Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

bagle 12

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

anch'io Bagle...sigh

Messaggioda Pciccio » gio gen 24, 2008 11:00 pm

Ciao, mi aggancio visto che anche io sono stato raggiunto da questo dannato Bagle. Condivido l'idea che qui si trovano persone competenti e disponibili perciò spero di avere un vostro supporto. Aiuto vi prego, se non mi rispondete dovrò aprire un nuovo argomento..
Premessa : sistema operativo Windows XP
Allora tutto è partito da quando ho scaricato e installato un componente di Autocad (tutt'ora integrato in autocad, come faccio a rimuoverlo adesso?), analizzato con Antivir Personal edition Premium - che me lo ha fatto passare per buono e questo non glielo perdonerò mai perché ormai nutrivo una certa fiducia nell'ombrellino e invece mi ha tradito [:p] - ottenuto il "rassicurante" ok di Antivir vado installo e ...patatrak!!... eccoti qua il virus che mi ha messo ko antivir e mi ha incasinato il pc con lentezze varie, processi sconosciuti e un nuovo ospite chiamato hldrrr.exe che si è messo nella directory prefetch e non si vuole mai togliere dalle scatole quando spengo il pc costringendomi a "terminarlo" forzataman'.
Quindi ho proceduto così: scansione online con Kaspersky ( 8 dico otto ore e e quaranta minuti ) poi ho salvato il report sia in HTML che in txt (come faccio a postarlo?) e solo dopo mi sono accorto leggendo l'articolo guida di MegaLab che prima dovevo disattivare il ripristino della configurazione [acc2] , vabè l'ho fatto subito dopo la scansione, va bene lo stesso? [V]
Poi ho scaricato The Avenger e adesso attenderei vostre gradite indicazioni onde evitare ulteriori casini, grazie. [:)] [uhm] [cry] [cry+]
P.S.: serve anche elenco processi? Adesso spengo il pc, non è che quando riavvio devo rifare tutta la scansione daccapo? [acc2]
Nel frattempo posso usare il programma di posta?
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Messaggioda ste_95 » ven gen 25, 2008 6:53 am

Comprimi la scansione in formato html e allegala al forum.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Pciccio » ven gen 25, 2008 1:19 pm

Grazie per la risposta, ecco qua
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm


Messaggioda Fred » ven gen 25, 2008 1:39 pm

innanzitutto scaricati hijackthis e posta il log della scansione.
p.s: fai una pulizia con CCleaner
p.p.s: credo che questo possa andare come script di avenger:
Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip/IGES Import for AutoCAD 1.0 (KeyGen).exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip/IGES Import for AutoCAD 1.0.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe
C:\WINDXP\system32\drivers\down\1421015.exe
C:\WINDXP\system32\mdelk.exe

Ripeto che dovrebbe essere questo ma siccome avenger può fare molti danni se usato scorrettamente ti suggerirei di attendere che qualcuno confermi.
A presto
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda ste_95 » ven gen 25, 2008 1:47 pm

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\DAP\Offers\VA_11_DAPSO.1187_1.exe
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Ora, se tutto è andato a buon fine, dovresti riuscire a reinstallare un valido antivirus.

Dovrai anche reinstallare i driver del modem.

[ciao]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fred » ven gen 25, 2008 1:52 pm

Scusa ste_95, ma sono segnati dei file che non risultano dalla scansione, da dove li hai presi? N.B.: non fraintendermi, la mia è solo una curiosità.
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda ste_95 » ven gen 25, 2008 1:57 pm

Fred ha scritto:Scusa ste_95, ma sono segnati dei file che non risultano dalla scansione, da dove li hai presi? N.B.: non fraintendermi, la mia è solo una curiosità.


La scansione segnala alcuni file infetti dal virus/worm bagle, questo però è composto da molti componenti, che se non tutti correttamente eliminati ricreano l'infezione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fred » ven gen 25, 2008 1:58 pm

Grazie per l'esauriente risposta
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda Pciccio » sab gen 26, 2008 1:34 am

clicco sulla spada ma mi dice che avenger non è un'applicazione win32 valida....basstardo di un virus [cry]
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Messaggioda ste_95 » sab gen 26, 2008 7:19 am

Disabilita il ripristino configurazione di sistema.

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Gestione Risorse -> A43 Management. Elimina ora i seguenti file e cartelle dal disco C:\ come se fossi nel tuo computer:

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0 (KeyGen).zip
C:\Documents and Settings\Admin.PROFESSI-LK0MPN\Desktop\Proscar\IGES Import for AutoCAD 1.0.zip
C:\Programmi\DAP\Offers\VA_11_DAPSO.1187_1.exe
C:\Programmi\Digicom\Michelangelo PCI\CnxDslTb.exe
C:\Programmi\SYCODE\IGES Import for AutoCAD\IGES Import for AutoCAD 1.0.exe
C:\WINDOWS\system32\drivers\down

Miraccomando, non tralasciarne nessuno, altrimenti al riavvio sarai punto da capo!
NB: Alcuni file potrebbero non essere presenti.

Poi da Start -> Registro -> Remote Regedit e cancella le seguenti chiavi come se fossi all'interno del registro configurazione di Windows:

HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Torna in modalità normale e prova a installare un antivirus.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Pciccio » dom gen 27, 2008 10:04 pm

Ciao Ste, ancora non ci siamo. Ho seguito le tue istruzioni con esito negativo. Non sono riuscito a reinstallare Antivir.
Quindi ho rilanciato la scansione di Kaspersky e allego il report.
Una cosa che mi stupisce è che ha individuato un virus nel file "Browser" del MegalabCD : what's?? [...]
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Messaggioda ste_95 » lun gen 28, 2008 7:04 am

Non è un virus, è un tool che se usato per scopi illeciti, è illecito... [sh]

Sei sicuro che NESSUN antivirus si reinstalli?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Pciccio » lun gen 28, 2008 12:23 pm

Ok, allora adesso ho scaricato AVAST, solo che non riesco a disinstallare ANTIVIR : faccio pannello di controllo--> installazione applicazioni-->rimuovi, ma mi da' un messaggio di errore con scritto "Cannot load master resource file", che è anche quello che mi da quando cerco di caricarlo.
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Messaggioda Fred » lun gen 28, 2008 12:39 pm

Prova a reinsallarlo, poi se ti da l'opzione ripara tanto meglio, altrimenti reinstallarlo sopra l'installazione precedente. Fatto questo provi, se vuoi, a disinstallarlo. In alternativa elimini manualmente la cartella per poi fare una pulizia generale con CCleaner per eliminare chiavi di registro e quant'altro; n.b.: è probabile ci siano altre cartelle oltre quella d'installazione che rimandano all'antivirus in questione.
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda Pciccio » lun gen 28, 2008 1:12 pm

Grazie Fred, ho fatto come mi hai detto e credo che stavolta sia riuscito ad installare completamente Antivir, dico credo perché adesso sto facendo la scansione con Avast e non posso riavviare il PC per completare l'operazione, però stavolta l'icona dell'ombrellino si è installata nel systray mentre prima no. A questo punto però mi tengo AVAST, visto che il virus me lo sono beccato con ANTIVIR, voi che ne dite?
Vi aggiorno appena posso con i risultati della scansione.
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Messaggioda Fred » lun gen 28, 2008 1:24 pm

Io, sinceramente mi trovo benissimo con antivir PE Premium (con offerta di 6 mesi di licenza gratuiti). Sinceramente a me non piace avast ma questo è un mio gusto personale. In ogni caso è un buon antivirus anche quello (almeno credo)
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda ste_95 » lun gen 28, 2008 1:47 pm

Avast può essere considerato tutto meno che un buon antivirus.

Usa Avira Antivir Premium e quando scade passi alla versione freeware:

http://www.MegaLab.it/1740
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fred » lun gen 28, 2008 1:49 pm

Allora la mia antipatie è giustificata... e dire che tutti mi hanno parlato bene di quell'antivirus [;)] . in ogni caso chiedo venia per il mio precedente madornale errore. [rolleyes]
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda ste_95 » lun gen 28, 2008 1:54 pm

Tanto per far vedere che non sto sparando cavolate:

http://www.MegaLab.it/2738/5

Test degli antivirus 2007 ha scritto:Giudizio finale abbastanza negativo
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Pciccio » lun gen 28, 2008 7:18 pm

Beh, leggendo l'articolo, AVAST mi perde subito dei punti. Quella della "bomba a decompressione" non l'ho capita [uhm] . Io mi ero basato sul sondaggio di MegaLab che lo dava tra i più votati e sul fatto che è proprio con ANTIVIR PE PREMIUM che ho beccato il virus.
Vabè forse darò un'altra chance all'ombrellino anche perché con questa prima scansione sto constatando che come interfaccia mi era più "simpatico".
Una domanda: ma non c'è un modo per evitare di trovare la scansione ferma, quando torni al PC qualche ora dopo averla avviata, in attesa di conferme su eventuali eliminazioni/spostamenti in quarantena di qualche file infetto? Non si può decidere il da farsi a scansione ultimata?
Comunque allego i risultati di AVAST, che a suo dire mi ha trovato tre cavalli di troia, tra l'altro presenti in cartelle di programmi installati da una vita e che ANTIVIR non mi ha mai segnalato. Qua non si finisce più, sto scoprendo che il mio PC è una latrina...comunque se avete voglia di sporcarvi le mani con me magari riesco ad uscirne una volta per tutte. Ecco qua
Avatar utente
Pciccio
Senior Member
Senior Member
 
Messaggi: 168
Iscritto il: dom feb 26, 2006 12:47 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising