www.MegaLab.it

[trilly80]

Ciao a tutti, sono una new entry di magalab,ed e' anche la mia prima volta su un forum.... e vi prego di aiutarmiiiii!!!
penso di essere alle prese con il virus bagle,preso penso da emule per aver eseguito dei programmi senza averli controllato, mi e' scomparso all'improvviso avast e leggendo su vari forum ho visto che piu o meno corrispondono gli stessi problemi, ovvero l'impossibilita' di installare qualsiasi antivirus,rallentamento dell apertura di internet,impossibilita' ad aprire windows media player....vorrei precisarvi che non sono per niente pratica col pc quindi se mi potesse seguire passo dopo passo ve ne sarei davvero gratissima, almeno per lo script da copiare in avanger....(tutte cose che so perche' le ho lette!)
vi prego aiutatemi!!!

[leofelix]

ciao Trilly80,
benvenuta, anche io sono relativamente nuovo del forum di megalabs,
tuttavia posso suggerirti di leggere questo post
http://www.MegaLab.it/forum/viewtopic.php?t=34966

e il relativo articolo in merito aggiornato di crazy.cat

http://www.MegaLab.it/2657/5

Certo è una bella rogna questa variante di beagle, anche un mio amico che ho cercato di aiutare proprio ieri.. non poteva capacitarsi come mai Avast non aveva rilevato le infezioni che il "programma utile" che aveva scaricato da e-mule gli aveva provocato.

In bocca al lupo:)

[crazy.cat]

anche io sono relativamente nuovo del forum di megalabs,

Ma ci dovremmo essere già incrociati in altri luoghi.....

Benvenuto a tutti e due.

x trilly80
Ci serve il risultato della scansione online di kaspersky per tirar fuori lo script adatto per te.

[trilly80]

ciao crazy cat.....ho appena letto tutto il tuo articolo su beagle, e vorrei seguire passo passo tutti i passaggi, devo iniziare prima togliendo la spunta del ripristino vero?ho windows xp....e poi faccio tutta la cosa con kaspersky....scusa la mia lentezza ma prima di metter emano sul pc voglio avere la tua conferma!!non ho mai fatto nulla del genere prima d'ora!
ma lo script me lo fai tu?nel senso che io ti passo la mia scansione di kaspersky?
grazie e attendo tue risposte.

[ste_95]

Tutto esatto

[crazy.cat]

ma lo script me lo fai tu?nel senso che io ti passo la mia scansione di kaspersky?

Lo script te lo prepariamo noi, ci serve però avere il risultato della scansione, altrimenti non possiamo sapere dove si nascondono tutti i file infetti.

[trilly80]

ok crazy.cat.
sto effettuando la scansione con kaspersky,
dopo ti inviero' il resoconto...
come funziona?
devo salvare il rapporto scansione?
non abbandonatemi ti prego! [;)]
a dopo....

[crazy.cat]

alla fine della scansione ti appare questa

premi save report as, lo salvi come file html.
dopo apri il file html e basta che selezioni tutto il testo e lo incolli qui nella discussione.

[trilly80]

ok! chiarissimo!
scusami per le troppe domande ma è che è la prima volta che faccio una cosa del genere.
grazie ancora e a dopo.

[trilly80]

gentile crazy cat,
eccoti la mia scansione Kaspersky.
KASPERSKY ONLINE SCANNER REPORT
Tuesday, January 08, 2008 3:01:39 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 8/01/2008
Kaspersky Anti-Virus database records: 504142


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 56789
Number of viruses found 5
Number of infected objects 24
Number of suspicious objects 0
Duration of the scan process 00:48:52

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\drivers\down\2679484.exe Infected: Trojan.Win32.Pakes.bwy skipped

C:\WINDOWS\system32\drivers\down\29432109.exe Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\WINDOWS\system32\drivers\down\70921.exe Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\WINDOWS\system32\drivers\down\68718.exe Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\WINDOWS\system32\drivers\down\268062.exe Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Trilly\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Trilly\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temp\NERO13359\Toolbar.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CD5KVOEC\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[2].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_1[2].jpg Infected: Trojan-PSW.Win32.LdPinch.ewq skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_3[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_1[1].jpg Infected: Trojan-PSW.Win32.LdPinch.ewq skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[2].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[1].jpg Infected: Trojan-PSW.Win32.LdPinch.ewq skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[2].jpg Infected: Trojan-PSW.Win32.LdPinch.ewq skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[2].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[2].jpg Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\MRU769IZ\b64_1[1].jpg Infected: Trojan-PSW.Win32.LdPinch.ewq skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_2[1].jpg Infected: Trojan.Win32.Pakes.bwy skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_3[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ho skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Trilly\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Trilly\Cookies\index.dat Object is locked skipped

C:\Programmi\Alice ti aiuta\log\mpbtn.log Object is locked skipped

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Infected: Trojan-Downloader.Win32.Bagle.hi skipped

Scan process completed.

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\down\2679484.exe
C:\WINDOWS\system32\drivers\down\29432109.exe
C:\WINDOWS\system32\drivers\down\70921.exe
C:\WINDOWS\system32\drivers\down\68718.exe
C:\WINDOWS\system32\drivers\down\268062.exe
C:\Documents and Settings\Trilly\Impostazioni locali\Temp\NERO13359\Toolbar.exe
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CD5KVOEC\b64_2[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_1[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_3[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_1[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[2].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\MRU769IZ\b64_1[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_2[1].jpg
C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_3[1].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

[leofelix]

anche io sono relativamente nuovo del forum di megalabs,

Ma ci dovremmo essere già incrociati in altri luoghi.....
Benvenuto a tutti e due.

esatto, crazy.cat;)
grazie del benvenuto

x trilly80
Ci serve il risultato della scansione online di kaspersky per tirar fuori lo script adatto per te.

quindi non ti spiacerà se suggerisco a Trilly80 di collegarsi a:

http://www.zonavirus.com/datos/descarga ... ibagla.asp

arrivare in fondo alla pagina e cliccare su "descargar", quindi scaricare sul desktop il tool di rimozione, eseguirlo e quindi cliccare su "explorar", oltre le istruzioni che tu le hai fornito ovviamente.

Buona serata a tutti e grazie ancora

[trilly80]

CRAZY CATTTTTTTTTTT!!!!!!!
dove sei?
la mia scansione e'pronta ed e' sul forum.....attendo le tue istruzioni....non mi abbandonare proprio sulla fase finale...
attendo con ansia il tuo script cosi' posso passare ad avenger.ok?
grazie e a prestissimo spero....

[ste_95]

Scusa, forse non sono crazy.cat, ma ste_95....Che differenza fa?

[crazy.cat]

A 00.16 sono a letto che dormo, e poi la risposta ti era già stata data da ste_95.
Basta applicarla.

[trilly80]

carissima ste 95, ho seguito alla lettera tutti i tuoi passsaggi, e qui di seguito ti copio e incollo il testo di avenger.
grazie mille per il tuo aiuto, e vorrei chiederti ancora di seguirmi, nel senso che se tutto e' andato a buon fine posso installare un nuovo antivirus?me ne puoi consigliare qualcuno che sia free?
inoltre il riprisitino del computer lo posso riattivare?
da dove vedo se la nostra cosa è andata a buon fine?
scusami per le troppe domandeeeeeee!!!!
mi sei di grande aiuto e voglio capirci di piu' anche per una prox volta (speriamo mai) dove voglio cavarmela da sola...
ma lo script come lo costruisci?
in base a cosa prendi quei file, quelle cartelle?
attendo con ansia le tue riposte, e scusami per prima ...non intendevo affatto offenderti!!
ciao!


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qftmqqua

*******************

Script file located at: \??\C:\WINDOWS\system32\pkcvlxyr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\down\2679484.exe deleted successfully.
File C:\WINDOWS\system32\drivers\down\29432109.exe deleted successfully.
File C:\WINDOWS\system32\drivers\down\70921.exe deleted successfully.
File C:\WINDOWS\system32\drivers\down\68718.exe deleted successfully.
File C:\WINDOWS\system32\drivers\down\268062.exe deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temp\NERO13359\Toolbar.exe deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CD5KVOEC\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\JKGWKCTA\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\P7L38EF1\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\OV0PCKF6\b64_3[2].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\MRU769IZ\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\Trilly\Impostazioni locali\Temporary Internet Files\Content.IE5\CB7JQ819\b64_3[1].jpg deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe deleted successfully.


Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[crazy.cat]

nel senso che se tutto e' andato a buon fine posso installare un nuovo antivirus?me ne puoi consigliare qualcuno che sia free?

Questa volta ci sono io.
Intanto per sei mesi puoi usare questo antivirus in versione full e a gratis.
http://www.MegaLab.it/1740
quando scade passi alla versione freeware dello stesso antivirus.

Codice: Seleziona tutto

inoltre il riprisitino del computer lo posso riattivare?

si.

Codice: Seleziona tutto

da dove vedo se la nostra cosa è andata a buon fine?

Si legge nel log se ha rimosso i file giusti, oppure te ne accorgi quando reinstalli l'antivirus e funziona.

Codice: Seleziona tutto

ma lo script come lo costruisci?

alcuni file sappiamo sono usati sempre, o quasi, come base per il virus, e sono quelli contenuti nello script generico.
Poi bagle colpisce a caso alcuni altri file nel pc, di solito quelli attivi in memoria, e quelli li vediamo dal log della scansione di kaspersky, e vanno aggiunti allo script.

[trilly80]

carissimo crazy cat,
ho installato antivir, quindi suppongo che sia andato tutto a buon fine,
solo che nella scansione mi ha gia' individuato un virus un certo, w95/blumblebee,
non l ho cancellato, non ne ero sicura su cosa fosse, ora dovrebbe essere in quarantena...se riesco a trovarlo lo posso cancellare?
comunque nod 32 come è come antivirus?dovrei avercelo su qualche dischetto...
che ne dici se lo installo?
grazie ancora!

[crazy.cat]

se riesco a trovarlo lo posso cancellare?

Si

che ne dici se lo installo?

Basta che lo configuri bene.
http://www.MegaLab.it/2775

(ma io mi terrei antivir, sopratutto se nod fosse una versione vecchia)

[trilly80]

caro crazy cat, ho letto tutto l articolo su nod32 e direi che è complicatissimissimo per me!!!!
quello che ho io non porta tutte queste impostazioni ma usavo solo lo scanner on demand....almeno così mi disse di fare un tecnico che mi ha riparato il pc....ma forse non basta...a quanto ho capito dall articolo,o va bene lo stesso?
per adesso seguo il tuo consiglio e mi tengo antivir.
Spero di ver ripulito per bene tutto il pc.
leggendo il risultato di avenger che ne dici?
risulta ancora qualcosa che non va?
grazie ancora tantissimo.