Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione - Pagina 15

**Chill-Out** · 02-01-2008, 19:04

@roBErto_1615

io avrei seguito la guida passo-passo.

kali · 02-01-2008, 20:16

Quote:

Originariamente inviato da roBErto_1615

@kali: tieni duro, come diceva il grande Eduardo: ".. ha da finì 'a nuttata!"

grazie per il supporto morale, ma sono giorni che non riesco a venirne a capo.. e ho del lavoro importante da fare... non ce la faccio piu'

Quote:

Originariamente inviato da Bugs Bunny

hai disattivato ripristino configurazione di sistema?

si'... e' stata la prima cosa che ho fatto, in accordo alla guida che sta all'inizio di questo thread...

sto iniziando da capo,

verifica di dissattivazione di ripristino configurazione di sistema

fix della modalita' provvisoria con elibagle senza scan

riavvio in modalita' provvisoria

lancio di elibagle con l'opzione di eliminazione automatica spuntata, in deep scan

al momento sono a questo punto. elibagle non ha trovato niente, pare, a parte wintems.exe: non mi chiede nemmeno di riavviare. ad ogni buon conto, allego il log, eccolo QUI: infosat.txt - 0.01MB.

Ora dovrei riavviare e tentare con kaspersky, secondo la guida (che gia' ho seguito prima..) ma non mi fido...

che faccio!?!?

roBErto_1615 · 02-01-2008, 20:51

Quote:

Originariamente inviato da Chill-Out

@roBErto_1615

io avrei seguito la guida passo-passo.

Il fatto è che ieri non avevo la possibilità di spegnere e restartare molte volte il pc (in collegamento con mia moglie) e poi quando ho visto che il virus era stato debellato e fatti ripetuti scan ho pensato che magari avevo preso qualche variante blanda, non so, anche se a dire il vero l'hldrrr risiedeva in win/system32/drivers come l'ultima var

In precedenza avevo provato a usare anche un altro tool, killbox seguendo un indizio: avevo notato che da tweeknowPP2006 nell'elenco dei processi appariva quello di un piccolo tool della mainboard (ITE Smart guardian) con la stessa icona di hldrrr.exe e siccome mi ricordavo di avere scaricato un sedicente installatore di ACR (advanced cab repair) e guardacaso dando esecuzione ad esso i miei problemi sono iniziati, con total commander sono andato a confrontare il file scaricato e quello del tooll che aveva assunto la stessa icona e in effetti non era l'icona soltanto ma i files con diverso nome erano identici fino all'ultimo bit! Ho quindi provato a rimuovere i 2 files con il succitato killbox e poi sono arrivato a fare tutto il resto con la guida presente in questo 3D..
Rimango ovviamente incredulo perchè avevo cominciato, come dicevo, col seguire passo passo le istruzioni di Riverside ma quando ho riavviato la prima volta e ho visto che dopo la rimozione con elibagle ho potuto scansionare in mod prov riportando una negatività ho pensato di non sfidare la fortuna usando avenger che mi faceva tremare un pochino i polsi

e ora sembra che giri tutto a dovere a parte quelle cosette di cui parlavo.

@murack83pa: grazie dei consigli e.. Ti sarei grato se mi linkassi quella utility

kali · 03-01-2008, 02:16

Quote:

Originariamente inviato da kali

grazie per il supporto morale, ma sono giorni che non riesco a venirne a capo.. e ho del lavoro importante da fare... non ce la faccio piu'

si'... e' stata la prima cosa che ho fatto, in accordo alla guida che sta all'inizio di questo thread...

sto iniziando da capo,

verifica di dissattivazione di ripristino configurazione di sistema

fix della modalita' provvisoria con elibagle senza scan

riavvio in modalita' provvisoria

lancio di elibagle con l'opzione di eliminazione automatica spuntata, in deep scan

al momento sono a questo punto. elibagle non ha trovato niente, pare, a parte wintems.exe: non mi chiede nemmeno di riavviare. ad ogni buon conto, allego il log, eccolo QUI: infosat.txt - 0.01MB.

Ora dovrei riavviare e tentare con kaspersky, secondo la guida (che gia' ho seguito prima..) ma non mi fido...

che faccio!?!?

ok, ho riavviato, sempre in modalita' provvisoria, ho rimosso a mano file e voci di registro, comprese quelle indicate da SmitFraudFix (da modalita' provvisoria non e' stato un problema, tranne che per un paio che regedit non mi permetteva di modificare), quindi ho lanciato su avenger lo script integrato con le 3 righe suggerite da bugs bunny (lui pare non aver trovato niente tranne quello che non ero riuscito a rimuovere, e pare averlo rimosso). riavviato il sistema in modalita' standard (non provvisoria), c:\windows\system32\drivers\hldrrr.exe non c'e', la cartella c:\windows\system32\drivers\down si', ma e' vuota: l'ho rimossa da cmd senza problemi. il registro su ndisuio sembra a posto (lo start e' correttamente su 1 e non si e' messo su 4), e non pare esserci attivita' sospetta. ho rilanciato hijackthis e gmer, e di nuovo elibagle. qui ci sono i log, in particolare quello di gmer. logsvari-new.zip - 0.02MB

sembro essere nella stessa situazione di oggi, prima che lanciassi l'installazione di kaspersky (cosa dopo la quale sono ripiombato nel baratro).

ho controllato per sicurezza, e il ripristino configurazione di sistema e' disattivato.

ora lancio panda antirootkit con in-depth scan (che prevede il riavvio) e vado a letto.. domattina trovero' il risultato. Lo pubblichero' appena riesco a connettermi di nuovo ad internet.

la domanda e': dato che anche prima sembrava essere tutto finito, cosa faccio ora? vi confesso che psicologicamente (sara' stupido...) non mi va di rilanciare l'installazione di kaspersky... ma forse e' quello che dovrei fare? oppure? vi prego, illuminatemi, o corro il rischio di farmi del male fisico da solo....

kali · 03-01-2008, 11:23

Quote:

Originariamente inviato da kali

*** CUT ***

la domanda e': dato che anche prima sembrava essere tutto finito, cosa faccio ora? vi confesso che psicologicamente (sara' stupido...) non mi va di rilanciare l'installazione di kaspersky... ma forse e' quello che dovrei fare? oppure? vi prego, illuminatemi, o corro il rischio di farmi del male fisico da solo....

panda antirootkit ha terminato il deep scan. non ha trovato niente.... i log sono quelli.. che faccio, rilancio gmer/hijackthis o cosa? che installo? che antivirus provo a mettere?

ripristino configurazione di sistema e' ancora disattivato (ho il terrore che si riattivi da solo...).

insomma, non so quale possa essere il prossimo passo..

**Chill-Out** · 03-01-2008, 11:27

se evitassi di zippare i log sarebbe meglio, mica lo paghi lo spazio utilizzato su zshare, thx.

kali · 03-01-2008, 12:11

Quote:

Originariamente inviato da Chill-Out

se evitassi di zippare i log sarebbe meglio, mica lo paghi lo spazio utilizzato su zshare, thx.

perdonatemi, vecchia scuola netiquettiana, devo abituarmi a tutto lo spazio che c'e' ora sul web...

gmer_1-0-13.log-new.txt - 0.85MB

infosat.txt - 0.01MB

hijackthis.log-new.txt - 0.01MB

avenger.txt - 0.01MB

rapport.txt - 0.00MB

la domanda resta ancora sospesa... :P che faccio ora?

**Chill-Out** · 03-01-2008, 12:27

scan col KAV

fixa le seguenti voci:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - (no file)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓÆµ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O16 - DPF: {82A65D41-DD82-47CD-B19D-AD26148AA74C} - hxxp://www2.unyk.com/Diffusion/Activ...s%20Finder.cab

kali · 03-01-2008, 12:35

Quote:

Originariamente inviato da Chill-Out

scan col KAV

devo installarlo (ieri durante la sua installazione si e' ripresentato il worm.. anche se lo so che probabilmente non c'entra...)? oppure la faccio online?

**Chill-Out** · 03-01-2008, 12:43

dubito che l'installazione del Kav richiami il worm, ma se preferisci falla online (NB: non disinfetta), in ogni caso devi salvare ed allegare il report

kali · 03-01-2008, 12:54

Quote:

Originariamente inviato da Chill-Out

dubito che l'installazione del Kav richiami il worm, ma se preferisci falla online (NB: non disinfetta), in ogni caso devi salvare ed allegare il report

ok, parto con lo scan online e quando finisce posto il log. al max installo kaspersky dopo per la rimozione eventuale. stay tuned (grazie per la pazienza...)

**Chill-Out** · 03-01-2008, 12:55

prego, fixa le voci indicate al post #288 preferibilmente da mod.provvisoria F8.

kali · 03-01-2008, 12:55

Quote:

Originariamente inviato da Chill-Out

scan col KAV

fixa le seguenti voci:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - (no file)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing)
O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓÆµ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O16 - DPF: {82A65D41-DD82-47CD-B19D-AD26148AA74C} - hxxp://www2.unyk.com/Diffusion/Activ...s%20Finder.cab

mi pare di capire che sia parte del log di hijackthis. come faccio a fixare le voci?

kali · 03-01-2008, 13:26

Quote:

Originariamente inviato da kali

mi pare di capire che sia parte del log di hijackthis. come faccio a fixare le voci?

up :P

xcdegasp · 03-01-2008, 16:02

devi rifare la scansione, poi selezioni le voci che ti hanno consigliato e premi il pulsante "fix"

kali · 03-01-2008, 16:25

Quote:

Originariamente inviato da xcdegasp

devi rifare la scansione, poi selezioni le voci che ti hanno consigliato e premi il pulsante "fix"

in effetti e' banale... che stupido!

la scansione online di kaspersky frulla da ore ed e' al 23%... quasi quasi la interrompo, riavvio in modalita' provvisoria e fixo quelle voci, poi riavvio in modalita' normale e installo kaspersky... oppure ormai conviene aspettare la scansione online.... e fixare le voci dopo?

xcdegasp · 03-01-2008, 16:30

prima del kav fai un apassata di Dr.Web CureIT che puoi lanciare in provvisoria e anche questo toglie molta immondezza

kali · 03-01-2008, 17:59

Quote:

Originariamente inviato da xcdegasp

prima del kav fai un apassata di Dr.Web CureIT che puoi lanciare in provvisoria e anche questo toglie molta immondezza

ok, interrotto il kav online verso il 50%. il log fino a quel momento e' questo qui:
kasperskyonlinescan-200801031745.htm - 0.05MB

in pratica niente di che, a quanto pare (ma credo che dovesse ancora arrivare alla cartella WINDOWS, se va in ordine alfabetico...).

mi appresto a riavviare in modalita' provvisoria, secondo il vostro consiglio, e a fixare quanto consigliato con hijackthis e poi lanciare cure it. poi riavvio in modalita' normale e.. installo kaspersky?

ditemi voi

intanto riavvio.....

kali · 03-01-2008, 19:17

Quote:

Originariamente inviato da kali

ok, interrotto il kav online verso il 50%. il log fino a quel momento e' questo qui:
kasperskyonlinescan-200801031745.htm - 0.05MB

in pratica niente di che, a quanto pare (ma credo che dovesse ancora arrivare alla cartella WINDOWS, se va in ordine alfabetico...).

mi appresto a riavviare in modalita' provvisoria, secondo il vostro consiglio, e a fixare quanto consigliato con hijackthis e poi lanciare cure it. poi riavvio in modalita' normale e.. installo kaspersky?

ditemi voi

intanto riavvio.....

ok, avviata la modalita' provvisoria e lanciato hijackthis per fissare quanto consigliato. fatto, il log di hijackthis dopo il fix e' il seguente: hijackthis.log-200801031909.txt - 0.01MB.

ho lanciato cureIt in express scan, ci ha messo pochi minuti e dice di non aver trovato niente. tanto per non saper ne' leggere ne' scrivere lancio ora cureIt con scansione completa. il passaggio successivo? (lo so, lo so, sono pesante... ma non mi era mai capitato di dover lottare tanto per ripulire il sistema..)

**Chill-Out** · 03-01-2008, 21:28

Il log di HJT è pulito, allega il log di CureIt e lancia questa scansione col Kav

02-01-2008, 19:04	#281
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@roBErto_1615 io avrei seguito la guida passo-passo. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-01-2008, 11:27	#286
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	se evitassi di zippare i log sarebbe meglio, mica lo paghi lo spazio utilizzato su zshare, thx. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-01-2008, 12:27	#288
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	scan col KAV fixa le seguenti voci: O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - (no file) O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - (no file) O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file) O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file) O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing) O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file) O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file) O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FILECO~1\{38286~1\Bar888.dll (file missing) O9 - Extra button: Ãâ·Ñ¾«²ÊÊÓÆµ³¬Á÷³©ÔÚÏß¹Û¿´ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing) O9 - Extra 'Tools' menuitem: ²¥°ÔµçÊÓ - {022C4009-5283-4365-97BF-144054B40E2E} - hxxp://itv.mop.com (file missing) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O16 - DPF: {82A65D41-DD82-47CD-B19D-AD26148AA74C} - hxxp://www2.unyk.com/Diffusion/Activ...s%20Finder.cab __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 03-01-2008 alle 12:45.

03-01-2008, 12:43	#290
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	dubito che l'installazione del Kav richiami il worm, ma se preferisci falla online (NB: non disinfetta), in ogni caso devi salvare ed allegare il report __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-01-2008, 12:55	#292
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	prego, fixa le voci indicate al post #288 preferibilmente da mod.provvisoria F8. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-01-2008, 16:02	#295
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	devi rifare la scansione, poi selezioni le voci che ti hanno consigliato e premi il pulsante "fix" __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

03-01-2008, 16:30	#297
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	prima del kav fai un apassata di Dr.Web CureIT che puoi lanciare in provvisoria e anche questo toglie molta immondezza __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

03-01-2008, 21:28	#300
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Il log di HJT è pulito, allega il log di CureIt e lancia questa scansione col Kav __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email