Condividi:        

Un virus cancellatore

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Un virus cancellatore

Postdi Deman » 10/11/07 00:44

Apro un nuovo topic visto che ci sono novità che vorrei far conoscere.
Tutto comincia un mesetto fa quando non si apre più outlook express:non ci dò peso e lavoro con Microsoft Outlook.
Dopo qualche giorno però l'icona di Spybot si trasforma in quella generica delle applicazioni di windows(un quadrato bianco con una banda blu superiore);cliccandoci sopra mi dà collegamento mancante e comincia a cercare(ma senza trovare).Risultato:non si apre più Spybot.
Dopo qualche giorno stessa cosa con Avg antivirus.
Ora sia se provo a reinstallare questi due programmi(con degli eseguibili nuovi)sia se installo nuovi antivirus,l'installazione fallisce.
Non vorrei formattare la macchina ma non so più che fare

grazie
Deman
Utente Senior
 
Post: 136
Iscritto il: 02/01/07 14:17
Località: Napoli

Sponsor
 

Postdi Luke57 » 10/11/07 09:17

Ciao, scarica Elibagla (tool apposito per il worm bagle) da qui:
http://www.zonavirus.com/datos/descarga ... ibagla.asp

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata

Eseguilo

Ignora eventuali messaggi dell’antivirus

Posta il report dello scan
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Deman » 12/11/07 08:38

ecco il log:
Ps visto che ha rilevato due bagle, li ha anche eliminati o li ha solo evidenziati?
Mon Nov 12 08:33:33 2007
EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINNT\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINNT\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINNT\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINNT\SYSTEM32\DRVDDLL.EXEOPENOPENOPEN --> Eliminado Bagle
C:\WINNT\SYSTEM32\DRVDDLL.EXEOPENOPENOPENOPEN --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Nov 12 08:33:59 2007
EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1674
Nº Total de Ficheros: 64051
Nº de Ficheros Analizados: 5820
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 0

Mon Nov 12 08:36:15 2007
EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Nov 12 08:36:26 2007
EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Nov 12 08:36:26 2007
EliBagle v10.69 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1674
Nº Total de Ficheros: 64051
Nº de Ficheros Analizados: 5820
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 0
Deman
Utente Senior
 
Post: 136
Iscritto il: 02/01/07 14:17
Località: Napoli

Postdi Luke57 » 12/11/07 08:51

Ciao, dovrebbe averli eliminati e aver ripristinato la modalità provvisoria, disattivata dal virus.
Prova a reisallare l'antivirus e comunque qui:
http://www.megalab.it/articoli.php?id=948&pagina=5
trovi una completa disamina sul Bagle.
Se riscontri problemi, rivolgiti pure qua.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Deman » 12/11/07 23:37

Tutto a posto,virus debellato.
Devo solo vedere se la modalità provvisoria è stata ripristinata.
Ti faccio sapere

Grazie
Deman
Utente Senior
 
Post: 136
Iscritto il: 02/01/07 14:17
Località: Napoli

Postdi Deman » 18/11/07 19:45

Come temevo,la modalità provvisoria non è ripristinata e OE non si apre;
c'è un sistema per ripristinarli?
Deman
Utente Senior
 
Post: 136
Iscritto il: 02/01/07 14:17
Località: Napoli

Postdi Luke57 » 19/11/07 08:46

Deman ha scritto:Come temevo,la modalità provvisoria non è ripristinata e OE non si apre;
c'è un sistema per ripristinarli?

Ciao, questo è il file .reg per il ripristino della mod.provvisoria:
http://www.megalab.it/download.php?id=349
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Deman » 20/11/07 11:33

Ho installato questo file di registro ma purtroppo non è successo niente.
Tutto come prima
Deman
Utente Senior
 
Post: 136
Iscritto il: 02/01/07 14:17
Località: Napoli

Postdi Luke57 » 20/11/07 12:10

Ciao, proviamo a fare un'analisi più approfondita con systemscan (strumento di diagnosi),
http://www.suspectfile.com/systemscan
estrailo sul desktop, applcazioni e programmi chiusi, avvialo, metti la spunta a tutte le voci e premi "Scan". Al termine della scansione sarà rilasciato un log che troverai in C:\suspectfile -un file con estensione .zip (data+ora+.zip)
E' troppo lungo per inserirlo in un post, quindi vai su http://www.easy-share.com e carica lì il file.
POi inserisci in un nuovo post il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

Nel caso che systemscan non si avviasse per la mancanza di alcuni privilegi (il SeDebugPrivilege) scarica anche questo tool

http://download.bleepingcomputer.com/sU ... estore.exe

e usalo. Poi riavvia il pc, dopo di che systemscan dovrebbe funzionare.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Un virus cancellatore":

Virus o cosa?
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 26

Chi c’è in linea

Visitano il forum: Nessuno e 53 ospiti