Ciao ragazzi, ieri mentre aprivo un file scaricato dal mulo il mio computer ha fatto una schermata blu e si è riavviato.. Al successivo riavvio erano spariti sia avast che zone alarm ed i relativi exe. Al che mi sono messo a cercare che cosa poteva essere e ho visto che probabilmente si tratta del worm Bagle.. Allora mi sono letto la guida che c’è nel sito Megalab riguardo a questo e ho notato che il mio Bagle sembra essere diverso o cmq mancante in alcune sue parti..Cominciamo col dire che ho WINDOWS VISTA (Installato 32 gg fa e finito di ottimizzare 10 gg fa GRRRR).. Innanzitutto provando ad aprire il Task Manager per controllare i processi c’è il blocco immediato del pc quindi non ho potuto verificare la presenza del processo hldrrr.exe.. Poi ho scaricato gmer e ho fatto una scansione e questo effettivamente mi diceva che ero infetto da rootkit ma di file rossi ne evidenziava uno solo.. tutti gli altri non c’erano.. Cmq ho deciso nonstante queste discrepanze di seguire la procedura indicata nella guida visto che era l’unica soluzione che sono riuscito a trovare e che rispecchiava la mia situazione o almeno la rispecchiava in parte.. Ho scaricato avenger ma quando lo sono andato ad aprire mi è arrivato un messaggio di errore con scritto che poteva essere eseguito solo cn Win 2000 o Xp.. Ho provato anche a modificare la compatibilità ma nulla .. Allora mi sono ricordato che tempo fa avevo rimosso un rootkit con VirIT e !KillBox al che sono andato in modalità provvisoria.. ( io riesco ad entrarci a differenza degli altri) e ho provato ad installare VirIT senza però riuscirci... Al che ho provato con kaspersky ma la scansione si bloccava anzi non partiva proprio.. Poi riavviando di nuovo in MP con rete sono riuscito a installare VirIT.. Facendo la scansione quel file nascosto trovato da Gmer è stato eliminato e difatti nella scansione successiva dopo il riavvio Gmer non segnalava + file in rosso ne la presenza di un rootkit.. Però ancora Windows Defender non si apriva.. Centro sicurezza Pc nemmeno.. avast e ZA non ho provato nemmeno a reinstallarli.. Allora sono andati avanti con !KillBOX.. Come sapete vista ha la funzione di indicizzazione per la ricerca dei file quindi mi sono messo a cercare i nomi dei file che erano presenti negli script per avenger visti nella guida e di questi ho trovato se nn ricordo male questi: HIDR.EXE-E05F431A.pf e TRUSTEDINSTALLER.EXE-3CC531E5.pf che si trovavano in una cartella chiamata Prefetch e nella cartella drivers l'srosa.sys. Questi 3 li ho eliminati tramite !KillBox creando dei backup che ho messo all'interno di un rar (non si sa mai). Poi sono andato nel registro e manualmente ho cercato tutte le chiavi segnalate negli script per avenger e sono riuscito a trovare la chiave srosa e LEGACY_srosa ho creato i backup di entrambe e ho cercato di eliminarle.. La prima, la srosa, si è cancellata senza problemi invece la LEGACY ancora non ne vuole sapere.. Ho anke modificato le autorizzazioni nel registro ma niente.. Mi dice che è impossibile modificarle.. Quindi sono andato avanti lasciando li quest’unica chiave.. Allora sono andato nella cartella Temp e ho cercato sempre tramite la funzione cerca tutti i file *.exe (nessuno) e i *.tmp che ho eliminato tutti… Poi mi sono accorto della presenza della cartella hidires con dentro m_hook.sys che era nascosta e l’ho eliminata manualmente, creando una copia di backup nell’apposito rar. ( Non chiedetmi perché non ho usato !KillBox.. erano anche le 3 e 30).. Poi ho fatto una pulizia dei temporary internet file e altri file temporanei con un programma per pulirli e poi anche con CCleaner e poi ho provato a riattivare i servizi ma visto che ero ancora in modalità provvisoria ho pensato che fosse normale che non si avviassero e invece non era così.. Anche in modalità normale niente.. Ma non ho proprio nessun menu che appare col tasto destro o che so io… Sarà il virus o io che nn so usare vista? Cmq il Centro sicurezza PC non si avvia nemmeno dall’apposita icona nella tray quindi suppongo che sia colpa del virus.. Poi ho tentanto a rientrare nel registro per togliere la LEGACY_srosa ma niente.. non si elimina.. Ho rifatto un'altra pulizia con CCleaner sia dei file temp e ho analizzato e corretto i problemi del registro.. e sono passato alla scansione con Kaspersky ma in pratica non so se è un problema del sito oppure del virus però quando mi chiede di installare il controllo ActiveX mi ricarica di nuovo la pagina dove ci sono i tasti accetto declino senza questi ultimi e quindi non posso andare avanti.. E poi c’è una scritta che mi dice di disinstallare una versione precedente che però nn compare in installazione applicazione ne nelle componenti aggiuntive di IE7.. Quindi da qui in poi le mie risorse sono esaurite… Ora vi posto i log di hijackthis e gmer.. Cmq diciamo che i problemi più grossi dopo la mancanza degli antivirus sono le ricorrenti schermate blu (infatti sto scrivendo sul word per evitare che mi si cancelli tutto DI NUOVO!!) e non poter usare il Task Manager.. Spero tanto che qualcuno di voi possa illuminarmi :) e per quanto riguarda kaspersky se mi indicate un sostituto creerò un log anche con quello. Grazie a tutti!! Ciao ciao
P.S. I file cancellati non si sono ricreati e siate tecnici :) credo di capirci abbastanza quindi se mi dite dove cercare posso rivoltare il registro come un calzino :) Basta che nn mi dite di formattare nuovamente :) Cmq ora faccio anche la scansione con bit defender e vi posto il log.. Grazie a tutti!!
P.S.2 :) Esiste un qualcosa di simile ad avenger compatibile con vista?
P.S. 3 :)) Ho usato anche Elibagle che però non aveva accesso ad alcune cartelle... Come faccio a dargli accesso? E anche tutti gli stumenti di rimozione bagle presenti sul sito di nod32 che però non trovavano virus bagle nel computer..
P.S. I file cancellati non si sono ricreati e siate tecnici :) credo di capirci abbastanza quindi se mi dite dove cercare posso rivoltare il registro come un calzino :) Basta che nn mi dite di formattare nuovamente :) Cmq ora faccio anche la scansione con bit defender e vi posto il log.. Grazie a tutti!!
P.S.2 :) Esiste un qualcosa di simile ad avenger compatibile con vista?
P.S. 3 :)) Ho usato anche Elibagle che però non aveva accesso ad alcune cartelle... Come faccio a dargli accesso? E anche tutti gli stumenti di rimozione bagle presenti sul sito di nod32 che però non trovavano virus bagle nel computer..
