Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

NVIDIA GeForce GTX 1650: la piccola Turing che non convince
NVIDIA GeForce GTX 1650: la piccola Turing che non convince
L'ultima scheda video NVIDIA della famiglia GeForce GTX 1600 è basata su GPU Turing, ma le specifiche tecniche non la rendono di certo un riferimento quanto a prestazioni velocistiche. Fa meglio di GeForce GTX 1050Ti, ma non riesce a tenere testa alle concorrenti AMD Radeon RX 500 della stessa fascia di prezzo
Acronis True Image 2019: il backup sicuro per tutti
Acronis True Image 2019: il backup sicuro per tutti
Acronis True Image 2019 si propone come interessante soluzione per il backup che consente di effettuare il backup del proprio computer con una grande varietà di impostazioni e di strumenti. È presente anche l'archiviazione in cloud che permette di avere maggiore sicurezza, nonché la possibilità di cifrare tutti i backup e la protezione dai ransomware
MSI GS65 Stealth 8SF: ora con GeForce RTX 2070 Max-Q
MSI GS65 Stealth 8SF: ora con GeForce RTX 2070 Max-Q
La famiglia GS65 di MSI abbina spessore contenuto a componenti che assicurano prestazioni elevate con produttività personale e giochi, grazie anche alla nuova scheda video GeForce RTX 2070 Max-Q. Costruzione curata e design sobrio, per un notebook potente ma che non limita trasportabilità e tempo di funzionamento con batteria
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 06-03-2007, 16:17   #1
wizard1993
Senior Member
 
L'Avatar di wizard1993
 
Iscritto dal: Apr 2006
Messaggi: 22357
[guida] rimuovere beagle.gx - leggere le Regole di Sezione!!

rimuovere beagle.gx


una volta diagnosticata l'infezione fate come qui sotto
innanzitutto disattivate il ripristino di configurazione di sistema,

aprite regedit da esegui,
andate in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services
qui cancellate il file m_hook

poi andate a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

poi eliminate la chiave

HKEY_CURRENT_USER\Software\FirstRuxzx

uscite dal registro di sistema.

scaricate ed eseguite gmer, fate le scan a rootkit e autostart.
riavviate

fate una scan on-line con panda
http://www.pandasoftware.com/actives..._principal.htm
e con trend micro
http://housecall.trendmicro.com/

dopo di che eseguite questo tool
http://swandog46.geekstogo.com/avenger.zip

avviate il programma,
selezionate "Input Script Manually"
clikakte della lente di ingrandimento

incollate nella finestra successiva questo

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

e premete done. e poi sul semaforo verde.

lascaitelo all'opera. aprite il file di log creato in C:\avanger.

se assomiglia a questo
http://www.mytempdir.com/1243796

allora chiedete aiuto al forum, in caso contrario. scaricate un antivirus come antivir aggiornate e fate una bella scansione di sistema a vedere se c'è rimasto qualche cosa

infine
http://www.mytempdir.com/1243836
ed eseguite il file

accetto commenti e consigli
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza
wizard1993 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 06:47   #2
lorenzo1684
Junior Member
 
L'Avatar di lorenzo1684
 
Iscritto dal: Apr 2008
Messaggi: 22
Aiutatemiii !!!

Ciao wizard1993.. io ho accertato di aver preso questo cavolo di virus del cavolo!!! ma nn mi permette di avviare nessun antivirus..come anche lo stesso AVENGER nn funge!!! mi dice "non è un'applicazzione di Win32 valida" Sono in crisi !!! il file hldrrr.exe ho provato ad eliminarlo con killbox ma niente da fare..come anche srosa.sys... la modalità porvvisoria nn funge.. Cosa diavolo posso inventarmi??? dal Dos posso combinare qlk??? Ciao e grazie spero qlkuno riesca ad aiutarmi!!!
lorenzo1684 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 08:40   #3
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
Quote:
Originariamente inviato da lorenzo1684 Guarda i messaggi
Ciao wizard1993.. io ho accertato di aver preso questo cavolo di virus del cavolo!!! ma nn mi permette di avviare nessun antivirus..come anche lo stesso AVENGER nn funge!!! mi dice "non è un'applicazzione di Win32 valida" Sono in crisi !!! il file hldrrr.exe ho provato ad eliminarlo con killbox ma niente da fare..come anche srosa.sys... la modalità porvvisoria nn funge.. Cosa diavolo posso inventarmi??? dal Dos posso combinare qlk??? Ciao e grazie spero qlkuno riesca ad aiutarmi!!!
avenger è quello originale o la versione moddata che hai prelevato dalla nostra guida per bagle?
la modalità hai già provato a riabilitarla tramite registro?
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 11:55   #4
lorenzo1684
Junior Member
 
L'Avatar di lorenzo1684
 
Iscritto dal: Apr 2008
Messaggi: 22
Allora...

Avenger è l'originale!!! non l'ho trovata questa versione moddata.. Nel registro nn ho toccato niente... Istruiscimi
lorenzo1684 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 12:40   #5
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
messo il tag guida nel titolo
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 12:45   #6
lorenzo1684
Junior Member
 
L'Avatar di lorenzo1684
 
Iscritto dal: Apr 2008
Messaggi: 22
NIente da fare...

Anche la vostra versione moddata non parte!!!! come posso procedere??? nel registro di sistema trovo solo una voce relativa a hldrrr.exe e la voce "FirstRRRun" di quelle descritte nei manuali x eliminarlo...

Ultima modifica di lorenzo1684 : 18-04-2008 alle 13:05.
lorenzo1684 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 12:58   #7
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
le Regole di Sezione rimangonos empre valide quindi modificare alla svelta il log, grazie
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 02:02   #8
lorenzo1684
Junior Member
 
L'Avatar di lorenzo1684
 
Iscritto dal: Apr 2008
Messaggi: 22
Bene...

Volevo farvi sapere che ho finalmente eliminato questo virus...anche senza l'uso di AVENGER che credo nn funga con il mio sistema operativo (Windows Media center SP2) allego qui i log delle scansioni fatte:
HijackThis
Scansione HijackTihis.txt
Gmer
Scansione Gmer.log
Elibagla
InfoSat.txt

Sono apposto? o devo eliminare qualcos'altro? Devo attivare dei servizi che il virus ha bloccato?

Ultima considerazione... Il PC è andato di nuovo una bomba dopo l'eliminazione..ho installato di nuovo ANTIVIR e dopo averlo aggiornato ho scansionato ed eliminato le copie di hldrrr.exe fatte da Killbox. Ora però ad un certo punto mi è tornato l'avviso del centro sicurezza che mi dice che l'antivirus nn è attivo... ed infatti Antivir funziona si, ma nn ha Active Guard Attivo!!!! Cosa diavolo c'è che nn và??? Saluti a tutti
lorenzo1684 è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 07:11   #9
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
nel log di hijackthis c'è ancora traccia di bagle...

Codice:
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
poi potresti fixare queste

Codice:
O3 - Toolbar: (no name) - {66D17C3E-C589-4E86-B772-B03D50846900} - (no file)
O21 - SSODL: vbgtorfd - {E723C2D6-1E3E-4DEC-B4E3-61C6B996BEA0} - (no file)
O21 - SSODL: dwnrpofk - {8A6F50B9-F947-4877-A7AA-CCFAB9FCE70B} - (no file)
verificare di conoscere o analizzare su virustotal queste

Codice:
O16 - DPF: {315B0BFB-2BD4-481B-80A3-A9B80727C61B} (WebIQ Engine Application Object) - http://webiq005.webiqonline.com/WebIQ/DataServer/Pub/DataServer.dll?Handler=GetE ngineDistribution&EDID={896A23A1-5821-4609-A6C6-6D5536C585C9}
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://basturkariel.spaces.live.com/PhotoUpload/MsnPUpld.cab
però per il momento aspetta il responso di qualche esperto
ciao
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 09:43   #10
lancetta
Senior Member
 
L'Avatar di lancetta
 
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
Non sò perchè la stiate facendo qui la procedura..poichè secondo le regole andrebbe nel 3d apposito...vabbè deciderà il mod visto che è già intervenuto e non ha detto nulla
Per quanto ti riguarda lorenzo1684 fixa la voce 04 da hijackthis con tasto dx su esso ed "esegui come amministratore" e le due 021
il secondo 016 è il servizio live microsoft per caricare le foto sul tuo space
il primo vedi se lo hai aggiunto tu nei siti attendibili....
scarica l'elibagla e fagli fare prima passata da provvisoria (riavvia il pc e premi ripetutamente F8)poi da normale (sempre con tasto dx ed "esegui come amministratore") il link per l'indirizzo
lo trovi nella discussione ufficiale http://www.hwupgrade.it/forum/showthread.php?t=1562611 poi se continuare qui o lì non saprei
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
lancetta è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 10:16   #11
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
le O16 si possono sempre fixare inquanto riguarda gli activeX che si sono installati
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 10:33   #12
lancetta
Senior Member
 
L'Avatar di lancetta
 
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
Quote:
Originariamente inviato da xcdegasp Guarda i messaggi
le O16 si possono sempre fixare inquanto riguarda gli activeX che si sono installati
Ma se gli servono perchè fixarli...
cmq effettivamente ho usato un termine improprio (condiderando che i siti attendibili son gli 015)
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
lancetta è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2008, 14:19   #13
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
Quote:
Originariamente inviato da lancetta Guarda i messaggi
Ma se gli servono perchè fixarli...
cmq effettivamente ho usato un termine improprio (condiderando che i siti attendibili son gli 015)
gli activeX sono validi per la sessione corrente la volta sucessiva che visiti il sito verrebbero comunque reinstallati.. fino alla prossima visita rimangono installati nel sistema anche se scaduti
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 23-04-2008, 20:10   #14
lorenzo1684
Junior Member
 
L'Avatar di lorenzo1684
 
Iscritto dal: Apr 2008
Messaggi: 22
Bene Grazie!!

Salve a tutti.. ho apprezzato molto i vostri consigli.. le voci le ho fixate... cmq ho trovato un altro problema abbastanza grave, credo derivi dall'azione precedente del virus!!

Praticamente non visualizzo più i FILE NASCOSTI!!! E neanche andando nelle OPZIONI CARTELLE riesco ad attivarle, dato che l'opzione "visualizza file nascosti" è bella che sparita!!!!

Come si potrebbe risolvere??
lorenzo1684 è offline   Rispondi citando il messaggio o parte di esso
Old 23-04-2008, 20:35   #15
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
x lorenzo

aggiungi la chiave di registro che scarichi da qui
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 25-04-2008, 11:15   #16
RINGHIO87
Member
 
Iscritto dal: Jan 2007
Messaggi: 57
Raga mi serve una mano ho un sacco di problemi avenger mi dà errori nello script come già avevo letto essere un errore comune per la versione 2... la versione 1 non mi si installa sono disperato
se volete ho lo script di elibaga
RINGHIO87 è offline   Rispondi citando il messaggio o parte di esso
Old 25-04-2008, 11:19   #17
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
Quote:
Originariamente inviato da RINGHIO87 Guarda i messaggi
Raga mi serve una mano ho un sacco di problemi avenger mi dà errori nello script come già avevo letto essere un errore comune per la versione 2... la versione 1 non mi si installa sono disperato
se volete ho lo script di elibaga
ho visto dopo che eri già andato nel thread di bagle.. in futuro non aprire un thread e spostarti in altri chiedendo le stesse cose senza inviare un pvt al moderatore di sezione perchè questo è "crossposting" che tradotto è appunto pubblicare messaggi uguali in più luoghi...

quindi prosegui in quella generica del bagle e leggi le Regole di Sezione per pubblicare correttamente i log
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 10-08-2008, 10:01   #18
windandfreedom
Member
 
Iscritto dal: Mar 2008
Messaggi: 185
problemi all'apertura del pc

in accensione si apre la cartella documenti e ora anche kaspersky.
in questo pc mi sono gia salvato da un bagle(spariti anti virus)usando vostra procedura e sucessivamente da un gromozon)con prevx csi.
altre anomalie che riscontro adesso sono
avenger non siapre
c cleaner neppure
non mi fa entrare in alcuni siti compreso il vostro)scrivo da altro pc)
se clicco avenger in ricerca mi disconnette
qualcuno mi sa dire se e' un nuovo bagle e come eliminarlo
Grazie
windandfreedom è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2010, 10:16   #19
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27353
Quote:
Originariamente inviato da wizard1993 Guarda i messaggi
rimuovere beagle.gx


una volta diagnosticata l'infezione fate come qui sotto
innanzitutto disattivate il ripristino di configurazione di sistema,

aprite regedit da esegui,
andate in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services
qui cancellate il file m_hook

poi andate a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate il valore
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

poi eliminate la chiave

HKEY_CURRENT_USER\Software\FirstRuxzx

uscite dal registro di sistema.

scaricate ed eseguite gmer, fate le scan a rootkit e autostart.
riavviate

fate una scan on-line con panda
http://www.pandasoftware.com/actives..._principal.htm
e con trend micro
http://housecall.trendmicro.com/

dopo di che eseguite questo tool
http://swandog46.geekstogo.com/avenger.zip

avviate il programma,
selezionate "Input Script Manually"
clikakte della lente di ingrandimento

incollate nella finestra successiva questo

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

e premete done. e poi sul semaforo verde.

lascaitelo all'opera. aprite il file di log creato in C:\avanger.

se assomiglia a questo
http://www.mytempdir.com/1243796

allora chiedete aiuto al forum, in caso contrario. scaricate un antivirus come antivir aggiornate e fate una bella scansione di sistema a vedere se c'è rimasto qualche cosa

infine
http://www.mytempdir.com/1243836
ed eseguite il file

accetto commenti e consigli
Piccola nota informativa:
http://www.hwupgrade.it/forum/showpo...&postcount=635
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


NVIDIA GeForce GTX 1650: la piccola Turing che non convince NVIDIA GeForce GTX 1650: la piccola Turing che n...
Acronis True Image 2019: il backup sicuro per tutti Acronis True Image 2019: il backup sicuro per tu...
MSI GS65 Stealth 8SF: ora con GeForce RTX 2070 Max-Q MSI GS65 Stealth 8SF: ora con GeForce RTX 2070 M...
Smartphone top di gamma a confronto: Huawei P30 Pro è il migliore per le foto Smartphone top di gamma a confronto: Huawei P30 ...
Guida all'acquisto e offerte: confronto fra i migliori smartphone di fascia alta Guida all'acquisto e offerte: confronto fra i mi...
Tra le offerte Amazon ecco gli sconti su...
Nikon D500 si aggiorna con il firmware 1...
Netgear Nighthawk XR300: DumaOS per vide...
Nikon COOLPIX W150: la fotocamera pensat...
Mortal Kombat 11 ora disponibile per PC,...
NASA InSight: forse rilevato il primo te...
Apple AirPod 3: arrivano già entr...
Un ragazzo di 24 anni è riuscito ...
PUBG: quasi un miliardo di dollari nel 2...
Oppo presenta la serie Reno: zoom 10X, f...
Foto Antiquaria: il 28 Aprile 2019 ad Ar...
TIM, Vodafone, Wind e altri propongono i...
Equinix investe 8 milioni per ampliare i...
La parola Leica bannata in Cina per un v...
Thermaltake presenta il dissipatore AIO ...
AIDA64 Extreme Edition
Prime95
Chromium
MSI Afterburner
AnyDVD HD
CrystalDiskInfo
GPU Caps Viewer
Internet Download Manager
K-Lite Mega Codec Pack
GeForce Game Ready Driver 430.39 WHQL
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
Dropbox
ICQ
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 08:53.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Served by www2v