www.MegaLab.it

[ZaC]

Salve a tutti,
sono nuovo qui. Qualche settimana fa il mio pc ha contratto il worm Bagle. Per eliminarlo non ho seguito da subito le vostre indicazioni, poichè le ho trovate di recente. Ho collegato l'hd infetto ad un altro computer e l'ho fatto scansionare dall'AVG (ultima versione Free ed aggiornato). Rimontato nel case sembrava tornato tutto in ordine, tuttavia periodicamente l'AVG mostrava un popup in cui affermava di aver bloccato il restore del virus. Ho allora installato la trial version del Kaspersky ed aggiornato il db, disinstallato l'AVG, ed avviato una nuova scansione con la quale ho eliminato altri rimasugli del worm. Ma neanche questo è stato sufficiente, ogni tanto dava messaggi simili a quelli dei popup di AVG.
Trovate le vostre indicazioni ho proceduto con:
-la scansione del Kaspersky online (la quale però ha riportato solo file infetti con un prefisso "not-a-virus")
-lo script per Avenger
-la pulizia del registro con CCleaner
-la cancellazione manuale di alcune chiavi dal registro (DateTime4 e FirtR).
Non sono del tutto sicuro di aver eliminato la minaccia...
Per verificare questo, cosa consigliate?
Io ho fatto comunque una scansione con HijackThis, vi allego il log?
Grazie per l'attenzione,
ZaC.

[Fred]

Innanzi tutto: Benvenuto.
Si, posta il di HT (mi raccomando segui le regole per inserire il post!)

[ZaC]

grazie per il benvenuto!
Ecco a voi i due link dei log:
hijackthis: http://www.mediafire.com/?owgblncmbzc
kaspersky online: http://www.mediafire.com/?ybgjmgyctby

Quello che mi fa temere di avere ancora il virus sono i frequenti messaggi di kaspersky come questo ricevuto poco fa mentre sfogliavo le cartelle del pc per caricare i file di log:
21/07/2008 21.25.47 Processo C:\Programmi\Internet Explorer\iexplore.exe (PID: 3992): tentativo di caricamento di un modulo nuovo o modificato non permesso.
avendo letto che il rootkit srosa si maskera da explorer ho bloccato tutto... ma magari mi sbaglio. Spero mi possiate illuminare :D

[ZaC]

non voglio flooddare ma... nessuna illuminazione?

[gio!]

Da hijackthis non si vede niente, fixa solo:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Dal report di Kaspersky non si vedono virus ma solo dei programmi che possono essere usati per scopi illeciti.
Scarica systemscan www.suspectfile.com/systemscan disattiva l'antivirus, avvialo, controlla che siano spuntate tutte le caselle e inizia la scansione del sistema.

Non utilizzare altre applicazioni.
Può sembrare che si blocchi o non stia lavorando, è normale.
Alla fine postaci il report.

[ZaC]

Ciao ragazzi,
vacanze terminate, si ritorna a lavoro!!! Per questo non avevo risposto fino ad ora...
Dunque questo benedetto computer sembra non essere pulito del tutto.
I problemi sono i seguenti:
- non c'è più fra le risorse del computer il lettore floppy;
- funziona la rete wifi (!!!) ma se tento di usare il cavo di rete questo risulta sempre scollegato (ho provato sul portatile e non è il cavo a dare problemi);

Ho scaricato il programma che mi hai detto tu, gio, ma viene riconosciuto dall'avg come un virus, è uno dei soliti errori di avg?! Posso usarlo tranquillamente?

Vi ringrazio per l'attenzione,
ZaC.

PS: in gestione periferiche ho trovato un punto interrogativo giallo accanto alla voce "Controller Ethernet", col programma "System information for windows" (SIW) ho scoperto il nome della scheda di rete di cui mancavano i driver, ho scaricato questi ultimi dal sito produttore e li ho installati, ma non è servito a nulla... se non a fare scomparire il punto interrogativo... Spero davvero mi possiate aiutare. Saluti :)

[BilloKenobi]

per systemscan usalo senza problemi... non che sia giusto, ma è normale che alcuni antivirus lo riconoscano come infetto include tecnologie simili a quelle spesso usate dai virus per difendersi dagli antivirus e mantenersi attivo... solo che systemscan le usa per difendersi dai virus stessi, che di frequente cercano di impedirne l'uso

[ZaC]

Grazie Billo!
Scansione effettuata e questo è il log di SystemScan ma sinceramente non c'ho capito nulla... Spero mi possiate aiutare.
Saluti,
ZaC.