PDA

Visualizza versione completa : Trojan Trojan Trojan ! Bagle etc... Help me please !


supertraz
20-05-2008, 21.45.41
Ciao,
quando mi capitano problemi torno sempre alla base wintricks in quanto qua ho quasi sempre trovato risposte ai miei danni.
Ho un portatile Dell con Vista, oggi ho aperto come un somaro un file zippato che si e' rivelato contenere dei bei troiani ! Ho anche Avast aggiornato ma non l'ha bloccato.
In pratica dovrei aver preso un worm bagle, ho fatto la scansione con avast ha cancellato 8 file infetti, pensavo fosse a posto ma invece nulla; al riavvio avast non si carica ( va solo in mod. provvisoria), e nessun antivirus parte, men che meno i vari hijackthis e Trojan remover.
Ho scaricato un antivirus A-SQUARED che funziona e mi ha beccato ( poi cancellati ) i seguenti :
- Trojan win32 Vapsup.eyd
- Email-worm win32 Bagle.vr

Pensando di aver risolto riavvio ma i problemi con gli antivirus restano.
Non riesco nemmeno a fare le scansioni online.
Se qualcuno sa cosa fare mi aiuti. Grazie

p.s. son riuscito a fare un log con un hijackthis modificato che ho trovato qua su wintricks.
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\sttray.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Avast4\ashDisp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Users\Supertraz\Desktop\TrojanRemover-669\TrojanRemover-669.exe
C:\Users\SUPERT~1\AppData\Local\Temp\is-98E3B.tmp\TrojanRemover-669.tmp
C:\Windows\system32\wuauclt.exe
G:\baglegui.com
G:\MegaLab.it_HiJack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=6070307
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fornito da Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\LabelCommand\LabelCommand.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVP] "C:\Users\Public\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe"
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RunSpySweeperScheduleAtStartup] "C:\Windows\system32\msfeedssync.exe" /ScheduleSweep=User_Feed_Synchronization-{C32A1BB8-5C0C-4436-A6B5-9FFB7395D392}
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O13 - Gopher Prefix:
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: setup_7.0.0.180_18.05.2008_22-36 - Kaspersky Lab - C:\Users\Public\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

leofelix
20-05-2008, 23.56.25
ciao,
premetto che non utilizzo Windows Vista e che non sono mai stato infettato da questa porcheria. Quindi quanto leggerai non è tutta farina del mio sacco a pelo™ (citerò le fonti)
Vedo che le hai provate quasi tutte, incluso il tool fornito dalla Kasperky, non avevo mai sentito nominare quel tool Trojan_Remover (che ho trovato e inviato su www.virustotal.com e sembra pulito)

E' normale purtroppo che quasi nessun antivirus e firewall non funzionino dopo una infezione con una qualsiasi delle varianti del malefico Beagle.

Dovresti procurarti se non lo usi CCleaner (per eliminare il files temporanei cronologia di navigazione etc etc etc)
http://www.ccleaner.com/download/builds/downloading-slim

quindi il tool Elibagla (specifico per questo tipo di infezione)

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

in fondo alla pagina clicca dove c'è scritto Descargar ELIBAGLA 1.39

Prova a eseguirlo per vedere se riesce a rimuovere i files nascosti HLDRRR.EXE (N.B questo processo dovrebbe essere visibile dal Task Manager) , SROSA.SYS che si trovano anche nel registro di configurazione nelle chiavi che potresti tentare di eliminare manualmente:

HKLMSYSTEM\CurrentControlSet\Services\srosa
HKLMSYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROS A

le infezioni dovrebbero trovarsi in queste directory nascoste
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
e qui
C:\WINDOWS\system32\drivers\down

una serie di eseguibili random

scarica anche l'antirookit della F-secure (sperando che funzioni) da qui

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe


da qui invece:
http://swandog46.geekstogo.com/avenger2/avenger2.html

scarichi AVENGER 2 compatibile Vista

come funziona lo trovi qui
Guida a The Avenger 2 - Megalab.it (R) (http://www.megalab.it/articoli.php?id=946&pagina=1)

per la rimozione ti rimando a questo eccellente articolo che trovi qui

Rimozione Bagle in Vista - megalab.it (R) (http://www.megalab.it/articoli.php?id=948&pagina=8)

fiuuuuuu se ci fosse crazy.cat presente avrebbe presumo risolto quasi immediatamente il tuo problema.
In bocca al lupo:)

supertraz
21-05-2008, 00.05.21
Gentilissimo ! domani provo poi ti dico.
Grazie davvero :-)

leofelix
21-05-2008, 00.13.02
Gentilissimo ! domani provo poi ti dico.
Grazie davvero :-)

prego, io mi sono limitato a fare un sunto di lavoro altrui.. e sono gli stessi consigli che do' a coloro che si trovano infetti con questa rogna e in genere riescono..:)

Se riesci nell'intento dopo fossi in te invece di AVAST installerei AVIRA Antivirus free 8.1 o meglio approfitterei di questa offerta promozionale per ottenere AVIRA antivirus PREMIUM gratis per 6 mesi (prima che scada)

http://forum.wintricks.it/showthread.php?t=132627

;)

supertraz
21-05-2008, 00.36.04
Ciao,
ho gia' fatto qualcosina ma Elibagla non funziona, cioe' parte e dopo poco si chiude.
Cercando sul sito che i hai dato ho trovato kaspersky virus tool, scaricato ma non parte nemmeno questo.
Adesso provo a cancellare i file manualmente speriamo bene !
Grazie

leofelix
21-05-2008, 00.46.22
Ciao,
ho gia' fatto qualcosina ma Elibagla non funziona, cioe' parte e dopo poco si chiude.
Cercando sul sito che i hai dato ho trovato kaspersky virus tool, scaricato ma non parte nemmeno questo.
Adesso provo a cancellare i file manualmente speriamo bene !
Grazie


ma sei proprio sicuro che non riesci a collegarti a

http://www.kaspersky.com/virusscanner

e una volta rilevati i file infetti eliminarli confezionando uno script per AVENGER?

se proprio non riesci a fare la scansione on line (è lunga e non rimuove ma la Kasperky trova tutte le infezioni ) qui sotto trovi la normale procedura in ogni caso



Procedura normale by Megalab.it (R) (http://www.megalab.it/articoli.php?id=948&pagina=3)

crazy.cat
21-05-2008, 09.24.41
se ci fosse crazy.cat
Eccomi......
La bestiaccia bagle è mutata un altra volta (Piccola nota, uno degli autori/modificatori del virus ci ha anche contattati...), se riesci ad usare una delle versioni di avenger anche quelle modificate, più sotto trovi lo script da usare, a cui devi aggiungere uno o due dei file che hai in esecuzione automatica che potrebbero essere stati infettati ed aver assunto l'icona di una croce rossa, bisogna che li cerchi nel pc.
Se avenger non funziona puoi provare con omoveit che permette di cancellare almeno i file infetti.
Se proprio non funziona niente dei programmi, bisogna accedere da un cd live di boot e rimuovere a mano i file infetti.
Dopo aver rimosso questi file dovrebbe ricominciare a funzionare qualcosa e permetterti uno scan online o di poter reinstallare un antivirus (che dovrai riscaricare quasi sicuramente) per poter completare la pulizia.

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati Applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA

shadowDK
21-05-2008, 09.38.36
Piccola nota, uno degli autori/modificatori del virus ci ha anche contattati...
In che senso contattati? vi ha lanciato un guanto di sfida? solo curiosità la mia, se non si può dire non importa!

supertraz
21-05-2008, 09.42.24
Ciao,
provando a fare la scansione online con kaspersky mi dice che non riesco a utilizzare i controlli activex a causa delle impostazioni di protezione. Sono cmq connesso come amministratore non capisco cosa fare !

supertraz
21-05-2008, 09.50.43
Grz Crazy, ma copio quelle stringhe che hai scritto tu qua sopra e le copio in avenger2 ?
Allego il file scansionato con gmer
http://www.megafileupload.com/en/file/65591/baglelog-log.html

Grazie per l'aiuto !

crazy.cat
21-05-2008, 10.38.55
In che senso contattati? vi ha lanciato un guanto di sfida? solo curiosità la mia, se non si può dire non importa!
Si è iscritto al forum e ci ha fatto capire chi era, quando si accorge che abbiamo capito come rimuovere bagle, ci avvisa che è in arrivo una nuova mutazione e nel giro di pochi giorni cambia.

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc

Se Avenger ti dice che lo script non è valido, cancella e riscrivi a mano la prima riga Files to delete: e riesegui lo script.

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:


Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati Applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA


Nell'ultima riga srosa deve andare tutto attacato, nel forum si vede come spezzato.

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

Per gli scan online dovresti provare ad abbassare le impostazioni degli activex e dirgli di accettarli, potresti averli impostati su disattivati (a meno che non sia frutto anche questo della nuova mutazione).

Controlla anche se visualizzi i file nascosti e di sistema e se riesci a partire in modalità provvisoria.

supertraz
21-05-2008, 10.54.21
Fatto, e' uscito questo :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: folder "C:\Users\Supertraz\Dati Applicazioni\m" not found!
Deletion of folder "C:\Users\Supertraz\Dati Applicazioni\m" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

crazy.cat
21-05-2008, 12.03.53
Non sembra aver trovato tutto......hai provato a reinstallare l'antivirus?
Avevi controllato i file in esecuzione automatica?
Se hai dei dubbi su qualche file di quelli in esecuzione li puoi far provare sul sito www.virustotal.com per vedere se sono infetti.

supertraz
21-05-2008, 12.11.50
Ciao,
ho reinstalloto e ho messo Antivir premium consigliato dall'amico qua sopra ( grazie al tuo post) e sta facendo la scansione.
In modalita' provvisoria parte.
Non so come fare per i programmi in esecuzione automatica.
Oggi ti dico cos'ha beccato l'antivirus
Grazie

crazy.cat
21-05-2008, 14.52.50
se hai reinstallato l'antivirus sei già a buon punto, meglio così.

leofelix
21-05-2008, 20.01.29
Ciao,
provando a fare la scansione online con kaspersky mi dice che non riesco a utilizzare i controlli activex a causa delle impostazioni di protezione. Sono cmq connesso come amministratore non capisco cosa fare !

ti appare una barra gialla che ti avvisa dei rischi che si corrono installando i controlli activeX in Internet Explorer 7.0 giusto?
Dovrebbe essere sufficiente cliccare su quella barretta gialla che ti avvisa dei controlli activex, informando IE 7.0 di installare quelli provenienti da Kasperky.
Quindi procedi di nuovo e la scansione on line dovrebbe andare.
----------

@ grazie crazy.cat per essere intervenuto, deve fare un certo effetto sapere che l'untore si è iscritto al forum di megalab.it e che addirittura vi avvisa quando crea una nuova variante di bagle. Si vede che costui trova in voi dei validi "nemici" cui gettare delle sfide con uno strano senso della cavalleria a me ignoto :mm:

supertraz
21-05-2008, 21.54.10
Grazie a tutti, ora sto facendo la scansione con antivir da 10 ore e passa e 4 infezioni bangle le ha gia' beccate, speriamo bene.
Se beccate quel co***one di untore mandatemi una mail che lo fucilo via pc ! Come diceva leofelix evidentemente ha trovato in voi dei degni "nemici" capaci di mettergli i bastoni tra le ruote. Io il bastone glielo metterei in un altro posto !

supertraz
22-05-2008, 09.19.31
Fatta la scansione e dopo circq 18 ore ( e' successo di notte) quando vado a vedere a che punto fosse ho trovato lo schermo nero, ho dovuto riavviare e ovviamente l'antivirus non aveva finito ( era al 99,8 % da circa 7 ore) !!!
Ho postato qui quello che ho messo in quarantena (moh cosa faccio li cancello?)

http://img135.imageshack.us/my.php?image=listavirusse7.jpg

Ho provato a riattivare windows defendere ma non parte ancora, solo antivir funziona. Idee ??
Cavolo rifare la scansione mi gira perche' dopo 18 ore e si blocca girano un po' le scatoline !

supertraz
22-05-2008, 12.00.45
Le ho provate tutte, ho fatto una scansione con superantispyware e mi ha trovato 5 infezioni, eliminate.
Ho provato una fix per il bagle fornita da symantec ma non ha trovato nulla.
Il problema e' che il kasperskly online non mi parte, quello da installare sul pc non si installa e windows defender non mi parte piu'.
Trojan remover non funziona.
Cosa posso fare ?
Grazie

crazy.cat
22-05-2008, 12.21.36
Windows defender è una schifezza, se non parte più meglio così.
Installa spywareterminator o winpatrol per il controllo in tempo reale del pc, e tieni superantispyware e malwarebytes per la pulizia.
I virus in quarantena li puoi rimuovere senza problemi.
Il tools kaspersky se lo hai scaricato e usato quando avevi il virus ormai si è rovinato, scaricane uno nuovo tanto ne escono ogni giorno più versioni.
Oppure usa elibagla per un controllo, se antivir è installato e attivo, bagle ormai è sconfitto.

leofelix
22-05-2008, 12.43.02
Fatta la scansione e dopo circq 18 ore ( e' successo di notte) quando vado a vedere a che punto fosse ho trovato lo schermo nero, ho dovuto riavviare e ovviamente l'antivirus non aveva finito ( era al 99,8 % da circa 7 ore) !!!

prova a togliere le opzioni in mondo che non vadano in stand by monitor e disco rigido.
Negli altri sistemi Windows si trova cliccando col pulsante destro del mouse sul desktop, dal menu a tendina che appare, sulla "linguetta" in alto dove c'è scritto "screen saver" quindi su "alimentazione" quindi togli la spunta dove è scritto "stand by", "disattiva" e "sospensione". Non dovrebbe essere diverso in Vista.

E' solo una soluzione temporanea, perché sia la scansione dell'antivirus sia la scansione on line possano andare a termine, visto che richiedono ore (specie la scansione on line di kaspersky)

Ho postato qui quello che ho messo in quarantena (moh cosa faccio li cancello?)

se sono in quarantena non dovrebbero nuocere, se pensi che invece possano ancora far danni potresti far fuori quel files infetti con Avenger con lo stesso sistema che ti ha spiegato crazy.cat : ovvero indicando nello script il percorso esatto segnalato da AVIRA

Ho provato a riattivare windows defendere ma non parte ancora, solo antivir funziona. Idee ??

Mi pare evidente che quella ciofega di Windows Defender sia stato bello e disabilitato dal Bagle, non credo tu ci perda molto senza.
Al momento il mio suggerimento è di scaricare MalwareBytes' Antimalware 1.1.2 da qui

http://www.besttechie.net/tools/mbam-setup.exe (1.57 MB)

Si configura in italiano, il programma è freeware (puoi avere la protezione in tempo reale e gli aggiornamenti automatici comprando una licenza - cfr http://www.malwarebytes.org/mbam.php), aggiornalo e fagli fare una scansione completa: richiederà del tempo, ma dovrebbe farti fuori senza tanti problemi le restanti zozzerie rimaste nel sistema.

nota i confronti tra gli antispyware effettuati da crazy.cat su PC infetti


Risultati di MalwareBytes Antimalware - Megalab.it (R) (http://www.megalab.it/articoli.php?id=1257&pagina=3)

Risultati Windows Defender - Megalab.it (R) (http://www.megalab.it/articoli.php?id=1257&pagina=4)


Cavolo rifare la scansione mi gira perche' dopo 18 ore e si blocca girano un po' le scatoline !

E' naturale - il vero problema è se non ci fosse il materiale da far girare :devil: - ma tu ci tieni al corretto funzionamento del tuo computer, quindi ...:)

Per facilitare il compito dei programmi antimalware e antivirus è bene che tu dia una bella ripulita al sistema dai Junk e temp files con CCleaner

leofelix
22-05-2008, 12.47.11
Windows defender è una schifezza, se non parte più meglio così.

ben tornato crazy.cat, ecco ci dovrebbe essere comunque una procedura per disinstallare anche in Windows Vista il Windows Schifezzer, lo aveva spiegato Thor se non sbaglio in qualche 3d del forum di Wintricks.
In ogni caso il nostro amico, come confermi, non perde nulla senza WD :devil:

Oppure usa elibagla per un controllo, se antivir è installato e attivo, bagle ormai è sconfitto.

(Y)

supertraz
22-05-2008, 13.01.40
Grazie per il prezioso aiuto, Elibagla parte e si blocca dopo meno di 1 min.
Sto facendo fare un giretto in modalita' provvisoria con super spyware terminator e con un altro antivirus di cui adesso mi sfugge il nome (non ho davanti il portatile) per vedere se mi becca altro.
Gia' fatto anche il passaggio con regseeker e ccleaner.
Per togliere il centro di sicurezza di vista ( defender e schifezze simili) guardo oggi tra i vecchi post.
Altra cosa, da quando mi e' entrato il virus ogni programma che apro mi viene chiesta la conferma se aprirlo o no (prima non lo faceva), eppure sono connesso come amministratore. Devo capire cosa fare
Grazie

leofelix
22-05-2008, 13.08.00
Altra cosa, da quando mi e' entrato il virus ogni programma che apro mi viene chiesta la conferma se aprirlo o no (prima non lo faceva), eppure sono connesso come amministratore. Devo capire cosa fare
Grazie

Hai disattivato lo UAC di Windows Vista?
Forse dipende solo da quel motivo e non dal Bagle..

spero che tu stia eseguendo i programmi antispyware e antivirus uno per volta e non contemporaneamente

supertraz
22-05-2008, 13.20.26
Dopo provo a disattivarla.
I programmi li sto eseguendo uno alla volta :-)
Grazie

leofelix
22-05-2008, 13.30.07
Dopo provo a disattivarla.
I programmi li sto eseguendo uno alla volta :-)
Grazie

prego:)
per il resto in merito a Vista:

http://www.wintricks.it/vista/in-tricks.html


http://forum.wintricks.it/showthread.php?t=120954

supertraz
23-05-2008, 11.15.52
Ciao,
sistemato lo UAC ( grazie ), ho fatto diverse scansioni e non ha trovato piu' nulla.
Elibagla continua a non funzionare e con lui anche Kaspersky Tool.
Hijack this funziona e non ha trovato nulla.
Un'ultima cosa : perche' non mi compare l'ombrello di Antivir in basso a destra quando accendo il pc ?? eppure c'e' nello startup !
Grazie

leofelix
23-05-2008, 20.54.06
Un'ultima cosa : perche' non mi compare l'ombrello di Antivir in basso a destra quando accendo il pc ?? eppure c'e' nello startup !
Grazie

questo non lo so, forse hai qualche opzione perché non si visualizzino le icone dei programmi meno usati nella systray di Vista? (ipotizzo solo, Visto che Vista lo conosco pochissimo e per ora non intendo ancora farne la diretta conoscenza)

Il MalwareBytes antimalware ti ha trovato qualcosa?

A questo punto io fossi in te farei girare anche il Norman Malware Cleaner

http://download.norman.no/public/Norman_Malware_Cleaner.exe

in modalità provvisoria e con il ripristino di sistema disattivato

qui:

http://www.wintricks.it/software/norman-malware.html

c'è eccellente articolo in merito del ns Sbavi trinacre nonché sagace moderatore senza portafoglio;)