Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione

[ennys]

Ho trovato la procedura per eliminare le famose ed infami chiavi di registro

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

finora ineliminabili !!!





Ecco la procedura:

Scaricare il programma PsExec v1.94 che fa parte del PsTools da questa pagina

http://technet.microsoft.com/it-it/s...53(en-us).aspx

(il link per il download sulla dx della pagina)



Il file zip scaricato va scompattato e l'eseguibile psexec.exe va copiato nella cartella C:\Windows\System32

Andare in Start -> Programmi -> Accessori e tasto dx su Prompt dei comandi -> Esegui come Amministratore

Nella finestra che si apre nella riga di comando copiare questo comando:

psexec -s -i regedit

dare Invio.



A questo punto si aprirà la finestra di Regedit questa volta finalmente con tutti i privilegi ed autorizzazioni possibili ed immaginabili.

Cliccare sul menù Modifica e poi Trova

digitare "srosa" ed una volta individuata la chiave tasto dx -> elimina.

E QUESTA VOLTA LA ELIMINA SUL SERIO !!!

Premere F3 per continuare la ricerca delle altre due chiavi e agire come sopra cancellandole.

Finito !!!

[Chill-Out]

Parli di questo
http://technet.microsoft.com/en-us/s.../bb897553.aspx

[ennys]

Quote:

Originariamente inviato da Chill-Out

Parli di questo
http://technet.microsoft.com/en-us/s.../bb897553.aspx

E' esattamente il link che ho messo nel mio post.

[Riverside]

@ Bugs, direi che puoi aggiornare la Guida

[Chill-Out]

Quote:

Originariamente inviato da Riverside

Chill, direi che puoi aggiornare la Guida

eventualmente Bugs , buono a sapersi ma quelle chiavi sono residui inattivi del Bagle, nulla di risolutivo per Vista

[lancetta]

Ottimo!!!! ..non può che farci piacere.... ...però curioso che il tool sia per XP ed inferiori

[Chill-Out]

PsExec works on Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP and Server 2003 including x64 versions of Windows.

[lancetta]

Quote:

Originariamente inviato da Chill-Out

PsExec works on Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP and Server 2003 including x64 versions of Windows.

sbagliato link

[ennys]

Quote:

Originariamente inviato da Chill-Out

eventualmente Bugs , buono a sapersi ma quelle chiavi sono residui inattivi del Bagle, nulla di risolutivo per Vista

Beh, oddio se fossi riuscito subito a cancellare quelle chiavi ,allora più che attive, dopo avere eliminato i file infetti come facevo all'inizio, ad ogni riavvio non me li sarei ritrovati di nuovo attivi nel SO e mi sarei risparmiato almeno un giorno di smanettamenti.


E comunque Bagle da quanto ho potuto vedere in rete non è il solo processo a lasciare chiavi di registro incancellabili su Vista.

La guida può essere utile i molti altri casi, credo.

[lancetta]

mi sono un attimo documentato..l'utility in questione oltre che per dare comandi in lan su server remoti...ti fà guadagnare privilegi System sulla mcchina in cui lo usi (superiore al superadmin) in pratica ci puoi fare tutto ,anche agire su file di sistema in uso ed a basso livello,un pò come l'admin root su linux.E' una grande cosa però da usare con cautela altrimenti si fanno macelli....

[Chill-Out]

Quote:

dopo avere eliminato i file infetti

esatto dopo aver eliminati i file infetti, non mi sembra che le chiavi abbiano reinnescano l'infezione

[ennys]

Quote:

Originariamente inviato da lancetta

mi sono un attimo documentato..l'utility in questione oltre che per dare comandi in lan su server remoti...ti fà guadagnare privilegi System sulla mcchina in cui lo usi (superiore al superadmin) in pratica ci puoi fare tutto ,anche agire su file di sistema in uso ed a basso livello,un pò come l'admin root su linux.E' una grande cosa però da usare con cautela altrimenti si fanno macelli....

Hai ragione ed è per questo che ho scritto la guida passo passo come se fosse destinata ad un bimbo di quattro anni. In modo che sia accessibile senza fraintendimenti da utenti di qualsiasi livello.

[lancetta]

Quote:

Originariamente inviato da Chill-Out

esatto dopo aver eliminati i file infetti, non mi sembra che le chiavi abbiano reinnescano l'infezione

perchè le dll erano sta già zompate era solo residuo socio....un pò come fanno alcuni antivirus
curioso che a volte malware ed antimalware si comportano allo stesso modo
...mii che analogia!!!!

[lancetta]

Quote:

Originariamente inviato da ennys

Hai ragione ed è per questo che ho scritto la guida passo passo come se fosse destinata ad un bimbo di quattro anni. In modo che sia accessibile senza fraintendimenti da utenti di qualsiasi livello.

effettivamente esiste una procedura su Xp per diventare System...ma sinceramente non ho mai avuto bisogno di usarla (sopratutto nel forum)
e per questo non lo mai postata...immagina i casini che combinerebbero gli utenti meno esperti....

[Chill-Out]

Quote:

perchè le dll erano sta già zompate

cosa mi sfugge?

[Matteo6252]

Buongiorno,
credo di essere a buon punto anch'io...Ovvero ho eliminato i file dannosi manualmente e mi si è riattivato il centro sicurezza PC compreso windows defender e windows firewall. Allora o provato a reinstallare AVG Free edition (cioè l'antivirus che avevo precedentemente) ma alla fine mi da errore perciò ho lasciato perdere. Ho scaricato quindi la trial di Kaspesrky e sono riuscito ad isatallarla. Non mi ha trovato virus e tantomeno file infetti. Posso considerarmi fuori pericolo?
Cmq perchè AVG non si reinstalla?
A questo punto ho notato che anch'io ho delle chiavi ineliminabili all'interno del registro. Se seguo la procedira indicata sopra, ovvero mi do dei privilegi da super amministratore dopo aver eliminato le chiavi, posso togliermeli così come me li sono dati?
Altrimenti ho paura di andare a fare dei danni.
Vi ringrazio e per favore ditemi se c'è qualche altra cosa che devo fare.

[murack83pa]

Quote:

Originariamente inviato da Matteo6252

Buongiorno,
credo di essere a buon punto anch'io...Ovvero ho eliminato i file dannosi manualmente e mi si è riattivato il centro sicurezza PC compreso windows defender e windows firewall. Allora o provato a reinstallare AVG Free edition (cioè l'antivirus che avevo precedentemente) ma alla fine mi da errore perciò ho lasciato perdere. Ho scaricato quindi la trial di Kaspesrky e sono riuscito ad isatallarla. Non mi ha trovato virus e tantomeno file infetti. Posso considerarmi fuori pericolo?
Cmq perchè AVG non si reinstalla?
A questo punto ho notato che anch'io ho delle chiavi ineliminabili all'interno del registro. Se seguo la procedira indicata sopra, ovvero mi do dei privilegi da super amministratore dopo aver eliminato le chiavi, posso togliermeli così come me li sono dati?
Altrimenti ho paura di andare a fare dei danni.
Vi ringrazio e per favore ditemi se c'è qualche altra cosa che devo fare.

beh, se nn posti i log richiesti dalla guida, noi nn conosciamo la situazione del tuo pc....

[Matteo6252]

Una cosa che ho notato e non so se chi ha windows vista può darmi una mano è che nonostante all'interno del centro sicurezza PC risulti tutto attivato, la modalità portetta di internet explorer quando navigo è disattivata sebbene all'interno dell'opzioni internet sia spuntata...Cosa posso fare?

[Chill-Out]

Matteo continui a fare domande ma non rispondi alle nostre come facciamo ad aiutarti, ti sono stati chiesti i log, ti ho chiesto se sei loggato come Amministratore.......etc.....,thx.

[Matteo6252]

Si ora sono loggato come amministratore...Quale log devo mandarvi?
Precedentemente avevo mandato sia quello di alibagla che di kaspersky...