Trojan Toosrr.SRR

Ovviamente mentre fa una lentissima scansione on line è ovvio che non sono riuscito a fare alcunche' in modalità provvisoria...... (non so se eliminando prima la configurazione di ripristino di sistema si possa agire dopo in modalità provvisoria ?) 

Ciao... Prisca85 ha individuato il problema... si tratta di bagle...
Per ripristinare la modalità provvisoria... scarica il files .zip che trovi
a questa pagina:

http://www.megalab.it/download.php?id=349 - http://www.megalab.it/download.php?id=349

Al suo interno troverai un file .reg, sul quale devi fare doppio clic... ed accettare
la modifica al registro...
Per il resto potresti provare un tool per la rimozione... e se non riesce
(in caso di ultime varianti non supportate) si può eliminare manualmente...
Scarica questo tool: http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe - link...
Lo scarichi... chiudi tutti i programmi che hai in background... specie... antivirus...
(alcuni antivirus lo identificano come trojan... ma è un falso positivo)
lo fai partire... e clicca su Explorar (Salir è per chiuderlo...) badando che
ci sia il segno di spunta in Eliminar Ficheros Automaticamente...
(fai la scansione su ogni disco...)
Dopo la scansione segnati se ti ha disinfettato qualche file... e quale...
Fai ripartire..., vedi che anche questo tool produce un log... infosat.txt (dovresti
trovarlo in c)
Fallo anche in modalità provvisoria... se in modalità normale non va...
Inoltre... alla seguente discussione... trovi le indicazioni, della stessa
Prisca85, per la rimozione:

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=9934 - http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=9934

In bocca al lupo... e facci sapere come è andata.
Ciao


-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Scusami ricapitolando sicm ovviamente non ho mai fatto nulla del genere :

Senti... hijackthis... per adesso non farlo... hai individuato bagle...
ed occupiamoci di lui... poi... farai altre verifiche per verificare se c'è anche altro...
Le scansioni online... sono utili... ma se ti richiedono tutte queste ore... non
so se ti convengano...
Quindi... ti dico cosa farei io... in primo luogo... userei il tool che ti ho indicato...
e mi segnerei tutti i risultati... o comunque seguirei le indicazioni che
 Prisca da nel post che ti ho indicato...
Dopo di che... passerei ad un tool standalone... per la scansione del pc...
tipo Sysclean (lo http://www.trendmicro.com/ftp/products/tsc/sysclean.com - scarichi..., scarichi anche il http://it.trendmicro-europe.com/smb/support/bandage.php?SID=54bfb548820912ce3eee4eaa15317a26 - pattern aggiornato ..., li metti
tutti e due in una cartella... e decomprimi il pattern... nella stessa cartella...
e fai partire sysclean dalla modalità provvisoria...) che sarebbe efficace
anche contro alcune varianti di bagle.
Purtroppo bagle ha molte varianti... e non sempre i tool sono efficaci...
Comunque... prova e facci sapere
Ciao

Ps: come pattern... devi scaricare il file con prefisso lpt



-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

ciao luigi, il bagle e' una brutta bestiaccia da eliminare. dimenticando anche un solo file, te lo ritrovi sempre al riavvio.
in quella discussione che ha linkato prgn, fai attenzione che perla aveva Windows ME, pero' molte cose valgono lo stesso su Win xp. per sapere meglio cosa fare, ti consiglio di leggere e stamparti le guide che ho messo all'inizio del mio post in quella discussione. in piu' http://www.megalab.it/articoli.php?id=948&pagina=5 - questa dovrebbe essere una guida per la nuova variante.
forum_posts.asp?TID=10103&PN=2 -
le operazioni che farei io, in questa cronologia, e cercando di riavviare il meno possibile sono:
- in modalita' normale scaricati e installa tutti i tools che ti potranno servire indicati nelle varie guide: Elibagla, antirootkit di panda, quello segnalato da prgn sysclean, Gmer, il tool per riparare la modalita' provvisoria, avenger, e Ccleaner (o ATF cleaner), ecc.
- disattivare il ripristino configurazione (importantissimo, se no ti ritorna sempre)
- far fare tutte le scansioni possibili con i vari tools che hai scaricato o che funzionano ancora, segnarti o salvarti tutti i resoconti dei vari files che trovano (richiedera' tempo e pazienza, ma meglio fare tutto insieme che ritrovarti con il virus ad ogni avvio).
-passare CCleaner (togliendo la spunta da opzioni>avanzate "cancella files in Win Temp solo se piu' vecchi di 48 ore"), o ATF cleaner, oppure cancellare manualmente tutti i files nella temp di windows e di IE. se ti rimane un file temporaneo infetto, al riavvio ti ritrovi tutto daccapo.
-usare lo script di avenger(lo trovi nella guida dell'ultima variante che ti ho segnato). importantissimo!!!molte voci puoi cancellarle manualmente, se non funziona (a me per esempio avenger non funzionava) sia dalle cartelle che entrando nel registro (start>esegui>regedit>ok).
-quando userai Gmer, se ti segnalera' dei files in rosso, eliminali con iltasto destro. sono purtroppo files nascosti che non potrai cancellare manualmente. come ho spiegato anche a perla potrai usare anche un tool come killbox.
-usa il file per riparare la modalita' provvisoria, poi vai in modalita' provvisoria e controlla di avere sempre il ripristino di configurazione disattivato.
-ripassa tutti i tools (l'elibagla in primis), controlla che non ci siano piu' i files infetti nelle cartelle, in esecuzione (processi nel task manager) e soprattutto nel registro di sistema
-riavvia in modalita' normale, riattiva il ripristino, prova a riscaricarti i software antivirus, ecc e vedere se si installano.
- fai comunque la scansione online con Kasperky, anche se ci mette 7 ore, perche' purtroppo come problematica, il virus puo' infettare un file a casaccio nella lista di processi attivi al momento che viene eseguito. questo processo e' leggittimo, ma viene colpito dal virus. e, almeno per me, l'ho individuato grazie alla scansione online.

facci sapere


-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

Ok grazie cerchero' di fare tutto La scansine on-line dopo sette ore era al 60% Ho smessoperche' mi impediva di fare qualunque altra cosa e ho deciso di rifarla dopo la pulizia per essere certo di aver tolto tutto  ; mi ha trovato file infetti he ho cancellato ( addirittura quello sippato  che originava ail virus che chissa' perche' miero dimenticato di eliminare nel panico ) e un exe di un programma at notes che utilizzavo da tempo Dovro' ricontrollarlo bene ( tra l'altro è uno di quelli che è scomparso e che tengo salvato su un dvd e uso sempre per lavoro - sarebbero i notes gialli che ti avvertono degli appuntamenti e ora non so se si è infettato dopo o era cosi' gia' sul dvd.....) ; comunque la scansione on line è lentissima ( io ho solo 12 giga occupati ) ma non ha nulla a che vedere ocn la scansione di altri programmi antivirus....va in profondità Avast non aveva mai rilevato qui file infetti ad esempio! Vi faro' sapere .....sto utilizzando i tool non in modalita' provvisoria come ho letto ma ho prima eliminato il ripristino di configurazione  Postero' i risultati della prima scansione con elbagla ....grazie mille!  Se anche non dovessi riuscirci ho formattato altre volte solo che questa volta non voglio arrendermi prima di lottare!!!!!!!!!!

Ecco il bagla rilevato da eliBagla :

Domanda: ma accesso denegado significa che dovrei farlo in modalita' provvisoria????????????o che non si è eliminato nulla'???

   Mon Jan 28 22:54:46 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5569
Nº Total de Ficheros:      39030
Nº de Ficheros Analizados: 3751
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

   Mon Jan 28 22:59:52 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
 a " mailto:virus@satinfo.es - virus@satinfo.es ".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
 a " mailto:virus@satinfo.es - virus@satinfo.es ".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

   Mon Jan 28 23:00:05 2008
EliBagle v10.92  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   6914
Nº Total de Ficheros:      55450
Nº de Ficheros Analizados: 10262
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

Ok leggendo le guide credo di aver capito che il file wintems.exe non puo' essere elminato con elibagla e che lo si deve eliminare con Killbox....al contrario BAN_LIST è stato eliminato da EliBagla ....

Mi sembra sia importante: mentre sto facendo la scnsione e pulizia con il tool di trend micro sysclea ( avendo prima fatto e poi postato elibagle )  ho notato la scritta:

Magari l'ho scaricato da un sito sbagliato.....è possibile avere un elenco ti tool sicuri????? perche' no ricordo dove li ho presi tutti...sigh....sembra una giungla scarichi e non sai cosa ti arriva...  

Alla cansione di elibagle sono omparsi due file strani in C Dei due ( me li ricodo li ho individuti subito ) uno è stato ancellato comeworm virus sa sysclean Infattne è rimasto solo uno. Ora elimino la mi aversione di elibagle ma è possibile avere un elenco dei tool da cui scaricare senza trovar altri virus???? Magari l'url delle discussioni dove posso trovarli stesso su questo sito....perche' ho scaricato da altri siti e ora non sono sicuo di cio' che ho come tool ( a parte sysclean ottimo debbo dire )   

Ho verificato all'avvio di elibagle ( in spagnolo ) compariano due file sospetti in C : ; dei due un è stato cancellato come virus worm da sysclean e ora ne è rimasto solo uno Prvvedo a cancellare il mio elibagle scaricato dalla rete perchè era lui stesso un worm mi sa...Potete dirmi da dove partire ( url delle pagine del sito stesso ) o darmi un elenco curo dei tool che mi servono perche' non ho modo di testae i programmini scaricati dalla rete....

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe -

2008-01-29, 00:20:22,   An error was detected on "C:\System Volume Information\*.*": Accesso negato.
Report Date : 1/29/2008 00:20:34

Success Clean [  WORM_SPYBOT.HW](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\5CSAC12M\b64_1[1].jpg
Success Clean [   WORM_BAGLE.JT](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\S7FCZZ3O\b64_2[1].jpg
Success Clean [  WORM_SPYBOT.HW](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\XUGKAN5B\b64_1[1].jpg
Success Clean [   WORM_BAGLE.JT](    1) from C:\Documents and Settings\luigi27\Impostazioni locali\Temporary Internet Files\Content.IE5\XUGKAN5B\b64_2[1].jpg
Success Clean [  WORM_SPYBOT.HW](    1) from C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
Success Clean [  WORM_SPYBOT.HW](    1) from C:\Programmi\ATnotes\ATnotes.exe

6 files containing viruses.
Found 6 viruses totally.
Maybe 0 viruses totally.
Stop At : 1/29/2008 13:12:09 2 hours 38 minutes 7 seconds (9486.64 seconds) has elapsed.

-------------

In ogni caso ho constatato l 'effettiva  rimozione  del file  C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
C:\Programmi\ATnotes\ATnotes.exe
di quest'ultimo ho rimosso il resto delprogramma manualmente nel cestino.....ma gli altri?

-------------

Tra l'altro CCleaner è stato disabilitato Vedro' di scaricarlo nuovamente .......questo worm ha pensatoa tutto... 

Mentre sysclean e antirootkit panda sono risultati pulitissimi al controllo di virus total invece presunti worm sono risultati eabgla ( soprattutto ) e un po' meno, ma semopre sospetto, killbox scaricato da killbox.net  ( ma ad virustotal l'antivirus shopos lo ha riconosciuto come killbox ad ogni modo ho tralascaito i controlli euristici che logicamente potevano determinarne il contenuto malevolo e mi sono soffermato solo sul presunto worm trojan trovatovi Poi non so ma per ora non uso elibagla.....e continuo le scansioni con gli altri tool 

Ciao... non ho letto tutta la discussione... comunque... il file HLDRRR.EXE è
relativo a bagle... e molto probabilmente... si tratta di una copia fatta da
elibagle... con l'aggiunta di un'altra estensione...
I tools che di solito vengono suggeriti nelle nostre discussioni... la maggior
parte delle volte... sono stati già usati da noi... è quindi con una certa sicurezza...
(anche se la sicurezza al cento per cento non si ha mai...) li suggeriamo anche
agli altri... e di solito usiamo quasi sempre i link del produttore quando è
possibile...
Elibagle... ti avevo già annunciato che poteva esser scambiato per un
malware... ma se noti dai nomi... (trovi spesso la dicitura heuristic o suspicius)
in pratica... dovrebbe essere un falso positivo...
Spesso... basta che un programma abbia qualche comportamento particolare...
per essere considerato infetto...
Se poi ti fa star tranquillo... usa gli altri tools... e non dimenticare la
rimozione manuale...
Ciao

PS: ho editato il post con il risultato di virustotal... per migliorare la
visione...

-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

luigi, cerchiamo di fare un po' di chiarezza perche' c'e' molta confusione.

prima di tutto, il tool elibagla e' sicuro, e uno di quelli essenziali per rimuovere il virus. la cartella C;/muestras non e' altro che la cartella creata dal programma dove mettere in una sorta di quarantena i files nocivi che trova, nel caso in cui uno li vuole ripristinare per qualche problema (ti ricordo che il virus puo' infettare files leggittimi e di sistema). e' trovato "sospetto" e non nocivo da virus total per le sue abilita' euristiche, evidentemente quegli antivirus non conoscono elibagla. cmq ti assicuro che e' pulito. la frase in spagnolo significa "accesso negato" quindi non sono sicura che sia riuscito a rimuovere tutto.

ora, per i link ai vari programmi, sono tutti contenuti un po' nell'altra discussione, e nelle guide che ho indicato, che probabilmente non hai letto. cmq ecco qui tutti i link per comodita':

http://www.megalab.it/articoli.php?id=946 - Avenger (leggi http://www.hwupgrade.it/forum/showthread.php?t=1562611 - QUI per come usarlo e prendi lo script da li punto 4 di quella guida.)

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link<ype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html - Panda Antirootkit

Visto che CCleaner non ti funziona, ed infatti ricordo anche a me nn funzionava, prova a scaricarti http://www.sergiogandrus.it/index.php/2007/07/17/freeware-atf-cleaner-per-fare-pulizia-nel-pc/ - ATFCleaner   (c'e' il link sotto, quando lo apri clicca su "select all", e poi "empty selected")
-se non funziona, manualmente, cancella tutti i files in :
c:\Documents and Settings\NomeVostroAccount\Dati applicazioni\Impostazioni locali\Temp
http://www.megalab.it/articoli.php?id=972 -
Gmer (link con la guida e il link del programma)

http://italian.eazel.com/lv/group/view/kl35797/Pocket_KillBox.htm - Killbox (facendo "standard file kill" devi essere sicuro che ti esca una frase come "file deleted" oppure "file does not seem to exist"(il file nn esiste). se te ne esce una diversa, puo' avere problemi a cancellare il file, e quindi dovresti mettere su "delete at reboot")

http://www.zonavirus.com/datos/descargas/95/elibagla.asp - Elibagla (clicca in fondo su "descargar Elibagla 10.93" l'ultima versione) da passare assolutamente in MODALITA' PROVVISORIA

ti ripeto una cosa luigi ma e' importantissima, fai le operazioni che ti ho indicato, o che sono presenti nelle varie guide che ho messo, attentamente, una dopo l'altra e tutte assieme in uno stessa "sessione". non puoi farle un giorno un po', poi un po' domani e cosi via...perche' ad ogni avvio il virus si ricrea d'accapo, anche se precedentemente hai cancellato alcuni files..e te li ritrovi ogni volta.

quindi, in linea generale,
-disattiva il rispristino,
-passa tutti i tools in modalita' normale
-controlla manualmente che i files messi nello script di avenger non ci siano nel tuo pc, e soprattutto nelle chiavi di registro
-metti apposto la modalita' provvisoria con quel tool che ti abbiamo indicato
-vai in modalita' provvisoria
-controlla che hai il ripristino disattivato
-ripassa tutti i tools in modalita' provvisoria
-ricontrolla che le chiavi non ci siano piu' nel registro e passa Elibagla finche' non ti dice che non trova piu' nessun file infetto.
-riavvia in modalita' normale, ripassa Elibagla e vedi se ti trova ancora files infetti.
-a questo punto, fai la scansione con Kasperky, e quando pensi di essere pulito, postaci un log di hijackthis (le info e link a forum_posts.asp?TID=4407 - questa pagina)

-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

Ok perfetto......grazie della spiegazione : ho capito che i file infetti erano stati messi da elibagla e infatti poi l'altro tool li h rimossi Faro' tutto ocme dici Infatti la difficlta' maggiore è che debbo stare ininterrottamente vicino al pc e purtroppo io faccio un altro lavoro....ma mi serve il pc per scrivere 

In modalità provvisoria eabagla ha finalmente trovato ed eliminato 27 worm e bagle vari..........sto scansonando sysclean

Avengere ha funzionato solo in modaita' provvisoria come amministratore ma in modalita' normale non mi funziona ( esce la scritta detta prima ) Solo che poi postando come nella guida il txt mi ha fatto ripartire il sistema in modo normale......non so se dovevo essere io a frlo riaprtire in modalita' provvisoria....o meno; in pratica nell'eseguire il punto 4 dela guida che mi hai citato poi debbo riavviare in modalita' provvisoria??? Perche' lui fa ripartire il sistema di xp normalmente Posto ocmunque il log che mi ha data avenger che on sembra trovare piu' nulla; elibagla ha dato pure esito negativo e non ha trovato virus , ma non mi fido perche' ho trovato il ripristino di sisitema inserito e non spuntato....non dovrebbe rimanere settato cosi' al riavvio o è normale che si riporta come se non l'avessi mai spuntato????? Spero l emie domande siano utili ai meno esperti come me....( o con poca dimestichezza dei programmi usati ) per non ripetere gli eventuali errori.... 

Folder C:\WINDOWS\System32\drivers\down deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*****************

***LOG MODIFICATO: sono state lasciate solo le voci importanti. Il resto delle voci dello script non sono state trovate ***


-------------

ciao luigi,
per l'errore di avenger e il rootkit del panda potrebbe essere qualche manomissione del virus Bagle a causarne l'errore. cmq dal log di avenger molti files per fortuna non li trova piu', ne ha trovato e cancellato questi qua:
Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.
Folder C:\WINDOWS\System32\drivers\down deleted successfully.

pero' se in modalita' normale non ti funziona, io al posto tuo andrei a cercare i files e le chiavi manualmente nel pc per essere sicuro che non ci siano piu'. e ripassa Gmer per vedere se ti trova ancora le voci in rosso (cioe' i files nascosti, che puoi cliccare con il tasto destro e cancellare). se elibagla non trova piu' nulla direi che stiamo sulla strada giusta.

 la prova del nove la potrai avere solamente scaricando un prodotto come Ccleaner, spybot, adaware o avast e provare ad installarlo. e un'altra prova posso vederla dal log di hijackthis, almeno in parte. oppure con la scansione online.

PS: per il ripristino, anche a me capitava che il virus me lo rimetteva ad ogni avvio, per quello ti ho detto di controllarlo sempre

facci sapere come va.

PPS: e' fondamentale pulire la temp e i files temporanei di internet con ATF cleaner o a mano. cmq non scordarti questo passaggio se no ti ritorna sempre.


-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

OK.....sonoriuscito ad usare pada antirootkit in modalia' normale e co' mi funziona ( in dalita'provvisoria non ho il collagamento internet e si bloccava con una pagina di I.E. vuota ) L'ho fatto andare in modalita' normale e  tutto ok non trova nulla o steso elbagla decisivè stata la pulizia in moalita' provvisoria in cui ha eliminato 27 files infetti ) tutto ok; ho povato a cancellare a mano i file dello script di aveger ( dopo averlo fattofare a lui ( non so se li ha trovati in quanto non avevo sostituito con C nel txt lasciando cosi' com'era )  In ogni caso per killbox non c'erano.  Non so cancellare a mano i file del registro ne' in killbox ne' in regedit Ho provato a cliccare strovma non li ha trovati.....    Ho cancellato continu,emte a ogni riavvio i file temporanei col pogramma utilissimo he mi hai fatto scaricare al psto di Cclaner e ogni volta ho settato prima i file all'1% ( per cancellarne la maggior parte )e poi la spunta di disativazione di ripristino ; ho finalmente riatticato l'antivirus di spywere terminatr clam av ) e sto dando una scansione in mod normale  di controllo generico Semra tuto a posto.....ma noni fido ancora Dopo riattivo avast e infine far' la scansione con hijaking e la posto; la cosa strana è c Sysclean non mi scansionava nulla in modalita' provvisoria indicandoERROR (?) mentre hafunzionato normalmete in modalita' normale; ti  ter' informata    

accidenti quanti errori di battitura, ma non si puo' correggere? eheheh

Comunque gmer pada antiroookit ed elibagla in modalita' normale non segnalano piu' nulla...credo ma non mi fido lo stesso di averl quasi eliminato il beagle....solo non so come cancelare manualmnte chiavi di registro indicate nello script; a idea dovrei andare in regedt e in trova Se non  trova vuol dire che non ci sono??E se le trovo ???? Questo prima di fare la scansione con hijacking.... per maggior scrupolo; 

ciao luigi,
allora, diciamo che tra una scansione e l'altra direi che dovresti aver risolto. se poi riesci ad installare il tuo antivirus e tutti gli altri programmi che il virus aveva disattivato, allora stai sicuro che almeno la parte attiva del virus l'hai eliminata

per le chiavi nel registro, vai su Avvio>esegui>regedit>ok
a questo punto puoi fare due cose:
1) clicca CTRL+F (cerca) e per cercare una delle chiavi trovate nelle varie scansioni o che fanno parte dello script di avenger, io ti consiglio di cercare solo l'ultima parola e non dimenticare di continuare a cercare finche' non ti trova piu' nulla.
Per esempio per questa chiave dello script di Avenger:
Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
io cercherei solo la parte segnata in rosso, oppure solo la parola SROSA. stai attento a cancellare le cose giuste, se hai dei dubbi e trovi qualche chiave strana, segnati tutto il percorso e mettila qui che ci diamo un'occhiata.

2) oppure potresti seguire il percordo manualmente e vedere se ci sono ancora quelle chiavi, per esempio ti consiglio di andare in questa chiave manualmente

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
e vedere nella finestra di destra trovi uno di questi valori : german.exe o hldrrr.exe. se ci sono eliminali.

se non trovi nulla, allora direi che non ci sono piu'. se invece le trovi ancora, prima di cancellarle, disattiva il ripristino di configurazione. poi lo riattivi.

fammi sapere come vanno i tuoi programmi per la sicurezza, e il log di hijackthis. per adesso ti modifico alcuni post precedenti per salvare un po' di spazio
PS: per modificare da solo i tuoi post devi passare di grado


-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

ok fa' esattamee come dici; lascia di parte delle mie domande solo cio' che credi sia utile per gli altri ( se scirvo o chiedo tante cose è perche' immagino che anc altri si trovino come me in difficolta' e magari potro' essere utile a loro, non certo a voi " esperti " ) 

 uff...... faro' esattamente.........errata corridge

certo, se hai altre domande falle pure. potrebbero essere d'aiuto per altre persone. per adesso aspetto ancora il log di hijackthis cosi vediamo se ci sono altre cosette da controllare.. cmq si, sono veramente in america

-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

ok ma lo faro' domani..

Su HK  Corrent User  ( sara' questo spero... non esiste il percorso e ovviamente non lo trovo .. pero' c'è ancora qualcosa nel registro  di AT notes ma non so cosa cancellare ) RImando a domani perche' ci deve stare ancora qualcosa da qualche parte che ha a che fare con questo programma AT notes da me scaricato diverso tempo fa e usato per postare sul pc i postit gialli ( servono a ricordarsi cosa fare per lavoro ) Zzzzzzz....buona notte 

***LOG ELIMINATO: non ci sono voci sospette nel log***

--
End of file - 7582 bytes

-------------

mi correggo mi dice i seguenti aggiornamenti NON sono stati installati ......forse puo' dipendere dalle porte del firewall? cerchero ' di capire....eppure su windows ce le ho aperte ora...

Wed Jan 30 11:38:03 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

   Wed Jan 30 11:38:04 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   6745
Nº Total de Ficheros:      50061
Nº de Ficheros Analizados: 9948
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Nella ricerca con trova nel REGISTRO degli script di avenger:

---- System - GMER 1.0.14 ----

***LOG ELIMINATO: non ci sono voci sospette nel log***        
 

-------------

Nella ricerca manuale in HK Local Machine non ci sono valori nei percorsi indicati da te e dallo scriptquali german.exe o hldrr.exe 

*** LOG ELIMINATO: perche' uguale a quello postato successivamente***


-------------

 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mhalpauq
*******************
Script file located at: \??\C:\WINDOWS\system32\bdsfuxqc.txt
Script file opexxd successfully.
Script file read successfully
Backups directory opexxd successfully at C:\Avenger
*******************
Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe not found!
File C:\WINDOWS\system32\drivers\srosa.sys not found!
File C:\WINDOWS\system32\wintems.exe not found!
File C:\WINDOWS\system32\hldrrr.exe not found!
File C:\WINDOWS\system32\trusted.exe not found!
File C:\WINDOWS\system32\drivers\pci32.sys not found!
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\hidr.exe for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\rosa.sys for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\m\data.oct for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\m\flec006.exe for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\m_hook.sys for deletion
File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
File C:\WINDOWS\system32\mdelk.exe not found!
File C:\WINDOWS\system32\drivers\pci32.sys not found!
File C:\WINDOWS\system32\drivers\hIdrrr.exe not found!
File C:\WINDOWS\SYSTEM32\EDLM.EXE not found!
File C:\WINDOWS\SYSTEM32\EDLM2.EXE not found!
File C:\Windows\system32\LDR64.DLL not found!
Folder C:\WINDOWS\exefnd not found!
Folder C:\WINDOWS\exefld not found!
Folder C:\Documents and Settings\luigi27\Dati applicazioni\hidires not found!
Folder C:\WINDOWS\System32\drivers\down not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 not found!
Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr

Completed script processing.
*******************
Finished!  Terminate.

***LOG MODIFICATO: sono state lasciate solo le voci piu' importanti***

-------------

nella scansione on line dikasper risulto ancora infetto....solo non so come chiudere avast....non è che inflisc sulla scansione on line?????? Casomai lo debbo disistallare????? postero' i risultati della scansione.... 

Scan Settings:
 Scan using the following antivirus database: extended
 Scan Archives: true
 Scan Mail Bases: true

Scan Target - My Computer:
 C:\
 D:\
 E:\

Scan Statistics:
 Total number of scanned objects: 50190
 Number of viruses found: 1
 Number of infected objects: 2
 Number of suspicious objects: 0
 Duration of the scan process: 01:16:07

C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe/data0002 Infected: not-a-virus:NetTool.Win32.Netcut.a skipped
C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe Inno: infected - 1 skipped

Scan process completed.

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

-------------

Ok ora ho provato ad eliminare manualmente i file ( un exe di un prograa da me dimenticato da chissa' quanto nel pc e sto pcedendo alla nuova scansione (stavolta velocissima) on line con kasper chiudendo il ripristino di sistema ....posto' lo i file infetti o sospetti o il resoconto finale......manca poco e smbra tutto a posto  ( sono all'85%)

ciao luigi,

ho fatto un po' di pulizia nei post delle voci che erano pulite, e ti ho lasciato un solo log di avenger anche se in pratica dice che non ha trovato nulla

ti rispondo con ordine partendo dall'altra pagina.

- per il programma ATNotes, se e' stato trovato infetto ed e' stato eliminato l'eseguibile, penso che probabilmente e' stato infettato dal virus quando l'hai avviato. di per se il programma e' leggittimo, quindi se ne hai una copia o lo vuoi riscaricare puoi farlo benissimo. per la voce dell'avvio automatico non preoccuparti piu' di tanto. dal log di Hijackthis non compare nell'avvio automatico. Dovresti essere tranquillo. Cmq al massimo controlla da qui:
avvio>esegui> digita "msconfig"> scheda avvio
e controlla che la voce "ATnotes" non abbia la spunta.
per le altre voci nel registro con "ATnotes" non preoccuparti, non cancellare nulla. non sono dannose. l'importante che hai tolto l'eseguibile se era infetto.

-per il fatto strano degli aggiornamenti di Windows e' "normale" perche' il virus purtroppo disabilita alcuni servizi importanti. nella guida che ti ho dato ci sono le spiegazioni su quali servizi vengono disabilitati e come riabilitarli. Leggi http://www.megalab.it/articoli.php?id=948&pagina=4 - Qui nella sezione "Riattivazione dei servizi terminati", la parte del Safe Boot gia l'hai fatta

-il log di hijackthis e' pulito, quindi diciamo che posso garantirti che non c'e' piu' virus attivo ne' le chiavi rimanenti (e su quello ci ha pensato anche il log di avenger visto che non le ha trovate) c'e' solo una voce innoqua e inutile da eliminare. avvia hijackthis, clicca su "do a system scan only" e metti la spunta accanto a :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
clicca poi su "fix checked" e chiudi il programma

-elibagla e' pulito

-la ricerca nel registro della parola rosa ti ha trovato quella voce innoqua per questo (guarda le lettere in rosso):
ab (predefinito)  REG_SZ  NeroSavedSearchWindows Class

Quindi non c'e' da preoccuparsi. non cancellare nulla.

-ti ho eliminato il log di Gmer perche' era pulito, anche se non credo era tutto li'. non lo ripostare tutto d'accapo, conferma solamente che non trova piu' le voci in rosso, e se le trova, postami solo quelle.

-avenger, come ti ho detto, non trova nulla. quindi va bene cosi.

-Per Kaspersky come vedi ti ha trovato un solo virus, e non e' il Bagle. anzi, come dice anche il rapporto e' un "non-virus". trattandosi della cartella Adunanza, forse e' qualche eseguibile sospetto. per sicurezza comunque, io lo farei controllare da virus total. segui il percorso, e controlla la voce in rosso:
C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe

direi comunque che il Bagle l'hai eliminato.




-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

Certo il bagle l'ho eliminato FVolevo ringraziarvi perche' siete stati e si stat di moltissimo aiuto. Consigliero' il sito ad amici e lo frequentero' anche;

L'unico problema che non riesco a risolvere neppure correggendo le funzionalità di windows xp riportate sulla guida è quello dell'impossibilità di effettuare l'update che risulta come bloccato anche se non lo è; ho provato a farlo direttamente sul sito  liberando tutte le porte di xp ed explorer ma mi rimane fisso il segnle giallo di update. Come lo avvio xp sembra aggiornarsi ma dopo pochi sencondi mi dice che non si è riusciti ad installare l'aggiornamento Testualmente : " i seguenti aggiornamenti non sono stati installati Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569)" ( ma credo valga a  per qualunque altro aggiornamento... xp con licenza originale ovviamente )
......se qualcuno dovesse avere una qualche idea me la comunichi!!

Ciao !!! un saluto a tutti e in particolare a miss prisca85 nonostante abbia riattivato tutti i servizi come scritto nella guida ed aver aggiunto al registro lo script, l'updat continua a non funzionarmi.....mi rimane fisso l'avviso in giallo di windows e quando lo installo mi risponde che i seguenti programmi non sono stati installati.....mah.....c'è qulache scansione del registro che posso fare per dare un'occhiata al limite???

ciao luigi,

credo che sia un problema di impostazioni...prova cosi. disattiva il servizio per l'update automatico di windows. vai su start>esegui> digita "services.msc">ok . vai al servizio "Aggiornamenti automatici" cliccaci con il tasto destra e clicca su "stop" o "termina". poi ricliccaci sopra con il tasto destro e clicca su "proprieta'". adesso sotto "tipo di avvio" seleziona "disabilitato.  se l'avviso ti appare vicino all'orologio, disattiva anche quel servizio che fa apparire quei messaggi pop-up. fai la stessa procedura per il servizio "avvisi".

a questo punto vai direttamente sul sito della microsoft per fare gli update di windows. dimmi se ti li fa scaricare, e se si installano tutti o no.  riavvia il pc e riattiva i servizi disabilitati. vediamo se almeno te li fa scaricare...


-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else

Dunque: se disabilito i servizi e vado su update windows update non mi fa installare nulla dicendo che debbo riattivare i servizi disattivati.....quindi non serve disattivarli perche' non mi fa updatare....

Forse puo' essere importante Sono andato in cerca e ho inserito la voce del file dei servizi relativo all'Aggiornamento automatico  - Percorso file eseguibile  C:\WINDOWS\system32\svchost.exe -k netsvcs

Alla fine dopo mile tentativi ho risolto il problema del blocco degli aggiornamenti relativi a windows media player e java runtime:

grazie per aver postato la soluzione al tuo problema  sicuramente sara' utile a che sfortunatamente sara' colpito dallo stesso virus, e ne dovra' pagare le conseguenze

-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else