Rimuovere virus Bagle
Bagle è un malware che si propaga facilmente ed in particolare tramite le reti p2p come emule, dove lo si può trovare sottoforma di archivi contenenti programmi e crack. Una volta eseguito (solitamente si chiama trusted.exe), esso crea diversi eseguibile e drivers, posizionandoli nelle principali directory di windows. Questo virus è purtroppo in costante crescita e aggiornamento, e nelle sue ultime versioni posiziona il file mdelk.exe in C:/Windows/System32 e questo file cancella e disabilita tutti gli eseguibili di software di sicurezza come il centro sicurezza di windows e i vari antivirus. Il resto dei file di questo malware sono nascoste tramite rootkit, ossia una tecnologia software in grado di occultare la propria presenza all’interno del sistema operativo, quindi tali file non si possono visualizzare tramite esplora risorse. Come detto, quando si viene infettati da tale malware i programmi di sicurezza vengono cancellati e disabilitati e quando si tenta di avviare il software antivirus compare un avviso con scritto che il file che si sta tentando di aprire “non è un’applicazione Win32 valida”. Inoltre la modalità provvisoria non funziona in quanto, modificando due chiavi di registro, impedisce l’accesso a windows in modalità safe facendo comparire una schermata blu.
Per rimuovere Bagle e disinfettarsi completamente seguite alla lettera le seguenti indicazioni:
- Per prima cosa dovete disattivare il ripristino configurazione del sistema andando su Pannello di Controllo –> Sistema –> Ripristino configurazione di Sistema –> mettere la spunta a Disattiva ripristino configurazione del sistema –> cliccare su Applice e poi su Ok.
- Scaricate Findykill che è un ottimo tool però in lingua francese e richiede l’installazione. Una volta installato va eseguito in due fasi:
1. Recherche des fichiers infectieux = Ricerca dei file infetti
2. Suppression des fichiers infectieux = Eliminazione dei file infetti
Una volta avviata la ricerca, eseguirà una scansione completa del pc, cercando ed eliminando i processi attivi del bagle, una volta terminata la pulizia potete disinstallare il programma usando l’opzione 3:
3. Desinstaller FindyKill: Disinstallare FindyKill - Successivamente, scaricate BagleD cliccando qui e avviatelo e dopo aver riavviato trovete il file di log in C:\bagled.txt da postare nei commenti successivamente in caso riscontriate problemi.
- Scaricate il programma Elibagla, programma di rimozione bagle spagnolo, cliccando qui e fate una scansione del pc. Dopodichè riavviate il pc.
- Poi dovete scaricare l’antivirus kaspersky cliccando qui ed eseguire anche in questo caso una scansione del pc e dopo riavviarlo.
- Nel caso non riusciate ad installare kaspersky, usate Malwarebytes antimalware che potete scaricare cliccando qui.
- Usate Systemscan, scaricatelo ed installatelo, poi apritelo e cliccate su Removal Script e nel box bianco che comparirà inserite questo script:
- A questo punto scaricate il software avenger cliccando qui ed una volta scaricato ed avviato basterà inserire lo script scritto qui sotto e cliccare su Execute.
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLsregistry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SROSAFiles to delete:
C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\utente\Desktop\winupgro.exe
C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Documents and Settings\utente\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa2.sysFolders to delete:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
C:\Documents and Settings\utente\Dati applicazioni\drivers
C:\Documents and Settings\utente\Dati applicazioni\m
E poi cliccate su Proceed with removal. Ma ricordate di modificare nell’ultima parte dello script il nome dell’utente. Inoltre può capitare che incollando lo script su systemscan, rimanga il margine sinistro, impedendo così di avviare la procedura. Si deve importare lo script senza margine come in questa immagine.
Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exefolders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzxregistry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
A questo punto il pc si riavvierà e successivamente il software eseguirà i comandi immessi.
- Fatto ciò scaricate il tool xptcprep cliccando qui e installatelo e eseguite la riparazione dei regitri TCP/IP.
- Scansionate il vostro hard-disk con CCleaner che potete scaricare cliccando qui e eliminerete eventuali file orfani presenti sul pc.
- Per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS).
- Per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare le componenti di sistema NDISUIO e RPC. Per far ciò aprite il blocco note e copiate ed incollate il seguente testo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
“Start”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
“UuidSequenceNumber”=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
“ProgramCount”=dword:00000004e salvatelo con il nome registro.reg, poi lo eseguite ed importate. Successivamente riavviate il pc.
- Se avete problemi nella visualizzazione di gestione periferiche o se la visualizzazione di risorse del computer è molto lenta avviate avenger e incollate nella finestra che si aprirà i seguenti comandi:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLsRegistry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqdfiles to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sysdrivers to unload:
srosa
pci32
Poi cliccate su Execute.
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\In procServer32
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb558}\In procServer32
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb558}\In procServer32
I dati di valore (predefinito) dovrebbero contenere il valore C:\WINDOWS\SYSTEM32\JSCRIPT.DLL mentre i dati valore ThreadingModel dovrebbero contenere il valore both.
Se avete eseguito tutti i procedimenti sopra elencati e non siete riusciti a risolvere, probabilmente avrete preso l’ultima variabile del virus bagle, caratterizzata da una icona a sfondo bianco con una croce rossa. Questa blocca tutti i programmi di rimozione,avenger incluso (anche la versione che dovrebbe essere resistente si chiude dopo pochi secondi). In questo caso per risolvere procedete così:
- Cliccate su start–>esegui>–digitate regedit–>ok. Andate in HKEY_LOCAL_MACHINE\software\microsoft\widows\currentversion\run e a destra troverete 3 colonne: il nome del valore,il tipo e i dati.
I dati indicano il file al quale il valore fa riferimento. Poichè bagle sostituisce uno di quei file a caso con una sua copia è necessario andare a verificare tutti i files elencati e cancellare quello che ha la croce rossa. - Inserite il cd di windows ed avviate il computer da cd. Premete R per entrare nella console di ripristino di emergenza e poi digitate 1 e premete invio. Successivamente digitate i seguenti comandi e premete invio dopo ognuno:
del C:\windows\system32\drivers\srosa.sys
del C:\windows\system32\drivers\hldrrr.exe
del C:\windows\system32\drivers\mdelk.exe
del C:\windows\system32\wintems.exe
del /Q C:\windows\system32\drivers\downld\*.*
rd C:\windows\system32\drivers\downld
del /Q C:\Documents and settings\vostronomeutente\dati applicazioni\m\*.*
exit
A questo punto il computer si riavvierà. Togliete subito il cd dal lettore per impedire l’avvio da cd.
Come ultima ipotesi nel caso in cui le operazione precedentemente elencate si siano risultate vane, potete effettuare un boot da cd con kaspersky rescue disk.
Questo disco di pronto soccorso per il PC, una volta avviato, effettua un’approfondita scansione del sistema, alla ricerca di virus ed altre minacce informatiche probabili ostacolatrici del normale funzionamento del computer.
Per utilizzare Kaspersky Rescue Disk, basta scaricare questa immagine ISO, masterizzarla su CD/DVD ed utilizzare il disco creato per effettuare il boot della macchina. Si avvierà così una scansione approfondita che eliminerà ogni minaccia esistente.
Fatto tutto ciò dovrete aver risolto il problema e aver eliminato il malware Bagle. Nel caso in cui persistano altre problematiche scaricate gmer cliccando qui e una volta aperto cliccate su scan e aspettate la fine delle operazioni. Postate in un commento le eventuali voci in rosso rilevate.
Il virus bagle viene continuamente aggiornato, per questo è possibile incappare una delle sue diverse variabili. Per questo motivo questa guida è in continuo aggiornamento, per poter essere utile contro ogni variabile del bagle. Ultimo aggiornamento: 14 Marzo 2009.
*Questo post, come tutti quelli presenti sul blog, è di proprietà |Omnia Blog|, vietata la copia.
Tag: Account utente, Antivirus, avenger, avenger vista, bagle, BagleD, ccleaner, centro sicurezza, Cerca, croce, croce rossa, dialer, elibagla, Findykill, gestione periferiche, gmer, impossibile avviare windows, impossibile usare avenger, Informatica, Internet, Internet Explorer 7, iso, kaspersky, malware, Malwarebytes antimalware, mdelk.exe, NDISUIO, non è un'applicazione Win32 valida, Pc, problemi, Ricerca guidata, rimuovere virus, RPC, safeboot, sicurezza, software, srosa, srosa.sys, SVCHOST.EXE, SVCHOST.EXE-Errore di applicazione, systemscan, ThreadingModel, Ultimate Boot CD 4.1.1, Virus, Vista, Win32, Windows, Windows media player, xptcprep, Zero Configuration reti senza fili
Loading ...
Tutti gli articoli ed i file presenti su questo blog sono di proprietà 
aprile 30th, 2009 at 19:24
ciao ho fatto tutto quello che mi hai detto mi ha cancellato 5 bagle rd e rm mi pare sembra che faccia tt ma dopo 10 minuti non mi fa + internet anche se posso usare programmi tipo xfire o teamspeack o giocare online
maggio 19th, 2009 at 19:10
grazie mille!!!! funziona tutto benissimo.. ciaoooo
maggio 26th, 2009 at 18:19
ARGH! Ti prego dimmi che c’è un metodo più semplice, stò impazzendo!
giugno 21st, 2009 at 14:52
Ciao, ho preso questo maledetto virus, non mi avviava i programmi antivirus, non andava in modalità provvisoria.. prima di scoprire il vostro sito dalla rete ho capito ke mi era utile scaricare Findykill… dopo la scansione mi funzionano gli antivirus, ho messo avg ke mi ha tolto qualcosa ma poi installando Spyware Doctor mi ha trovato un bel pò di trojan…ho rimosso ma leggo su questo post ke è un virus ke si aggiorna di continuo.. Ho risolto davvero o no? grazie mille per l’aiuto e complimenti x il sito!
giugno 22nd, 2009 at 10:27
@Ilaria credo tu abbia risolto tutto se il pc ti funziona correttamente.
Dicendo che il bagle è un virus in continuo aggiornamento volevo dire che viene periodicamente aggiornato e migliorato dai suoi realizzatori per renderlo sempre più dannoso, ma se dal tuo pc l’hai eliminato non hai nulla da preoccuparti. Attenta a non ribeccarlo
luglio 5th, 2009 at 14:53
Il link per scaricare Findykill non funziona: 404 – Not Found, questo l’errore che compare.
Come posso fare a scaricare questa utility?
Grazie
luglio 5th, 2009 at 16:17
Grazie per la segnalazione, ho aggiornato il link per il download id Findykill.
luglio 21st, 2009 at 12:43
ciao a tutti, avevo 1 pc xp windows e 1 notebook con vista ( in wireless) infettati da qualche bagle che blocca internet , mediaplayer, mod provvisoria ( infettati da uno all’altro credo con una maledetta chiavetta) ;il pc penso di averlo sistemato secondo le tue preziose istruzioni con findkyll , bagleD, elibagle , systemscan , combofix ( avenger era bloccato), e poi kaspersky rescue, che non ha fatto niente, e poi avenger, e adesso ho scaricato il kasp antivirus 2010 e tutto sembra ok.
per il notebook ho il problema che elibagle si blocca quando trova 1 stringa troppo lunga ( credo) , system scan mi dice che va solo per xp e 2000 ( anche se lo faccio partire con tasto dx mouse come amministratore), e adesso non so cosa fare.
ho provato con combo fix che va ma il resto ( elibagle , systemscan, avenger) è tutto bloccato.
hai qualche consiglio?
grazie
luglio 22nd, 2009 at 10:27
sono riuscito a installare kaspersky 2010 sul notebook e non ha rilevato nulla
adesso sembra tutto a posto , speriamo in bene
ciao a tutti
luglio 22nd, 2009 at 12:56
@maurizio 55 è normale che non tutti i programmi elencati nella guida ti funzionino, alcune variabili del bagle tendono a bloccare l’esecuzione di alcuni di questi tools, ma attraverso gli altri funzionanti si riesce a risolvere il problema, come nel tuo caso. Son contento che tu sia riuscito a sistemare il tutto.
agosto 27th, 2009 at 12:33
ma se formatto il pc riesco a cancellare tutto???
agosto 27th, 2009 at 18:35
Si.
settembre 27th, 2009 at 00:13
Ottima guida!
novembre 4th, 2009 at 17:43
Il link per scaricare findykill non funziona più, potresti aggiornarlo?
Grazie per l’ottima guida.
novembre 4th, 2009 at 19:21
per favore non so più cosa fare…
findykill non ha trovato file infetti…
bagleD impossibile installare…
elibagla inutile… non ha sortito alcun effetto…
kaspersky impossibile installare…
Malwarebytes antimalware impossibile installare…
( tutti errore in fase di installazione o alcuni classico errore al download… )
ho usato systemscan ma non è cambiato nulla, e anche con questo vi è stato un errore che però non ha fatto crashare o annullare nulla…
avenger non me lo fa usare…
xptcprep non so quanto sia utile a quesato punto e Ccleaner l avevo installato già da prima e non lo apre.
adesso provo con kaspersky rescue disk… è l ultima speranza… mi affido a voi xkè sto impazzendo con questo bagle… è frustrante
novembre 4th, 2009 at 20:05
ho masterizzato il cd da un altro pc e l ho inserito. non parte. ho riprovato con altri cd masterizzati facendo partire il programma all avvio dopo l’ arresto del sistema e riavviandolo.
non so più cosa fare. non posso fare un backup dei file perchè infetterei anche il disco esterno da collegare. per cui ditemi se avete qualche altro consiglio altrimenti formatto tutto… però perdere tutto quanto sarebbe un bel problema… attendo risposta… grazie in anticipo…
novembre 4th, 2009 at 21:22
@lorenzo esegui systemscan, elibagle, bagleD e findykill in modalità provvisoria? Se no prova.
novembre 4th, 2009 at 22:07
la modalità provvisoria con f8 all avvio? non me la fa partire con il bagle… mi da una schermata blu dalla quale non posso far altro k avviare windows normalmente…
novembre 4th, 2009 at 22:18
Allora prova a scaricare ATF-Cleaner. E’ un programma che non richiede installazione. Una volta scaricato chiude il browser ed avvialo, e nella finestra che ti si apre clicca su Select All e successivamente su Empty Selected. Successivamente se usi Firefox o Opera clicca in alto alla finestra del programma sul browser che usi e nuovamente clicca prima su select alle poi su Empty Selected.
Successivamente riavvia il pc e poi dovresti essere in grando di installare i vari tools elencati in questa guida e l’antivirus malwarebytes.
novembre 4th, 2009 at 23:34
grande! prevx mi ha trovato 21 file infetti finalmente… solo che solo 2 si possono eliminare senza licenza. scusa la domanda ma cè un modo per rimediare la licenza? non posso pagarla poichè non posso fare acquisti online… come posso fare? mi servirebbe giusto per riparare questi file poi questo programma me lo compro in negozio dato ke mi sembra ottimo!
novembre 4th, 2009 at 23:36
grande! con questo mi ha trovato 21 file infetti!!!
solo che solo 2 sono processabili senza licenza… e io non posso acquistare online per avere la licenza… c è un modo per averla?
mi servirebbe per eliminare questi file, poi penso proprio9 che questo programma me lo andrò a comprare in negozio, mi sembra ottimo…!
novembre 4th, 2009 at 23:41
non ci credo… me lo apre e me lo chiude in automatico dopo una frazione di secondo… O.o
sembra impossibile questo worm…
ho anche provato con combofix che è un programma molto potente ma niente… errore win32… bah…
novembre 4th, 2009 at 23:45
Scusa ma hai disattivato il ripristino di sistema? Altrimenti è ovvio che qualsiasi cosa tu cerchi di avviare te la blocca.
Che sistema operativo usi?
novembre 4th, 2009 at 23:48
grande!!!
mi ha trovato 21 file infetti…!
Solo che soltanto due sono processabili senza licenza… dovrei comprarla ma non posso fare acquisti online…
tu sai un modo per ottenere la licenza giusto per eliminare/riparare questi file?
dopodichè risolto questo problema penso proprio che mi comprerò in negozio questo programma… mi sembra davvero utile…!
novembre 4th, 2009 at 23:51
windows xp… cmq si disattivato…
novembre 5th, 2009 at 00:03
ok. mi sono organizzato con mio padre, domani compro la licenza e risolvo il problema una volta per tutte…
mi sei stato di enorme aiuto grazie mille!!!!!
novembre 5th, 2009 at 00:06
Ok allora per prima cosa imposta come server dns 208.67.222.222 e 208.67.220.220. Ecco una guida per impostarli.
Poi scarica Prevx 3.0. E’ un tool molto motente. Installalo ed esegui le varie procedure di disinfestazione possibili. In particolare scansione avanzata. Prova e vedi se hai miglioramenti.
novembre 5th, 2009 at 13:55
@lorenzo purtroppo la Free Trial avvisa di minacce ma non le elimina, lasciando questo compito alla versione a pagamento.
novembre 23rd, 2009 at 22:45
Ma FindyKill è normale che dopo un’ora stia ancora facendo solo la scansione?
novembre 24th, 2009 at 21:10
ciao immortal…ho un problema…ho preso dei virus credo installando dei programmi ed usando i relativi keygen. i file incriminati sono svchost.exe e c:\copy.exe…antivir li ha eliminati ma all’avvio di windows mi escono due finiesre che dicono: impossibile trovare svchost.exe e poi chiusa questa unaltra che dice di cancellare la relativa voce dal registro. in più quando faccio doppio click su c:\ mi dice impossibile trovare il file copy.exe
so che al 98% non centra con il bagle ma sapresti dirmi come procedere e quali chiavi di registro cancellare? grazie in anticipo!
novembre 25th, 2009 at 21:04
Controlla se nella cartella C:\WINDOWS è presente un file svchost.exe. Se si eliminalo perchè il file svchost.exe sta solamente nella cartella C:\windows\system32\
In ogni caso una scansione approfondita con malwarabyte antimalware magari in modalità provvisoria dovrebbe risolverti il problema. Il link per il download lo trovi in questo articolo.
novembre 26th, 2009 at 09:15
in realtà dovrebbe averlo eliminato antivir però ho fatto cmq la ricerca e mi trova solo:
svchost in C:\windows\system32
svchost in C:\windows\system32\dllcache
SMSvcHost.exe in C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
SMSvcHost.exe.config in C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
cmq farò la scansione che mi hai consigliatoe ti farò sapere! grazie ancora una volta del tuo aiuto!
novembre 26th, 2009 at 11:53
Ho provato a scaricare Systemscan dal vostro link ma Avast mi segnala un Worm… possibile?!
novembre 28th, 2009 at 09:58
ciao immortal
ho fatto la scansione con malwarebytes e mi ha eliminato 4 chiavi di registro ma non è cambiato niente…il problema persiste! cosaltro posso fare?
p.s. ti posto il log
Malwarebytes’ Anti-Malware 1.41
Versione del database: 3242
Windows 5.1.2600 Service Pack 2
27/11/2009 18.17.31
mbam-log-2009-11-27 (18-17-31).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 257276
Tempo trascorso: 3 hour(s), 4 minute(s), 6 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 4
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\MNDOWN (Trojan.PWS) -> Quarantined and deleted successfully.
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (“regedit.exe” “%1″) Good: (regedit.exe “%1″) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
novembre 28th, 2009 at 11:33
Disabilita il ripristino di sistema, e poi scansiona con:
a-squared Free e poi con Spybot.
Infine fai una pulizia sia del disco che del registro con ccleaner.
novembre 29th, 2009 at 23:50
ho fatto le scansioni che mi avevi consigliato ed ora riesco ad aprire l’unità C: ma mi compaiono sempre le finestre all’avvio di windows relative al servizio svchost.exe
ti può servire vedere il log di a-squared?
dicembre 1st, 2009 at 09:26
ciao immortal, volevo dirti che ho risolto! ho cercato ed eliminato la chiave di registro relativa a C:\windows\svchost.exe e le finestre sono scomparse. grazie dell’aiuto che mi hai dato!
dicembre 1st, 2009 at 17:32
Mi fa piacere che tu abbia risolto! A presto!