[WIN XP PRO SP2] Dopo pulizia Bagle internet e lan ko

[lucastdream]

Innanzitutto un grosso saluto a tutti.
Passo brevemente alla descrizione del problema.
Tre giorni fa il mio pc ha beccato il Worm Bagle nella versione of. Ho eseguito la "disifestazione" come nella guida per l'eliminazione del worm. I sintomi dell'attacco erano quelli descritti dalla guida: sicurezze out (AVG, Zone Alarm, Ad Aware tutti ko), internet menomata. Dopo tutto il procedimento di pulizia il sistema sembrava avere ripreso una sua stabilità, visto anche che sono riuscito a reinstallare l'AVG. Ma qui sono sorti altri problemi: la connessione ad internet andava regolarmente per pochi minuti, dopodichè Firefox (caricava una pagina vuota), Explorer (pagina non raggiungibile), Safari (idem come Explorer) erano out; stessa sorte per il collegamento alla Lan. La cosa strana è che Outlook può collegarsi normalmente anche quando i Browsers sono fuori combattimento.
A questo punto ho effettuato una scansione con FindyKill e questo è il log:

http://wikisend.com/download/465092/..._scansione.txt

Dopo la scansione ho eseguito la pulizia sempre con FindyKill con questo log:

http://wikisend.com/download/886646/findyKill.txt

Dopo questa pulizia ho eseguito Combofix e Hijackthis con questi log:

http://wikisend.com/download/201354/combofix.txt
http://wikisend.com/download/459204/hijackthis.txt

Dopo tutto questo nulla però è cambiato. La connessione va per pochi minuti e poi basta (occorre riavviare per godere di quei pochi minuti di connessione).
Dalla mia infima esperienza non so più dove potermi attaccare, anche perchè il periodo di connessione ha sempre la stessa durata (sembra che sia qualche servizio come Zone Alarm danneggiato che blocchi tutto) e Outlook non ha nessun problema.
C'è qualcuno che può gentilmente aiutarmi?
Grazie mille,
Luca

[xcdegasp]

dubito fortemente che tu abbia seguito ben bene la guida per il bagle:

Quote:

"C:\Documents and Settings\Luca_MV\Desktop\Progr Grafica 3d\"3DSMax-2008-keygen.exe""
14/10/2007 14.03 |Size 98304 |Crc32 01f24dba |Md5 ac66b508c9d67cf6601b07832df2a490

"C:\Documents and Settings\Luca_MV\Desktop\Software Setup\flashpaper2\Macromedia Flash Paper 2 + serial\"FlashPaper2Installer.exe""
13/08/2004 15.41 |Size 18179984 |Crc32 ceb2c0cb |Md5 96a7ff328164549eb9ca8446a08e3b48

"C:\Documents and Settings\Luca_MV\Desktop\Software Setup\flashpaper2\Macromedia.FlashPaper.v2.01.2283-APOGEE - convert Powerpoint PPT to Flash\"keygen.exe""
24/08/2004 21.29 |Size 49846 |Crc32 66760d8d |Md5 b396d898ab7771a7f8edd36cb4d44aad

"C:\Documents and Settings\Luca_MV\Desktop\Software Setup\genuine fractal\Genuine.Fractals.v6.0.Professional.Edition.Incl.Keymaker-CORE\Genuine.Fractals.v6.0.Professional.Edition.Incl.Keymaker-CORE\"keygen.exe""
16/01/2009 01.32 |Size 221184 |Crc32 ae4583a5 |Md5 84503feeae77fd4f058824134b232a94

preso dal log FindyKill

[lucastdream]

Questi file li ho eliminati tutti; devo rifare tutto daccapo?
Grazie

[wjmat]

comincia a rimuovere zone alarm, non mi sorprenderebbe sia colpa sua
in caso di problemi con la rimozione
http://forums.zonealarm.com/zonelabs...message.id=103

[lucastdream]

Ho provato la rimozione di Zone Alarm sia in modalità normale che provvisoria (non c'è l'icona sulla tray)
In modalità normale la disinstallazione da ZoneLabs mi dice che non è un'applicazione win32 valida e stessa cosa in modalità provvisoria.
Nei processi Zone Alarm sembra però comparire; secondo me potrebbe essere questo il problema: durante l'avvio il processo non è ancora avviato quindi la connessione va, mentre dopo che il processo parte (in modo anomalo mi vien da pensare), per qualche motivo blocca tutto. Per Outlook mi viene da pensare che Zone Alarm non è mai entrato in gioco.
Può essere una spiegazione plausibile?
Ora provo qualche metodo alternativo per "sradicare" Zone Alarm, anche perchè come è messo adesso non serve a nulla!

[silox.mod]

allora io ho avuto un esperienxa con xone allarm dopo 5 10 minuti anche a me bloccava internet infatti lo disinstallato e poi tutto a posto a meno ke non fa cosi allora dovresti reinstallare i driver del modem

[xcdegasp]

Quote:

Originariamente inviato da lucastdream

Ho provato la rimozione di Zone Alarm sia in modalità normale che provvisoria (non c'è l'icona sulla tray)
In modalità normale la disinstallazione da ZoneLabs mi dice che non è un'applicazione win32 valida e stessa cosa in modalità provvisoria.
Nei processi Zone Alarm sembra però comparire; secondo me potrebbe essere questo il problema: durante l'avvio il processo non è ancora avviato quindi la connessione va, mentre dopo che il processo parte (in modo anomalo mi vien da pensare), per qualche motivo blocca tutto. Per Outlook mi viene da pensare che Zone Alarm non è mai entrato in gioco.
Può essere una spiegazione plausibile?
Ora provo qualche metodo alternativo per "sradicare" Zone Alarm, anche perchè come è messo adesso non serve a nulla!

entra nel registro di sistema (start -> regedit) e cerca tutte le chiavi che si contengano "Zone Alarm" e cancellale

[lucastdream]

Zone Alarm è peggio di un cancro: non esiste modo di disinstallarlo. Provando ad installare la stessa versione mi chiede di chiudere TrueVector, ma dalla lista dei servizi è arrestato e non riesco nemmeno a riavviarlo (errore 193ocx1).
La cancellazione di tutte le voci ZoneAlarm posso farla a "Cuor leggero"?
Grazie ancora,
Luca

[xcdegasp]

Quote:

Originariamente inviato da lucastdream

Zone Alarm è peggio di un cancro: non esiste modo di disinstallarlo. Provando ad installare la stessa versione mi chiede di chiudere TrueVector, ma dalla lista dei servizi è arrestato e non riesco nemmeno a riavviarlo (errore 193ocx1).
La cancellazione di tutte le voci ZoneAlarm posso farla a "Cuor leggero"?
Grazie ancora,
Luca

ovvaimente sì perchè disattivano solo questo prodotto
prima fai il cerca senza eseguire altre operazioni così controlli le varie voci che compaiono, se sono tutte riferite a ZA allora procedi altrimenti nella cancellazione salti quelle non volute

[wjmat]

per le ricerche/eliminazioni "di massa" io trovo molto più comodo questo tool che regedit
http://www.nirsoft.net/utils/regscanner.html
poi vedi tu

[lucastdream]

Ragazzi dovrei aver risolto il problema: era quel canchero di Zone Alarm che piantava tutto.
per risolvere il problema ho utilizzato (dietro consiglio) Avenger con il seguente script

Codice:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Windows\System32\Zone Labs
C:\Windows\System32\vsconfig.xml
C:\Windows\System32\vsxml.dll
C:\Windows\System32\vsregexp.dll
C:\Windows\System32\vsdata.dll
C:\Windows\System32\vsdata95.vxd
C:\Windows\System32\vsdatant.sys
C:\Windows\System32\vsmonapi.dll
C:\Windows\System32\vspubapi.dll
C:\Windows\System32\vsinit.dll
C:\Windows\System32\vsutil.dll
C:\Windows\System32\vswmi.dll
C:\Windows\System32\zlcommdb.dll
C:\Windows\System32\zlcomm.dll
C:\Windows\System32\zllictbl.dat
C:\Windows\System32\zpeng24.dll
C:\Windows\System32\vsnetutils.dll
C:\Windows\System32\zlparser.dll
C:\Windows\System32\zoneband.dll

folders to delete:
C:\WINDOWS\temp
C:\WINDOWS\Tasks
c:\Programmi\Zone Labs
C:\Windows\Internet Logs
C:\Windows\System32\Zone Labs

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Zone Labs
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant
HKEY_CLASSES_ROOT\ZAMailSafe
HKEY_CURRENT_USER\Software\Zone Labs
HKEY_USERS\.DEFAULT\Software\Zone Labs
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall

Dopodiché eseguito ccleaner e Wise Registry cleaner; riavviato ed ora vi sto scrivendo dal pc risvegliato dal coma.

Voglio ringraziarvi per i vostri consigli e soprattutto per il tempo che mi avete dedicato e concedetemelo, di ringraziare anche Angelique.
Se in qualche modo posso ricambiare la cortesia sono a disposizione.
Grazie ancora,
Luca

[wjmat]

ottimo