Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

bagle.zja e non vanno gli antivirus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda molde » ven ago 24, 2007 8:23 am

Chiedo aiuto, in particolare a crazy,
Ho beccato bagle.zja
Sono due giorni che mi ci sto picchiando..

Sono riuscito prima a rimettere le chiavi per far partire Win Xp in safe mode visto che partiva ormai sono con l'ultima configurazione funzionante ma durava pochi secondi dopo l'avvio poi si resettava.. gisuto il tempo di mettere le chiavi per il safe mode.
comunque in safe mode il pc regge.. GUardando il post ho fatto i passi consigliati
Solo che avengere non mi parte al riavvio si blocca prima quindi ho fatto tutto manualemente.
ho tolto la cartella exefield ho tolto i file incriminati sotto drivers32 e la voce di registro
HKLM\SYSTEM\CurrentControlSet\Services\srosa

mentre non c'è verso di togliere la voce

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

penso sia questo che poi al riavvio mi fa tornare con il warm attivo

SOno riuscito anche a installare antivir pe e ho fatto upadate della definizione virus a mano..
ora provo a fare la scansione..

Avete suggerimenti per togliere quella chiave sopra?

grazie
Molde
Avatar utente
molde
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: ven ago 24, 2007 8:12 am

Messaggioda crazy.cat » ven ago 24, 2007 8:42 am

molde ha scritto:Ho beccato bagle.zja

Un altra variante diversa.....che stress.

Hai trovato gli altri file exe che sono indicati nel post?

Prova con Panda antirootkit per vedere cosa riesce ad eliminare ed eventualmente con seem (dopo un riavvio del pc) per vedere se è rimasto ancora qualcosa.
http://www.MegaLab.it/2714/2

Nel registro si riforma anche la prima voce di srosa o rimane solo la seconda?

bisognerebbe anche capire perché si resetta?
Nel visualizzatore eventi non sono segnati errori in corrispondenza del riavvio
http://www.MegaLab.it/2651
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda molde » ven ago 24, 2007 8:53 am

ciao crazy
Allora i file che ho trovato e cancellato sono

%SystemDrive%\WINDOWS\system32\drivers\srosa.sys

%SystemDrive%\WINDOWS\exefnd

HKLM\SYSTEM\CurrentControlSet\Services\srosa

quello invece che non sono risucito a cancellare è questo

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Nel System volume information antivir ha tolto il worm

Panda ha fatto fresco...

Il fatto che si resetti probabilmente è dettato dal worm che blocca firewall antivirus ecc e me li manda in crash.. schermata blu..

Se riavvio in modalita ufficiale si ricrea tutti i file e chiavi vari che avevo cancellato..

molde
Avatar utente
molde
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: ven ago 24, 2007 8:12 am


Messaggioda Albachiara » dom ago 26, 2007 1:06 pm

mmmm.. uffa l'ho ricevuto anch'io... che faccio? l'avvio del pc è molto problematico... devo necessariamente cliccare sull'accesso dell'ultima volta in cui era funzionante.. e poi che faccio?? come lo tolgo? aiutatemi
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda crazy.cat » dom ago 26, 2007 1:58 pm

Albachiara ha scritto:mmmm.. uffa l'ho ricevuto anch'io...

Da dove te lo sei preso?

Per toglierlo.
http://www.MegaLab.it/forum/viewtopic.php?t=34010

se tentate rimozioni parziali a mano si riesce a far peggio.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Albachiara » dom ago 26, 2007 3:54 pm

bella domanda crazy... comunque vi invio il log di gmer:

GMER 1.0.13.12551 - http://www.gmer.net
Autostart scan 2007-08-26 16:49:36
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirScheduler /*AntiVir PersonalEdition Classic Scheduler*/@ = "C:\Programmi\AntiVir PersonalEdition Classic\sched.exe"
AntiVirService /*AntiVir PersonalEdition Classic Guard*/@ = "C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe"
LightScribeService /*LightScribeService Direct Disc Labeling Service*/@ = "C:\Programmi\File comuni\LightScribe\LSSrvc.exe"
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
STI Simulator /*STI Simulator*/@ = C:\WINDOWS\System32\PAStiSvc.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
VideoAcceleratorEngine /*VideoAcceleratorEngine*/@ = C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe -start -scm
vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@DownloadAccelerator"C:\Programmi\DAP\DAP.EXE" /STARTUP = "C:\Programmi\DAP\DAP.EXE" /STARTUP
@SoundMAXPnPC:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe = C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
@SoundMAX"C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray = "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
@SunJavaUpdateSched"C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" = "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
@CnxTrApprundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB" = rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"
@avgnt"C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min = "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
@NeroFilterCheckC:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe = C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
@ZoneAlarm Client"C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" = "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" = "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
@MySpaceIMC:\Programmi\MySpace\IM\MySpaceIM.exe = C:\Programmi\MySpace\IM\MySpaceIM.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{79921D3F-7537-463E-9E38-CD503A8FA485} =

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
@{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} /*OpenOffice.org Column Handler*/"C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll"
@{087B3AE3-E237-4467-B8DB-5A38AB959AC9} /*OpenOffice.org Infotip Handler*/"C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll"
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice.org Property Sheet Handler*/"C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll"
@{3B092F0C-7696-40E3-A80F-68D74DA84210} /*OpenOffice.org Thumbnail Viewer*/"C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.2\program\shlxthdl.dll"
@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/C:\Programmi\Unlocker\UnlockerCOM.dll = C:\Programmi\Unlocker\UnlockerCOM.dll
@{B327765E-D724-4347-8B16-78AE18552FC3} /*NeroDigitalIconHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{7F1CF152-04F8-453A-B34C-E609530A9DC8} /*NeroDigitalPropSheetHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{D9872D13-7651-4471-9EEE-F0A00218BEBB} /*Multiscan*/C:\Programmi\Zone Labs\ZoneAlarm\zlavscan.dll = C:\Programmi\Zone Labs\ZoneAlarm\zlavscan.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
MyPictures3D@{AA7A03E6-7FA5-42E7-9D7A-9A2A4E344B3F} = C:\Programmi\My Pictures 3D\My Pictures 3D ScreenSaver\Bin\MyPicContext.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
ZLAVShExt@{D9872D13-7651-4471-9EEE-F0A00218BEBB} = C:\Programmi\Zone Labs\ZoneAlarm\zlavscan.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
MyPictures3D@{AA7A03E6-7FA5-42E7-9D7A-9A2A4E344B3F} = C:\Programmi\My Pictures 3D\My Pictures 3D ScreenSaver\Bin\MyPicContext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
UnlockerShellExtension@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = C:\Programmi\Unlocker\UnlockerCOM.dll
ZLAVShExt@{D9872D13-7651-4471-9EEE-F0A00218BEBB} = C:\Programmi\Zone Labs\ZoneAlarm\zlavscan.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll = C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.spop@Location = C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://gw.aliceadsl.it/home = http://gw.aliceadsl.it/home
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://gw.aliceadsl.it/home

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Alice ti aiuta.lnk

---- EOF - GMER 1.0.13 ----

e poi quello di avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sfnblabn

*******************

Script file located at: \??\C:\jwjpatnv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.


File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

ho anche provato quel tool elibagla... ma è servito a ben poco... che faccio... i problemi sono all'accensione e chiusura di windows....uffi
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda crazy.cat » dom ago 26, 2007 4:54 pm

Se il pc va in schermata blu se lo avvii in modalità normale, blocca il riavvio automatico e leggi il codice d'errore con i nomi di file che ci possono essere.
http://www.MegaLab.it/2315

Ho visto che non ti ha trovato nessuno dei due file sys che usa sino ad ora, quando fai il log di gmer non a nessuna voce rossa?

Nella cartella
C:\WINDOWS\system32\drivers\
c'è qualche file sys con data di creazione recente?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Albachiara » dom ago 26, 2007 8:21 pm

allora non è precisamente una schermata blu ma nera.. in cui mi dice che posso avviare o in modalità provvisoria, o normalmente o con l' ultimo accesso funzionante... per quanto riguarda file strani... c'è C:\WINDOWS\system32\drivers\hidr.exe
aepiumnqhlvq
emcuukrldfxa
SDTHOOK

questi 3...sono gli ultimi file che si sono creati...
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda ste_95 » lun ago 27, 2007 7:45 am

probabilmente sono da buttare... comunque se vi interessa è il bagle che adesso gira nei canali P2P, ecco da dove l'ho capito: C:\WINDOWS\system32\trusted.exe

comunque una scansione online con kaspersky dalla modalità provvisoria per chiarisrsi le idee...?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » lun ago 27, 2007 7:52 am

Albachiara ha scritto:allora non è precisamente una schermata blu ma nera.. in cui mi dice che posso avviare o in modalità provvisoria, o normalmente

Ma se lo avvii in modalità normale, cosa succede?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ste_95 » lun ago 27, 2007 8:10 am

da quanto ho capito gli si ricrea il virus e mandando in crash i sw di protezione, si riavvia... e se provasse a toglierli dall'avvio automatico?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » lun ago 27, 2007 8:33 am

ste_95 ha scritto:da quanto ho capito gli si ricrea il virus e mandando in crash i sw di protezione, si riavvia... e se provasse a toglierli dall'avvio automatico?

Il problema è che non sono in avvio automatico.

Se riesce a collegarsi ad internet la scansione sul sito kaspersky non sarebbe male sul serio, almeno per capire che non ci siano degli altri file infetti.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Albachiara » lun ago 27, 2007 8:08 pm

allora se avvio o in modalità provvisoria o normale si riavvia automaticamente il pc... il fatto che riesca a collegarmi ad internet è perché utilizzo l'ultimo accesso funzionante ma ovviamente quando spengo e riaccendo il pc non cambia nulla... cioè il virus annulla l'antivirus... che faccio?
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda ste_95 » mar ago 28, 2007 5:55 am

prova a scaricare la trial di scaricare la trial di kaspersky e a fare una scansione... dall'ultima configurazione funzionante
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Albachiara » mar ago 28, 2007 6:51 am

bè vi do un altra informazione... anche se il mio antivirus (antivir) mi dice che è bagle.zja... con la scansione con kaspersky mi dice che ho Email-Worm.Win32.Bagle.ix.. non so se vi può essere d'aiuto
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda crazy.cat » mar ago 28, 2007 7:10 am

Albachiara ha scritto:bè vi do un altra informazione... anche se il mio antivirus (antivir) mi dice che è bagle.zja... con la scansione con kaspersky mi dice che ho Email-Worm.Win32.Bagle.ix.. non so se vi può essere d'aiuto

Che cambi nome non è strano.
In quali file te lo trova?
Li ha rimossi?
Il pc continua ad avere problemi?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ste_95 » mar ago 28, 2007 7:46 am

se hai ancora il log della scansione con kaspersky, postalo...
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Albachiara » mar ago 28, 2007 8:30 pm

so che ora mi picchierete.... ma vi dico che mi sa che ho risolto il problema... e sapete come? ho bloccato con zone alarm il processo hidr.exe.... e per ora sembra che vada... bà!
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda Albachiara » mar ago 28, 2007 8:33 pm

ecco... l'unica chiave che non riesco a togliere è: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Enum\Root\LEGACY_SROSA che se fa?
Avatar utente
Albachiara
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar feb 13, 2007 1:00 am

Messaggioda ste_95 » gio ago 30, 2007 6:45 am

prova con avenger, aprilo, vai su inpu script manually, poi sulla lente e incolla quesdte righe:

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

poi su dine, poi sule semaforino, acconsenti, a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu, al riavvio ti apparirà il blocco note, copiane qua il contyenuto...
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising