Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione

[ennys]

Quote:

Originariamente inviato da Chill-Out

ho controllato ed apparentemente non c'è motico per cui il .reg non debba funzionare, prova ad eseguirlo in mod.provvisoria F8

Fatto ma niente.








Ho notato una stranezza:

la chiave

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

dopo aver applicato il file .reg è diventata

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]

e ora è nuovamente

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]







Il pc però va benissimo in tutto e per tutto...

[Chill-Out]

Quote:

Originariamente inviato da ennys

Fatto ma niente.








Ho notato una stranezza:

la chiave

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]

dopo aver applicato il file .reg è diventata

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]

e ora è nuovamente

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA]







Il pc però va benissimo in tutto e per tutto...

c'è qualcosa che non quadra, hai effettuato i seguenti passaggi?

- disabilitato il system restore
- pulizia con Ccleaner
- scansione con Gmer alla ricerca di eventuali rootkit
- scansione online con Kaspersky
- cancellato manualmente i seguenti files e cartelle:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

in ogni caso avvia il PC come Amministratore, disconnesso dalla rete disabilita UAC e Windows Defender, Start - Esegui - Regedit e riprova a cancellare le chiavi in questione eventulamente se fosse necessario clicca su (modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione)

[sit]

Ho eseguito di nuovo tutto, ora Elibagla non trova più virus e, a differenza di ieri, la modalità provvisoria funziona.

Dovrebbe essere a posto?

Il log di elibagla è questo:

infosat.txt - 0.00MB

Ora faccio uno scan con kaspersky e posto il risultato

grazie

[sit]

elibagla non trova più nulla, kaspersky invece già al 75% di scansione ha trovato 5 virus e 11 oggetti infettati... e ma uff

[lancetta]

Quote:

Originariamente inviato da sit

elibagla non trova più nulla, kaspersky invece già al 75% di scansione ha trovato 5 virus e 11 oggetti infettati... e ma uff

nel log di prima qualcosa ha eliminato...posta i log di kasper mi raccomando

[sit]

dunque il log di kasperksy appena finito è questo

kaspersky.txt - 0.02MB

[ennys]

Quote:

Originariamente inviato da Chill-Out

c'è qualcosa che non quadra, hai effettuato i seguenti passaggi?

- disabilitato il system restore
- pulizia con Ccleaner
- scansione con Gmer alla ricerca di eventuali rootkit
- scansione online con Kaspersky
- cancellato manualmente i seguenti files e cartelle:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

in ogni caso avvia il PC come Amministratore, disconnesso dalla rete disabilita UAC e Windows Defender, Start - Esegui - Regedit e riprova a cancellare le chiavi in questione eventulamente se fosse necessario clicca su (modifica - autorizzazioni - metti il segno di spunta su Controllo completo (consenti) e procedi alla cancellazione)

Grazie Chill per la pazienza

Purtroppo credo di aver fatto tutti i passaggi che riporti, anche perchè il thread credo di averlo letto con attenzionefin dall'inizio.

Tant'è che il pc non mi risulta più infetto qualsiasi esame e scansione lo si sottoponga.

Tutti i processi e le funzioni sono tornate alla normale funzionalità ed il pc infatti funziona molto bene.




Comunque verificherò passo passo la lista che hai allegato anche se non sono molto speranzoso anche il discorso di modificare le autorizzazione di regedit l'ho già provato più volte e non me lo fa fare in nessun modo...

[lancetta]

ennys

ma quando ti avvochi le autorizzazioni ti dà errore?

[lancetta]

Quote:

Originariamente inviato da sit

dunque il log di kasperksy appena finito è questo

kaspersky.txt - 0.02MB

i malware sono tutti nei temporanei, è del pc che della java machine....
Hai ripulito tutto con ccleaner?

[sit]

Quote:

Originariamente inviato da lancetta

i malware sono tutti nei temporanei, è del pc che della java machine....
Hai ripulito tutto con ccleaner?

Uhm non ancora aspettavo indicazioni dopo kaspersky

ora l'ho scaricato e lo faccio andare, poi ti aggiorno

grazie mille per l'aiuto

[sit]

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

[Chill-Out]

Quote:

Originariamente inviato da sit

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia

[sit]

Fatto! C'è un prossimo passo? rifaccio lo scan?

- scusate la pedanteria, zoppico un po' in informatica -

[Chill-Out]

Quote:

Originariamente inviato da sit

Fatto! C'è un prossimo passo? rifaccio lo scan?

- scusate la pedanteria, zoppico un po' in informatica -

per massima sicurezza sarebbe opportuno

[lancetta]

Quote:

Originariamente inviato da sit

ma con cccleaner faccio solo Pulizia giusto? o devo fare qualcosa anche con Registro?

Pulizia l'ho fatta, ora dà 0 byte da rimuovere... rifaccio Kaspersky per vedere se c'è altro?

riavvia ccleaner con nelle opzioni la spunta levata alla prima voce in avanzate (cancella file in windows ecc..) e controlla che nel quadro pulizia -> applicazioni sia presente anche la java (per alcuni misteriosi motivi a volte ccleaner non la "vede") naturalmente selezionata insieme al resto... epoi un altro giro di kasper e riposti i log

[sit]

Ok! spuntate e controllate le voci di cccleaner. faccio un altro scan con kaspersky allora. Grazie a tutti

[ennys]

Quote:

Originariamente inviato da lancetta

ennys

ma quando ti avvochi le autorizzazioni ti dà errore?

Sì, mi dà errore...

[Chill-Out]

Quote:

Originariamente inviato da ennys

Sì, mi dà errore...

quale?

[Roberta76]

Grazie 1000 chill...

grazie al tool EliBaglA sono riusita ha installare nuovamente l'antivirus

adesso rimane la riattivazione del centro sicurezza e il defender.
Allego una foto per spiegarmi meglio.



ciao

[lancetta]

Quote:

Originariamente inviato da Roberta76

Grazie 1000 chill...

grazie al tool EliBaglA sono riusita ha installare nuovamente l'antivirus

adesso rimane la riattivazione del centro sicurezza e il defender.
Allego una foto per spiegarmi meglio.



ciao

servono anche i log (file txt che ti rilasciano i tool di rimozione)