Sicurezza Bagle Con Vista

[$angelique!?]

Ciao Vane,

Usi McAfee Internet Security Suite??

questo file

c:\windows\assembly\GAC_32\mcupdate\6.0.6000.0_31bf3856ad364e35\mcupdate.exe

appartiene a McAfee e serve per gli aggiornamenti virali...

puoi rimuovere quel file anche perchè in ogni caso (se riusciamo a risolvere) dovresti reinstallare l'antivirus.

puoi usare questo tool per la disinstallazione

McAfee Removal Tool

[Info]

Chiudere Mcafee , ed eseguire MCPR.exe <--- tasto destro, esegui come amministratore.

Ora dobbiamo disattivare il ripristino configurazione di sistema

Pannello di controllo > sistema > protezione sistema >

Togliete il flag dai dischi dove volete disattivare il ripristino della configurazione

E confermate quando richiesto.

Una volta eliminato il file che blocca la scansione, prova con il tool Kaspersky...

Invece manualmente dovresti operare cosi:

trovi questi file li cancelli, non è detto che ci siano tutti

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\trusted.exe

C:\windows\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

questa cartella deve essere cancellata completamente con tutti i suoi file exe che ci sono all'interno.

C:\WINDOWS\system32\drivers\down

E queste sono le due chiavi di registro da eliminare

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

rimuovere i file temporanei di internet nella cartella (puoi usare anche Atf Cleaner o Ccleaner)

C:\Users\** Utente**\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

[Vane]

Ciao, sono tornato e ho visto che ha portato a termine la scansione, ho fatto Neuturalizze all e ora lo faccio ripartire, speriamo bene... se è ancora infetto faccio la procedura che mi hai descritto.. ma io non uso

McAfee Internet Security Suite, come faccio ad averlo?

Ho fatto ripartire ma non è cambiato niente, ho rilanciato la removal tool e non mi trova niente mentre la scansione online mi ha già trovato 3 file infetti così come spyware doctor (però non riesco a toglierli). domani prova la tua ultima procedura ... non se ne viene fuori....

grazie ancora domani ti aggiorno

ciao

Modificato February 6, 2008 da Vane

[Vane]

eccomi, finalmente ci siamo riusciti. allego il risultato della scansione online. spero che si possa fare qualcosa.

grazie

Kaspersky.txt

hijackthis.log

Modificato February 7, 2008 da Vane

[$angelique!?]

Ciao Vane,

finalmente facciamo dei passi in avanti

solo una cortesia, non riesco a leggere il report di Kaspersky (vedi allegato)

dovresti salvare il report in formato html, come spegato qui

http://forum.wininizio.it/index.php?showtopic=36981&hl=

per il log di Hijackthis non ci sono problemi, risulta solo che non hai un antivirus...ma è normale dopo un'infezione da bagle :sick:

Aspetto di vedere il report di Kaspersky in formato Html

[Vane]

ciao,

eccolo l'avevo salvato in tutti e 2 i modi. l'antivirus l'ho tolto perchè non partiva più, avevo avast e ho tolto anche emule perchè avevo visto un file infetto.

ciao

Kaspersky.html

[$angelique!?]

Bene!

queste sono da eliminare: (svuota anche il cestino)

C:\outlook\{7BC6C782-51F0-4342-9478-31BD113AF2E0}\Microsoft\Outlook Express\Posta eliminata.dbx/[From ][Date Sun, 16 May 2004 18:17:01 UTC]/UNNAMED

C:\outlook\{7BC6C782-51F0-4342-9478-31BD113AF2E0}\Microsoft\Outlook Express\Posta eliminata.dbx/[From ][Date Sun, 16 May 2004 18:17:01 UTC]/UNNAMED/ReMailer.word.pif

questi invece puoi lasciarli non è nulla di preoccupante: (se scegli tu installarli)

C:\Users\elio\Desktop\VNC\vnc-E4_2_6-x86_win32.exe/file3

C:\Users\elio\Downloads\eMule\Incoming\Real.VNC.Enterprise.Edition.v4.2.8.Incl-Keygen.zip/Real.VNC.Enterprise.Edition.v4.2.8.Incl-Keygen/vnc-E4_2_8-x86_win32.exe/file3

per il resto mi pare che del Bagle non ci sia più traccia :up1:

ora reinstalla il tuo antivirus e dimmi come va....se hai problemi ecc...

se è tutto ok, ricorda di riabilitare il ripristino configurazione di sistema.

[Vane]

stasera a casa provo, però io non aevvo disabilitato il ripristino configurazione di sistema, con vista è uguale a xp il procedimento?

[$angelique!?]

ti avevo suggerito come fare nel messaggio 26

Ora dobbiamo disattivare il ripristino configurazione di sistema

Pannello di controllo > sistema > protezione sistema >

Togliete il flag dai dischi dove volete disattivare il ripristino della configurazione

E confermate quando richiesto.

leggi qui se hai altri dubbi ;-)

http://windowshelp.microsoft.com/Windows/i...6fb3f01040.mspx

[Luke57]

Ciao, con windows vista non puoi eliminare manualmente il bagle dal computer perchè con il sistema operativo in uso non puoi vedere i rootkit.

[Vane]

Ciao, con windows vista non puoi eliminare manualmente il bagle dal computer perchè con il sistema operativo in uso non puoi vedere i rootkit.

scusa?? e quindi non posso elimare i virus?

[$angelique!?]

Proviamo cosi...vediamo cosa salta fuori...

scarica sul desktop http://www.gmer.net/gmer.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Esegui gmer.exe

Clicca sul Tab "Autostart"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

[Vane]

ok, quindi non faccio la precedente istruzione che mi hai dato? quella di elimare i file infetti?

[Vane]

ecco fatto, che faccio ora? ... sono sconsolato :-(

ecco l'altro

Autostart.txt

Rootkit.txt

[Duca Bianco]

ciao Vane

Ma hai provato a disinstallare da installazioni applicazioni avast e reinstallarlo nuovamente?

stesso discorso anche per Windows Defender

[Vane]

ciao Vane

Ma hai provato a disinstallare da installazioni applicazioni avast e reinstallarlo nuovamente?

stesso discorso anche per Windows Defender

si provato, ieri ho installato anche AVG ma quando lo lancio mi da lo stesso errore, che non è un applicazione valida win32, ho cercato di installare, come suggerito, virit ma nno parte l'installazione, mi dice che il file.exe non è valido...

help!!

[Luke57]

Ciao, questa è una procedura complessa ma è l'unica che può evitare la formattazione, a questo punto.

1)scarica la distribuzione linux ubuntu 7.10 http://www.ubuntu.com/getubuntu/download;

2) terminato il download masterizza l'immagine iso di ubuntu (senza quindi installarlo);

3) lasciare inserito il CD nel computer e riavviare (assicurandoti che parta da CD prima che da HD);

4) a questo punto, manovrando da ubuntu, devi cercare i file segnalati da kaspersky, vale a dire i seguenti(ti ho inserito tutte le possibilità, alcune potrebbero non esserci, in pratica è la procedura suggerita da Angelique):

Cartelle:

C:\Users\elio\AppData\Local\Microsoft\Windows\Temporary Internet Files

C:\WINDOWS\exefnd

C:\WINDOWS\exefld

C:\WINDOWS\system32\drivers\down

files:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\trusted.exe

C:\WINDOWS\system32\drivers\pci32.sys

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

Registro:

start>regedit>OK

Cliccando sul segno + accanto alle singole voci segui questi percorsi, prima l'uno:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa

clic tasto dx su srosa e scegli elimina

poi l'altro:

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

click tasto destro su LEGACY_SROSA e scegli elimina.

A questo punto lancia anche elibagla e fai una scansione (quello che trova nelle cartelle non protette di windows, lo elimina)

Riavvia dall'HD e utilizza CCleaner (pogramma per la pulizia, trovi il link nel forum) per la pulizia dei file temp.

[Vane]

mi da errore il link:

Sorry, the page you are looking for was not found

We've recently revised our website. While it is our goal for nothing to get lost, you may have found a page that was mis-placed. Check your URL to ensure you have gone where you intended. If everything looks OK and you still see this error page, please consider reporting this problem as a bug or sending an e-mail to webmaster@ubuntu.com

scusa la domanda stupida... come faccio a far partire prima da CD che da HD?

grazie

P.S. Ho trovato questa va bene?

Download URL:

http://releases.ubuntu.com/gutsy/ubuntu-7....esktop-i386.iso

Ubuntu Edition:

Ubuntu 7.10 desktop

Computer Platform:

i386

Download Location:

http://releases.ubuntu.com/

Modificato February 8, 2008 da Vane

[$angelique!?]

Certo, va benissimo!!

[Vane]

sta scaricando.... come faccio per far partire prima il cd?

[Vane]

Ciao, questa è una procedura complessa ma è l'unica che può evitare la formattazione, a questo punto.

1)scarica la distribuzione linux ubuntu 7.10 http://www.ubuntu.com/getubuntu/download;

2) terminato il download masterizza l'immagine iso di ubuntu (senza quindi installarlo);

3) lasciare inserito il CD nel computer e riavviare (assicurandoti che parta da CD prima che da HD);

4) a questo punto, manovrando da ubuntu, devi cercare i file segnalati da kaspersky, vale a dire i seguenti(ti ho inserito tutte le possibilità, alcune potrebbero non esserci, in pratica è la procedura suggerita da Angelique):

Cartelle:

C:\Users\elio\AppData\Local\Microsoft\Windows\Temporary Internet Files

C:\WINDOWS\exefnd

C:\WINDOWS\exefld

C:\WINDOWS\system32\drivers\down

files:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\trusted.exe

C:\WINDOWS\system32\drivers\pci32.sys

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

Registro:

start>regedit>OK

Cliccando sul segno + accanto alle singole voci segui questi percorsi, prima l'uno:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa

clic tasto dx su srosa e scegli elimina

poi l'altro:

click tasto destro su LEGACY_SROSA e scegli elimina.

A questo punto lancia anche elibagla e fai una scansione (quello che trova nelle cartelle non protette di windows, lo elimina)

Riavvia dall'HD e utilizza CCleaner (pogramma per la pulizia, trovi il link nel forum) per la pulizia dei file temp.

i file li avevo già tolti, quelli che c'erano, infatti ora ho controllato e nn ci sono. è rimasto solo:

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA perhcè non me lo fa cancellare..

quindi non rimane altro che formattare??? :ranting2:

[Luke57]

Ciao, questo :

C:\WINDOWS\system32\drivers\srosa.sys

con il sistema operativo attivo non lo puoi vedere, l'ha segnalato anche gmer

anche la voce del registro non si fa eliminare, l'unico modo è quello di avviare il computer nelle modalità descritte.

[Vane]

scusa le domande, non lo sapevo... come faccio far partire da CD?

grazie ancora

[Luke57]

Ciao, qui trovi le istruzioni:

http://wiki.ubuntu-it.org/Installazione/Grafica

Prima di entrare nel sistema con la suddetta procedura , magari stampa la pagina con i file da eliminare per non ometterne qualcuno.

[Steve75]

ciao,

oltre alle ottime indicazioni riguardanti il live CD ubuntu, voglio dirti che se hai la possibilità di collegare il tuo disco in slave (cioé come disco secondario), potrai fare le stesse operazioni in maniera molto piu semplice.....

[Vane]

sigh non mi parte, mi dice BOOTMGR mancante

ma può dipendere che il mio pc ha 2 dischi e 2 lettori DVD? ho provato a scegliere le varie opzioni proposte ma mi dice sempre BOOTMGR mancante??? avendo 2 dischi posso in qualche modo fare qualcosa di diverso? ormai sono esausto

Aggiornamento.... ho installato il trial di kapersky sul disco secondario e ora l'ho lanciato, che ne dite risolve?

Aggiornamento, Kapersky mi ha eliminato molti file infetti da trojan, ho lanciato syware doctor e infatti i trojan e warm bagle che c'erano non li rileva più mi dice che sono pulito. Però non riesco in ogni caso a lanciare l'antivirus da disco principale, mi dice sempre che nn è un applicazione valida win32 così come quando cerco di chiudere spyware doctor...

Modificato February 9, 2008 da Vane