| Precedente :: Successivo |
| Autore |
Messaggio |
Maina
Mortale devoto
Registrato: 18/02/08 13:21
Messaggi: 15
|
 Inviato: 05 Apr 2008 15:14 Oggetto: [RISOLTO] Probabile virus Bagle |
 |
|
Penso di aver preso un virus!!!Ho scaricato un file da Emule, ho effettuato la consueta scansione del file in formato zip ma nonostante tutto, all'apertura del file il pc si è riavviato automaticamente ed è conparsa una finestra con un messaggio indicante un errore grave.Ora nessun programma antivirus (McAfee, CCleaner, Spybot) è funzionate, in pratica ho il pc senza protezione.Come posso fare?
Grazie! |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Apr 2008 15:25 Oggetto: |
|
|
Probabilmente hai beccato il virus Bagle. 
Dimenticavo: il titolo del messaggio l'ho cambiato con qualcosa di più esplicativo di "Help meeeee". |
|
| Top |
|
|
Maina
Mortale devoto
Registrato: 18/02/08 13:21
Messaggi: 15
|
| Inviato: 05 Apr 2008 17:50 Oggetto: |
|
|
Ho fatto la scansione con ATF-cleaner..subito dopo ho scaricato Elibagla, ho annullato la connessione, disattivato gli antivirus e ho avviato la scansione con Elibagla.Problema: la scansione si annulla prima che arrivi al termine.
DEvo cambiare procedura o attenermi alle tue indicazioni ignorando Elibagla?
Grazie. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
Maina
Mortale devoto
Registrato: 18/02/08 13:21
Messaggi: 15
|
| Inviato: 06 Apr 2008 17:12 Oggetto: |
|
|
Ciao bdoriano!Allora ho fatto la scansione con System scan...e finalmente sono riuscita ad ottenere i risultati dell'analisi...(ma è normale che la scansione sia durata quasi 5 ore?)
Adesso ti inoltro il link del report:
06_04_2008_17_01_report.zip
Aspetto tue notizie! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Apr 2008 23:56 Oggetto: |
|
|
Bagle! Usiamo un antibiotico ad ampio spettro... 
Apri il notepad, e copia/incolla questo codice
| Citazione: | Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\DateTime4]
[-HKEY_CURRENT_USER\Software\FirstRRRun]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"=-
"drvsyskit"=-
"german.exe"=- |
poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
| Codice: | Files to delete:
C:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
folders to delete:
C:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
Programs to launch on reboot:
C:\fix.reg |
e clicca Proceed with removal
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis. |
|
| Top |
|
|
Maina
Mortale devoto
Registrato: 18/02/08 13:21
Messaggi: 15
|
| Inviato: 07 Apr 2008 13:14 Oggetto: |
|
|
Ho provveduto a copiare il codice ma nel momento in cui clicco su "Proceed with removal" compare una finestra dal titolo:"Script error" contenente il seguente testo: Please copy and past a valid script file"
Ciò significa probabilmente che i file inseriti non sono stati rimossi...come mi consigli di procedere? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Apr 2008 23:33 Oggetto: |
|
|
Ho appena provato a copiare e incollare lo script in SystemScan e non mi ha rilevato errori di sorta. 
Per fare le operazioni che ti ho indicato, devi:
- scollegare internet
- disattivare il tuo antispyware
- disattivare il tuo antivirus
- riportare lo script esattamente come l'ho scritto.
Ti conviene selezionarlo, copiarlo e incollarlo
|
|
| Top |
|
|
Maina
Mortale devoto
Registrato: 18/02/08 13:21
Messaggi: 15
|
| Inviato: 09 Apr 2008 23:30 Oggetto: |
 |
|
Ciao Bdoriano!Ti ringrazio per essermi stato vicino durante questo periodo...comunque volevo informarti che il pc l'ho fatto formattare perché dopo un riavvio in modalità provvisoria Windows non partiva più e quindi a causa di questo grave errore non potevo far nulla...ovviamente neanche scriverti o leggere i tuoi post.Ti ringrazio per le informazioni date e per la costanza dimostrata nel seguirmi!  |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
