• User

    Salve a tutti
    ho provato averange ma niente da fare per vari motivi:

    1. quando lo lancio dopo pochi secondi si chiude;
    2. andando a velocità missile per inserire lo script, togliere la spunta e cliccare su execute dopo un paio di si a delle domande mi escono due errori:
      1° " error can't open file c:\cleanup.bat (error 2 impossibile trovare il file specificato)"
      2° " error cleanup batch aborting execute (errore 6 handle non valido)
      Ho provato a scaricare il file da internet ma quando lo scaricavo mi diceva che il file non esisteva però non sò se era problema di internet o se il virus mi cancellava in automatico il fiel cleanup.
      ho notato in'oltre che a volte averange mi creava dei file txt in 😄 e un file zip.exe.

    Consigli?


  • Consiglio Direttivo

    Ciao BANG80,

    proprio tosto il signorino "bagle"; :rollo:

    Riprovata la scansione online con kaspersky? :mmm:


  • User

    Ho aggiornato java alla versione6 ma kaspersky voleva la versione1.5 o inferiore.
    A pomeriggio provo a disinstallarlo e installare la versione 1.5.

    Mi hanno consigliato una procedura diversa da questa:

    1. start?>esegui>?digitare regedit?>ok.
      in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
      I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa.
    • Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:

    del C:\windows\system32\drivers\srosa.sys
    del C:\windows\system32\drivers\hldrrr.exe
    del C:\windows\system32\drivers\mdelk.exe
    del C:\windows\system32\wintems.exe
    del /Q C:\windows\system32\drivers\downld*.*
    rd C:\windows\system32\drivers\downld
    del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m*.*
    exit
    A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l?avvio da cd.Che ne pensi?


  • User

    Il collegamento per riscaricare avenger non è giusto.


  • User

    Scherzavo è ok.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Mi hanno consigliato una procedura diversa da questa:
    Che ne pensi?

    potrei dirti prova; ma qui non si prova "altrimenti si rischia di fare qualche macello"; 😄
    il registro di sistema è molto delicato!

    Con le soluzione che ti ho postato precedentemente, ho rimosso diverse varianti di bagle; poi, sei libero di provare quello che vuoi, ci mancherebbe! 🙂

    @BANG80 said:

    Scherzavo è ok.

    :rollo:


  • User Attivo

    Non capisco, hai risolto o no?
    In caso negativo cancella combofix e riscaricalo.
    Prima di salvarlo quando ti chiede dove scaricarlo, rinominalo in 123.exe e seleziona come percorso il desktop.
    Avvia combofix e vedi se funziona.
    Se si al termine della scansione posta qui il log.


  • User

    Salve 🙂 aggiungo solo qualche informazione, oltre a Beagled e Combofix (dello stesso autore:sUBs) c'è ora a disposizione un'altro tool per la rimozione del bagle: FindyKill

    Aggiungo inoltre che alcune varianti inibiscono l'uso di Avenger anche rinominato, ma in questi casi possiamo fare affidamento su: OtMoveIt

    :ciauz:


  • Consiglio Direttivo

    Ciao JeanGrey, benvenuto e grazie per la segnalazione! 🙂


  • User

    Ancora non ho risolto ho provato ad usare beagled ma non va'.
    mi riavvia il pc e poi basta non fà niente.

    Ho provato avenger ma niente di niente si chiude come al solito.

    Ora scarico findy kill e otmoveit anche combofix e vi faccio sapere.
    Grazie mille a tutti


  • User

    Prima di salvare Combofix ricorda di rinominarlo 🙂

    Findykill va installato
    segui il wizard > Suivant > Dèmarrer > Quitter

    Nota: va utilizzato necessariamente in due step 1 ricerca, successivamente 2 pulizia

    il report puoi leggerlo in C:**FindyKill.txt
    **una volta terminata la pulizia puoi disinstallare il programma usando l'opzione 3


  • Consiglio Direttivo

    Ciao BANG80,

    scarica ed avvia FindyKill come suggerito da JeanGrey, scegliendo l'opzione 1; salva e riporta qui sul forum il log!!! 🙂

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄


  • User

    @Wolf Otakar said:

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄

    ma io ho le ali..sono più veloce! :giggle:
    (scherzo)

    :ciauz:


  • User

    Ragazzi abbiamo vintooooooooooooooooooooooo.

    Il bagle è stato eliminato.

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Poi ho avviato find kill e posto il log :

    ----------------- FindyKill V4.095 ------------------

    • User : ALBERTO - PC
    • Emplacement : C:\Programmi\FindyKill
    • Outils Mis a jours le 31/10/08 par Chiquitine29
    • Suppression effectuée à 1:06:36 le 04/11/2008
    • Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans 😄

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\E_S10MT1.EXE-04FC0A82.pf
    Supprimé ! - C:\WINDOWS\Prefetch\E_S10RN1.EXE-1666ACA2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-024177C5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-22FA1A42.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-126F8478.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B7EA69.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-14DE9890.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19301221.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1DF8278B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E72F1F9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E85CAC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-279FB1E9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2964F09C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2DDC195D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A32F2E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-390B3626.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B08B11A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B0BC7B0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D32A1FB.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DA83044.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-427082A1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42B23AC1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-473CC9C8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-498110B1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A877817.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP32.EXE-0B71F9CD.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RESCO EXPLORER 2008.EXE-33382CB8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DW20.EXE-12364FF7.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP120.EXE-20E2FE48.pf
    Supprimé ! - C:\WINDOWS\Prefetch\BM-AL_2802_PATCH.EXE-33A8367D.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Suppression des fichiers dans C:\Documents and Settings\ALBERTO\Dati applicazioni

    »»»» Suppression des fichiers dans C:\DOCUME~1\ALBERTO\IMPOST~1\Temp

    --------------- [ Registre / Clés infectieuses ] ----------------

    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-1275210071-1708537768-682003330-1003\Software\Local AppWizard-Generated Applications\winfilse

      -> Certaines clés ont été supprimées au reboot ...  
    

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]
    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :
    😄 - Unit? fissa
    😧 - Unit? fissa

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\open\Command

    --------------- [ Recherche Cracks / Keygen ] ----------------

    C:\Documents and Settings\ALBERTO\Recent\ALCOOL 120% 120 V1.9.5.2802 + CRACK.rar.lnk
    C:\Documents and Settings\ALBERTO\Recent\crack.nfo.lnk
    C:\Documents and Settings\ALBERTO\Recent\Serial + Crack.lnk

    ---------------- ! Fin du rapport ! ------------------

    Ho avviato anche ot move it ma niente log anche quì.

    Alla fine ho istallato avast l'ho avviato e posto il log finale:
    11/04/2008 01:14
    Controllo di tutti i drives locali
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000023.exe e infetto da Win32:Trojan-gen {Other}, Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000059.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000073.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    Numero di cartelle cercate: 4103
    Numero files controllati: 28197
    Numero files infetti: 3

    11/04/2008 01:43
    Controllo di tutti i drives locali
    Numero di cartelle cercate: 4025
    Numero files controllati: 27959
    Numero files infetti: 0

    Ho anche eseguito ccleaner.

    Qualche consiglio?

    Prima di spegnere avast mi aveva trovato un processo in memoria che pensava infettato e provava ad eliminarlo chiedendomi di riavviarlo e fare la scansione ma al riavvio non trovava niente ma il pc và benissimo.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Il bagle è stato eliminato.

    🙂

    @BANG80 said:

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Vedi in: C:\Combofix.txt 😉

    @BANG80 said:

    Qualche consiglio?

    Effettua una scansione completa con, malwarebytes!

    :ciauz:


  • User

    Ok lo farò a pomeriggio.


  • Consiglio Direttivo

    😉


  • User

    Ho un'altro problema da risolvere sul mio pc.
    Vi scrivo ora ma ancora non ho provato malwarebytes.

    Quando accendo il pc esce la prima schermata del bios, poi lo schermo diventa nero e la luce della cpu si spegne aspett tipo 20-25 secondi e poi si accende la luce dopo altri 20-25 secondi esce la schermata di windows dove scorre la barra, poi quella blu di xp e alla fine il desktop ma bisogna aspettare altri 20-25 secondi per poterci lavorare.

    Io vorrei eliminare quell'attesa che ha il pc con la luce verde...cosa sarà mai?
    grazie


  • User

    Forse c'è l'ho fatta ad eliminare tutto.
    questo è il report di malwarebytes:
    Malwarebytes' Anti-Malware 1.30
    Versione del database: 1306
    Windows 5.1.2600 Service Pack 2
    05/11/2008 19.26.55
    mbam-log-2008-11-05 (19-26-55).txt
    Tipo di scansione: Scansione completa (C:|D:|)
    Elementi scansionati: 64537
    Tempo trascorso: 24 minute(s), 46 second(s)
    Processi delle memoria infetti: 0
    Moduli della memoria infetti: 1
    Chiavi di registro infette: 0
    Valori di registro infetti: 1
    Elementi dato del registro infetti: 1
    Cartelle infette: 0
    File infetti: 3
    Processi delle memoria infetti:
    (Nessun elemento malevolo rilevato)
    Moduli della memoria infetti:
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.
    Chiavi di registro infette:
    (Nessun elemento malevolo rilevato)
    Valori di registro infetti:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    Elementi dato del registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    Cartelle infette:
    (Nessun elemento malevolo rilevato)
    File infetti:
    C:\WINDOWS\system32\ckvo.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.
    C:\xih9.cmd (Trojan.Agent) -> Quarantined and deleted successfully.

    Alla fine della scansione ho fatto elimina i file e mi ha chiesto di riavviare per poter eliminare il file ckvo.exe e al riavvio, un pò forsato pechè si era bloccato in fase di spegnimento, ho rifatto la scansione e 0 file e processi infetti.

    Cosa devo fare altro?
    avete soluzioni per il quesito della mia domanda precedente?

    Grazie


  • User

    Ciao BANG80, suggerisco di fare un pò pulizia del sistema con CCleaner *
    ccleaner.com/download*
    Scheda pulizia > avvia pulizia
    Scheda registro > trova problemi > ripara selezionati (confermando per il backup)

    Esegui una deframmentazione ed uno scandisk

    Esegui un log di Hijackthis e copialo nella tua risposta
    trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Leggi queste info: microsoft.com/italy/pmi/comefare/tecnologia/avvioveloce/default.mspx

    Nota: i link non sono attivi, ricorda di aggiungere il protocollo

    :ciauz: