www.MegaLab.it

[torch]

Ok, perfetto.

Ma è normale che l'icona di Antivir, al riavvio del sistema, non mi compaia nella trayicons?

[ste_95]

Antivir funziona correttamente?

[torch]

Salve,

allora:

il problema con antivir l'ho risolto.... ma :-)

Al caricamento del desktop mi compare il messaggio "Impossibile apreire il file "avvio veloce di adobe reader.lnk.disabled".... deovo disinstallare e reinstallare adobe reader?

Poi: Al riavvio del sistema, prima di comparire "Chiusura di windows in corso" continua a comparirmi "Salvataggio delle impostazioni in corso"... e poi riavvia correttamente... Ma mi sembra un po' strano... (e' già la 4 volta che riavvio, senza eseguire modifiche di sorta, e continua a comparire il messaggio...)

Grazie

[ste_95]

Credo che dovresti inserire nuovamente il link nei file in esecuzione automatica di Adobe, ma se non hai problemi ti consiglieri di reinstallarlo.

Al riavvio del sistema, prima di comparire "Chiusura di windows in corso" continua a comparirmi "Salvataggio delle impostazioni in corso"... e poi riavvia correttamente... Ma mi sembra un po' strano... (e' già la 4 volta che riavvio, senza eseguire modifiche di sorta, e continua a comparire il messaggio...)

Non credo sia un problema da attribuire al malware

[torch]

Salve,

Credo che dovresti inserire nuovamente il link nei file in esecuzione automatica di Adobe, ma se non hai problemi ti consiglieri di reinstallarlo.

Perfetto.

Non credo sia un problema da attribuire al malware

Sai com'è... la psicosi gioca brutti scherzi .-)

Intanto grazie, veramente, per il supporto in tempo reale!

Ora provvedo a ripulire un po' il sistema e poi vi faccio sapere (se volete vi posto il link kad al file che sicuramente mi ha infettato il pc).

Saluti,
torcH

[torch]

Allora: vi aggiorno.


Ho eseguito una scansione di tutto il sistema con antivir: ok.

Ho effettuato una scansione con spybot, e mi aveva trovato: win32.bagle.hi (c:windows\system32\drivers\down\). Ho detto di rimuoverlo: ok.

Ho riavviato il sistema, ho rieseguito la scandione con spybot e mi trova:

Di nuovo

win32.bagle.hi (c:windows\system32\drivers\down\)

ed anche

win32.agent.bgy (chiave HKEY_USER\s..... \sotftware\FirstRRRun)

Come posso rimuoverli definitivamente?

Grazie

[crazy.cat]

La cartella c:windows\system32\drivers\down\ la puoi cancellare completamente con tutti i suoi exe che potrebbero essere al suo interno.

Prova a postare un log della scansione di hijackthis, oppure apri il registro di configurazione e ti porti fino alla chiave HKEY_USER\s..... \sotftware\FirstRRRun e cancelli la voce del bagle che ti ha segnalato spybot.

[torch]

Ecco il log di hijackthis.

[crazy.cat]

Prova a postare un log della scansione di hijackthis, oppure apri il registro di configurazione e ti porti fino alla chiave HKEY_USER\s..... \sotftware\FirstRRRun e cancelli la voce del bagle che ti ha segnalato spybot.

Non si vede da hijackthis, dovrai toglierla a mano dal registro.

[torch]

Salve,

l'ho tolta a mano, ma al riavvio del sistema la ritrovo sempre lì (sia la chiave di registro, sia la cartella).

[torch]

Ho disattivato il ripristino della config di sistema, cancellato (sia a mano sia con spybot) la chiave, ma nulla da fare: mi si ripresenta ad ogni riavvio.

A voler essere precisi, non mi permette di cancellare la chiave di registro (impossibile eliminare tutti i valori specificati), ma mi permette di cancellare la cartella che la contiene (il che, penso, sia la stessa cosa).

La chiave ha come
nome: (predefinito)
Tipo: REG_SZ
Dati: (valore non impostato)

[ste_95]

Ma non mi è chiaro se ora tutti i sintomi di Bagle sono scomparsi o ancora li riscontri... Un antivirus riesci a installarlo?

[torch]

Salve,

ho già installato antivir e l'ho aggiornato all'ultima versione.
Ho fatto una scansione completa, mi ha trovato 2 problemi e li ha corretti.

Facendo la scansione con spybot, invece, mi trova questa cartella system32\drivers\down\ (che è vuota) e FirstRrrun (chiave di registro).

Cancellando chiave e cartella anche direttamente da regedit ed esplora risorse, ad ogni riavvio ricompaiono entrambi.

I sintomi di bagle non ci sono più (funizona il wifi, funzionano antivirus, firewall e compagnia, funziona la modalità provvisoria).

non vorrei però che questi file che continuano a rigenerarsi potressero veicolare altre "bestie" una volta che ricollegherò il notebook alla rete.

Grazie

[torch]

Salve,

ho eseguito nuovamente la scansione totale del sistema con antivir.

Vi allego il log.

Sembra tutto bene ad eccezione di quanto segue:

----------


Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0057

Starting the file scan:

Begin scan in 'C:\' <Sys>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <SWAP>
E:\pagefile.sys
[WARNING] The file could not be opened!

----------------------------------

E spybot continua a trovarmi la cartella ed il file di registro (riferiti a Bagle) di cui sopra.

torcH

[torch]

Altre info:

quando, a sistema riavviato, lancio ccleaner, mi viene trovata una "Chiave di software obsoleto - FirstRRRun - HKCU\Software\FirstRRRun".

Quando la elimino il software mi restituisce questo messaggio:

La chiave software: Software\FirstRRRun non contiene alcuna informazione e può essere rimossa. Questi rifwerimenti vengono spesso lasciati da disinstallazioni di software.

Al riavvio del sistema, ritrovo sempre questa chiave (più l'altra "solita" e la cartella \down\)

Saluti

[torch]

Salve.

Nottetempo ho fatto nuovamente la scansione completa con Kaspersky online.

Dal nuovo log (che allelgo) emerge che un altro file è stato infettato da bagle:

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe Infected: Trojan-Downloader.Win32.Bagle.jo skipped

Che stringa devo inserire su Avenger (sperando che risolva definitivamente)?

Grazie e saluti,
torch

p.s.: al momento funzionano sia antivir sia comodo. Ed anche il wifi e la connessione internet.

[ste_95]

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

[torch]

Salve,

ho fatto tutto, con la certezza di aver disabilitato il ripristino automatico del sistema... ma così non era.

Ora ho lanciato l'ennesima scansione completa con kaspersky.

Appena finisce vi posto il log.

Grazie ancora per il supporto.

[ste_95]

L'antivirus si reinstalla?

[torch]

Guarda:

dopo gli interventi che mi hai fatto fare ieri, sono riuscito subito (già ieri) a reinstallare comodo a antivi, ad aggiornarli, ed a fargli eseguire le scansioni.

Il sistema tutto, funziona (modalità provvisoria/wifi/firewall/antivirus/ navigazione internet ecc ecc).

Il problema era che mentre antivir non mi trovava, dopo una scansione completa, nessuna minaccia, spybot me ne trovava 2 (di bagle).

Riusciva a rimuoverli ma questi si rigeneravano ad ogni riavvio di sistema.

Ieri notte ho cercato di rimuovere manualmente il nuovo files infettato "synap..." e mi è comparsa la stessa finestra infame che mi comparve all'inizio di questa "tragedia": una "finta "finestra esplora risorse con la voce: "What file do you want to crack"?

Riavviando in modalità provvisoria sono riuscito a cancellare tale file.

Ripeto: ora il sistema funziona.

Vediamo questa scansione cosa porterà (ho cancellato parecchio materiale sul pc, quindi mi aspetto una scansione con tempi più decenti).

torch