• User

    Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.

    Come devo fare?
    Scarico una delle tre versioni trial e faccio lo scan?

    Grazie


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Non sono riuscito ad effettuare lo scan perchè all'update java mi diceva che non ero on-line. Cosa strana visto che ero collegato.

    riprova, installando prima Java da qui! 😉

    @BANG80 said:

    Scarico una delle tre versioni trial e faccio lo scan?

    Non serve; bagle, blocca quasi tutti gli antivirus! 😞

    Comunque, se non riesci ad effettuare la scansione, scarica da qui, avenger.

    Copia/Incolla questo script, nel riquadro bianco "input script here" di avenger:

    files to delete:
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\wintems.exe
    C:\windows\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\mdelk.exe
    C:\WINDOWS\system32\drivers\mdelk.exe
    C:\windows\system32\hldrrr.exe
    C:\WINDOWS\system32\drivers\winfilse.exe
    C:\WINDOWS\system32\trusted.exe
    C:\WINDOWS\system32\drivers\pci32.sys

    folders to delete:
    C:\WINDOWS\system32\drivers\downld
    C:\Documents and Settings\ALBERTO\Dati applicazioni\m\
    C:\WINDOWS\exefnd
    C:\WINDOWS\exefld

    registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\srosa
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    HKLM\SYSTEM\CurrentControlSet\Services\pci32
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 - elimina la spunta su: scan for rootkit "in basso a sinistra"

    • premi su execute
    • rispondi SI alle richieste
    • il pc, dovrebbe riavviarsi
    • al riavvio, riporta il log

    :ciauz:


  • User

    Salve a tutti
    ho provato averange ma niente da fare per vari motivi:

    1. quando lo lancio dopo pochi secondi si chiude;
    2. andando a velocità missile per inserire lo script, togliere la spunta e cliccare su execute dopo un paio di si a delle domande mi escono due errori:
      1° " error can't open file c:\cleanup.bat (error 2 impossibile trovare il file specificato)"
      2° " error cleanup batch aborting execute (errore 6 handle non valido)
      Ho provato a scaricare il file da internet ma quando lo scaricavo mi diceva che il file non esisteva però non sò se era problema di internet o se il virus mi cancellava in automatico il fiel cleanup.
      ho notato in'oltre che a volte averange mi creava dei file txt in 😄 e un file zip.exe.

    Consigli?


  • Consiglio Direttivo

    Ciao BANG80,

    proprio tosto il signorino "bagle"; :rollo:

    Riprovata la scansione online con kaspersky? :mmm:


  • User

    Ho aggiornato java alla versione6 ma kaspersky voleva la versione1.5 o inferiore.
    A pomeriggio provo a disinstallarlo e installare la versione 1.5.

    Mi hanno consigliato una procedura diversa da questa:

    1. start?>esegui>?digitare regedit?>ok.
      in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
      I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa.
    • Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:

    del C:\windows\system32\drivers\srosa.sys
    del C:\windows\system32\drivers\hldrrr.exe
    del C:\windows\system32\drivers\mdelk.exe
    del C:\windows\system32\wintems.exe
    del /Q C:\windows\system32\drivers\downld*.*
    rd C:\windows\system32\drivers\downld
    del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m*.*
    exit
    A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l?avvio da cd.Che ne pensi?


  • User

    Il collegamento per riscaricare avenger non è giusto.


  • User

    Scherzavo è ok.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Mi hanno consigliato una procedura diversa da questa:
    Che ne pensi?

    potrei dirti prova; ma qui non si prova "altrimenti si rischia di fare qualche macello"; 😄
    il registro di sistema è molto delicato!

    Con le soluzione che ti ho postato precedentemente, ho rimosso diverse varianti di bagle; poi, sei libero di provare quello che vuoi, ci mancherebbe! 🙂

    @BANG80 said:

    Scherzavo è ok.

    :rollo:


  • User Attivo

    Non capisco, hai risolto o no?
    In caso negativo cancella combofix e riscaricalo.
    Prima di salvarlo quando ti chiede dove scaricarlo, rinominalo in 123.exe e seleziona come percorso il desktop.
    Avvia combofix e vedi se funziona.
    Se si al termine della scansione posta qui il log.


  • User

    Salve 🙂 aggiungo solo qualche informazione, oltre a Beagled e Combofix (dello stesso autore:sUBs) c'è ora a disposizione un'altro tool per la rimozione del bagle: FindyKill

    Aggiungo inoltre che alcune varianti inibiscono l'uso di Avenger anche rinominato, ma in questi casi possiamo fare affidamento su: OtMoveIt

    :ciauz:


  • Consiglio Direttivo

    Ciao JeanGrey, benvenuto e grazie per la segnalazione! 🙂


  • User

    Ancora non ho risolto ho provato ad usare beagled ma non va'.
    mi riavvia il pc e poi basta non fà niente.

    Ho provato avenger ma niente di niente si chiude come al solito.

    Ora scarico findy kill e otmoveit anche combofix e vi faccio sapere.
    Grazie mille a tutti


  • User

    Prima di salvare Combofix ricorda di rinominarlo 🙂

    Findykill va installato
    segui il wizard > Suivant > Dèmarrer > Quitter

    Nota: va utilizzato necessariamente in due step 1 ricerca, successivamente 2 pulizia

    il report puoi leggerlo in C:**FindyKill.txt
    **una volta terminata la pulizia puoi disinstallare il programma usando l'opzione 3


  • Consiglio Direttivo

    Ciao BANG80,

    scarica ed avvia FindyKill come suggerito da JeanGrey, scegliendo l'opzione 1; salva e riporta qui sul forum il log!!! 🙂

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄


  • User

    @Wolf Otakar said:

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄

    ma io ho le ali..sono più veloce! :giggle:
    (scherzo)

    :ciauz:


  • User

    Ragazzi abbiamo vintooooooooooooooooooooooo.

    Il bagle è stato eliminato.

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Poi ho avviato find kill e posto il log :

    ----------------- FindyKill V4.095 ------------------

    • User : ALBERTO - PC
    • Emplacement : C:\Programmi\FindyKill
    • Outils Mis a jours le 31/10/08 par Chiquitine29
    • Suppression effectuée à 1:06:36 le 04/11/2008
    • Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans 😄

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\E_S10MT1.EXE-04FC0A82.pf
    Supprimé ! - C:\WINDOWS\Prefetch\E_S10RN1.EXE-1666ACA2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-024177C5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-22FA1A42.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-126F8478.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B7EA69.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-14DE9890.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19301221.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1DF8278B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E72F1F9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E85CAC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-279FB1E9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2964F09C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2DDC195D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A32F2E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-390B3626.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B08B11A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B0BC7B0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D32A1FB.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DA83044.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-427082A1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42B23AC1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-473CC9C8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-498110B1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A877817.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP32.EXE-0B71F9CD.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RESCO EXPLORER 2008.EXE-33382CB8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DW20.EXE-12364FF7.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP120.EXE-20E2FE48.pf
    Supprimé ! - C:\WINDOWS\Prefetch\BM-AL_2802_PATCH.EXE-33A8367D.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Suppression des fichiers dans C:\Documents and Settings\ALBERTO\Dati applicazioni

    »»»» Suppression des fichiers dans C:\DOCUME~1\ALBERTO\IMPOST~1\Temp

    --------------- [ Registre / Clés infectieuses ] ----------------

    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-1275210071-1708537768-682003330-1003\Software\Local AppWizard-Generated Applications\winfilse

      -> Certaines clés ont été supprimées au reboot ...  
    

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]
    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :
    😄 - Unit? fissa
    😧 - Unit? fissa

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\open\Command

    --------------- [ Recherche Cracks / Keygen ] ----------------

    C:\Documents and Settings\ALBERTO\Recent\ALCOOL 120% 120 V1.9.5.2802 + CRACK.rar.lnk
    C:\Documents and Settings\ALBERTO\Recent\crack.nfo.lnk
    C:\Documents and Settings\ALBERTO\Recent\Serial + Crack.lnk

    ---------------- ! Fin du rapport ! ------------------

    Ho avviato anche ot move it ma niente log anche quì.

    Alla fine ho istallato avast l'ho avviato e posto il log finale:
    11/04/2008 01:14
    Controllo di tutti i drives locali
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000023.exe e infetto da Win32:Trojan-gen {Other}, Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000059.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000073.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    Numero di cartelle cercate: 4103
    Numero files controllati: 28197
    Numero files infetti: 3

    11/04/2008 01:43
    Controllo di tutti i drives locali
    Numero di cartelle cercate: 4025
    Numero files controllati: 27959
    Numero files infetti: 0

    Ho anche eseguito ccleaner.

    Qualche consiglio?

    Prima di spegnere avast mi aveva trovato un processo in memoria che pensava infettato e provava ad eliminarlo chiedendomi di riavviarlo e fare la scansione ma al riavvio non trovava niente ma il pc và benissimo.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Il bagle è stato eliminato.

    🙂

    @BANG80 said:

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Vedi in: C:\Combofix.txt 😉

    @BANG80 said:

    Qualche consiglio?

    Effettua una scansione completa con, malwarebytes!

    :ciauz:


  • User

    Ok lo farò a pomeriggio.


  • Consiglio Direttivo

    😉


  • User

    Ho un'altro problema da risolvere sul mio pc.
    Vi scrivo ora ma ancora non ho provato malwarebytes.

    Quando accendo il pc esce la prima schermata del bios, poi lo schermo diventa nero e la luce della cpu si spegne aspett tipo 20-25 secondi e poi si accende la luce dopo altri 20-25 secondi esce la schermata di windows dove scorre la barra, poi quella blu di xp e alla fine il desktop ma bisogna aspettare altri 20-25 secondi per poterci lavorare.

    Io vorrei eliminare quell'attesa che ha il pc con la luce verde...cosa sarà mai?
    grazie