13 risposte a questa discussione

[rttp]

Salve a tutti, ho un problema, anzi più di uno...
Premetto che ho eseguito alla lettera tutte le istruzioni prima di aprire questa discussione e ho pure dato uno sguardo alle altre in cui si parlava di problemi simili, ma non sono riuscito a risolvere. Utilizzo Windows Vista Home Premium e:

-non riesco a installare nessun antivirus (compreso Norton Internet Security 2007)
-ho dei problemi con il servizio connessione wireless di Windows: siccome non riuscivo ad attivarlo (non so perchè si sia disattivato) ho controllato sul forum e ho trovato questa soluzione:

Prova ad aprire regedit
HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / Ndisuio
se la voce "Start" è impostata a "4" ... modificala a "3"
riavvia

che funziona. però dopo che riavvio il valore della voce start viene cambiato nuovamente a 4 (il servizio però viene attivato e la rete funziona, almeno fino a che non riavvio). inoltre, nonostante ogni volta cambi le impostazioni, i servizi:
Windows defender, Winows Update, Windows Firewall e altri, vengono disabilitati...

Ewido anti spyware non riesce a terminare la scansione, si ferma senza aver terminato (quindi non posso rimuovere le minacce). CSI funziona, ma non sono riuscito a rimuovere le minacce che ha trovato perchè a quanto pare dovrei acquistarlo, ma ecco il LOG:

revx CSI Build: (v1.2.101.109)
Prevx Computer Security Investigator Output Log
System analyzed at: 01/28/08 at 17:00:11

C:\Windows\system32\ntdll.dll
Loaded into: C:\Windows\System32\smss.exe
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\wininit.exe
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\services.exe
Loaded into: C:\Windows\system32\lsass.exe
Loaded into: C:\Windows\system32\lsm.exe
Loaded into: C:\Windows\system32\winlogon.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\System32\svchost.exe
Loaded into: C:\Windows\System32\svchost.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\system32\SLsvc.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\System32\spoolsv.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\system32\Dwm.exe
Loaded into: C:\Windows\Explorer.EXE
Loaded into: C:\Windows\RtHDVCpl.exe
Loaded into: C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
Loaded into: C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
Loaded into: C:\Windows\System32\hkcmd.exe
Loaded into: C:\Windows\System32\igfxpers.exe
Loaded into: C:\Program Files\Windows Sidebar\sidebar.exe
Loaded into: C:\Windows\ehome\ehtray.exe
Loaded into: C:\Program Files\DNA\btdna.exe
Loaded into: C:\Program Files\Windows Media Player\wmpnscfg.exe
Loaded into: C:\Windows\system32\igfxsrvc.exe
Loaded into: C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Loaded into: C:\Windows\ehome\ehmsas.exe
Loaded into: C:\Windows\system32\dllhost.exe
Loaded into: C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
Loaded into: C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\system32\svchost.exe
Loaded into: C:\Windows\System32\svchost.exe
Loaded into: C:\Windows\system32\SearchIndexer.exe
Loaded into: C:\Program Files\Windows Media Player\wmpnetwk.exe
Loaded into: C:\Windows\system32\DllHost.exe
Loaded into: C:\Windows\system32\taskeng.exe
Loaded into: C:\Windows\system32\taskeng.exe
Loaded into: C:\Program Files\Internet Explorer\iexplore.exe
Loaded into: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
Loaded into: C:\Program Files\Windows Live\Messenger\usnsvc.exe
Loaded into: C:\Users\Utente\Desktop\ewido_micro.exe
Loaded into: C:\Users\Utente\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C7LZDB1W\PREVXCSIFREE[1].EXE
Loaded into: C:\Windows\system32\SearchProtocolHost.exe
Loaded into: C:\Windows\system32\SearchFilterHost.exe
PX5: CA4CEB37A00F9295BDD3114A1AEB5F0006FF9F53
MD5: 04e4c2069d7254e3fbb90d5b519ab53c
Determination: GOOD

C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\csrss.exe
PX5: CD521BC300F18B891E1F008AF724B800D6ADB44C
MD5: 117b7c8a8b026a5dce5e3180ed05e823
Determination: GOOD

C:\Windows\system32\CSRSRV.dll
Loaded into: C:\Windows\system32\csrss.exe
Loaded into: C:\Windows\system32\csrss.exe
PX5: CFC821670015113EC214004BAB7A3200969C8D73
MD5: 2f8a776ff2087357ddeb9992e06eecaa
Determination: GOOD

C:\Windows\system32\basesrv.dll



Questo invece è il LOG di hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.16.35, on 28/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Utente\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LQYURW8W\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx...owserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe


HELP!!!!!!Qualcuno sa aiutarmi???

Sto cercand di eseguire la scansione con Kaspersky, ma, arrivato a un certo punto anche questo si blocca... non so che fare....

[dzrzrd]

Ciao rttp,

dici che CSI (che software è? non lo conosco) ha rilevato infezioni, ma siccome non è la versione completa non può cancellare nulla.
Ma se puoi vedere di che infezioni si tratta, potresti postarle sul forum, magari qualcuno sa che fare.

In ogni caso, ti consiglio di installare 1a sola suite di sicurezza e fare i test con quella, se non va disinstallarla e poi installarne un altra. Il fatto che Norton non lo puoi installare, potrebbe essere dovuto al fatto che un'altro antivirus/firewall/antispyware è gia installato e va in conflitto.

Non saprei, ma hai controllato di accedere come Amministratore?
Hai controllato di eseguire il file di installazione "Esegui come amministratore" cliccandoci sopra col destro e selezionandolo dal menu a tendina che compare?

Che errore ti da Norton? come fai ad essere sicuro che non si installa?

Ciao
dzrzrd

[rttp]

Ciao dzrzrd, è presto detto, sono infetto dal virus Bagle, credo sia per quello che non riesco a installare Norton... tralaltro il firewall e quant'altro sono stati disattivati dal virus, quindi non credo possano interferire. ho cercato un pò di informazioni, e sono riuscito a fare una scansione con Kaspersky: ora sò quali sono i file infetti, ma non so come cancellarli (The Avenger non funziona con Vista)... non so che fare... magari vi aggiungo il risultato dell'ultima scansione, magari voi riuscite a capirne qualcosa in più, lo allego...

Allega File(s)

•  report.zip   4,33K   2 Numero di downloads

[astrus]

ciao rttp,pultroppo l'eliminazione del bagle con vista è problematica.
Come tentativo:
scarica Ccleaner da qui http://www.filehippo...6e8b8/download/
scarica l'ultima versione di Elibagla da qui http://www.zonavirus...95/elibagla.asp
(in fondo alla pagina trovi descargar Elibagla)
vai a fare una scansione con bitdefender http://www.bitdefend...m/scan8/ie.html
una valto fatto l'engine antivirus e l'aggiornamento delle signatures antivirus,ti chiede di procedere con la scansione,acconsenti e poi ti disconnetti.
da qui in poi fai tutto rigorosamente da disconnesso
al termine della scansione con bitdefender lanci una scansione con elibagla
al termine fai una pulizia con Ccleaner (clicchi su analizza,quando termina -> Avvia pulizia) sempre da disconnesso
Tentar non nuoce

[rttp]

Grazie, ora ci provo... nel caso non funzionasse, formattando risolverei?

[astrus]

mi spiego....la scansione con bitdefender a differenza di quella di kaspersky elimina le infezioni trovate ma difficilmente riesce ad eliminare tutto,quindi si accosta la scansione con elibagla (in realtà con windowsxp si accosta uno script con avenger)
un'alternativa sarebbe usare una versione livecd di linux ubuntu andando ad eliminare manualmente le infezioni trovare da kaspersky
Con la formattazione risolveresti certamente

[rttp]

ciao astrus, grazie per i consigli. Allora, ho fatto quello che mi hai detto... come hai poi specificato bitdefender elimina qualche infezione, ma non è riuscito a eliminarle tutte. ho eseguito la scansione con Elibagla, che credo non abbia risolto del tutto (quando analizza alcune cartelle mi dice che gli viene negato l'accesso, non so se questo è un problema o se è normale). Il problema è che non riesco a far girare CCleaner... si apre ma si richiude immediatamente senza nemmeno dare qualche messaggio di errore (anche in questo caso non so chi sia il responsabile, win vista o virus)... Stando così le cose io resto in attesa di qualsiasi consiglio durante il pomeriggio, perchè magari vale la pena cercare di risolvere il problema con le buone, in modo da creare un precedente, poi formatto, perchè mi seccano sopratutto i problemi con la wireless... vediamo un pò... comunque grazie!

SVILUPPI:

allora, in molti forum ho letto che questo bagle impedisce anche di riavviare in modalità provvisoria: bene, con vista, non so se solo nel mio caso, questo non accade. Risultato: elibagle fatto funzionare in modalità provvisoria trova e elimina più infezioni; inoltre in mod provvisoria posso utilizzare Ccleaner... cosa dite di fare lo faccio girare? non vorrei cancellasse cose che non deve...AIUTATEMI!!graz

[astrus]

esatto in XP inibisce la provvisoria e anche la rete wireless, infatti il tuo problema con la rete dipende probabilmente dal bagle che va ad intaccare delle chiavi di registro compromettendone il servizio associato.
fai pure la pulizia con Ccleaner,puoi star tranquillo,non cancella nulla che non sia inutile.
Solo un'accorgimento,prima di farne la pulizia in Opzioni->Avanzate->togli la selezione a "Cancella file temp solo se più vecchi di 48ore" ,quindi avvii l'analisi e poi la pulizia.
Non credo sarà un'operazione risolutiva,comunque prova

[rttp]

ok, ci provo, poi provo a riavviare in modalità normale e a fare la scansione con Kaspersky o bitdefender (cosa mi consigli?), ok?

una domanda: anche elibagle mi dice che gli viene negato l'accesso a qualche cartella (anche in mod provvisoria), è a causa del virus?

grazie di tutto comunque, faccio sapere appena finisco la scansione.

[astrus]

sono restrizioni date da vista.
Se poi vuoi fare un tentativo con il liveCd di ubuntu, ti consiglio una scansione con kaspersky
p.s:Premetto che il procedimento con ubuntu non ho ancora avuto modo di provarlo però potrebbe essere una soluzione

[rttp]

FOLLIA

rivoglio bagle!!!!

allora........... sembra non esserci più 'sto virus, peccato che non riesca a fare la scansione perchè mi viene bloccato il controllo activeX quando cerco di scaricarlo... non c'è impostazione di sicurezza che tenga... ho provato a modificare tutte le impostazioni di internet explorer... boh?

[astrus]

Il modo migliore per accertarsi che non ci sia più è provare ad installare un'antivirus,se riesci di certo il virus è K.O
in questo caso non c'è bisogno della scansione online, ti converrebbe scaricare la versione trial di kaspersky che dura 30 giorni http://www.kasperskystore.it/eval.html. Lo installi e gli fai fare una buona scansione in modo che vada ad eliminare eventuali residui.

[rttp]

Ciao a tutti, è stata una lunga serata... sto terminando ora di riinstallare tutto sul pc, ha vinto il virus a quanto pare. Dopo aver cercato di sopprimerlo in modalità provvisoria non sono comunque riuscito a installare un antivirus e da una scansione online con bitdefender ho appreso che bagle era ancora là. Tuttavia molti dei problemi che riscontravo prima sono spariti (non c'erano problemi con la wireless, Windows Update ha ripreso a funzionare e mi pare pure il firewall), quindi credo con un pò più di impegno e di competenze rispetto a quante ne abbia io, forse sarebbe possibile eliminare il virus senza ricorrere a formattazione... Spero che la mia esperienza possa essere d'aiuto a altre persone che incontreranno (speriamo di no) il mio stesso problema. In sintesi: bagle a quanto pare non blocca la modalità provvisoria in Win Vista, quindi se si vuol fare qualcosa per debellarlo si può sfruttare questo (a proposito non ho provato ad installare un antivirus in mod provvisoria, farà?).
Comunque grazie a tutti coloro che mi hanno aiutato. ciao!

[astrus]

ciao rttp,l'unico modo più macchinoso ma forse efficace sarebbe stato usare un Livecd.
Purtroppo dalla provvisoria si può fare ben poco in quanto essendo un'infezione che utilizza tecniche di rootkit da windows stesso non è possibile cancellare alcune componenti fondamentali del virus.
buona giornata