configuration reti senza fili
con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok

Sono uno di quelli che sono stati colpiti da bagle a causa di un file scaricato da emule e ho un grosso problema.
Usando ElibaglA sono riuscito a installare la versione trial 30gg di kaspersky internet security 7.0 che mi ha trovato e cancellato i files infetti solo che adesso il servizio wireless di windows non si attiva!!!!!!!!:mc:

NON SO COSA FARE :cry: SE QUALCUNO SA QUALCOSA PER FAVORE MI AIUTI!!!



P.S. ho Windows Vista home premium
P.P.S. se postate la soluzione per favore mandatemela anche a thecheater@libero.it

ho gia' scritto qualcosa qualche post piu' su. piu' nel dettaglio, puoi fare cosi':


Devi Ripristinare il servizio Zero Configuration reti senza fili. Per ripristinare l'uso del servizio Zero Configuration reti senza fili devi riattivare i componenti di sistema NDISUIO e RPC. Per farlo incolla il testo sottostante sul Blocco note e salva il file con il nome "registro.reg". Assicurati che l'estensione del file sia REG e non TXT. Fa' doppio click sul file appena creato e dai la conferma per due volte. Per apportare le modifiche al registro dovrai naturalmente riavviare il computer.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004


se non funziona al primo riavvio, riavvia due volte. vedrai che magicamente tutto tornera' a posto. se per caso non andasse ancora, assicurati che il servizio zero configuration reti senza fili sia attivato di default (pannello di controllo - strumenti di amministrazione - servizi - zero configuration reti senza fili).

facci sapere.

ho gia' scritto qualcosa qualche post piu' su. piu' nel dettaglio, puoi fare cosi':

*** CUT ***

facci sapere.

ops. ho appena letto che hai vista. non sono sicuro al 100% che funzioni cio' che ti ho detto sul registro, chiedo aiuto a chi ha piu' knowledge su vista.

Ha finito, ma non ha minimamente interagito con l'utente... lascia dei log da qualche parte? :o

cmq sto facendo partire bitdefender online, al termine postero' il suo log e quello di hjthis.

ecco il log di bitdefender (scusate lo zip, ma l'html su zshare non lo fa caricare)
bitdefenderonlinelog-200801051239.zip - 0.04MB (http://www.zshare.net/download/62088137e4d34d/)

ed ecco quello di hijackthis hijackthis.log-200801051301.txt - 0.01MB (http://www.zshare.net/download/6208866287b9f4/)

next step?

f

Ha finito, ma non ha minimamente interagito con l'utente... lascia dei log da qualche parte?
Ciao Kali: no niente log da Dust Buster; come hai potuto constatare, lavora in automatico ed al termine rilascia, in una finestrella gialla, un breve riassunto di ciò che ha eliminato.
Ora controllo i log che hai allegato.

Ciao Kali: no niente log da Dust Buster; come hai potuto constatare, lavora in automatico ed al termine rilascia, in una finestrella gialla, un breve riassunto di ciò che ha eliminato.


mmh.. avevo lasciato il pc per la notte, e quando sono arrivato la finestrella non c'era :) peccato, ero curioso....



Ora controllo i log che hai allegato.


grazie! aspetto. se non avete pranzato.. buon pranzo! :)

Direi che ci siamo.

Risultato della scansione con Bitdefender:

http://img120.imageshack.us/img120/7271/41522609rb4.th.jpg (http://img120.imageshack.us/my.php?image=41522609rb4.jpg)


Log di Hthis:
Presumo che questa sia roba che conosci:
C:\Programmi\Panorama\Panorama.exe

Queste voci le puoi tranquillamente fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

Ora non ti resta che installare un antivirus e un firewall software.

Per l'antivirus ti suggerisco:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post); se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Per il firewall, credo che Comodo Firewall possa fare al tuo caso.

Concludendo:

● fai sapere, una volta eseguita la scansione completa con Avira, se viene rilevato qualcosa;
● tutti i tool che hai utilizzato fino ad ora, li puoi tranquillamente cestinare, comprese eventuali cartelle create e log;
● fammi un breve riepilogo dei software che, per risolvere il problema, hai installato, in maniera da inidicarti quali potresti tenere e quali no.
Naturalmente, se riscontri ancora problemi, segnalali.

Ciao Chill-Out ho controllato SERVICES.MSC ma Zero configuration reti senza fili non c'è!
Ho fatto la scansione con gmer e hijack ecco i log:

Gmer : http://www.zshare.net/download/62112314e3e8ee/

Hijack : http://www.zshare.net/download/62112591f882f0/

in più ci sono altre due cose strane:

1° : Kaspersky ogni tanto mi dice che il sistema è in modalità provvisoria anche se è in modalità normale :mbe:

2° : la cartella "hidir" che avrebbe dovuto creare bagle sembra non esistere però nel registro ho trovato queste righe

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HidIr
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HidIr
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\HidIr

(non so se ce ne sono altre simili) che faccio?:help:

(non so se può cambiare qualcosa ma il computer con Vista è un portatile Acer Aspire 5920G)

(come prima se trovi qualcosa segnalamelo a thecheater@libero.it)

Direi che ci siamo.

Risultato della scansione con Bitdefender:

http://img120.imageshack.us/img120/7271/41522609rb4.th.jpg (http://img120.imageshack.us/my.php?image=41522609rb4.jpg)


Log di Hthis:
Presumo che questa sia roba che conosci:
C:\Programmi\Panorama\Panorama.exe


si, e' una piccola utility che varia a tempo lo sfondo del desktop.


Queste voci le puoi tranquillamente fixare:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"


sulla prima ok.. la seconda in fondo pure, non e' cosi' cruciale mandare i report sui crash a microsoft.. ma gli altri due? dumeter e' un programmino che mi indica quanta banda sto usando su tutte le interfacce di rete, in e out... e' utile, specie quando mi collego col cell.. ituneshelper non fara' per caso smettere di funzionare itunes (la palla al piede che devo tenere per l'ipod?).


Ora non ti resta che installare un antivirus e un firewall software.

Per l'antivirus ti suggerisco:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post); se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Per il firewall, credo che Comodo Firewall possa fare al tuo caso.

Concludendo:

● fai sapere, una volta eseguita la scansione completa con Avira, se viene rilevato qualcosa;
● tutti i tool che hai utilizzato fino ad ora, li puoi tranquillamente cestinare, comprese eventuali cartelle create e log;
● fammi un breve riepilogo dei software che, per risolvere il problema, hai installato, in maniera da inidicarti quali potresti tenere e quali no.
Naturalmente, se riscontri ancora problemi, segnalali.

ok, fammi sapere sui dubbi che ti ho sollevato riguardo ai fix di hjthis, nel frattempo scarico e installo antivir e poi comodo.. e ti faccio sapere.

sui tool.. a parte gli standalone (panda antirootkit, elibagle, hjthis, gmer... etc) ho istallato dustbuster e aggiornato ccleaner (che cmq uso da anni). non mi pare di aver installato altro (a parte antivir e comodo che pero' mi accingero' ad installare tra poco).

*** CUT ***

(come prima se trovi qualcosa segnalamelo a thecheater@libero.it)

puoi semplicemente sottoscrivere la discussione; se nel tuo account di questo forum specifichi l'indirizzo thecheater@libero.it come e-mail del tuo profilo (cosa che probabilmente hai gia' fatto) e poi nei setting chiedi di avere una mail per ogni modifica delle discussioni che sottoscrivi, ti basta sottoscrivere la discussione e ti arrivera' una mail ogni volta che qualcuno posta un messaggio nel thread.

puoi semplicemente sottoscrivere la discussione; se nel tuo account di questo forum specifichi l'indirizzo

grazie per il suggerimento

dumeter e' un programmino che mi indica quanta banda sto usando su tutte le interfacce di rete, in e out... e' utile, specie quando mi collego col cell
Appurata la comodità e la necessità, direi che lo puoi lasciare dove si trova.
.. ituneshelper non fara' per caso smettere di funzionare itunes (la palla al piede che devo tenere per l'ipod?)
Non credo proprio.
In definitiva lo rimuovi solo dai programmi in avvio: lo puoi lanciare, tranquillamente da > Start > Programmi – nel caso tu dovessi farne ricorso.
sui tool.. a parte gli standalone (panda antirootkit, elibagle, hjthis, gmer... etc) ho istallato dustbuster e aggiornato ccleaner (che cmq uso da anni). non mi pare di aver installato altro (a parte antivir e comodo che pero' mi accingero' ad installare tra poco).

Tieni:

Panda Antirootkit e lo accoppii a TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)

Devi creare una apposta Cartella ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato

Hthis, potrà sempre tornarti utile, tienilo

DustBuster lo puoi tenere, accoppiato a CCleaner, che ti suggerisco settare in questa configurazione (CCleaner, ovviamente):

● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

GMer, Elibagla, ecc., li puoi cestinare, comprese le eventuali cartelle ed i log generati.

Oltre all’antivirus ed al firewall, prenderei in considerazione l’installazione di un antispyware; a mio parere, quello che ti indico fa al caso tuo, tenendo anche conto del fatto che, oltre ad essere problabilmente il migliore tra i software della specie, oltre ad eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, implementa, tra le altre cose, una funzione di protezione in tempo reale:

SPYWARE TERMINATOR (richiede l’installazione)
clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)

Suggerimenti ed informazioni utili in relazione a Spyware Terminator, sono reperibili nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

grazie per il suggerimento

ma ti pare :)

In merito alla mia richiesta d'aiuto a cui è stato risposto

@TheCheater

Il system restore è stato disabilitato?

Gmer
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, riporta nel prossimo post le eventuali righe in rosso rilevate.
Download: http://www.gmer.net/gmer.zip

Passata con Ccleaner e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK
http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/

HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.com/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Log da allegare:
Gmer
HijackThis

Prova a ripristinare il servizio wireless così:
Start --> Esegui --> digita SERVICES.MSC --> Ok
cerca ed abilita i seguenti servizi:
Connessioni di rete, Zero Configuration reti senza fili
con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok

Al che io ho ribattuto:

Ciao Chill-Out ho controllato SERVICES.MSC ma Zero configuration reti senza fili non c'è!
Ho fatto la scansione con gmer e hijack ecco i log:

Gmer : http://www.zshare.net/download/62112314e3e8ee/

Hijack : http://www.zshare.net/download/62112591f882f0/

in più ci sono altre due cose strane:

1° : Kaspersky ogni tanto mi dice che il sistema è in modalità provvisoria anche se è in modalità normale :mbe:

2° : la cartella "hidir" che avrebbe dovuto creare bagle sembra non esistere però nel registro ho trovato queste righe

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HidIr
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HidIr
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\HidIr

(non so se ce ne sono altre simili) che faccio?:help:

(non so se può cambiare qualcosa ma il computer con Vista è un portatile Acer Aspire 5920G)

(come prima se trovi qualcosa segnalamelo a thecheater@libero.it)

Vorrei generalizzare la richiesta ovvero

C'è QUALCUNO CHE SA COSA SUCCEDE AL MIO COMPUTER?? :cry: :help:

eccomi qui...premetto che nn ci capisco una cippa...

sto eseguendo le procedure in 1ma pagina, in quanto ne avg ne sygate partono all'avvio di windows e nemmeno manualmente...

Domande...elibagle una volta avviato va mantenuta la spunta in basso o va tolta? senza spunta il log segnala praticamente nulla

inoltre...avenger facendo input manually e la lente non mi fa scegliere nessun log e dunque nn posso utilizzarlo...

Panda rootkits non ha trovato nulla, mentre a squared e ad-aware hanno trovato dei cookies e 3 trojan contenuti in programmi "legali"...questi sono stati posti in quarantena...

Adsr: mi segnala l'ira di Dio...se tenessi la spunta a tutto quanto mi elimina un sacco di file che so per certo essere innocui come pdf di contratti di lavoro, foto ecc...

registry mechanic: mi trova 500 problemi circa, da gravi a meno gravi e nella versione free non può correggerli

gmer: andava alla grande poi sopravviene un errore del "caro" windows e si chiude...:mad:

ora sto facendo andare bit defender

Nel frattempo resto in attesa...:(

in quarantena...

Adsr: mi segnala l'ira di Dio...se tenessi la spunta a tutto quanto mi elimina un sacco di file che so per certo essere innocui come pdf di contratti di lavoro, foto ecc...

registry mechanic: mi trova 500 problemi circa, da gravi a meno gravi e nella versione free non può correggerli

adsr non elimina i file, ma solo gli ads.

usa ccleaner per risolvere i problemi al registro, magari nn li trova tutti, ma i piu importanti si

Questo il risultato di bitdefender

La cosa strana è che anche lui mi ha trovato oltre ai virus messi nel txt, mi avrebbe messo come virus "parti di programmi legali", che so per certo nn esserlo...

:muro:

Ecco anche avenger:rolleyes:

gmer continua a farmi errore dopo 10min...:doh:

eli bagle se analizza il disco +grande si autochiude dopo pochi secondi!!!:muro:

@ chater:
nn sono un esperto di questo virus, ma credo che in teoria i file indicati nel primo post (hidr.exe,ecc) se sei infetto dovrebbero comparire, ma nn compaiono....
dal log di hijackthis nn sembra emergere nulla, tranne la voce riguardante regcleaner, ma niente di che....
le chiavi di registro da te indicate dovrebbero essere leggittime
speriamo che il grande chill ti sappia rispondere al piu presto
strano che in servizi nn compaia il servizo zero configuration....

Questo hijack...

ditemi voi...qui mi pare nn sia cambiato nulla fino ad ora...

ho anche già dato una pulita e sistemata con cccleaner...:confused:

Insomma permane il problema che gli antivirus nn partono e parte invece la connessione nn appena avviato il pc


ps. su uno dei due virus ho trovato questo...non so se vi può essere "d'aiuto per aiutarmi"

http://www.avira.com/it/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html

ciao a tutti..non volevo disturbarvi e sono due giorni che provo da solo a togliere questo virus senza nessun risultato..anzi!
ho seguito passo passo le vostre istruzioni (grazie a voi ho di nuovo la connessione wireless:D )ma non c'è niente da fare.
non mi fa installare nessun antivirus nè kav nè ccleaner nè dustbuster ecc.
ho notato una cartella "down" in system32 che si popola manmano di******.exe (ora sono una ventina)..l'ho cancellata ma ovviamente al reboot mi si ripresenta
gmer mi dava in rosso ndlrrr *hidden*

http://www.zshare.net/download/6220505e8247bb/[/url]
http://www.zshare.net/download/62203921763157/
[url]http://www.zshare.net/download/62204611467b3

(approfittando della vostra infinita pazienza..dove piazzo il registro.reg?)

ragazzi..vi giuro..non vi volevo togliere tempo ma proprio non ci sto riuscendo..:help:

ciao a tutti..non volevo disturbarvi e sono due giorni che provo da solo a togliere questo virus senza nessun risultato..anzi!
ho seguito passo passo le vostre istruzioni (grazie a voi ho di nuovo la connessione wireless:D )ma non c'è niente da fare.
non mi fa installare nessun antivirus nè kav nè ccleaner nè dustbuster ecc.
ho notato una cartella "down" in system32 che si popola manmano di******.exe (ora sono una ventina)..l'ho cancellata ma ovviamente al reboot mi si ripresenta
gmer mi dava in rosso ndlrrr *hidden*

http://www.zshare.net/download/6220505e8247bb/[/url]
http://www.zshare.net/download/62203921763157/
[url]http://www.zshare.net/download/62204611467b3

(approfittando della vostra infinita pazienza..dove piazzo il registro.reg?)

ragazzi..vi giuro..non vi volevo togliere tempo ma proprio non ci sto riuscendo..:help:

e' probabilmente la stessa variante che ha rotto le scatole a me.

ti consiglio di seguire attentamente la guida.

ricordati di disabilitare ripristino configurazione di sistema. per prima cosa installa ccleaner dalla modalita' normale. quindi lancia, sempre da modalita' normale, gmer e hjthis, e posta qui i log, qualcuno capira' esattamente quali sono le cose da buttare via. lancia poi una prima volta elibagle, ti permettera' di accedere alla modalita' provvisoria. ora riavvia e lancia la modalita' provvisoria. per prima cosa riesegui elibagle. cerca di procedere in accordo con la guida alla prima pagina di questo thread: salta pero' il passaggio relativo a kaspersky (KAV), con la variante che sembri avere si e' dimostrato deleterio. lancia avenger con lo script che ti verra' consigliato da qualcuno che avra' letto i log che hai postato. quando riavvii dopo aver lanciato avenger, dovrai naturalmente andare in modalita' normale (altrimenti lo script di avenger non sara' in grado di partire). trovandoti in modalita' normale esegui panda antirootkit. riavvia, e da modalita' provvisoria esegui ccleaner. riavviando di nuovo in modalita' normale esegui hjthis, riposta il log e vediamo se c'e' qualcos'altro da rimuovere. lancia la scansione online con bitdefender, e fatti ripulire quello che trova. a questo punto dovresti avere quasi fatto, cioe' dovresti essere pronto per installare di nuovo un antivirus (io ho installato avira antivir free, sotto consiglio di chi frequenta questo forum, e mi pare niente male, ma probabilmente anche AVG free va bene) e fargli fare una scansione completa. guardando i post precedenti e la guida in prima pagina del thread troverai istruzioni dettagliate per ogni passaggio, se hai difficolta' scrivi pure, scoprirai con piacere che c'e' gente esperta e soprattutto molto gentile che cerchera' di aiutarti.

in bocca al lupo.

Appurata la comodità e la necessità, direi che lo puoi lasciare dove si trova.

Non credo proprio.
In definitiva lo rimuovi solo dai programmi in avvio: lo puoi lanciare, tranquillamente da > Start > Programmi – nel caso tu dovessi farne ricorso.


Tieni:

Panda Antirootkit e lo accoppii a TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)

Devi creare una apposta Cartella ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato

Hthis, potrà sempre tornarti utile, tienilo

DustBuster lo puoi tenere, accoppiato a CCleaner, che ti suggerisco settare in questa configurazione (CCleaner, ovviamente):

● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

GMer, Elibagla, ecc., li puoi cestinare, comprese le eventuali cartelle ed i log generati.

Oltre all’antivirus ed al firewall, prenderei in considerazione l’installazione di un antispyware; a mio parere, quello che ti indico fa al caso tuo, tenendo anche conto del fatto che, oltre ad essere problabilmente il migliore tra i software della specie, oltre ad eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, implementa, tra le altre cose, una funzione di protezione in tempo reale:

SPYWARE TERMINATOR (richiede l’installazione)
clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)

Suggerimenti ed informazioni utili in relazione a Spyware Terminator, sono reperibili nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

ok, forse abbiamo finalmente finito. questo e' il log dopo la scansione completa con avira antivir: avscan-20080105-173547-31f2c6ed.log - 3.22MB (http://www.zshare.net/download/623732567e84df/)

possiamo considerare chiusa la faccenda?

un'altra cosa. non riesco piu' a scaricare .exe col browser, non ha i permessi per scrivere (gli .zip invece li scarica). di chi e' la colpa? comodo o avira antivir? come posso ovviare alla faccenda? e' piuttosto sgradevole (ad esempio non posso scaricare spyware terminator).

ok, forse abbiamo finalmente finito. questo e' il log dopo la scansione completa con avira antivir: avscan-20080105-173547-31f2c6ed.log - 3.22MB (http://www.zshare.net/download/623732567e84df/)

possiamo considerare chiusa la faccenda?


p.s.: quando posso riattivare il ripristino configurazione di sistema?

grazie. grazie. grazie. siete dei grandi.:D
sembra tutto ok adesso. vi posto il log di hijack. gli date un'occhiata per favore?
(dove piazzo il registro.reg che ho usato per riavere il wireless?)
http://www.zshare.net/download/6237363a6079f1/

ok, forse abbiamo finalmente finito. questo e' il log dopo la scansione completa con avira antivir: possiamo considerare chiusa la faccenda?

:mbe: cosa saranno mai i quattro file classificati come sospetti?

30634 Scanning directory
16 virus e/o programmi indesiderati sono stati rilevati
4 file sono stati classificati come sospetti:
2 file sono stati cancellati
0 file sono stati riparati
10 file sono stati spostati in quarantena
0 file sono stati rinominati
0 oggetti sono stati rilevati

Intanto, Kali, puoi, per favore, controllare cosa è stato messo in quarantena (verifica se viene rilasciato un log della quarantena), per favore?.
un'altra cosa. non riesco piu' a scaricare .exe col browser, non ha i permessi per scrivere (gli .zip invece li scarica). di chi e' la colpa? comodo o avira antivir?
Prova a scaricarne uno, chiudendo prima l'antivirus (quindi con il solo firewall in esecuzione) e poi esegui la prova contraria (antivirus in esecuzione e firewall cessato).
Ovviamente prova anche la terza alternativa: scaricando, dopo aver cessato sia l'antivirus che il firewall (cosi siamo sicuri che il problema non dipenda da altro).

grazie. grazie. grazie. siete dei grandi.:D
sembra tutto ok adesso. vi posto il log di hijack. gli date un'occhiata per favore?
(dove piazzo il registro.reg che ho usato per riavere il wireless?)
http://www.zshare.net/download/6237363a6079f1/

mi pare che sia piu' o meno a posto, ma cerco conforto in chi e' piu' esperto di me. il registro.reg puoi tranquillamente cancellarlo.

:mbe: cosa saranno mai i quattro file classificati come sospetti?



Intanto, Kali, puoi, per favore, controllare cosa è stato messo in quarantena (verifica se viene rilasciato un log della quarantena), per favore?.

Prova a scaricarne uno, chiudendo prima l'antivirus (quindi con il solo firewall in esecuzione) e poi esegui la prova contraria (antivirus in esecuzione e firewall cessato).
Ovviamente prova anche la terza alternativa: scaricando, dopo aver cessato sia l'antivirus che il firewall (cosi siamo sicuri che il problema non dipenda da altro).

sulla quarantena, erano un eseguibile di un modem usb identificato come dialer e degli archivi scaricati da emule. lo ho cancellati brutalmente.

per quanto riguarda lo scaricamento degli exe, mi puzzava che fosse avira, infatti il colpevole e' comodo, nella fattispecie la protezione proattiva: lasciando attivato il firewall e disattivando la protezione proattiva riesco a scaricare. il problema e' che qualunque setting scelga per questa protezione proattiva mi impedisce lo scaricamento, a meno che non la disattivi....

quando posso riattivare il ripristino configurazione di sistema?
Se vuoi un suggerimento, lascialo disattivato, per sempre; inoltre, creati un account utente con privilegi limitati e naviga con quello.
Sommando questi due accorgimenti alla configurazione di sicurezza in uso, riduci, quasi a zero, il rischio di ritrovarti, in qualche maniera, con il sistema infettato.
per quanto riguarda lo scaricamento degli exe, mi puzzava che fosse avira, infatti il colpevole e' comodo, nella fattispecie la protezione proattiva: lasciando attivato il firewall e disattivando la protezione proattiva riesco a scaricare. il problema e' che qualunque setting scelga per questa protezione proattiva mi impedisce lo scaricamento, a meno che non la disattivi....
Prova a dare una occhiata e/o chiedere nel thread ufficiale sul forum: http://www.hwupgrade.it/forum/showthread.php?t=1598794
Per il resto, mi pare si possa dire che siamo arrivati alla fine di questa avventura.

..... vi posto il log di hijack. gli date un'occhiata per favore?
Il log è a posto; anche per te valgono un paio dei suggerimenti già offerti a Kali:
1) installa un firewall software;
2) installa un antispyware che offra, tra le diverse funzioni, una protezione in tempo reale.

Scusate...ma...nessuno mi sa dare una mano?:rolleyes:

@TheCheater

per favore allega il log di Elibagle

Scusate...ma...nessuno mi sa dare una mano?:rolleyes:
E tu da dove spunti? :mbe: ora controllo :(

Edit di aggiornamento: secondo me hai sbagliato, totalmente, discussione.
Apri una una discussione nella sottosezione generica di Aiuto sotto infetto, facendo un breve riassunto dei problemi che riscontri.
Evita titoli tipo Aiuto, Help, e ca***te del genere.

Se vuoi un suggerimento, lascialo disattivato, per sempre; inoltre, creati un account utente con privilegi limitati e naviga con quello.
Sommando questi due accorgimenti alla configurazione di sicurezza in uso, riduci, quasi a zero, il rischio di ritrovarti, in qualche maniera, con il sistema infettato.

Prova a dare una occhiata e/o chiedere nel thread ufficiale sul forum: http://www.hwupgrade.it/forum/showthread.php?t=1598794


credo di aver risolto, devo solo giocare un po' con il programma, e' molto piu' fine di quanto non fossi abituato con sygate personal firewall. se dovessi avere problemi provero' a chiedere aiuto nel thread ufficiale. piccola cosa: ho visto che comodo distribuisce un antivirus con la stessa licenza free e lo stesso spirito di comodo. c'e' qualche motivo per non utilizzarlo a favore di avira antivir?


Per il resto, mi pare si possa dire che siamo arrivati alla fine di questa avventura.

alleluja....

grazie, davvero, a tutti. spero di poter ricambiare, davvero....

un abbraccio,
Francesco

ho visto che comodo distribuisce un antivirus con la stessa licenza free e lo stesso spirito di comodo. c'e' qualche motivo per non utilizzarlo a favore di avira antivir?
Si: che Avira Antivir è, in questo momento, assieme ad un paio di noti software antivirus a pagamento, il migliore tra gli antivirus in circolazione (ed è free).
Se vuoi proprio farti una idea, dai una occhiata all'ultimo Report rilascialo da AV Comparatives: clicca qui (http://www.av-comparatives.org/seiten/ergebnisse/report16.pdf)

L'avevo fatto ma qualcuno mi ha detto di cercare questa discussione...:(

Va beh...lo rifaccio qui (http://www.hwupgrade.it/forum/showthread.php?t=1645320) grazie:)

Ho bisogno di aiuto per ripristinare la connessione wifi del mio portatile con Vista che è sballata a causa di bagle. Chill-Out mi aveva deto di ripristinare i servizi "connessioni di rete" e "ZERO configuration di reti senza fili"; il primo l'ho trovato ed era attivo il secondo però non c'è :confused: da quello che ho capito il wifi è controllato da dal servizio "configurazione automatica WLAN" che però non posso attivare perchè uno o più dei componenti di sistema da cui dipende è fuori uso, ho visto che dipende dai servizi RPC, configurazione dei servizi DCOM, un altro che non ricordo (i nomi potrebbero essere leggermente diversi) e sono attivi; i due componenti di cui non sono sicuro non sono servizi (l'icona è un piccolo computer invece degli ingranaggi) e sono "Native WiFi Filter" e "NDIS I\O protocol" che non trovo da nessuna parte!! come faccio a ripristinarli?? oltretutto la cartella hidires che il virus avrebbe dovuto creare e relativo contenuto non si trova da nessuna parte come pure la voce di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srosa e le altre nella stessa zona, però ho trovato HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA (delle altre non sono sicuro) ma non è eliminabile :muro: !

COSA FACCIO PER RIAVERE IL WIFI ED ELIMINARE LE TRACCE DAL REGISTRO A PARTE SUICIDARMI? :help:

Ho bisogno di aiuto per ripristinare la connessione wifi del mio portatile con Vista che è sballata a causa di bagle. Chill-Out mi aveva deto di ripristinare i servizi "connessioni di rete" e "ZERO configuration di reti senza fili"; il primo l'ho trovato ed era attivo il secondo però non c'è :confused: da quello che ho capito il wifi è controllato da dal servizio "configurazione automatica WLAN" che però non posso attivare perchè uno o più dei componenti di sistema da cui dipende è fuori uso, ho visto che dipende dai servizi RPC, configurazione dei servizi DCOM, un altro che non ricordo (i nomi potrebbero essere leggermente diversi) e sono attivi; i due componenti di cui non sono sicuro non sono servizi (l'icona è un piccolo computer invece degli ingranaggi) e sono "Native WiFi Filter" e "NDIS I\O protocol" che non trovo da nessuna parte!! come faccio a ripristinarli?? oltretutto la cartella hidires che il virus avrebbe dovuto creare e relativo contenuto non si trova da nessuna parte come pure la voce di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srosa e le altre nella stessa zona, però ho trovato HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA (delle altre non sono sicuro) ma non è eliminabile :muro: !

COSA FACCIO PER RIAVERE IL WIFI ED ELIMINARE LE TRACCE DAL REGISTRO A PARTE SUICIDARMI? :help:

http://www.hwupgrade.it/forum/showpost.php?p=20430089&postcount=391

al momento non posso allegarlo perchè non ce l'ho a portata di mano qualche suggerimento nel frattempo?

purtroppo in questi giorni ho pochissimo tempo, ti ho chiesto il log perchè credo che i tuoi problemi non siano riconducibili tutti al Bagle, proviamo a risolvere il problema del wi-fi che ti affligge:

Prima prova così, se non dovesse funzionare bisogna smanettare nel registro:
Start --> Esegui --> digita SERVICES.MSC --> Ok e riattiva i servizi NDISUIO e RPC

Il servizio NDISUIO non compare nell'elenco servizi comunque ecco il log di elibagla http://www.zshare.net/download/6270895dbfa99c/

Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di Registry.reg NB: l'estensione deve essere .reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004

doppio click sul file Registry.reg e riavvia il PC fammi sapere.

GRANDE CHILL-OUT!
La modifica di registro ha funzionato ora il WiFi è ripartito però la 3a chiave di registro HKEY_CURRENT_USER\Session\Information è sbagliata la chiave che ho trovato e modificato era HKEY_CURRENT_USER\SessionInformation con il valore suggerito da te e ha funzionato :ave:

mi è scappata una \ di troppo :) ti consiglio di fare una deepscan con a-squared
ed allegare il log http://www.hwupgrade.it/forum/showthread.php?t=1599737

Scusate la mia ingnoranza ma... quando c'è scritto:

<< Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata >>

Intende che la casella deve essere bianca o con la crocetta?

Inoltre devo avviarlo in Modalità provvisoria Elibagla?

E' possibile che questo virus (che mi sono preso con un crack scaricato da emule) oltre che disattivarmi le protezioni mi cancelli anche i Cookie e non mi permetta di usare DC++?
Inoltre, quando mi connetto con ALICE DSL, non vedo più il campo Login con la scritta ALICE.

Non è che ho pure un secondo virus?

:muro: :mc: :confused:

credo significhi mettere la crocetta
si, in modalità provvissoria

<< Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata >> ..... Intende che la casella deve essere bianca o con la crocetta?
Direi che dovresti mettere la spunta alla voce (o la crocetta, come ti pare)
Inoltre devo avviarlo in Modalità provvisoria Elibagla?
Non mi pare che ti sia stato suggerito di eseguirlo in quella modalità .... quindi ....
E' possibile che questo virus (che mi sono preso con un crack scaricato da emule) oltre che disattivarmi le protezioni mi cancelli anche i Cookie e non mi permetta di usare DC++?
Complimenti per ciò che scarichi da Emule :muro:
Non è che ho pure un secondo virus?
Direi, forse anche un terzo.

Direi che dovresti mettere la spunta alla voce (o la crocetta, come ti pare)

Non mi pare che ti sia stato suggerito di eseguirlo in quella modalità .... quindi ....

Complimenti per ciò che scarichi da Emule :muro:

Direi, forse anche un terzo.

Scusate, ma allora Avast fa proprio schifo se mi sono passati 2-3 virus senza accorgersene!!!

E il WINDOWS DEFENDERS di VISTA che faceva? Dormiva?

Scusate, ma allora Avast fa proprio schifo se mi sono passati 2-3 virus senza accorgersene!!!
Chi? Avast SIVirus? ;)
E il WINDOWS DEFENDERS di VISTA che faceva? Dormiva?
Perché Windows Defender, potrebbe fare altro? :eek: :mbe:

Chi? Avast SIVirus? ;)

Perché Windows Defender, potrebbe fare altro? :eek: :mbe:

Quale accoppiata di antivirus e Firewall Free mi consigliate?

Intanto ho scaricato Avira_AntivirPE_7_06.

Ora provo a rimuovere Bagle con le istruzioni inicate sopra, farò sapere. Sperem....

Ecco i risultati datimi dal file infosat.txt
Cosa devo fare? spero non un farmattone :confused:

Tue Jan 08 11:31:17 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Tue Jan 08 11:31:21 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\264703.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\69484.EXE --> Eliminado Bagle

Nº Total de Directorios: 13229
Nº Total de Ficheros: 87769
Nº de Ficheros Analizados: 13295
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Ecco i risultati datimi dal file infosat.txt
Cosa devo fare? spero non un farmattone :confused:

Tue Jan 08 11:31:17 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Tue Jan 08 11:31:21 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\264703.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\69484.EXE --> Eliminado Bagle

Nº Total de Directorios: 13229
Nº Total de Ficheros: 87769
Nº de Ficheros Analizados: 13295
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Elibagla ha eliminato qualcosa... continuare col resto della procedura ed allegare i log.

Ciao a tutti e grazie per le informazioni che ho potuto trovare in questo thread.

Dopo circa due giorni di tentativi a vuoto usando tutti i sistemi e tool indicati in questo topic alla fine sono riuscito, pare a estirpare il Bagle dal pc di mio fratello equipaggiato con Win Vista.

Infezione contratta i primi di gennaio, file da emule, con i sintomi degli altri utenti: antivirus disabilitato, centro sicurezza pc disabilitato, idem Windows Defender, Wi-Fi non funzionante. Abortiva perfino l'installazione di Firefox...:rolleyes:

Presenti i soliti

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

ma anche altri due file

C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
e
C:\Programmi Files\Synaptics\SynTP\SynTPEnh.exe

etrambi infettatisi credo dopo che sono riuscito a collegarmi ad internet via cavo rete per fare la scansione con Karspesky on line.

Ora, non mi ricordo nemmeno come, ma ho lavorato parecchio in mod provv ho eradicato tutto e kaspersky non mi rileva più nulla.

Antivirus reinstallato e funzionante, Centro Sicurezza pc funzionante, Windows Defender funzionante...

Va tutto tranne il Wi-Fi.


Altra cosa che non si riesce ad eliminare, ma che al riavvio non mi carica più il worm come faceva prima, sono le chiavi di registro relative a "srosa".
Impossibile cancellarle anche con Regseeker...
Per altro non vengono rilevate da nessun tool, ma ci sono.


Come posso fare ???



Grazie. :)

Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di Registry.reg NB: l'estensione deve essere .reg
Quote:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
doppio click sul file Registry.reg e riavvia il PC fammi sapere.

Per le chiavi che non riesci ad eliminare indicale con precisione nel prossimo post

Sto cercando di fare una scansione OnLine con kaspersky (dopo avere abbassato tutte le protezioni di Explorer Vista)

Non mi è possibile fare la scansione in modalità provvisoria perchè non mi funziona la connessione.

Purtroppo il sito mi da questo messaggio:

Failed to load Kaspersky Online Scanner ActiveX control!
You must have administrative rights on this computer;
you also must have the IE security settings to the Medium level.

Però sono Amministratore ed ho abbassato al massimo i livelli. Come posso fare per risolvere :mc: questo problemino?

Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di Registry.reg NB: l'estensione deve essere .reg
Quote:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
doppio click sul file Registry.reg e riavvia il PC fammi sapere.

Per le chiavi che non riesci ad eliminare indicale con precisione nel prossimo post



Grazie Chill, dopo lo faccio. :)




Avevo provato a togliere le chiavi con editando un file .reg con le chiavi interessate ma devo avere sbaglaito qualcosa... :rolleyes:

Ciao a tutti, spero qualcuno possa aiutarmi. Ho letto la discussione fin dall'inizio, il mio portatile è infettato dal win32 beagle. Ho Vista, avevo Avast ma è sparito l'exe.
Ho eseguito la procedura che si consigliava all'inizio... questo è il log

infosat.txt - 0.00MB (http://www.zshare.net/download/6316462f1be037/)

Spero di ricevere aiuto. Grazie in anticipo ;)

usa avenger ;)

Già scaricato, ma non gira su Vista...

Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di Registry.reg NB: l'estensione deve essere .reg
Quote:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
doppio click sul file Registry.reg e riavvia il PC fammi sapere.

Per le chiavi che non riesci ad eliminare indicale con precisione nel prossimo post

Ok, Chill naturalmente la tua procedura ha funzionato. :ave:

Ora sto postando dal portatile ex infetto e connesso in wi-fi... :cool: :D










Le chiavi che non riesco a cancellare sono con esattezza:


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA




Attendo istruzioni... ;)

in avenger

Registry keys to replace with dummy:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

@ennys

hai provato a cancellarle mettendo mano al Registro? Start - Esegui - Regedit

in avenger

Grazie Bugs, ma avendo Vista avanger non funge... :boh:

@ennys

hai provato a cancellarle mettendo mano al Registro? Start - Esegui - Regedit

Certo, ma non è possibile.

Non mi fa neanche cambiare le autorizzazioni... :muro:

Grazie Bugs, ma avendo Vista avanger non funge... :boh:


Mi associo e chiedo suggerimenti per il post poco sopra...
grazie :)

Certo, ma non è possibile.

Non mi fa neanche cambiare le autorizzazioni... :muro:


Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di ennys.reg NB: l'estensione deve essere .reg

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

doppio click sul file ennys.reg e riavvia il PC

Apri il Blocco Note copia e incolla il seguente testo, salva il file sul DeskTop col nome di ennys.reg NB: l'estensione deve essere .reg



doppio click sul file ennys.reg e riavvia il PC


Niente da fare !!!... :muro: :muro: :muro:


:rolleyes:

Allega un log di HijackThis + un log degli StartupList sempre da HJT, clicca su Open the Misc Tool section -> Generate StartupList Log mettendo il segno di spunta su entrambi i campi a dx ossia List also e List empty

Allega un log di HijackThis + un log degli StartupList sempre da HJT, clicca su Open the Misc Tool section -> Generate StartupList Log mettendo il segno di spunta su entrambi i campi a dx ossia List also e List empty

ennys startuplist.txt - 0.05MB (http://www.zshare.net/download/6320183eedf23a/)

ennys hijackthis.txt - 0.01MB (http://www.zshare.net/download/6320255358fce7/)



Nel fare il secondo log mi si apriva una finestra circa l'inaccessibilità del file host... :rolleyes:

Sto cercando di fare una scansione OnLine con kaspersky (dopo avere abbassato tutte le protezioni di Explorer Vista)

Non mi è possibile fare la scansione in modalità provvisoria perchè non mi funziona la connessione.

Purtroppo il sito mi da questo messaggio:

Failed to load Kaspersky Online Scanner ActiveX control!
You must have administrative rights on this computer;
you also must have the IE security settings to the Medium level.

Però sono Amministratore ed ho abbassato al massimo i livelli. Come posso fare per risolvere :mc: questo problemino?


Mi quoto da solo e correggo:

Ho scoperto che non mi avvia i programmi come amministratore. Che devo fare per risultare tale su Explorer in modo che funzioni kayspersky?

ora provo con kaspersky che funziona

kamandi:
modifica il post come da regole di sezione
grazie

ennys startuplist.txt - 0.05MB (http://www.zshare.net/download/6320183eedf23a/)

ennys hijackthis.txt - 0.01MB (http://www.zshare.net/download/6320255358fce7/)



Nel fare il secondo log mi si apriva una finestra circa l'inaccessibilità del file host... :rolleyes:

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
usa la versione aggiornata

Su su nessuno ha un altro modo che non sia Avenger (che su Vista non mi gira)?

Grazie

Mi quoto da solo e correggo:

Ho scoperto che non mi avvia i programmi come amministratore. Che devo fare per risultare tale su Explorer in modo che funzioni kayspersky?

tasto dx su IE esegui come amministratore (non dal collegamento ma dall'icona diretta del programma)
un altra cosa i file reg che ti aveva suggerito chill :prova tasto dx "unisci" disabilita prima UAC...

kamandi:
modifica il post come da regole di sezione
grazie


Ehm, dove le trovo le regole di sezione. Su regolamento del forum non ho trovato nulla.
Non capisco cosa devo modificare :( ma il Log va bene ugualmente?

ecco qui:
le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)
ovvero utilizza la funzione allegati oppure lo carichi sul sito www.zshare.net e copi qui il link x il download
grazie
ciao

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
usa la versione aggiornata

Fatto, grazie.


ennysstartuplist.txt - 0.05MB (http://www.zshare.net/download/6321537f4df7c0/)

ennyshijackthis.txt - 0.00MB (http://www.zshare.net/download/6321551b036f4f/)



:)

provo ad allegare questo log

si vede?

Fatto, grazie.


ennysstartuplist.txt - 0.05MB (http://www.zshare.net/download/6321537f4df7c0/)

ennyshijackthis.txt - 0.00MB (http://www.zshare.net/download/6321551b036f4f/)



:)

ho controllato ed apparentemente non c'è motico per cui il .reg non debba funzionare, prova ad eseguirlo in mod.provvisoria F8

Acciderbolina!!!!

Sono riuscito finalmente a scansionare il tutto con Kaspersky e mi ha pure trovato un altro Virus!!!!

Allego sotto il LOG txt

Però i problemi persistono: viene un messaggio di errore all'avvio di VISTA di Defender e non funziona il centro protezione.

Se riesco a risolvere il tutto, con il vostro aiuto, pensavo di mettere antivir_workstation_win7u_en_h oppure Avira_AntivirPE_7_06
Che differenza c'è tra i due?

GRAZIE GRAZIE GRAZIE

ho controllato ed apparentemente non c'è motico per cui il .reg non debba funzionare, prova ad eseguirlo in mod.provvisoria F8

Fatto ma niente.








Ho notato una stranezza:

la chiave

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

dopo aver applicato il file .reg è diventata

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]

e ora è nuovamente

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

:muro: :rolleyes:





Il pc però va benissimo in tutto e per tutto...

Fatto ma niente.








Ho notato una stranezza:

la chiave

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

dopo aver applicato il file .reg è diventata

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]

e ora è nuovamente

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

:muro: :rolleyes:





Il pc però va benissimo in tutto e per tutto...

c'è qualcosa che non quadra, hai effettuato i seguenti passaggi?

- disabilitato il system restore
- pulizia con Ccleaner
- scansione con Gmer alla ricerca di eventuali rootkit
- scansione online con Kaspersky
- cancellato manualmente i seguenti files e cartelle:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

in ogni caso avvia il PC come Amministratore, disconnesso dalla rete disabilita UAC e Windows Defender, Start - Esegui - Regedit e riprova a cancellare le chiavi in questione eventulamente se fosse necessario clicca su (modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione)

Ho eseguito di nuovo tutto, ora Elibagla non trova più virus e, a differenza di ieri, la modalità provvisoria funziona.

Dovrebbe essere a posto?

Il log di elibagla è questo:

infosat.txt - 0.00MB (http://www.zshare.net/download/6333367720b461/)

Ora faccio uno scan con kaspersky e posto il risultato

grazie

elibagla non trova più nulla, kaspersky invece già al 75% di scansione ha trovato 5 virus e 11 oggetti infettati... e ma uff

elibagla non trova più nulla, kaspersky invece già al 75% di scansione ha trovato 5 virus e 11 oggetti infettati... e ma uff

nel log di prima qualcosa ha eliminato...posta i log di kasper mi raccomando

dunque il log di kasperksy appena finito è questo

kaspersky.txt - 0.02MB (http://www.zshare.net/download/63352202d17bdd/)

c'è qualcosa che non quadra, hai effettuato i seguenti passaggi?

- disabilitato il system restore
- pulizia con Ccleaner
- scansione con Gmer alla ricerca di eventuali rootkit
- scansione online con Kaspersky
- cancellato manualmente i seguenti files e cartelle:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

in ogni caso avvia il PC come Amministratore, disconnesso dalla rete disabilita UAC e Windows Defender, Start - Esegui - Regedit e riprova a cancellare le chiavi in questione eventulamente se fosse necessario clicca su (modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione)

Grazie Chill per la pazienza :)

Purtroppo credo di aver fatto tutti i passaggi che riporti, anche perchè il thread credo di averlo letto con attenzionefin dall'inizio.

Tant'è che il pc non mi risulta più infetto qualsiasi esame e scansione lo si sottoponga.

Tutti i processi e le funzioni sono tornate alla normale funzionalità ed il pc infatti funziona molto bene.




Comunque verificherò passo passo la lista che hai allegato anche se non sono molto speranzoso anche il discorso di modificare le autorizzazione di regedit l'ho già provato più volte e non me lo fa fare in nessun modo... :rolleyes:

ennys

ma quando ti avvochi le autorizzazioni ti dà errore?

dunque il log di kasperksy appena finito è questo

kaspersky.txt - 0.02MB (http://www.zshare.net/download/63352202d17bdd/)

i malware sono tutti nei temporanei, è del pc che della java machine....:rolleyes:
Hai ripulito tutto con ccleaner?

i malware sono tutti nei temporanei, è del pc che della java machine....:rolleyes:
Hai ripulito tutto con ccleaner?

Uhm non ancora aspettavo indicazioni dopo kaspersky :stordita:

ora l'ho scaricato e lo faccio andare, poi ti aggiorno

grazie mille per l'aiuto

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia

Fatto! C'è un prossimo passo? rifaccio lo scan?

- scusate la pedanteria, zoppico un po' in informatica -

Fatto! C'è un prossimo passo? rifaccio lo scan?

- scusate la pedanteria, zoppico un po' in informatica -

per massima sicurezza sarebbe opportuno

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

riavvia ccleaner con nelle opzioni la spunta levata alla prima voce in avanzate (cancella file in windows ecc..) e controlla che nel quadro pulizia -> applicazioni sia presente anche la java (per alcuni misteriosi motivi a volte ccleaner non la "vede") naturalmente selezionata insieme al resto... epoi un altro giro di kasper e riposti i log

Ok! spuntate e controllate le voci di cccleaner. faccio un altro scan con kaspersky allora. Grazie a tutti

ennys

ma quando ti avvochi le autorizzazioni ti dà errore?

Sì, mi dà errore... :rolleyes:

Sì, mi dà errore... :rolleyes:

quale?

Grazie 1000 chill...

grazie al tool EliBaglA sono riusita ha installare nuovamente l'antivirus

adesso rimane la riattivazione del centro sicurezza e il defender.
Allego una foto per spiegarmi meglio.

http://img267.imageshack.us/img267/5130/immagineck9.th.jpg (http://img267.imageshack.us/my.php?image=immagineck9.jpg)

ciao

Grazie 1000 chill...

grazie al tool EliBaglA sono riusita ha installare nuovamente l'antivirus

adesso rimane la riattivazione del centro sicurezza e il defender.
Allego una foto per spiegarmi meglio.

http://img267.imageshack.us/img267/5130/immagineck9.th.jpg (http://img267.imageshack.us/my.php?image=immagineck9.jpg)

ciao

servono anche i log (file txt che ti rilasciano i tool di rimozione)

servono anche i log (file txt che ti rilasciano i tool di rimozione)



Roby

quale?

Il solito

"Protezione di Windows - Impossibile salvare le modifiche apportate alle autorizzazioni - Accesso Negato"


:rolleyes: :confused:

@ Roberta, per favore riedita il post nel quale hai copiato ed incollato il log; i log richiesti li devi allegare in questa maniera:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

Poi, continua in questo modo:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

scarica CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

Al termine riavvia e:

scarica ed installa HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
allega il log che verrà rilasciato

c'è qualcosa che non quadra, hai effettuato i seguenti passaggi?

- disabilitato il system restore
- pulizia con Ccleaner
- scansione con Gmer alla ricerca di eventuali rootkit
- scansione online con Kaspersky
- cancellato manualmente i seguenti files e cartelle:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\




Ho ricontrollato:
ho fatto tutto, anzi ho usato anche qualche altro tool, Elibagla, Cureit, e l'eccezionale AVG-AntiRootkit Free (questo è l'unico che mi ha scovato tutti i fle infetti, gli altri solo alcuni) ed altri ancora.

Il Pc è ora perfettamente pulito da tutto.

L'uniche cose rimaste sono quelle chiavi, che fra l'altro avevo individuato subito ma sono ancora lì...



in ogni caso avvia il PC come Amministratore, disconnesso dalla rete disabilita UAC e Windows Defender, Start - Esegui - Regedit e riprova a cancellare le chiavi in questione eventulamente se fosse necessario clicca su (modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione)

Scusa Chill, ma sono abituato a lavorare su Xp ed è la prima volta che ho per le mani un pc con Vista che poi è di mio fratello (io non ho mai preso virus nè mai formattato ;) )...

come si fa a loggarsi come admin in Vista ???

Disabilitando UAC ?
Da me dovrebbe già essere disabilitato...


La procedura di mettere il controllo completo l'ho gia tentata più volte anche in mod provvisoria... :rolleyes: :muro:

Già che ci sono colgo l'occasione per ringraziare ancora Chill-Out, ma anche Riverside, Lancetta e gli altri per la pazienza e la dettagliata competenza delle risposte.

:cool: :)

scusami ma non trovo la funzione Gestisci Allegati.

Roby

dopo una settimana di lotta il mio portatile con Vista semba aver superato bagle (anche se per qualche ragione sconosciuta Kaspersky è convinto che il sistema sia in modalità provvisoria :mbe: cosa che naturalmente non è qualche idea a proposito?) ora mi si pone un problema... ovvero esiste un antivirus free che riesca a proteggermi da questo maledettissiomo virus in futuro visto che il mio fido Avast non si è minimamente sognato di fare qualcosa (a parte venire distrutto dal virus si intende :rolleyes: ) anche un buon anti-spyware non ci starebbe male...

scusami ma non trovo la funzione Gestisci Allegati.

Roby

Se clicchi su "rispondi" qui in basso, dopo lo spazio per scrivere la risposta c'è lo spazio Opzioni aggiuntive -> gestisci allegati

Aggiornamento: dopo varie passate di elibagla e cccleaner, tutto in modalità provvisoria, tutto secondo indicazioni (per elibagla tutto pulito, per cccleaner anche) Kaspersky mi indica esattamente lo stesso numero di virus e file infettati di prima. Ora è al 75%, a breve allego log.

Grazie per la pazienza

Aggiornamento: dopo varie passate di elibagla e cccleaner, tutto in modalità provvisoria, tutto secondo indicazioni (per elibagla tutto pulito, per cccleaner anche) Kaspersky mi indica esattamente lo stesso numero di virus e file infettati di prima. Ora è al 75%, a breve allego log.

Grazie per la pazienza

Hai provato AVG-AntiRootkit Free ?

Di sicuro non ti dice che sei tutto a posto come Elibagla...

No, ora provo. Grazie :)

@ennys

Start - Esegui - digita MSCONFIG seleziona il TAb Tools e disabilita UAC
richiede il riavvio della macchina, dovresti vedere un nuovo account chiamato Administrator con il quale hai il pieno controllo del sistema operativo.

Aggiornamento: dopo varie passate di elibagla e cccleaner, tutto in modalità provvisoria, tutto secondo indicazioni (per elibagla tutto pulito, per cccleaner anche) Kaspersky mi indica esattamente lo stesso numero di virus e file infettati di prima. Ora è al 75%, a breve allego log.

Grazie per la pazienza

ma il system resrore l'hai disabilitato????

ma il system resrore l'hai disabilitato????


Credo di non sapere che cosa sia

ma dove dici?

EDIT\ ho capito adesso che ti riferisci al ripristino config. sì è disabilitato certo

Se clicchi su "rispondi" qui in basso, dopo lo spazio per scrivere la risposta c'è lo spazio Opzioni aggiuntive -> gestisci allegati


Grazie.

@Riverside Stasera provo.

scusami ma non trovo la funzione Gestisci Allegati.
http://img169.imageshack.us/img169/4053/12500202ew7.png

Invece, per rieditare il post precedente (e pubblicare quelli successivi):

1) hosti il log su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download
2) vai al post che devi modificare
3) clicca sul tasto modifica
4) copi ed incolli il link rilasciato da zshare

Sei veramente gentile.
Grazie :)

dopo una settimana di lotta il mio portatile con Vista semba aver superato bagle (anche se per qualche ragione sconosciuta Kaspersky è convinto che il sistema sia in modalità provvisoria :mbe: cosa che naturalmente non è qualche idea a proposito?) ora mi si pone un problema... ovvero esiste un antivirus free che riesca a proteggermi da questo maledettissiomo virus in futuro visto che il mio fido Avast non si è minimamente sognato di fare qualcosa (a parte venire distrutto dal virus si intende :rolleyes: ) anche un buon anti-spyware non ci starebbe male...

scusate la ripetizione ma non vorrei che bagle mi facesse lo stesso scherzo due volte di fila

@ennys

Start - Esegui - digita MSCONFIG seleziona il TAb Tools e disabilita UAC
richiede il riavvio della macchina, dovresti vedere un nuovo account chiamato Administrator con il quale hai il pieno controllo del sistema operativo.

Fatto ma niente.

Ste chiavi di reg sono incancellabili, è incredibile... :muro:

:rolleyes:

Fatto ma niente.

Ste chiavi di reg sono incancellabili, è incredibile... :muro:

:rolleyes:

l'errore è sempre lo stesso?

l'errore è sempre lo stesso?

Sì...

Sì...

allegami un log di HTJ e intanto ti scarichi questo e lo fai girare e alleghi il log
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

allegami un log di HTJ e intanto ti scarichi questo e lo fai girare e alleghi il log
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Grazie 1000, lo farò stasera.

:)

Attenzione:
Sotto allego FOTOGRAFIA del Messaggio di errore che mi compare dopo l'avvio di VISTA

Sono riusscito a eliminare BAGLE e ho installato AVIRA ANTIVIR + SUPERANTISPYWARE.

Il problema e che mi compare sempre questo messaggio e che risulta ancora impossibile abilitare WINDOWS DEFENDER (non mi interessa più ma almeno che non compaia il fastidioso messaggio)

GRAZIEEE

Aggiornamento:

Lievi buone notizie, ma attendo consigli.

Dopo ennesime spazzolate di ccclean e elibagla, controllo accurato che restore system sia disabilitato ecc ecc, il nuovo giro di kasper (terzo di oggi) mi segnala, anziché 5 virus e 11 file infett come sempre, solo 2 virus e 5 file infett.

Allego il log per chi ha la pazienza di capirlo e suggerirmi che fare ora

C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/NewSecurityClassLoader.class Infected: Exploit.Java.ByteVerify skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed/NewURLClassLoader.class Infected: Exploit.Java.ByteVerify skipped
C:\Users\gianluca\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5b3b23b6-3dec73ed ZIP: infected - 4 skipped

che non hanno nulla a che vedere col Bagle, certo che tu hai la calamita, procedi cosi:

Pannello di Controllo - Java - Impostazioni - Elimina fie - OK

ah ok :rolleyes:

fatto. dovrei essere a posto?

un'ultima domanda, oltre a ringraziare te e gli altri che mi hanno aiutato.

Che misure di protezione mi consigliate d'ora in poi? Vedo che consigliate avira antivir come antivirus... e come firewall?

Grazie

@ RobertaProvvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)



continuano a ricrearsi 4 file

appena li cancello si ricreano

DLLHOST.EXE-5E46FA0D.pf
DLLHOST.EXE-6A473D35.pf
CONSENT.EXE-531BD9EA.pf
DLLHOST.EXE-766398D2.pf

che faccio?

Grazie

Roby

@sit
Visto che ci sei fai anche l'eventuale aggiornamento Pannello di Controllo - Java - Aggiornamento - Aggiorna adesso

http://www.hwupgrade.it/forum/showthread.php?t=1598794
http://www.hwupgrade.it/forum/showthread.php?t=1514684

@Roberta76

è normale

grazie! avira installato e configurato secondo la guida che ho letto, funziona tutto. comodo anche.
quindi... sono tranquillo?

grazie! avira installato e configurato secondo la guida che ho letto, funziona tutto. comodo anche.
quindi... sono tranquillo?

sei tranquillo nel momento in cui capisci che il miglior software di sicurezza sei tu, quindi evitare di puntare e cliccare dappertutto e scaricare qualsiasi cosa etc...;)

@Roberta76

è normale

mi stavo preoccupando anche perchè adesso saranno diventati una ventina :)
continuo con la guida allora :D

Roby

sei tranquillo nel momento in cui capisci che il miglior software di sicurezza sei tu, quindi evitare di puntare e cliccare dappertutto e scaricare qualsiasi cosa etc...;)

Hai ragione.

Grazie ancora :)

sono ferma a: scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

mi da un'errore quando avvio il programma

Ho provato a fare una scansione online ma ho un problema di activeX

sono ferma a: scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

mi da un'errore quando avvio il programma

Ho provato a fare una scansione online ma ho un problema di activeX

ma lo accetti quando lo chiede?

o meglio ti chiede di installarlo?

Edit: che sistema operativo hai (XP,vista)????

mi da un'errore quando avvio il programma
Prova con questo Roberta:
scarica PANDA ANTIROOTKIT (non richiede l’installazione)
clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)

Posizionalo sul Desktop e lancialo:
● nella maschera principale spunta la voce Automatic Update
● esegui una scansione
● se verranno rilevati rootkit, il tool provvederà a rimuoverli
Visto che non produce log, devi dire se ha trovato e rimosso qualcosa.


Ho provato a fare una scansione online ma ho un problema di activeX
Che browser usi? Internet Explorer o Firefox o Opera?

Salve, ho paura di aver beccato un brutto virus.

HLDRRR.exe Win32.HLLM.Beagle

Ho WXP SP2 HD con tre partizioni.
L'ho preso da un allegato email, la prima cosa che mi ha fatto mi ha cancellato gli eseguibili dell'antivirus e firewall che avevo installati: Avg. Spyboot e Outpost. Alchè ho installato Comodo firewall ed appena mi sono colegato a internet mi ha bloccato il tentativo di uscita di C:\WINDOWS\system32\drivers\hldrrr.exe, se lo cerco non lo trovo, neanche visualizando i file nascosti e di sistema. Se cerco di installare un altro antivirus o antispayware non me li installa: ad au certo punto dell'installazione dice che non riesce a scrivere su una certa cartella o lo finisce di installare ma poi o viene subito cancellato o quando lo faccio partire mi apre un secondo la finestra di gestione e poi si chiude subito. Queso comportamento vale anche per altri prog tipo gestione/pulizia registro ecc.
Una scnsione con HijackThis non sembra dare notizie utili (mi sono però fidato di una interpreatzione del log automatica fatta in un sito)
Ho individuato nel registro queste voci:
1- KEY_CURRENT_USER/software/Microsoft/Windows/ShellNoRoam/MUICache/ con valore C:\WINDOWS\system32\drivers\hldrrr.exe impostato a: install, lo cancello ma quando riavvio il pc ritorna e avolte non riesco neppure a cancellarlo
2- HKEY_LOCAL_MACHINE/System/Software/Comodo/Personal Firewall/Apps/4/ con valore Filename impostato a: C:\WINDOWS\system32\drivers\hldrrr.exe (ma questo credo sia il blocco fatto da Comodo).
3- Riesco ad installare Spyware Doctor che dalla scansione non mi trova nulla ma ad ogni riavvio del pc mi da' un messaggio: individuatro processo nascosto C:\WINDOWS\system32\drivers\hldrrr.exe eliminarlo al prossimo riavvio? Dico si ma poi si ripresenta.
Dopo questa operazione è comparsa anche la voce:
HKEY_LOCAL_MACHINE/System/ControlSet002/Control/SessionManager PendingFileRenameOperations valore \??\C:\WINDOWS\system32\drivers\hldrrr.exe.

Altra Cosa grave:
1- non riesco a ripristinare il sistema ad un punto precedente
2- non riesco ad entrare in una qualche modalità provvisoria, mi da' il messaggio: "Press ES to cancel STPD.sys" se premo esc si riavvia se premo invio si avvia normalmente
3- tentando l'avvio con cd es Hiren's boot cd e poi facendo la scnsione antivirus non mi legge il disco C dice inaccessibile, vedo le partizioni.


PS preciso che riesco ad avviare il pc ad usarlo, a navigare, sembra non abbia problemi ma non riesco ad installare programmi di difesa.
Ora ho disabilitato il ripristino di sistema

Sono disperato, possibile che si carichi in memoria? come faccio a debellarlo? Su internet ho trovato poche spiegazioni e non funzionano.
Vorrei formattare, ma chissà se riesco ad accedere a c, prima volevo sentirvi.
Grazie

Nomi relativi che ho trovato per il virus: Trojan.Loader.D, Trojan-DownloaderWin32.Bagle.D, Worm_Bagle.KO, Win32.HLLM.Beagle, Trojan.Loader.D

Seguendo le istruzioni su questo forum per eliminare i virus Bagle, porto sotto il rapporto di ELIBAGLA:
Codice:


Wed Jan 09 17:15:37 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 09 17:18:46 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Wed Jan 09 17:19:02 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2795
Nº Total de Ficheros: 38024
Nº de Ficheros Analizados: 6966
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


Quando riavvio il PC Elibagla mi da questi messaggi:
Envianos C:\muestra\SROSA.sys.Muestra Elibagle v10.82 a...
e poi
Detected Gusano Bagle reinice para completar su eliminacio.
Ma non lo elimina.
:-(

@Lancetta: Si gli dico di installare le activeX, poi cerca di far ripartire la scansione ma mi dice che non può continuare.

Sistema operativo: Windows Vista Home Premium

@Riverside: Operating system not supported :(

Uso explorer

:help:

Ciao

Roby