• User

    Come online?


  • Consiglio Direttivo

    Sì, online! 🙂

    Vai qui, effettua l'update e scegli la modalità di scansione "my computer" alla voce "scan"!

    Salva il log e riportalo sul forum! 😉


  • User

    Ho scaricato superantispyware e hijackthis li provo?


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Ho scaricato superantispyware e hijackthis li provo?

    è indispensabile il log di kaspersky per poter individuare tutte le infezioni!!!


  • User

    Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.

    Come devo fare?
    Scarico una delle tre versioni trial e faccio lo scan?

    Grazie


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.

    riprova, installando prima Java da qui! 😉

    @BANG80 said:

    Scarico una delle tre versioni trial e faccio lo scan?

    Non serve; bagle, blocca quasi tutti gli antivirus! 😞

    Comunque, se non riesci ad effettuare la scansione, scarica da qui, avenger.

    Copia/Incolla questo script, nel riquadro bianco "input script here" di avenger:

    files to delete:
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\wintems.exe
    C:\windows\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\mdelk.exe
    C:\WINDOWS\system32\drivers\mdelk.exe
    C:\windows\system32\hldrrr.exe
    C:\WINDOWS\system32\drivers\winfilse.exe
    C:\WINDOWS\system32\trusted.exe
    C:\WINDOWS\system32\drivers\pci32.sys

    folders to delete:
    C:\WINDOWS\system32\drivers\downld
    C:\Documents and Settings\ALBERTO\Dati applicazioni\m\
    C:\WINDOWS\exefnd
    C:\WINDOWS\exefld

    registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\srosa
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    HKLM\SYSTEM\CurrentControlSet\Services\pci32
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 - elimina la spunta su: scan for rootkit "in basso a sinistra"

    • premi su execute
    • rispondi SI alle richieste
    • il pc, dovrebbe riavviarsi
    • al riavvio, riporta il log

    :ciauz:


  • User

    Salve a tutti
    ho provato averange ma niente da fare per vari motivi:

    1. quando lo lancio dopo pochi secondi si chiude;
    2. andando a velocità missile per inserire lo script, togliere la spunta e cliccare su execute dopo un paio di si a delle domande mi escono due errori:
      1° " error can't open file c:\cleanup.bat (error 2 impossibile trovare il file specificato)"
      2° " error cleanup batch aborting execute (errore 6 handle non valido)
      Ho provato a scaricare il file da internet ma quando lo scaricavo mi diceva che il file non esisteva però non sò se era problema di internet o se il virus mi cancellava in automatico il fiel cleanup.
      ho notato in'oltre che a volte averange mi creava dei file txt in 😄 e un file zip.exe.

    Consigli?


  • Consiglio Direttivo

    Ciao BANG80,

    proprio tosto il signorino "bagle"; :rollo:

    Riprovata la scansione online con kaspersky? :mmm:


  • User

    Ho aggiornato java alla versione6 ma kaspersky voleva la versione1.5 o inferiore.
    A pomeriggio provo a disinstallarlo e installare la versione 1.5.

    Mi hanno consigliato una procedura diversa da questa:

    1. start?>esegui>?digitare regedit?>ok.
      in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
      I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa.
    • Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:

    del C:\windows\system32\drivers\srosa.sys
    del C:\windows\system32\drivers\hldrrr.exe
    del C:\windows\system32\drivers\mdelk.exe
    del C:\windows\system32\wintems.exe
    del /Q C:\windows\system32\drivers\downld*.*
    rd C:\windows\system32\drivers\downld
    del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m*.*
    exit
    A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l?avvio da cd.Che ne pensi?


  • User

    Il collegamento per riscaricare avenger non è giusto.


  • User

    Scherzavo è ok.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Mi hanno consigliato una procedura diversa da questa:
    Che ne pensi?

    potrei dirti prova; ma qui non si prova "altrimenti si rischia di fare qualche macello"; 😄
    il registro di sistema è molto delicato!

    Con le soluzione che ti ho postato precedentemente, ho rimosso diverse varianti di bagle; poi, sei libero di provare quello che vuoi, ci mancherebbe! 🙂

    @BANG80 said:

    Scherzavo è ok.

    :rollo:


  • User Attivo

    Non capisco, hai risolto o no?
    In caso negativo cancella combofix e riscaricalo.
    Prima di salvarlo quando ti chiede dove scaricarlo, rinominalo in 123.exe e seleziona come percorso il desktop.
    Avvia combofix e vedi se funziona.
    Se si al termine della scansione posta qui il log.


  • User

    Salve 🙂 aggiungo solo qualche informazione, oltre a Beagled e Combofix (dello stesso autore:sUBs) c'è ora a disposizione un'altro tool per la rimozione del bagle: FindyKill

    Aggiungo inoltre che alcune varianti inibiscono l'uso di Avenger anche rinominato, ma in questi casi possiamo fare affidamento su: OtMoveIt

    :ciauz:


  • Consiglio Direttivo

    Ciao JeanGrey, benvenuto e grazie per la segnalazione! 🙂


  • User

    Ancora non ho risolto ho provato ad usare beagled ma non va'.
    mi riavvia il pc e poi basta non fà niente.

    Ho provato avenger ma niente di niente si chiude come al solito.

    Ora scarico findy kill e otmoveit anche combofix e vi faccio sapere.
    Grazie mille a tutti


  • User

    Prima di salvare Combofix ricorda di rinominarlo 🙂

    Findykill va installato
    segui il wizard > Suivant > Dèmarrer > Quitter

    Nota: va utilizzato necessariamente in due step 1 ricerca, successivamente 2 pulizia

    il report puoi leggerlo in C:**FindyKill.txt
    **una volta terminata la pulizia puoi disinstallare il programma usando l'opzione 3


  • Consiglio Direttivo

    Ciao BANG80,

    scarica ed avvia FindyKill come suggerito da JeanGrey, scegliendo l'opzione 1; salva e riporta qui sul forum il log!!! 🙂

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄


  • User

    @Wolf Otakar said:

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄

    ma io ho le ali..sono più veloce! :giggle:
    (scherzo)

    :ciauz:


  • User

    Ragazzi abbiamo vintooooooooooooooooooooooo.

    Il bagle è stato eliminato.

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Poi ho avviato find kill e posto il log :

    ----------------- FindyKill V4.095 ------------------

    • User : ALBERTO - PC
    • Emplacement : C:\Programmi\FindyKill
    • Outils Mis a jours le 31/10/08 par Chiquitine29
    • Suppression effectuée à 1:06:36 le 04/11/2008
    • Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans 😄

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\E_S10MT1.EXE-04FC0A82.pf
    Supprimé ! - C:\WINDOWS\Prefetch\E_S10RN1.EXE-1666ACA2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-024177C5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-22FA1A42.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-126F8478.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B7EA69.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-14DE9890.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19301221.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1DF8278B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E72F1F9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E85CAC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-279FB1E9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2964F09C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2DDC195D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A32F2E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-390B3626.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B08B11A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B0BC7B0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D32A1FB.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DA83044.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-427082A1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42B23AC1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-473CC9C8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-498110B1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A877817.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP32.EXE-0B71F9CD.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RESCO EXPLORER 2008.EXE-33382CB8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DW20.EXE-12364FF7.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP120.EXE-20E2FE48.pf
    Supprimé ! - C:\WINDOWS\Prefetch\BM-AL_2802_PATCH.EXE-33A8367D.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Suppression des fichiers dans C:\Documents and Settings\ALBERTO\Dati applicazioni

    »»»» Suppression des fichiers dans C:\DOCUME~1\ALBERTO\IMPOST~1\Temp

    --------------- [ Registre / Clés infectieuses ] ----------------

    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-1275210071-1708537768-682003330-1003\Software\Local AppWizard-Generated Applications\winfilse

      -> Certaines clés ont été supprimées au reboot ...  
    

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]
    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :
    😄 - Unit? fissa
    😧 - Unit? fissa

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\open\Command

    --------------- [ Recherche Cracks / Keygen ] ----------------

    C:\Documents and Settings\ALBERTO\Recent\ALCOOL 120% 120 V1.9.5.2802 + CRACK.rar.lnk
    C:\Documents and Settings\ALBERTO\Recent\crack.nfo.lnk
    C:\Documents and Settings\ALBERTO\Recent\Serial + Crack.lnk

    ---------------- ! Fin du rapport ! ------------------

    Ho avviato anche ot move it ma niente log anche quì.

    Alla fine ho istallato avast l'ho avviato e posto il log finale:
    11/04/2008 01:14
    Controllo di tutti i drives locali
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000023.exe e infetto da Win32:Trojan-gen {Other}, Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000059.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000073.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    Numero di cartelle cercate: 4103
    Numero files controllati: 28197
    Numero files infetti: 3

    11/04/2008 01:43
    Controllo di tutti i drives locali
    Numero di cartelle cercate: 4025
    Numero files controllati: 27959
    Numero files infetti: 0

    Ho anche eseguito ccleaner.

    Qualche consiglio?

    Prima di spegnere avast mi aveva trovato un processo in memoria che pensava infettato e provava ad eliminarlo chiedendomi di riavviarlo e fare la scansione ma al riavvio non trovava niente ma il pc và benissimo.