@Lancetta: Si gli dico di installare le activeX, poi cerca di far ripartire la scansione ma mi dice che non può continuare.
Sistema operativo: Windows Vista Home Premium ...... @Riverside: Operating system not supported :( Uso explorer ......
Vista : il sistema non operativo ;)
Cambiamo procedimento Roberta.
Cestina tutti tool che ti ho fatto scaricare fino ad ora, e riepilogami cosa il nostro nemico Vista, ti ha consentito di fare, fino ad ora.

allegami un log di HTJ e intanto ti scarichi questo e lo fai girare e alleghi il log
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ecco i log

ennysaltrohijackthis.txt - 0.01MB (http://www.zshare.net/download/63493601b9e806/)

ennyscombofix.txt - 0.02MB (http://www.zshare.net/download/6348320bd7d650/)

:)

Vista : il sistema non operativo ;)
Cambiamo procedimento Roberta.
Cestina tutti tool che ti ho fatto scaricare fino ad ora, e riepilogami cosa il nostro nemico Vista, ti ha consentito di fare, fino ad ora.

Sono arrivata fino al CCLEANER il quale mi ha corretto tutti i file di registro.

Grazie

Roby

Sono arrivata fino al CCLEANER il quale mi ha corretto tutti i file di registro.
Bene, proviamo questo tool adesso, vediamo se Vista lo fa girare o rompe anche qui i maroni:
scarica KASPERSKY VIRUS REMOVAL TOOL (non richiede l’installazione)
clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)

● scarica la versione del tool più aggiornata rispetto alla data di pubblicazione
● crea una apposta Cartella sul Desktop ed al suo interno posiziona il file
● lancia il tool
● imposta le aree che intendi scansionare (non è possibile eseguire la scansione di specifiche cartelle)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
Salva ed allega, il log che verrà rilasciato
Note: Il tool è incompatibile se si hanno già prodotti Kaspersky installati.

@Lancetta: Si gli dico di installare le activeX, poi cerca di far ripartire la scansione ma mi dice che non può continuare.

Sistema operativo: Windows Vista Home Premium

@Riverside: Operating system not supported :(

Uso explorer

:help:

Ciao

Roby

Roby:flower: tasto dx sull'icona di iexplorer esegui come amministratore e riprovi:sperem:

Roby:flower: tasto dx sull'icona di iexplorer esegui come amministratore e riprovi:sperem:
In ogni caso, Elibagla ha compiuto una vera strage:
Nº Total de Directorios: 13478
Nº Total de Ficheros: 95510
Nº de Ficheros Analizados: 12910
Nº de Ficheros Infectados: 20
Nº de Ficheros Limpiados: 20
quindi, dovremmo, quasi esserci.
Nà, socio, in giro per i Quartieri Spagnoli, non hai trovato tool specifici per Vista?

@ennys

%WINDIR%\SMINST\launcher.exe lo carichi su www.virustotal.com per un controllo, allega nel prossimo post il link relativo ai risultati

esegui HJT clicca su Do a system scan - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate - poi clicchi su Fix checked :

O9 - Extra button: Alice - {91F91E36-292B-4936-8423-FD7BB58E8979} - hxxp://gw.aliceadsl.it/alice (file missing) (HKCU)
O15 - Trusted Zone: all4internet.biz
O15 - Trusted Zone: boordel.biz
O15 - Trusted Zone: securize.biz
O15 - Trusted Zone: seychelle.biz

al termine alleghi un nuovo log di HJT, più l'elenco delle famose chiavi di registro comprese quelle create successivamente

Roby:flower: tasto dx sull'icona di iexplorer esegui come amministratore e riprovi:sperem:

Un bacio per lancetta :) adesso funziona :) mi chiede 12 ore di scansione.... :mbe: domani posto il report

intanto posto il report di hijackthis...



Roby

Un bacio per lancetta :)
:mbe: il solito volpone cascamorto, tombeur de femmes :cry:
adesso funziona :) mi chiede 12 ore di scansione.... :mbe: domani posto il report
12 ore mi pare eccessivo :cool:
Prima di eseguire la scansione, Roberta, potresti provare, per favore, ad eseguire il tool che ti ho segnalato prima?.

@ennys

%WINDIR%\SMINST\launcher.exe lo carichi su www.virustotal.com per un controllo, allega nel prossimo post il link relativo ai risultati

esegui HJT clicca su Do a system scan - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate - poi clicchi su Fix checked :

O9 - Extra button: Alice - {91F91E36-292B-4936-8423-FD7BB58E8979} - hxxp://gw.aliceadsl.it/alice (file missing) (HKCU)
O15 - Trusted Zone: all4internet.biz
O15 - Trusted Zone: boordel.biz
O15 - Trusted Zone: securize.biz
O15 - Trusted Zone: seychelle.biz

al termine alleghi un nuovo log di HJT, più l'elenco delle famose chiavi di registro comprese quelle create successivamente



Ok, adesso faccio tutto...

:)

Prima di eseguire la scansione, Roberta, potresti provare, per favore, ad eseguire il tool che ti ho segnalato prima?.

Mi da questo errore anche facendolo partire da amministratore...

http://img297.imageshack.us/img297/5459/errorwu1.th.jpg (http://img297.imageshack.us/my.php?image=errorwu1.jpg)

Roby

Ok Roberta: procedi pure con la scansione online da Bitdefender e ricorda di allegare il relativo Report.
Intanto controllo il nuovo log di Hthis.

Roberta: il log di Hthis è a posto, devi, però aggiornare JAVASUN, quindi:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

Comunque, al termine di tutto, dovrai prendere in seria considerazione l'idea di sostituire Avast con un vero antivirus.

@ennys

%WINDIR%\SMINST\launcher.exe lo carichi su www.virustotal.com per un controllo, allega nel prossimo post il link relativo ai risultati

esegui HJT clicca su Do a system scan - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate - poi clicchi su Fix checked :

O9 - Extra button: Alice - {91F91E36-292B-4936-8423-FD7BB58E8979} - hxxp://gw.aliceadsl.it/alice (file missing) (HKCU)
O15 - Trusted Zone: all4internet.biz
O15 - Trusted Zone: boordel.biz
O15 - Trusted Zone: securize.biz
O15 - Trusted Zone: seychelle.biz

al termine alleghi un nuovo log di HJT, più l'elenco delle famose chiavi di registro comprese quelle create successivamente


Ecco fatto:

http://www.virustotal.com/it/analisis/f093ba7de60d1e77bdae2981926edda6

ennysaltro2hijackthis.txt - 0.01MB (http://www.zshare.net/download/6350547ce4ae8b/)


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA



Sparita la chiave

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

:confused:





:)

@Roberta76:flower: grazie per il bacio:D :friend:
però nel tuo log ci sono alcune voci che non mi convincono

questi file:C:\Program Files\AntiSpywareBot\AntiSpywareBot.exe
C:\Windows\system32\SupportAppXL\cdrom_mon.exe

falli analizzare QUI (http://www.virustotal.com/en/indexf.html) e poi ci posti il link dei risultati (copi ed incolli dalla barra indirizzi del browser IE qui una volta che ti ha dato il responso)

facci sapere:D ;)

C:\Program Files\AntiSpywareBot\AntiSpywareBot.exe

questo è un bel malware

però nel tuo log ci sono alcune voci che non mi convincono
Il primo mi era, decisamente, sfuggito :(
il secondo, Virustotal segnalerà che è pulito.
In ogni caso, facciamogleli esaminare, giusto per sicurezza.

@ennys

Rimane da fixare questa voce O15 - Trusted Zone: www.dnsreload.net
da dove sia uscita non si sà quindi dopo aver terminato, installi sul Pc di tuo fratello un'antivirus degno di tale nome ed un firewall perchè se no io e te passiamo intere giornate a disinfettarlo :)

Apri il Blocco Note copia e incolla queste righe:


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT, ciao.

questo è un bel malware

in tal caso (con svista non si sà mai:rolleyes: ) combofix dovrebbe seccarlo;)

in tal caso (con svista non si sà mai:rolleyes: ) combofix dovrebbe seccarlo;)

Svista ci stà facendo dannare :muro:

@Roberta76:flower: grazie per il bacio:D :friend:
però nel tuo log ci sono alcune voci che non mi convincono

questi file:

falli analizzare QUI (http://www.virustotal.com/en/indexf.html) e poi ci posti il link dei risultati (copi ed incolli dalla barra indirizzi del browser IE qui una volta che ti ha dato il responso)

facci sapere:D ;)

http://www.virustotal.com/it/analisis/da9a6252c9dcb3651c40ed43fc273f23
http://www.virustotal.com/it/analisis/f31cd55dbffdc1e78e840d2515c1c787

Ecco i link

Roby

http://www.virustotal.com/it/analisis/da9a6252c9dcb3651c40ed43fc273f23
http://www.virustotal.com/it/analisis/f31cd55dbffdc1e78e840d2515c1c787

Ecco i link

Roby

scansione con questo http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Digita 1, premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
Posta il log creato insieme a un log aggiornato di hijackthis.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Svista ci stà facendo dannare :muro:

naaa.....è solo da "sgamare" meglio;) :D

naaa.....è solo da "sgamare" meglio;) :D

per il momento se lo sono sgamato i virus :rotfl:

@ennys

Rimane da fixare questa voce O15 - Trusted Zone: www.dnsreload.net
da dove sia uscita non si sà quindi dopo aver terminato, installi sul Pc di tuo fratello un'antivirus degno di tale nome ed un firewall perchè se no io e te passiamo intere giornate a disinfettarlo :)

Apri il Blocco Note copia e incolla queste righe:


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT, ciao.

Ecco fatto:

ennys2combofix.txt - 0.02MB (http://www.zshare.net/download/6352069e3c5b8f/)

ennysaltro3hijackthis.txt - 0.01MB (http://www.zshare.net/download/6352150708a480/)


Ah... le chiavi di reg incancellabili sono sempre lì, belle fresche ! :muro:






Avast fa schifo, credo di aver capito. :muro:

E pensare che ho trovato alcune pagine sul web dove ci sono miriadi di utenti che ne parlano in maniera a dir poco entusiastica... :rolleyes: :confused:

Cosa consigli ???



:)

non ci posso credere :mad:

non ci posso credere :mad:

:D

Il pc almeno va che è una scheggia... ;)



:muro:

:D

Il pc almeno va che è una scheggia... ;)



:muro:

aspetta un'attimo che ricontrollo HJT non avrai mica attivo il teatimer di spybot?

Cliccare sulla miniatura per vedere cosa succede quando si prova a cancellare una di queste infami chiavi di registro:

http://img147.imagevenue.com/loc813/th_19755_Chiavi_reg_infami_122_813lo.jpg (http://img147.imagevenue.com/img.php?image=19755_Chiavi_reg_infami_122_813lo.jpg)


;) :rolleyes:

aspetta un'attimo che ricontrollo HJT non avrai mica attivo il teatimer di spybot?


Credo proprio di sì...


Anzi, sì.

Credo proprio di sì...


Anzi, sì.

disabilitalo un attimo e riprova (e se funziona colazione pranzo e cena a chill per una settimana:D )

scansione con questo http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Digita 1, premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
Posta il log creato insieme a un log aggiornato di hijackthis.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Stesso errore...

http://img297.imageshack.us/img297/5459/errorwu1.th.jpg (http://img297.imageshack.us/my.php?image=errorwu1.jpg)

Stesso errore...

http://img297.imageshack.us/img297/5459/errorwu1.th.jpg (http://img297.imageshack.us/my.php?image=errorwu1.jpg)

ma che è? na maledizione!!!:muro:
strano combofix è compatibile con vista hai usato il solito modo? esegui come amministratore?

(comunque la foto non è del combo)

no la foto non è del combo, ma l'errore è tipo quello cmq tra 10 minuti metto il report della scansione online

disabilitalo un attimo e riprova (e se funziona colazione pranzo e cena a chill per una settimana:D )

Negativo, non funge... :muro:

Chiavi sempre lì, belle fresche... :rolleyes:

no la foto non è del combo, ma l'errore è tipo quello cmq tra 10 minuti metto il report della scansione online
Hun....si forse ho detto un eresia probabilmente non funge (devo provare sul note) ridò un occhiata al log di hijackthis e ti dico cosa fixare,appena finita la scansione la posti;)
Negativo, non funge... :muro:

Chiavi sempre lì, belle fresche... :rolleyes:
Ecchecacchio!!!...sto cercando una soluzione:rolleyes:

ho terminato la scansione ma il report dovè?

cut!
prova quest'altro non sò se è compatibile

http://www.bleepingcomputer.com/files/smitfraudfix.php

ho terminato la scansione ma il report dovè?

se non erro in C: ovvero start (icona in basso a dx) computer

@Roberta76

vai in pannello di controllo->programmi e funzionalità e cerchi "AntiSpywareBot" e lo disinstalli
in hijackthis fixa questi:

O4 - HKUS\S-1-5-18\..\Run: [AntiSpywareBot] C:\Program Files\AntiSpywareBot\AntiSpywareBot.exe -boot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AntiSpywareBot] C:\Program Files\AntiSpywareBot\AntiSpywareBot.exe -boot (User 'Default user')

poi nuovo log.....
Te hai novità?

Buongiorno :)

ecco il nuovo report...

Roby

prova quest'altro non sò se è compatibile

http://www.bleepingcomputer.com/files/smitfraudfix.php

questo è il report lasciato da questo programma..


Roby

questo è il report lasciato da questo programma..


Roby

(lascia fà a maronn!!! piccolo modo di dire in dialetto delle mie parti :D )
Sembra che sia tutto a posto i log sono ok ;) però ti consiglierei di cambiare ANTIVIRUS ...avast ultimamente perde colpi magari meglio antivir(in inglese) settato a dovere(c'è la guida nel forum) poi vedo anche ancora residui di symantec norton....si divrebbe disinstallare per bene (anche qui c'è una guida nel forum) Solo per sicurezza.....non hai postato il log di kasper...

però ti consiglierei di cambiare ANTIVIRUS ...avast ultimamente perde colpi magari meglio antivir(in inglese) settato a dovere(c'è la guida nel forum) poi vedo anche ancora residui di symantec norton....si divrebbe disinstallare per bene (anche qui c'è una guida nel forum) Solo per sicurezza.....non hai postato il log di kasper...
Vicenda conclusa.
D'accordo con il mio socio sulla questione sostituzione del SIVirus (Avast) con un antivirus che sia tale (AVIRA Antivir).
Per quanto riguarda il log della scansione, non è quello di Kaspersky ma di Bitdefender scanner online: sarebbe interssante vedere il log.

Vicenda conclusa.
D'accordo con il mio socio sulla questione sostituzione del SIVirus (Avast) con un antivirus che sia tale (AVIRA Antivir).
Per quanto riguarda il log della scansione, non è quello di Kaspersky ma di Bitdefender scanner online: sarebbe interssante vedere il log.

giusto socio:D
Bitdefender....:doh: è che ho visto più log da ieri sera a stamane che n'altro pò manco in una settimana....:rolleyes: C'è na vera escalation in questo periodo...:muro:

Attenzione:
Sotto allego FOTOGRAFIA del Messaggio di errore che mi compare dopo l'avvio di VISTA

Sono riusscito a eliminare BAGLE e ho installato AVIRA ANTIVIR + SUPERANTISPYWARE.

Il problema e che mi compare sempre questo messaggio e che risulta ancora impossibile abilitare WINDOWS DEFENDER (non mi interessa più ma almeno che non compaia il fastidioso messaggio)

GRAZIEEE


Up

A me non aiuta nessuno :( :mc:

Up

A me non aiuta nessuno :( :mc:

molto probabilmente si è corrotto qualche file dovresti reinstallarlo oppure (hai Vista?) disabilitarlo all'avvio dal pannello di controllo (solo che poi che fai? ti tieni il morto?:D )
però se seguissi la guida con i relativi log sarebbe meglio...;)

Sono davvero contenta di avere il pc pulito :) però avrei ancora il problemino di Windows Defender il quale mi da un' errore all'avvio e il Centro sicurezza PC che non non parte.

Stasera rifaccio la scansione online e spero di trovare il report.

Ciao

Roby

Sono davvero contenta di avere il pc pulito :) però avrei ancora il problemino di Windows Defender il quale mi da un' errore all'avvio e il Centro sicurezza PC che non non parte.

Stasera rifaccio la scansione online e spero di trovare il report.

Ciao

Roby

Eattamente come me

Eattamente come me

Ciao, da quello che sono riuscita a capire leggendo in questo stupendo forum se non ti interessa windows defender ma vuoi solo eliminare il msg di errore vai in start -> run -> scrivi msconfig vai su services e togli la spunta a windows defender e fai lo stesso sotto la voce startup.
Riavvii e il problema si risolve.

IO invece vorrei capire perchè cacchio non funziona più :stordita:

Ciao

Roby

@ Roberta, per quel che serve (ovvero non serve a niente) lo puoi tranquillamente, disattivare:
http://windowshelp.microsoft.com/Windows/it-IT/Help/31d797aa-091d-4d67-a556-dbfaf21bf0dc1040.mspx

il registro di sistema mi da queste chiavi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

e sono assolutamente impossibili da eliminare :muro: ogni volta che ci provo mi segnala:

"impossibile eliminare LEGACY_SROSA errore durante l'eliminazione della chiave"

qualcuno ha suggerimenti che non so più che fare :mc:

Eattamente come me

Ciao, da quello che sono riuscita a capire leggendo in questo stupendo forum se non ti interessa windows defender ma vuoi solo eliminare il msg di errore vai in start -> run -> scrivi msconfig vai su services e togli la spunta a windows defender e fai lo stesso sotto la voce startup.
Riavvii e il problema si risolve.

IO invece vorrei capire perchè cacchio non funziona più :stordita:

Ciao

Roby

molto probabilmente si è corrotto qualche file dovresti reinstallarlo oppure (hai Vista?) disabilitarlo all'avvio dal pannello di controllo (solo che poi che fai? ti tieni il morto?:D )
però se seguissi la guida con i relativi log sarebbe meglio...;)

;) :D

@Lancetta Guida? quale guida? si può disinstallare e installare di nuovo? secondo te se lo installo nuovamente il centro sicurezza PC tornerà funzionante?

ciao

Roby

il registro di sistema mi da queste chiavi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

e sono assolutamente impossibili da eliminare :muro: ogni volta che ci provo mi segnala:

"impossibile eliminare LEGACY_SROSA errore durante l'eliminazione della chiave"

qualcuno ha suggerimenti che non so più che fare :mc:

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

drivers to unload:
srosa
pci32
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo alleghi qui

@Lancetta Guida? quale guida? si può disinstallare e installare di nuovo? secondo te se lo installo nuovamente il centro sicurezza PC tornerà funzionante?

ciao

Roby

credo si riferisca alla rimozione di nortont...c'è una guida
forse è questo la cause del tuo problema
ora ti indico la guida...
EDIT :ecco qui
http://www.hwupgrade.it/forum/showthread.php?t=1630445

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:


clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo alleghi qui

Il problema è che io ho Vista e quindi Avenger non funge...

molto probabilmente si è corrotto qualche file dovresti reinstallarlo oppure (hai Vista?) disabilitarlo all'avvio dal pannello di controllo (solo che poi che fai? ti tieni il morto?:D )
però se seguissi la guida con i relativi log sarebbe meglio...;)

La Packard Bell non mi ha fornito Il CD originale. Ho cancellato quello da scomapttare sull'HD per creare spazio.

Come faccio a disabilitarlo all'avvio dal pannello di controllo?

Intanto è sempre stato morto con le schifezze che ha lasciato passare :p

@Lancetta Guida? quale guida? si può disinstallare e installare di nuovo? secondo te se lo installo nuovamente il centro sicurezza PC tornerà funzionante?

ciao

Roby

Ciao roby :flower: la "guida" era riferita all'altro utente nel quote;)

A questo punto visto che non funziona direi di si ...però non saprei se una volta riscaricato possa reinteragire bene con vista (non ho mai provato)...sta a te scegliere...per il centro sicurezza credo siano 2 cose distinte...se trovo soluzioni ti faccio sapere (devo sempre prima testare;)

:cool:

La Packard Bell non mi ha fornito Il CD originale. Ho cancellato quello da scomapttare sull'HD per creare spazio.

Come faccio a disabilitarlo all'avvio dal pannello di controllo?

Intanto è sempre stato morto con le schifezze che ha lasciato passare :p


1)Chiedi all'assistenza packard di reinviartelo (magari è a disposizione sul sito?)


2)start -> run -> scrivi msconfig vai su services e togli la spunta a windows defender e fai lo stesso sotto la voce startup.
Riavvii e il problema si risolve.


saluti:cool:

Il problema è che io ho Vista e quindi Avenger non funge...

:doh: e sò 2...stiamo cercando soluzioni con Chill appena sappiamo qualcosa posteremo..sembra che Svista non faccia mettere le mani nel registro (ai proprietari......ma ai malware si......ECCHECAZZ!!!:muro: )

il registro di sistema mi da queste chiavi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

e sono assolutamente impossibili da eliminare :muro: ogni volta che ci provo mi segnala:

"impossibile eliminare LEGACY_SROSA errore durante l'eliminazione della chiave"

qualcuno ha suggerimenti che non so più che fare :mc:



opia ed incolla e salva il contentuto con nome The Cheater.reg

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\EnumRoot\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]


Doppio click su esso e confermi (2 volte se non sbaglio)

il registro di sistema mi da queste chiavi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

e sono assolutamente impossibili da eliminare :muro: ogni volta che ci provo mi segnala:

"impossibile eliminare LEGACY_SROSA errore durante l'eliminazione della chiave"

qualcuno ha suggerimenti che non so più che fare :mc:

Ahahahah :D le stesse mie chiavi ineliminabili...:muro:


Comunque il mio pc (di mio fratello) non risulta più infetto a nessun esame ed ha ripreso la sua piena funzionalità.


Quella dell'eliminazione delle chiavi incancellabili è una sfida che però mi spiacerebbe abbandonare senza averla vinta... ;)

Ahahahah :D le stesse mie chiavi ineliminabili...:muro:


Comunque il mio pc (di mio fratello) non risulta più infetto a nessun esame ed ha ripreso la sua piena funzionalità.


Quella dell'eliminazione delle chiavi incancellabili è una sfida che però mi spiacerebbe abbandonare senza averla vinta... ;)

Vero,solo che come puoi vedere ho modificato leggermente lo script rispetto a quello di Chill....se funziona c'è ne avvantaggiamo tutti

Vero,solo che come puoi vedere ho modificato leggermente lo script rispetto a quello di Chill....se funziona c'è ne avvantaggiamo tutti

Grazie lancetta, poi provo. :)







A dire la verità anche il combofix di Chill aveva fatto qualcosa, anche qualche piccolo casino... ;) :)


Poi mi spiego meglio. :)

Grazie lancetta, poi provo. :)







A dire la verità anche il combofix di Chill aveva fatto qualcosa, anche qualche piccolo casino... ;) :)


Poi mi spiego meglio. :)

???:confused: :confused:

Come si fa a eliminare l'icona PROGRAMMI AD ESECUZIONE AUTOMATICA BLOCCATI che mi compare da quando ho disabilitato Defenders (rovinato)

Se cerco di entrare in questa icona mi da lo stesso messaggio di Errore di DEFENDERS.

Grazieeeee

Come si fa a eliminare l'icona PROGRAMMI AD ESECUZIONE AUTOMATICA BLOCCATI
Intendi dire lo scudo del Centro di Sicurezza che si evidenzia nella traybar accanto all'orologio?




Meno male che sto piallare Vista dal nuovo Ebook :)

Rieccomi, ho eseguito nuovamente la scansione online con Bitdefender

Ciao

Roby

Rieccomi, ho eseguito nuovamente la scansione online con Bitdefender

Ciao

Roby

disattiva e riattiva il ripristno configurazione di sistema (Fare clic su Start | Pannello di controllo | Sistema e manutenzione | Sistema.
Aprire Protezione sistema.
Deselezionare le caselle di controllo in corrispondenza di ciascun disco rigido elencato nella sezione Crea punti di ripristino automaticamente sui dischi selezionati.
Fare clic sul pulsante Disabilita protezione sistema.
Fare clic su OK) c'è qualcosa ancora nella cartella del ripristino

per quelli che hanno window defender che non và provate questa procedura

(direttamente dal sito Microsozz)

Menu di avvio 1 digita CMD nella ricerca.
Dai risultati 2, fare clic con il pulsante destro di Prompt di comandi e amministratore Esegui. Digita il seguente comando : (se si è accesso come Amministratore, è possibile eseguire CMD direttamente)

/verifyrepository winmgmt

3 Quando il sistema restituisce il messaggio " WMI repository is not consistent", eseguire il seguente comando:

/salvagerepository winmgmt

Ciò eseguirà un controllo di consistenza sopra l'archivio WMI e dovrebbe risolvere il problema. Riavviare il sistema eseguito la volta e provare l'attivazione di programma Defender Windows.

Grazie lancetta, poi provo. :)







A dire la verità anche il combofix di Chill aveva fatto qualcosa, anche qualche piccolo casino... ;) :)


Poi mi spiego meglio. :)

addirittura :)

Vero,solo che come puoi vedere ho modificato leggermente lo script rispetto a quello di Chill....se funziona c'è ne avvantaggiamo tutti


Provato, non funge.

Chiavi sempre lì, fresche ed ineliminabili... :D :muro:


E' veramente un mistero.
;)

addirittura :)

Sì, niente di che... :)

Un errore nell'aprire IE dal collegamento del menù start, parte lo stesso ma dava errore.
In compenso ha aggiunto il link di IE sul desktop che Vista nativamente non possiede (ha aggiunto una chiave di registro, ovviamente).



In più, pur non avendo eliminato le chiavi infami, ha generato il file C:\Qoobox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat (segnalatomi da kaspersky)...

Quindi forse qualcosa ha fatto relativamente alle chiavi ma non abbastanza.

Non so...


:)

Ho ricontrollato adesso il log solo ed esclusivamente per precisare e per verificare che ComboFix non abbia eventuali effetti collaterali per gli utenti Vista, in sintesi non si evince nulla che possa aver provocato l'errore in IE.

Ho ricontrollato adesso il log solo ed esclusivamente per precisare e per verificare che ComboFix non abbia eventuali effetti collaterali per gli utenti Vista, in sintesi non si evince nulla che possa aver provocato l'errore in IE.

Comunque non c'è problema assolutamente :)

Magari ripeto la procedura così vedo se gli effetti collaterali si ripetono...





Sulle chiavi incancellabili hai qualche idea ???

:confused:

:doh: e sò 2...stiamo cercando soluzioni con Chill appena sappiamo qualcosa posteremo..sembra che Svista non faccia mettere le mani nel registro (ai proprietari......ma ai malware si......ECCHECAZZ!!!:muro: )

stiamo lavorando......a proposito hai messo in sicurezza il PC?

Windows Defender
pannello di controllo -> Servizi
(verso il basso) selezionare Windows Defender
cliccare due volte su di esso e selezionare tipo di avvio Automatico

Centro Sicurezza PC
uguale come sopra, la voce si trova alle prime righe :)

Io ci sono riuscita spero di essere stata di aiuto :)

Evviva

Ciao

Roby

Windows Defender
pannello di controllo -> Servizi
(verso il basso) selezionare Windows Defender
cliccare due volte su di esso e selezionare tipo di avvio Automatico
Centro Sicurezza PC
uguale come sopra, la voce si trova alle prime righe
Brava, Roberta: sei assunta, in pianta stabile, nella sottosezione, in qualità di socio in prova :cool:

Windows Defender
pannello di controllo -> Servizi
(verso il basso) selezionare Windows Defender
cliccare due volte su di esso e selezionare tipo di avvio Automatico

Centro Sicurezza PC
uguale come sopra, la voce si trova alle prime righe :)

Io ci sono riuscita spero di essere stata di aiuto :)

Evviva

Ciao

Roby

ti posso consigliare una cosa?
invece di abilitarlo, disabilita il centro sicurezza pc, che da piu problema che altro....crea casini e basta...
almeno secondo me...

Intendi dire lo scudo del Centro di Sicurezza che si evidenzia nella traybar accanto all'orologio?




Meno male che sto piallare Vista dal nuovo Ebook :)

Si, proprio quello, mi compare ad ogni avvio! Voglio eliminarlo, anche perchè non funziona!!!

Come fare? Grazieee

Si, proprio quello, mi compare ad ogni avvio! Voglio eliminarlo, anche perchè non funziona!!! Come fare? Grazieee
Se non sbaglio devi andare nelle impostazioni relative all'aggiornamento automatico e impostare la voce Avvisa ma non scaricarli e non installarli.
Non ne sono sicuro ma tu prova.

Ciao a tutti, come molti, cercavo un editor di memoria e mi sono beccato un virus beagle. Il problema che mi ha dato sin dall' inizio è stato quello di bloccarmi la connessione internet oltre che disattivare firewall e antivirus. Ho fatto tutta la procedura indicata da voi con elibagla, avenger hijackthis e sembra andare tutto bene, infatti in avenger non trova niente da cancellare di tutte le voci indicate nello script e anche il file di hijackthis sembra essere apposto perchè non ci trovo programmi strani e mai sentiti.
Però la connessione non mi riparte.
La cosa strana è che se vado sul prompt del dos e provo a fare un ping a qualche sito internet me lo fa tranquillamente, ma firefox, skype, ecc non ne vogliono sapere di andare.
Che mi consigliate di fare?
Ci sarà qualche servizio da riattivare?

Aspetto un vostro consiglio

Grazie a tutti

ripristina i parametri tcp

Windows Defender
pannello di controllo -> Servizi
(verso il basso) selezionare Windows Defender
cliccare due volte su di esso e selezionare tipo di avvio Automatico

Centro Sicurezza PC
uguale come sopra, la voce si trova alle prime righe :)

Io ci sono riuscita spero di essere stata di aiuto :)

Evviva

Ciao

Roby

:D :D a volte le soluzioni più semplici sono quelle più efficaci;)
Brava!:flower:

ripristina i parametri tcp

cioè?
Se intendi IP, subnet ecc, fa tutto da se col DHCP il router

La cosa strana è che se vado sotto connessioni di rete mi da anche l'icona Connessione Internet Connesso che compare quando sei connesso a internet ma ogni programma continua a non funzionare

Si, proprio quello, mi compare ad ogni avvio! Voglio eliminarlo, anche perchè non funziona!!!

Come fare? Grazieee

pannelo di controllo (dall'icona in basso a dx) centro sicurezza->Cambia le impostazioni degli avvisi del Centro protezione PC all'utente e scegli l'opzione che vuoi...

Saluti:cool:

Nessuno che mi sa dire niente su cosa fare?:(

Nessuno che mi sa dire niente su cosa fare?:(

un log di HJT per favore

Nessuno che mi sa dire niente su cosa fare?:(

un firewall????
Fai una cosa posta i log di hijackthis e dei soft della guida e aggiungici anche quello di prevxCSI

Il firewall non penso, l'ho già controllato e è tutto a posto. Prevxcsi non lo conosco, intanto metto i due listati

hijackthis.txt - 0.01MB (http://www.zshare.net/download/63876374640c37/)

avenger.txt - 0.01MB (http://www.zshare.net/download/6387683f9091e3/)

Firefox sembra che non provi neanche a cercarli i siti, ho gia provato a reinstallare la maggior parte dei programmi ma niente.
Fatemi sapere perchè non so piu dove battere la testa.

scarica da qua (http://www.prevx.com/freescan.asp) prevx csi: è un tool antimalware molto potente, che xò nn rimuove nulla, quindi è importante a fine scansione che salvi il log (andando su option e poi save log)
EDIT: il sito zshare x il momento risulta irragiungibile,almeno x me...avranno problemi di server...

Ah dimenticavo, ho fatto una scansiona anche con Gmer ma niente linee rosse di alert
Prova con questi link:
http://rapidshare.de/files/38266595/Hijackthis.txt.html
http://rapidshare.de/files/38266599/Avenger.txt.html

prevxcsi mi da errore perchè vuole la connessione internet cmq il log mi dice che non ci sono errori

scarica da qua (http://www.prevx.com/freescan.asp) prevx csi: è un tool antimalware molto potente, che xò nn rimuove nulla, quindi è importante a fine scansione che salvi il log (andando su option e poi save log)
EDIT: il sito zshare x il momento risulta irragiungibile,almeno x me...avranno problemi di server...
AZZ! :mbe: adesso a me và che è na meraviglia:confused:
Ah dimenticavo, ho fatto una scansiona anche con Gmer ma niente linee rosse di alert
Prova con questi link:
http://rapidshare.de/files/38266595/Hijackthis.txt.html
http://rapidshare.de/files/38266599/Avenger.txt.html

prevxcsi mi da errore perchè vuole la connessione internet cmq il log mi dice che non ci sono errori
mettilo lo stesso (hem da dove posti?)

Il firewall non penso, l'ho già controllato e è tutto a posto. Prevxcsi non lo conosco, intanto metto i due listati

hijackthis.txt - 0.01MB (http://www.zshare.net/download/63876374640c37/)

avenger.txt - 0.01MB (http://www.zshare.net/download/6387683f9091e3/)

Firefox sembra che non provi neanche a cercarli i siti, ho gia provato a reinstallare la maggior parte dei programmi ma niente.
Fatemi sapere perchè non so piu dove battere la testa.

in hijackthis fixa questo R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.eazel.com/index.php?rvs=hompag
che è na monnezza di sito


questi invece li hai messi tu?
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bonsai-italia.com/forum/viewtopic.php?p=87189#87189
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"


per il resto è pulito.....

Buongiorno,
Purtroppo anch'io per colpa di un maledetto eseguibile scaricato da emule sono rimasto vittima di Bagle(o almeno credo).
Il mio grande porblema è che ho windows vista e non sono riuscito a seguire la vostra guida perchè con vista non funziona niente.
Vi prego aiutatemi perchè il computer mi serve e non posso permettermi di formattarlo. Premetto che non riesco ad reinstallare l'antivirus e l'antispyware. Non riesco a far partire la modalità provvisoria.
Grazie in anticipo. Matteo

http://www.hwupgrade.it/forum/showpost.php?p=18910926&postcount=2

Allora ho provato a seguire le indicazioni. Elibagle non credo mi funzioni molto bene perchè me ha dato un sacco di errori cmq alla fine mi ha eliminato due file infetti. però non è cambiato niente. Allora ho porvato ad avviare la modalità provvisoria: niente! Sono riuscito finalmente a far partire la scansione di karspersky eliminando qualsiasi protezione dell'explorer. Ora cosa devo fare appena ha finito?
Vi ringrazio...

allega il log di EliBagla

scusami ma non so come si fa....Saresti così gentile da spiegarmelo...

sto rifacendo la scansione con elibagle.. solo che a voltice accesso negato a xxxx....è normale? dopo cosa devo fare?

scansione finita...elibagle mi ha trovato questo file infetto:
HPWUSCHD2.exe ->Bagle.dldr

nessuno mi sa aiutare?

Matteo devi attenerti alla Guida che ti ho indicato e portare un pochino di pazienza, il log di EliBagla lo trovi qui:
C:\InfoSat.txt
eseguilo da amministratore, tasto dx del mosue.

Scusami ha ragione....Ecco il log di elibagle...Solo che non credo abbia funzionato correttamente...Cosa devo fare?

in hijackthis fixa questo
Quote:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.eazel.com/index.php?rvs=hompag
che è na monnezza di sito


questi invece li hai messi tu?
Quote:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bonsai-italia.com/forum/v...?p=87189#87189
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"
per il resto è pulito.....

Fatto tutto ma non ho ottenuto nessun cambiamento. :muro:
Praticamente funziona tutto (modalità provvisoria, installazione antivirus e firewall) tranne che tutto quello che richiede una connessione internet (che però al livello di prompt del dos funge).....ora non so piu veramente dove mettere mano.

Aiutatemi voi perchè ho finito le idee.

non so bene perchè (non avevo ancora fatto niente) ma adesso nel registro si sono materializzate questi control set

ControlSet002
ControlSet003

ovviamente prima non c'erano; nel primo c'è solo la directory servizi mentre il secondo è uguale a quelli che avevo prima (LEGACY_SROSA compreso :rolleyes: ) e come sempre le chiavi di srosa sono intoccabili ma quantomeno ora kaspersky non è più convinto che il mio sistema è in esecuzione in modalità provvisoria quando è in modalità normale. Qualche idea?

usa avenger (passaggio 4)

niente avenger ho vista e quindi nada

Ho appena terminato la scansione con kaspersky. Ecco il rapporto. Spero che qualcuno riesca ad aiutarmi. Ho eseguito anche AVG anti-rootkit free.
Vi ringrazio anticipatamente. Matteo

Operating System: Microsoft Windows Vista Home Edition, (Build 6000)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 11/01/2008
Kaspersky Anti-Virus database records: 507602


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 129705
Number of viruses found 3
Number of infected objects 5
Number of suspicious objects 0
Duration of the scan process 01:39:27

Infected Object Name Virus Name Last Action
C:\boot\bcd Object is locked skipped

matteo:
x favore modifica il tuo post e carica il log mediante la funzione allegati (rinominandolo in formato .txt) oppure lo carichi su un sito come www.zshare.net...anche se oggi questo sito da un po di problemi...
come puoi constatare il log cosi come l'hai postato è quasi illeggibile...aspettiamo la modifica
grazie della collaborazione
ciao

Scusami hai ragione ma non sapevo come fare...Ecco l'indirizzo a cui potete trovare il mio rapporto di kaspersky in formato HTML...Aiuto..
http://w14.easy-share.com/14611291.html
Matteo

Fatto tutto ma non ho ottenuto nessun cambiamento. :muro:
Praticamente funziona tutto (modalità provvisoria, installazione antivirus e firewall) tranne che tutto quello che richiede una connessione internet (che però al livello di prompt del dos funge).....ora non so piu veramente dove mettere mano.

Aiutatemi voi perchè ho finito le idee.

hum... fai un giro con questo LSPFIX
http://cexx.org/LSPFix.exe lo lanci e riporta qui quello che c'è sulla sinistra..non toccare nulla.......

x favore matteo: vai al tuo primo post, clicca su modifica e selezioni il log di kaspersky e lo cancelli, cosi rendiamo il 3d piu leggibile
stai seguendo la guida in prima pagina?
ciao

Fatto...
Si sto seguendo la guida...solo che fatto il log di kaspersky cosa devo fare...?

Fatto...
Si sto seguendo la guida...solo che fatto il log di kaspersky cosa devo fare...?

lascia stare x il momento kaspersky
esegui la guida punto x punto rispettando l'ordine dei programmi
se hai qualke dubbio o nn funziona qualke cosa, chiedi..ok?
mi raccomando di disattivare il ripristino configurazione sistema e disattiva momentaneamente l'antivirus xchè alcuni di questi tool possone essere identificati erroneamente come minacce (ovviamente nel frattempo nn metterit a navigare su e giu x internet....)
attendiamo i log
ciao

ho postato sia il log di elibagle che quello di kaspersky..Cosa devo fare di più....? Sto solo aspettanto che qualcuno mi consiglia qualcosa...

ho postato sia il log di elibagle che quello di kaspersky..Cosa devo fare di più....? Sto solo aspettanto che qualcuno mi consiglia qualcosa...

c'è un problemino: avenger su vista nn funziona.....aspetta e vediamo come fare altrimenti...

ho postato sia il log di elibagle che quello di kaspersky..Cosa devo fare di più....? Sto solo aspettanto che qualcuno mi consiglia qualcosa...

Matteo sei loggato come amministratore, ovvere hai disabilitato UAC?

:D :D :D

Ho trovato la procedura per eliminare le famose ed infami chiavi di registro

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

finora ineliminabili !!! :cool:





Ecco la procedura:

Scaricare il programma PsExec v1.94 che fa parte del PsTools da questa pagina

http://technet.microsoft.com/it-it/sysinternals/bb897553(en-us).aspx

(il link per il download sulla dx della pagina)



Il file zip scaricato va scompattato e l'eseguibile psexec.exe va copiato nella cartella C:\Windows\System32

Andare in Start -> Programmi -> Accessori e tasto dx su Prompt dei comandi -> Esegui come Amministratore

Nella finestra che si apre nella riga di comando copiare questo comando:

psexec -s -i regedit

dare Invio.



A questo punto si aprirà la finestra di Regedit questa volta finalmente con tutti i privilegi ed autorizzazioni possibili ed immaginabili.

Cliccare sul menù Modifica e poi Trova

digitare "srosa" ed una volta individuata la chiave tasto dx -> elimina.

E QUESTA VOLTA LA ELIMINA SUL SERIO !!!

Premere F3 per continuare la ricerca delle altre due chiavi e agire come sopra cancellandole.

Finito !!!



:cool: :cool: :cool:

:yeah:

Parli di questo
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

Parli di questo
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

E' esattamente il link che ho messo nel mio post.

@ Bugs, direi che puoi aggiornare la Guida ;)

Chill, direi che puoi aggiornare la Guida ;)

eventualmente Bugs ;), buono a sapersi ma quelle chiavi sono residui inattivi del Bagle, nulla di risolutivo per Vista

Ottimo!!!!:D ..non può che farci piacere....:D :D ;)...però curioso che il tool sia per XP ed inferiori

PsExec works on Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP and Server 2003 including x64 versions of Windows.

PsExec works on Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP and Server 2003 including x64 versions of Windows.

sbagliato link:stordita: :doh:

eventualmente Bugs ;), buono a sapersi ma quelle chiavi sono residui inattivi del Bagle, nulla di risolutivo per Vista




Beh, oddio se fossi riuscito subito a cancellare quelle chiavi ,allora più che attive, dopo avere eliminato i file infetti come facevo all'inizio, ad ogni riavvio non me li sarei ritrovati di nuovo attivi nel SO e mi sarei risparmiato almeno un giorno di smanettamenti.


E comunque Bagle da quanto ho potuto vedere in rete non è il solo processo a lasciare chiavi di registro incancellabili su Vista.

La guida può essere utile i molti altri casi, credo.

mi sono un attimo documentato..l'utility in questione oltre che per dare comandi in lan su server remoti...ti fà guadagnare privilegi System sulla mcchina in cui lo usi (superiore al superadmin) in pratica ci puoi fare tutto ,anche agire su file di sistema in uso ed a basso livello,un pò come l'admin root su linux.E' una grande cosa però da usare con cautela altrimenti si fanno macelli....;)

dopo avere eliminato i file infetti

esatto dopo aver eliminati i file infetti, non mi sembra che le chiavi abbiano reinnescano l'infezione

mi sono un attimo documentato..l'utility in questione oltre che per dare comandi in lan su server remoti...ti fà guadagnare privilegi System sulla mcchina in cui lo usi (superiore al superadmin) in pratica ci puoi fare tutto ,anche agire su file di sistema in uso ed a basso livello,un pò come l'admin root su linux.E' una grande cosa però da usare con cautela altrimenti si fanno macelli....;)

Hai ragione ed è per questo che ho scritto la guida passo passo come se fosse destinata ad un bimbo di quattro anni.;) In modo che sia accessibile senza fraintendimenti da utenti di qualsiasi livello.

:)

esatto dopo aver eliminati i file infetti, non mi sembra che le chiavi abbiano reinnescano l'infezione

perchè le dll erano sta già zompate;) era solo residuo socio....un pò come fanno alcuni antivirus :asd:
curioso che a volte malware ed antimalware si comportano allo stesso modo:fiufiu:
...mii che analogia!!!!:p

Hai ragione ed è per questo che ho scritto la guida passo passo come se fosse destinata ad un bimbo di quattro anni.;) In modo che sia accessibile senza fraintendimenti da utenti di qualsiasi livello.

:)

effettivamente esiste una procedura su Xp per diventare System...ma sinceramente non ho mai avuto bisogno di usarla (sopratutto nel forum)
e per questo non lo mai postata...immagina i casini che combinerebbero gli utenti meno esperti....:rolleyes:

perchè le dll erano sta già zompate

cosa mi sfugge?

Buongiorno,
credo di essere a buon punto anch'io...Ovvero ho eliminato i file dannosi manualmente e mi si è riattivato il centro sicurezza PC compreso windows defender e windows firewall. Allora o provato a reinstallare AVG Free edition (cioè l'antivirus che avevo precedentemente) ma alla fine mi da errore perciò ho lasciato perdere. Ho scaricato quindi la trial di Kaspesrky e sono riuscito ad isatallarla. Non mi ha trovato virus e tantomeno file infetti. Posso considerarmi fuori pericolo?
Cmq perchè AVG non si reinstalla?
A questo punto ho notato che anch'io ho delle chiavi ineliminabili all'interno del registro. Se seguo la procedira indicata sopra, ovvero mi do dei privilegi da super amministratore dopo aver eliminato le chiavi, posso togliermeli così come me li sono dati?
Altrimenti ho paura di andare a fare dei danni.
Vi ringrazio e per favore ditemi se c'è qualche altra cosa che devo fare.

Buongiorno,
credo di essere a buon punto anch'io...Ovvero ho eliminato i file dannosi manualmente e mi si è riattivato il centro sicurezza PC compreso windows defender e windows firewall. Allora o provato a reinstallare AVG Free edition (cioè l'antivirus che avevo precedentemente) ma alla fine mi da errore perciò ho lasciato perdere. Ho scaricato quindi la trial di Kaspesrky e sono riuscito ad isatallarla. Non mi ha trovato virus e tantomeno file infetti. Posso considerarmi fuori pericolo?
Cmq perchè AVG non si reinstalla?
A questo punto ho notato che anch'io ho delle chiavi ineliminabili all'interno del registro. Se seguo la procedira indicata sopra, ovvero mi do dei privilegi da super amministratore dopo aver eliminato le chiavi, posso togliermeli così come me li sono dati?
Altrimenti ho paura di andare a fare dei danni.
Vi ringrazio e per favore ditemi se c'è qualche altra cosa che devo fare.

beh, se nn posti i log richiesti dalla guida, noi nn conosciamo la situazione del tuo pc....

Una cosa che ho notato e non so se chi ha windows vista può darmi una mano è che nonostante all'interno del centro sicurezza PC risulti tutto attivato, la modalità portetta di internet explorer quando navigo è disattivata sebbene all'interno dell'opzioni internet sia spuntata...Cosa posso fare?

Matteo continui a fare domande ma non rispondi alle nostre come facciamo ad aiutarti, ti sono stati chiesti i log, ti ho chiesto se sei loggato come Amministratore.......etc.....,thx.

Si ora sono loggato come amministratore...Quale log devo mandarvi?
Precedentemente avevo mandato sia quello di alibagla che di kaspersky...

Si ora sono loggato come amministratore...Quale log devo mandarvi?
Precedentemente avevo mandato sia quello di alibagla che di kaspersky...

Ti chiedo una cortesia, potresti rilanciare EliBagla ed allegare il log
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
Usate Elibagla in modalità provvisoria,se funziona.
Sei riuscito a reinstallare l'antivirus, se si qual'è?

Ciao,
premetto: non capisco un'acca.
Ho provato ad eseguire la procedura descritta all'inizio del forum.
Ho lanciato elibagla e la scansione mi ha dato questi risultati:


Sun Jan 13 16:33:58 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Jan 13 16:34:42 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 6059
Nº Total de Ficheros: 56622
Nº de Ficheros Analizados: 11480
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

ora però l'installazione di kaspersky antivirus, arrivata ad un certo punto si blocca.
C'è qualcuno che puo darmi una mano, vi prego sono disperato!!! :muro:
saluti da Agropoli (SA)

@alxcom

Sistema Operativo in uso?

XP

XP

Per il momento lascia perdere l'installazione di Kaspersky e passa direttamente al punto 4

Allora, credo (sono sicuro) di essere stato infettato da Bagle. Mio fratello stava cercando un programma su eMule e credo abbia lanciato qualche eseguibile infetto. Il kaspersky Antivirus ha smesso di funzionare, non riesco a reinstallarlo (mi dice che non riesce a creare avp.exe o qualcosa del genere). Nei processi c'è un cero wintems.exe che però non riesco a cancellare, non lo trovo nella cartella C:/WINDOWS/system32. Ho lanciato Elibagla, che mi ha cancellato alcuni file infetti, ma non riesco ad installare Kaspersky come al solito. Che mi consigliate di fare? posto il log di Elibagla:

Mon Jan 14 12:12:12 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Jan 14 12:13:03 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\1100343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\118406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\132406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\144265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\170250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\207546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\45671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\48890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\49156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58703.EXE --> Eliminado Bagle

Nº Total de Directorios: 5672
Nº Total de Ficheros: 55716
Nº de Ficheros Analizados: 7250
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10

Mon Jan 14 12:18:05 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jan 14 12:18:41 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5671
Nº Total de Ficheros: 55702
Nº de Ficheros Analizados: 7238
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Jan 14 12:33:38 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

@Link93

passi direttamente al punto 4)

Questo è il log di Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fawcbuao

*******************

Script file located at: \??\C:\WINDOWS\ncmoysin.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\System32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Non so se abbia sortito gli effetti sperati. Non ha cancellato niente.

Per il momento lascia perdere l'installazione di Kaspersky e passa direttamente al punto 4

questo è quanto mi visualizza in una finestra dos:

c:\avenger\1.reg

c:\avenger\11.reg

c:\avenger\2.reg

c:\avenger\9.reg

1 file copiati.
zip warning: c:/backup.zip not found or empty
adding: avenger/avenger.txt (104 bytes security) (deflated 91%)
adding: avenger/backup.reg (104 bytes security) (deflated 68%)
adding: avenger/down/ (104 bytes security) (stored 0%)
adding: avenger/hldrrr.exe (104 bytes security) (deflated 2%)
adding: avenger/srosa.sys (104 bytes security) (deflated 59%)


in oltre mi compare un avviso

windows - Disco non presente

Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c

....che fare?
-Annulla - Riprova - Continua -
:cry:

Questo è il log di Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fawcbuao

*******************

Script file located at: \??\C:\WINDOWS\ncmoysin.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\System32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Non so se abbia sortito gli effetti sperati. Non ha cancellato niente.

Per favore allega ( clicca su l'concina a forma di spilletta per fogli in alto nel reply) gli altri log dei soft di pulizia e scansione in un unico post e aggiungici anche in ordine di scansione

1) Scarica questo toolCombofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

2) scarica prevxCSI (http://www.prevx.com/freescan.asp) (è solo un rilevatore) ed allega il log che ti rilascerà

3) log di hijackthis.....

se hai problemi con qualche soft passa al successivo e poi nel post di allegaggio log spieghi il problema.......
grazie:cool:

:confused:
Dato che alla fine ho solo le foto e qualche documento da salvare, quindi potrei procedere col ripristino del sistema originario, vorrei chiedervi:

Se riesco a salvarmi queste foto e documenti, potrei portarmi dietro anche i virus con essi?

Se procedo col ripristino del sistema, verranno cancellati anche i virus?

grazie :)

ciao ragazzi ho un'infezione d beagle in corso e river m ha detto d kiedere aiuto qui...

vi allego anke i log ke avevo già pubblicato x assistenza sul virus naked d msn...qlc1 può dirmi ke devo fare? grazie :)


http://www.zshare.net/download/6507464865758d/ (log kaspersky)

:confused:
Dato che alla fine ho solo le foto e qualche documento da salvare, quindi potrei procedere col ripristino del sistema originario, vorrei chiedervi:

Se riesco a salvarmi queste foto e documenti, potrei portarmi dietro anche i virus con essi?

Se procedo col ripristino del sistema, verranno cancellati anche i virus?

grazie :)
fai attenzione a cosa ti porti, falli scnsionare ed attenzione alle estensioni;)
ciao ragazzi ho un'infezione d beagle in corso e river m ha detto d kiedere aiuto qui...

vi allego anke i log ke avevo già pubblicato x assistenza sul virus naked d msn...qlc1 può dirmi ke devo fare? grazie :)


http://www.zshare.net/download/6507464865758d/ (log kaspersky)

segui la procedura in prima pagina ed allega i log poi...il tempo di esaminarli;)

ok lancetta ecco fatto t posto il log


devo andare già cl punto 3 o devo aspettare ke sia tu a dirmelo?



io avevo già scaricato kaspersky in precedenza...dal link ke aveva scritto river nell'altra discussione...va bene se la scansione la faccio cn qllo?

io ho fatto la scansione cn gmer ma non trova nulla di rosso, però ho i sintomi di questo virus, anche se sono solo le funzione "real-time" che non funzionano, più l'asus pc probe, è sempre questo virus o devo cercare altrove?

ok lancetta ecco fatto t posto il log


devo andare già cl punto 3 o devo aspettare ke sia tu a dirmelo?



io avevo già scaricato kaspersky in precedenza...dal link ke aveva scritto river nell'altra discussione...va bene se la scansione la faccio cn qllo?

si il punto 3 saltalo e fai direttamente il resto con avenger ecc..elibagla già ha cancellato quealcosa....poi mi posti in ordine di scansione:

1 Dr.Web Cure It (non richiede installazione ed è meglio se la fai in Modalità provvisoria)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2 Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

3 prevxCSI (http://www.prevx.com/freescan.asp) (è solo un rilevatore) ed allega il log che ti rilascerà

ragazzi buonasera a tutti....sono incappato anche io in questo virus...
come richiesto posto il log di elibagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.


la prossima mossa qual è?
grazie a tutti...buonasera

In avenger immetti questo script:

Files to delete:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\WINTEMS.EXE

io ho fatto la scansione cn gmer ma non trova nulla di rosso, però ho i sintomi di questo virus, anche se sono solo le funzione "real-time" che non funzionano, più l'asus pc probe, è sempre questo virus o devo cercare altrove?
segui la procedura in prima pagina e poi in ordine ed allegando i log
:
1 Dr.Web Cure It (non richiede installazione ed è meglio se la fai in Modalità provvisoria)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2 Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

3 prevxCSI (http://www.prevx.com/freescan.asp) (è solo un rilevatore) ed allega il log che ti rilascerà


ragazzi buonasera a tutti....sono incappato anche io in questo virus...
come richiesto posto il log di elibagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.


la prossima mossa qual è?
grazie a tutti...buonasera

anche per te vale quello detto a jhonny1888 e per favore modifica il tuo post allegando o hostando i log (per allegare icona in alto a forma di spilletta per documenti nella finestra post);)

ok già fatto ora t posto il log

scusa x il doppio post


ora dimmi se devo continuare cn il dr web cure ecc


oppure seguire la guida e andare cn panda...ah t avviso già ke ccleaner sebbene sia installato nn m parte

scusa x il doppio post


ora dimmi se devo continuare cn il dr web cure ecc


oppure seguire la guida e andare cn panda...ah t avviso già ke ccleaner sebbene sia installato nn m parte

si falle per sicurezza e per pulizie..male non fà;)

la guida dice di usare eligabla in modalità provvisoria, ma io non riesco ad andarci!, da che mondo è mondo io ci andavo schiacciando F8 cn il vecchio P4, ora se schiaccio F8 mi chiede il disco di boot, e nn so come entrarci!

la guida dice di usare eligabla in modalità provvisoria, ma io non riesco ad andarci!, da che mondo è mondo io ci andavo schiacciando F8 cn il vecchio P4, ora se schiaccio F8 mi chiede il disco di boot, e nn so come entrarci!

vai di normale...

la guida dice di usare eligabla in modalità provvisoria, ma io non riesco ad andarci!, da che mondo è mondo io ci andavo schiacciando F8 cn il vecchio P4, ora se schiaccio F8 mi chiede il disco di boot, e nn so come entrarci!:rolleyes:

Hai provato con altri tasti-funzione tipo F9 o F10 ???

Potrebbe essere che per qualche arcano motivo nel tuo pc l'accesso allla mod provvisioria sia comandato da un tasto funzione diverso da F8...

mmh fatto ttt i passaggi....

passaggi fatti e allego i log ke m ha fatto salvare...

In avenger immetti questo script:
Files to delete:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\WINTEMS.EXE



ecco il log di avenger...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lbldnsyr

*******************

Script file located at: \??\C:\Program Files\knmifiss.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS deleted successfully.
File C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE deleted successfully.
File C:\WINDOWS\SYSTEM32\WINTEMS.EXE deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Cosa altro fare...(anche se mi sembra che le cose stiano andando benino):)...
grazie ancora

passaggi fatti e allego i log ke m ha fatto salvare...

tutto a posto dai log sei pulito

ecco il log di avenger...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lbldnsyr

*******************

Script file located at: \??\C:\Program Files\knmifiss.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS deleted successfully.
File C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE deleted successfully.
File C:\WINDOWS\SYSTEM32\WINTEMS.EXE deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Cosa altro fare...(anche se mi sembra che le cose stiano andando benino):)...
grazie ancora

log di hijackthis e prevx per favore però per l'ennesima volta sono da allegare oppure hostare e non copiaincollare....ci sono delle regole che avete sottoscritto all'atto di iscrizione al forum......rispettiamole grazie;)

tutto a posto dai log sei pulito



log di hijackthis e prevx per favore però per l'ennesima volta sono da allegare oppure hostare e non copiaincollare....ci sono delle regole che avete sottoscritto all'atto di iscrizione al forum......rispettiamole grazie;)

scusami...non sapevo di questa regola...ti allego il file..e ti ringrazio nuovamente...
ciaoo

tutto a posto dai log sei pulito



ah ok t ringrazio x l'aiuto lancetta....un'ultima domanda...sn pulito da ttt? anke dal virus d msn?o devo adesso rikiedere aiuto a river?

scusami...non sapevo di questa regola...ti allego il file..e ti ringrazio nuovamente...
ciaoo

scusa ma esce scritto errore nel caricamento..invalid file...

scusa ma esce scritto errore nel caricamento..invalid file...

lo devi rinominare in formato .txt

[QUOTE=lo devi rinominare in formato .txt...[/QUOTE]

ecco il log allegato..scusate ancora...ma sto da oggi pomeriggio...non gliela
faccio più...grazie ancora...

ecco il log allegato..scusate ancora...ma sto da oggi pomeriggio...non gliela
faccio più...grazie ancora...

log pulito

log pulito

cioè adesso posso provare ad installare l'antivirus??...
grazie a tutti...via amoooo!!!

ah ok t ringrazio x l'aiuto lancetta....un'ultima domanda...sn pulito da ttt? anke dal virus d msn?o devo adesso rikiedere aiuto a river?
No ;) sei a posto.

cioè adesso posso provare ad installare l'antivirus??...
grazie a tutti...via amoooo!!!

:D ;)

No ;) sei a posto.

@foolemon anche te direi che sei a posto
@ militico stessa cosa...

dove mandiamo la fattura????:D :D :D



Socio...che giornata :stordita:

@foolemon anche te direi che sei a posto
@ militico stessa cosa...

dove mandiamo la fattura????:D :D :D



Socio...che giornata :stordita:

mamma non posso fare altro che fare i complimenti a te e a chi ti aiuta per sostenere questo thread...
grazie ancora...buonanotte...

Socio...che giornata :stordita:
Non lo dire a me; ho seguito un pò anche qui, ma non volevo aggiungere casino al casino.
Il fatto che in cinque o sei non è semplice dare il giro, con tutta la baraonda di questi giorni.
Lancetta, guarda che abbiamo cambiato il servizio di hosting per allegare i log, ti posto qui il nuovo servizio:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Non lo dire a me; ho seguito un pò anche qui, ma non volevo aggiungere casino al casino.
Il fatto che in cinque o sei non è semplice dare il giro, con tutta la baraonda di questi giorni.
Lancetta, guarda che abbiamo cambiato il servizio di hosting per allegare i log, ti posto qui il nuovo servizio:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

ho visto socio;) ..però non ho avuto proprio il tempo...avrò fatto 50 post oggi...volevo aiutarti nel thread di msn però effettivamente ci saremmo sovraesposti....;) :D

ho visto socio;) ..però non ho avuto proprio il tempo...avrò fatto 50 post oggi...volevo aiutarti nel thread di msn però effettivamente ci saremmo sovraesposti....;) :D

niente da dire.. siete troppo disponibili! :))) e siete grandi

niente da dire.. siete troppo disponibili! :))) e siete grandi

ma grazie! vuoi darcelo tu l'indirizzo per la fattura...???:D :D :D
ciao:cool:

ho visto socio;) ..però non ho avuto proprio il tempo...avrò fatto 50 post oggi...volevo aiutarti nel thread di msn però effettivamente ci saremmo sovraesposti....;) :D

con tutte le ferie che ti sei fatto, te l'avevo detto che ti avremmo lasciato gli arretrati :D ;)

@foolemon anche te direi che sei a posto
@ militico stessa cosa...

dove mandiamo la fattura????:D :D :D



Socio...che giornata :stordita:

:D :D grazie ancora a te e a river XD

con tutte le ferie che ti sei fatto, te l'avevo detto che ti avremmo lasciato gli arretrati :D ;)

:asd: il problema socio è che ora sono in ferie forzate a casa per infortunio
e mi sono azzeccato al forum per la gioia degli infetti:D :D
comunque vedo che sono in buona compagnia socio:D

con tutte le ferie che ti sei fatto, te l'avevo detto che ti avremmo lasciato gli arretrati :D ;)
Dai, non lamentiamoci, anche perchè ho l'impressione che ci siamo, decisamente, portati avanti con le procedure: le nuove varianti sono tutte sotto controllo, da quel che ho potuto vedere; se i nostri amici scribacchini di virus si danno una calmata, per un paio di settimane potremmo vivere, quasi di rendita (caos sul forum a parte) ;)
Sarebbe tutto più semplice se gli utenti infetti, le Guide le leggessero attentamente, prima di procedere :muro:
Perdiamo più tempo a correre dietro alle piccole cose, rispetto a tutto il resto.
comunque vedo che sono in buona compagnia socio
E pensavi ti avremmo lasciato qui a raccogliere, solo per te, gloria e baci?? :mbe: :cool:

Dai, non lamentiamoci, anche perchè ho l'impressione che ci siamo, decisamente, portati avanti con le procedure: le nuove varianti sono tutte sotto controllo, da quel che ho potuto vedere; se i nostri amici scribacchini di virus si danno una calmata, per un paio di settimane potremmo vivere, quasi di rendita (caos sul forum a parte) ;)
Sarebbe tutto più semplice se gli utenti infetti, le Guide le leggessero attentamente, prima di procedere :muro:
Perdiamo più tempo a correre dietro alle piccole cose, rispetto a tutto il resto.

E pensavi ti avremmo lasciato qui a raccogliere, solo per te, gloria e baci?? :mbe: :cool:

socio...sei un fetente:D eppoi chissene della gloria...meglio i baci:oink:

Ciao a tutti voi ragazzi.
Putroppo anche io tramite un ben noto programma, ho beccato questo virus.

Vi spiego passo passo cosa è accaduto e cosa ho fatto fino ad ora.

1) accendo il pc, appare una schermata blu con scritto del probabile danneggiamento di due file ed indicato in bella evidenza il fantomatico SROSA.SYS

2) avvio Windows 2000 con l'opzione dell'ultima sessione funzionale (in modalità provvisoria non funziona)

3) appare evidente che ci sono problemi:
-nessuna funzionalità antivirus attivabile
-active desktop non funzionante
-incapacità di fare partire molti dei programmi per la rimozione ad esclusione di AVENGER

Ho seguito la guida riportata in prima pagina ma escludendo il 1° passaggio (perchè non ho windows XP, ma il 2000), sto seguendo questa procedura, di fatto identica alla vostra

http://www.megalab.it/articoli.php?id=948&pagina=5

Di fatto sono partito dal vostro punto 3:

ora sto facendo la scansione, ma ho un problema di base, cioè una volta fatto il report in html, quali sono i file che devo togliere; cioè lì ne indica due cerchiati in rosso, ma ho una sfilza di file infetti e virus, io quali devo eliminare con avenger?!

NOTA: il programme elibagla non l'ho fatto partire perchè il link in prima pagina era ERRATO, mi sono resto conto dopo che avevate postato quello giusto; è quindi un problema se lo faccio partire dopo la scansione con KASPERSKY?!

dal log risulta che io non sia infetto, o sbaglio?

Ciao a tutti,
ho eseguito la procedura.
:confused:
Quando ho rifatto una scansione completa con kaspersky sono stati individuati 2 trojan (poi eliminati) in avenger.zip, il file da scaricare indicato nella procedura.
Cmq riscontro ancora problemi con NERO: vorrei copiarmi le foto e i documenti, per poi procedere al ripristino del sistema originario (ormai non mi fido più del mio pc)
:help:
Qualcuno ha qualche consiglio da darmi?
Grazie

dal log risulta che io non sia infetto, o sbaglio?

Esatto

Ciao a tutti voi ragazzi.
Putroppo anche io tramite un ben noto programma, ho beccato questo virus.

Vi spiego passo passo cosa è accaduto e cosa ho fatto fino ad ora.

1) accendo il pc, appare una schermata blu con scritto del probabile danneggiamento di due file ed indicato in bella evidenza il fantomatico SROSA.SYS

2) avvio Windows 2000 con l'opzione dell'ultima sessione funzionale (in modalità provvisoria non funziona)

3) appare evidente che ci sono problemi:
-nessuna funzionalità antivirus attivabile
-active desktop non funzionante
-incapacità di fare partire molti dei programmi per la rimozione ad esclusione di AVENGER

Ho seguito la guida riportata in prima pagina ma escludendo il 1° passaggio (perchè non ho windows XP, ma il 2000), sto seguendo questa procedura, di fatto identica alla vostra

http://www.megalab.it/articoli.php?id=948&pagina=5

Di fatto sono partito dal vostro punto 3:

ora sto facendo la scansione, ma ho un problema di base, cioè una volta fatto il report in html, quali sono i file che devo togliere; cioè lì ne indica due cerchiati in rosso, ma ho una sfilza di file infetti e virus, io quali devo eliminare con avenger?!

NOTA: il programme elibagla non l'ho fatto partire perchè il link in prima pagina era ERRATO, mi sono resto conto dopo che avevate postato quello giusto; è quindi un problema se lo faccio partire dopo la scansione con KASPERSKY?!

fai tutte le scansioni ed allega i log altrimenti non ti possiamo indicare niente;)

Ciao a tutti,
ho eseguito la procedura.
:confused:
Quando ho rifatto una scansione completa con kaspersky sono stati individuati 2 trojan (poi eliminati) in avenger.zip, il file da scaricare indicato nella procedura.
Cmq riscontro ancora problemi con NERO: vorrei copiarmi le foto e i documenti, per poi procedere al ripristino del sistema originario (ormai non mi fido più del mio pc)
:help:
Qualcuno ha qualche consiglio da darmi?
Grazie

allegaci i log vediamo se c'è qualche residuo...;)

Dunque, ho rifatto tutto dall'inizio e dopo avere usatato Kaspersky ho ottenuto quanto segue ed ho riportato su Avenger tutte le stringhe che risultano infette e le ho tolte:

http://www.fileup.itadib.com/download.php?id=4olokomocBn9HPkIPuLX

blackfluid: modifica il tuo post

i log vanno allegati oppure caricati su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download

clicca su modifica,poi avanzate e fai l' operazione che ti ho detto

blackfluid: modifica il tuo post

i log vanno allegati oppure caricati su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download

clicca su modifica,poi avanzate e fai l' operazione che ti ho detto

Fatto scusate :)

Fatto scusate :)

sembra che avessi più di una infezione non solo il bagle...
a parte che non capisco perchè continuate a fare di testa vostra dove sono gli altri log? poi il pc funzione bene o è ancora più instabile?
vabbè tanto ormai...facciamo così:
apri un post tuo nella sezione aiuto sono infetto e segui la procedura http://www.hwupgrade.it/forum/showthread.php?t=1599737 ho visto tracce di obfuscated posta anche oltre i log della procedura quello che ti rilascia QUESTO TOOL (http://noahdfear.geekstogo.com/FindAWF.exe) lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,allega lì il risultato (tutti insieme e non a pezzi per favore)

Salve a tutti,sono un nuovo iscritto di questo forum,ma ho avuto la fortuna di leggere parechcie discussione come visitatore.Vewngo al sodo del mio problema:ho preso un hdlrrr.exe e da allora,come ho letto in parecchie discussioni è successo a parecchia gente,mi si bloccano tutti gli antivirus,in particolare i file .exe ,tanto da non potermi permettere nulla.Questo perchè mi ha annullato l'antivirus che avevo (norton 360) e non mi permette nessuna installazioni di altri.
L'indirizzo per il mio log è http://www.zshare.net/download/65489585938b6e/
Grazie sin d'ora

Salve a tutti,sono un nuovo iscritto di questo forum,ma ho avuto la fortuna di leggere parechcie discussione come visitatore.Vewngo al sodo del mio problema:ho preso un hdlrrr.exe e da allora,come ho letto in parecchie discussioni è successo a parecchia gente,mi si bloccano tutti gli antivirus,in particolare i file .exe ,tanto da non potermi permettere nulla.Questo perchè mi ha annullato l'antivirus che avevo (norton 360) e non mi permette nessuna installazioni di altri.
L'indirizzo per il mio log è http://www.zshare.net/download/65489585938b6e/
Grazie sin d'ora

ciao juveda
come già ti avevo detto, incomincia a seguire la guida in prima pagina
attendiamo tue notizie
ciao

ciao murack,
come mi avevi consigliato prima avevo già iniziato la procedura descritta nella prima pagina di questo post,scaricato e applicato eligabla ma quando arriva a
kaspersky non c'è nulla da fare,non me lo fa partire,anzi si blocca tutto e devo togliere anche l'installazione appena fatta.
davvero non so come fare

posta il log di elibagle: trova in: C:\InfoSat.txt

ciao murack,
come mi avevi consigliato prima avevo già iniziato la procedura descritta nella prima pagina di questo post,scaricato e applicato eligabla ma quando arriva a
kaspersky non c'è nulla da fare,non me lo fa partire,anzi si blocca tutto e devo togliere anche l'installazione appena fatta.
davvero non so come fare

allega il log di Elibagla

ecco il log di eligabla
aspetto voi

e grazie ragazzi

Passa al punto 4)

fatto il punto 4 cioè avenger ma dopo la riaccensione è ripartito elibagla e mi ha prodotto il log che ti posto
inoltre avenger mi ha prodotto questo log

fammi sapere

grazie tante

a me sembra che ora elibagle ha eliminato i file che doveva eliminare....
prima avevi fatto girare elibagle in modalità normale o provvissoria?
cmq aspetta chill, che ti saprà indicare i passaggi necessari
buon lavoro a te e sopratutto a chill ;)
notte

fatto il punto 4 cioè avenger ma dopo la riaccensione è ripartito elibagla e mi ha prodotto il log che ti posto
inoltre avenger mi ha prodotto questo log

fammi sapere

grazie tante

adesso procedi con il resto (Kasper si dovrebbe installare) e disattiva il ripristino configurazione di sistema;)

ciao murack
aveva lavorato in normale perchè provvisoria non partiva
aspetto chil e ,augurandoti buona notte,ti ringrazio ancora

ciao

ciao murack
aveva lavorato in normale perchè provvisoria non partiva
aspetto chil e ,augurandoti buona notte,ti ringrazio ancora

ciao

fai quanto detto da lancetta

edit: a me era venuto il dubbio, ma il ripristino configurazione sistema è disattivato,giusto? nn c'è bisogno che rispondi,se è ancora attivo,disabilitalo e prova ad installare kaspersky

buongiorno a tutti ragazzi,
ecco il log di avenger che mi sono ritrovato stamattina dopo una corretta scansione con kaspersky e l'esecuzione di avenger.
procedo con tutte le altre operazioni

ancroa buongiorno a tutti
ed ecco il log del hijack finale
quando ne avete la possibilità,ditemi sempre per favore come va

grazie ancora

ancroa buongiorno a tutti
ed ecco il log del hijack finale
quando ne avete la possibilità,ditemi sempre per favore come va

grazie ancora

allega il log del Kaspersky, la scansione con Panda Antirootkit e la pulizia con Ccleaner sono state fatte.

buongiorno chill
mi spiace ma kaspersky non mi ha rilasciato alcun log dopo la scansione,ho ricontrollato ora ma nulla
cmq per ora sembra vada tutto bene
non mi da nessun problema
speriamo continui cosi
ti ringrazio per il cordiale aiuto

buongiorno chill
mi spiace ma kaspersky non mi ha rilasciato alcun log dopo la scansione,ho ricontrollato ora ma nulla
cmq per ora sembra vada tutto bene
non mi da nessun problema
speriamo continui cosi
ti ringrazio per il cordiale aiuto

te lo dovrebbe rilasciare in C (risorse del computer) serve per vedere se ci sono eventuali residui altrimenti frà un pò sei di nuovo qui.....
Poi chill ti chiedeva se avevi fatto girare panda antirootkit (trovato nulla?) e ccleaner...dacci notizie...;)

ciao lancetta,
e grazie anche a te per il tuo interessamento
son riuscito a fare tutto quello che mi si consigliava di fare nella prima pagina del forum,quindi compreso panda e ccleaner,per questo dicevo che tutto è andato bene e non sembrano esserci più problemi.
Ed infatti cosi è stato per tutta la giornata.
Ti ringrazio ancora,e chiaramente anche chill e murack che mi hanno aiutato a risolvere questa situazione.

ciao

ciao lancetta,
e grazie anche a te per il tuo interessamento
son riuscito a fare tutto quello che mi si consigliava di fare nella prima pagina del forum,quindi compreso panda e ccleaner,per questo dicevo che tutto è andato bene e non sembrano esserci più problemi.
Ed infatti cosi è stato per tutta la giornata.
Ti ringrazio ancora,e chiaramente anche chill e murack che mi hanno aiutato a risolvere questa situazione.

ciao

OK ciao;)

Innanzitutto Salve e compleminte x il forum :)
Come un pirlotto anche io ho beccato questo virus
Dopo una lunga lotta ieri ho trovato questo forum e ho seguito passo passo la guida
Non vorrei dirlo ma pare sia tutto ok ma volevo postare i risultati dei vari test x tirare un definitivo sospiro di sollievo

Innanzitutto Salve e compleminte x il forum :)
Come un pirlotto anche io ho beccato questo virus
Dopo una lunga lotta ieri ho trovato questo forum e ho seguito passo passo la guida
Non vorrei dirlo ma pare sia tutto ok ma volevo postare i risultati dei vari test x tirare un definitivo sospiro di sollievo

per favore allega i log in formato .txt, thx.

ok eccoli :)

ecco hjack

scusa ma il log di hjack come lo metto ? i file +.log non me li fa postare

hosta qui http://www.fileup.itadib.com/index.php ed indica il link dove prelevarlo

salvato come txt va bene lo stesso?

si va bene ma mancano i log della scansione col Kaspersky - Panda antirootkit

dove dovrebbero essere ?e come si dovrebbero chiamare ?
ps. cmq panda non ha trovato inente kasper invece ha trovato i vari bagle

A dire il vero è indicato chiaramente in Guida, dal log di HJT sembra che sei riuscito a reinstallare l'antivirus, la scansione col Kaspersky serve per eliminare eventuali rimaneze

http://www.kaspersky.it/Servizi/virusscanner.asp

allega il log

ok ora stavo facendo uno scan con avg ke ho reinstallato appena finisce rifaccio kaspersky
ps ho fatto anke uno spybot s&d in modalita provvisoria prima e mi aveva trovato una cosa su microsoft security center ke dovrebbe aver rimosso
p,s il log di hjt sembra pulito?

ok ora stavo facendo uno scan con avg ke ho reinstallato appena finisce rifaccio kaspersky
ps ho fatto anke uno spybot s&d in modalita provvisoria prima e mi aveva trovato una cosa su microsoft security center ke dovrebbe aver rimosso
p,s il log di hjt sembra pulito?

si, il log è pulito

sono finalmente riuscito a rimuovere le chiavi di srosa finora ineliminabili ma non so perchè da un po di tempo a questa parte se provo ad aprire lime wire oppure ad aprire mozilla con veoh tv (un programma per il download da un sito di video streaming) il computer va istantaneamente in crash compare lo schermo blu che mi avvisa che c'è stato un errore grave e mi riavvia il pc voi cosa ne dite? :confused:

Il mio portatile si sta avvicinando sempre di più al formattone riparatore solo che non vorrei ricorrervi finchè non sia stata persa ogni speranza; in merito a ciò come si può verificare che il disco uscito insieme al portatile contenga il SO windows vista o altre cavolate di casa microsoft senza dover formattare un pc?

ps ho fatto anke uno spybot s&d in modalita provvisoria prima e mi aveva trovato una cosa su microsoft security center ke dovrebbe aver rimosso

SpyBot può aver rilevato:
1) centro di sicurezza disattivato
2) centro di sicurezza disattivato dal software antivirus, questo per evitare duplici messaggi di avviso
nulla di preoccupante

non sono riuscito a far partire kasper online xkè dice ke un altro antivirus è in esecuzione

non sono riuscito a far partire kasper online xkè dice ke un altro antivirus è in esecuzione

disattiva il tuo antivirus ...lo riabiliterai in dopo ;)

ho avg se lo disabilito kasper continua a dirmi ke è attivo..
devo terminare i processi da taskmanager?

cmq ho fatto anke un giro completo di avg e non ha trovato nulla

cmq ho fatto anke un giro completo di avg e non ha trovato nulla

il pc come và?

x ora tutto ok anke meglio di prima forse a dire il vero,
ma sai x scaramanzia non lo urlo troppo

cmq colgo l'occasione x ringraziare tutti siete stati velocissimi e disponibilissimi
:ave: :ave: :ave: :ave:

Ciao io ho il seguente problema puoi dirmi se si tratta di questo?
http://www.hwupgrade.it/forum/showthread.php?t=1654817

Ciao io ho il seguente problema puoi dirmi se si tratta di questo?
http://www.hwupgrade.it/forum/showthread.php?t=1654817

sembra di si..segui la procedura in prima pagina ed allega oppure hosta i log alla fine ;)

A TAL PROPOSITO:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/QUOTE]

sembra di si..segui la procedura in prima pagina ed allega oppure hosta i log alla fine ;)

A TAL PROPOSITO:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

mi permetto di aggiungere che i log vanno allegati tutti insieme in un'unico post e non uno allo volta, averli tutti insieme ci consente di velocizzare la procedura di rimozione ciò và a vantaggio di tutti,grazie per la collaborazione.

allora ho fatto tutti i punti proposti , questo è il log di hijackthis
http://www.fileup.itadib.com/download.php?id=K9DvbV4s2EMtvFlmBC48[/URL]
secondo voi sono pulito??

allora ho fatto tutti i punti proposti , questo è il log di hijackthis
Ricontrolla il link, non è corretta la formattazione: cancella questa parte [/url]

allora ho fatto tutti i punti proposti , questo è il log di hijackthis
http://www.fileup.itadib.com/download.php?id=K9DvbV4s2EMtvFlmBC48[/URL]
secondo voi sono pulito??

serve anche il log di avenger ed elibagla ;)

Edit: ma ti si aprono anche finestre pubblicitarie??? vedo tracce del Cid nel log :rolleyes:

per quanto riguarda elibagla non so proprio come fare per fare il log visto che le uniche opzioni disponibie che ho sono Explorar e Salir :confused: comunque quando faccio la scansione non trova niente, invece per avenger quando mando in run il programma con gli script e mi si riavvia, all'apertura il file txt è tutto bianco poi kaspersky me lo blocca perche dice che il file di avenger è infetto da Bagle :cry:
riposto l'url http://www.fileup.itadib.com/download.php?id=K9DvbV4s2EMtvFlmBC48

per quanto riguarda elibagla non so proprio come fare per fare il log visto che le uniche opzioni disponibie che ho sono Explorar e Salir :confused: comunque quando faccio la scansione non trova niente, invece per avenger quando mando in run il programma con gli script e mi si riavvia, all'apertura il file txt è tutto bianco poi kaspersky me lo blocca perche dice che il file di avenger è infetto da Bagle :cry:
riposto l'url http://www.fileup.itadib.com/download.php?id=K9DvbV4s2EMtvFlmBC48

disattiva un attimo il tuo antivirus mentre fai le operazioni

hai anche pubblicità mentre navighi?

a scusate per elibagla crea il file infosat.txt :D ora lo posto

a scusate per elibagla crea il file infosat.txt :D ora lo posto

posta un altro log di hijackthis

allora adesso ho tutto il materiale a disposizione
(avenger)
http://www.fileup.itadib.com/download.php?id=CHIysO0IgP48LjJUnMKa
(elibagla)
http://www.fileup.itadib.com/download.php?id=ZfS6RnFmEPkCfxHzS6mW
(hijackthis)
http://www.fileup.itadib.com/download.php?id=tMCPode0zEWGMLrcOMzT
che ne dite??

disattiva un attimo il tuo antivirus mentre fai le operazioni

hai anche pubblicità mentre navighi?

si ho dei banner da explorer il sito è hotel.it a volte anche adserver5.com dipende da msn plus??