Salve..

...due giorni dopo avere installato la nuova versione di Kaspersky Internet Security in versione trial...

...ho beccato Bagle.


immediatamente l'antivirus ha semsso di fnzionare, cosi come il defender di windows..

Ora... navigando un po in rete, ho scaricato un tool, elibagla, che ho eseguito in modalità provvisoria, al fine di rimuovere il virus e le sue varianti.

...la suddetta utility ha rilevato sull'unita' C circa 6 o 7 varianti dell'infezione e le ha rimosse.

...ma non ha potuto completare la scansione di D:, in quanto è andata più volte in crash.

...leggendo altri forum, ho tentato di fare una scansione online sul sito Karspersky, utilizzando Internet Explorer, ma l'applicazione non parte in quanto mi segnala l'impossibilità del sito di attivare i controlli ActiveX installati sul sistema, sebbene io avessi provato ad abbassare il livello di protezione del browser al minimo, dati tutti i permessi ai controlli ActiveX ed inserendo il sito www.kaspersky.com /.it nella lista dei siti 'trusted'.

Sono un utente Windows Vista Ultimate e la mia versione di Explorer è la 7.0.6000.16386


cosa mi consigliate di fare?


Grazie in anticipo per l'attenzione.

Ciao, benvenuto!

Mi potresti fornire l'esatta identificazione fornita da KIS per il virus (ad esempio I-Worm.Bagle.a)?

Ciao, grazie!

Dunque il problema è complesso, in quanto non appena Bagle è entrato in funzione, KIS è andato down.

Nel senso che non sono più stato in grado di aprirlo.

Quindi di fatto non ho un riscontro di come l'abbia rilevato..

Chi cerca trova...

Prova così: scarica questo archivio ed estrailo su un supporto diverso dall'HD (ad esempio un pen drive). Nella riga di comando (Tasto Windows+R) digita:

F:\clrav.com

dove F (eventualmente da sostituire in modo appropriato) è la lettera dell'unità che contiene i file estratti dall'archivio. Premi OK e lascia lavorare il programma (avverrà una scansione dei processi in memoria con la terminazione degli eventuali processi virali in atto).

Ora avvia nuovamente dalla riga di comando il file clrav.com con il parametro /s:

F:\clrav.com /s

Premi OK e lascia lavorare il programma (avverrà una scansione dei file dell'HD e la cancellazione degli eventuali file infetti).

Alla fine riavvia il pc.

Poi scarica questo archivio ed estrailo su un supporto diverso dall'HD (ad esempio un pen drive). Nella riga di comando (Tasto Windows+R) digita:

F:\klwk.com

dove F (eventualmente da sostituire in modo appropriato) è la lettera dell'unità che contiene i file estratti dall'archivio. Premi OK e lascia lavorare il programma (avverrà una scansione dei processi in memoria con la terminazione degli eventuali processi virali in atto).

Ora avvia nuovamente dalla riga di comando il file klwk.com con il parametro /s:

F:\klwk.com /s

Premi OK e lascia lavorare il programma (avverrà una scansione dei file dell'HD e la cancellazione degli eventuali file infetti).

Alla fine riavvia il pc.

...il processo termina in un istante e mi dice: nothing to clean.

Se il risultato è questo con entrambe le utilities, vuol dire che le varianti di Bagle presenti sul tuo pc non sono tra quelle coperte da questi due strumenti, i quali sono in grado di trattare un numero limitato di esemplari. In ogni caso procedi così:
scarica ed installa questo tool. Probabilmente per installarlo ti sarà chiesto di rimuovere KIS. In tal caso disinstalla KIS, riavvia e installa il tool. Una volta che lo avrai installato, scegli la scheda "Automatic scan", seleziona le caselle relative alle unità da scansionare e fai click su Scan.

Dunque... sia in modalità normale che in modalità provvisoria l'utility si installa e subito dopo smette di funzionare

Dettagli dell'errore
------------------------------------
Problem signature:
Problem Event Name: APPCRASH
Application Name: setup_7.0.0.180_02.02.2008_22-00.exe
Application Version: 7.0.0.180
Application Timestamp: 470f68bf
Fault Module Name: setup_7.0.0.180_02.02.2008_22-00.exe
Fault Module Version: 7.0.0.180
Fault Module Timestamp: 470f68bf
Exception Code: c0000005
Exception Offset: 0000c16b
OS Version: 6.0.6000.2.0.0.256.1
Locale ID: 1040
Additional Information 1: 6b7f
Additional Information 2: 19a28e725786736cfb63d6cf420ab7e3
Additional Information 3: 19db
Additional Information 4: 8b99ce71c38641245825c273a148e58f
---------------------------------------

ho provato anche ad installare il tool su un supporto esterno (chiavetta USB) ma niente...

...è ancora dentro Bagle, no?

ciao
se non se riuscito a togliere "Bagle" con i tool consigliati da skywalker
prova a scaricarti il tool di f-secure in questo link ci sono le istruzioni
http://www.f-secure.com/tools/f-bagle.txt
oppure usare un tool di sophos
http://www.sophos.it/support/disinfection/baglea.html

Ciao, si potrebbero fare altri tentativi con tool di rimozione specifici per Bagle, ma non sapendo neppure quale sia la variante con la quale abbiamo a che fare, rischiamo di colpire a vuoto. Anche l'uso dei tool anti-malware "a largo spettro" in questa fase probabilmente non sarebbe risolutivo, perché ci consentirebbe tutt'al più di eliminare qualche processo nocivo, ma non necessariamente resituirebbe la stabilità al sistema.

Io ti suggerirei di fare così:

1. Servendoti di un altro computer, installa Kaspersky Anti-Virus (puoi usare la licenza trial), aggiorna le definizioni e crea un CD di ripristino.

2. Procurati i seguenti programmi:

a. SUPERAntiSpyware

b. CCleaner

3. Tornando al tuo pc, procedi come segue:

a. Disattiva il Ripristino configurazione di sistema e lascialo disattivato.

b. Installa CCleaner ed elimina tutti i file di IE, i file temporanei e file prefetch (Pulizia -> Windows. Prima di effettuare la pulizia seleziona le caselle appropriate)

c. Fai un backup dei dati importanti contenuti nel pc e prendi il CD di installazione di Windows (ti verrà richiesto nel corso della procedura). Vai in Start -> Tutti i programmi -> Accessori. Fai 1 click destro su Prompt dei comandi e scegli "Esegui come amministratore". Fornisci la password dell'amministratore, se richiesta. Digita la seguente stringa e poi premi Invio:

sfc /scannow

Sarà avviato il System File Checker, che verifica l'integrità dei file del sistema e, se necessario, li sostituisce. Segui la procedura e al termine riavvia il pc.

d. Avvia il pc con il CD di ripristino di Kaspersky Anti-Virus ed effettua una scansione del computer. Ovviamente lascia che KAV disinfetti gli eventuali file nocivi. Al termine riavvia il pc normalmente.

e. Installa SUPERAntispyware, aggiorna le sue definizioni e usalo per effettuare una scansione completa del pc in Modalità provvisoria. Lascia che SAS tratti le eventuali chiavi di registro anomale e/o i file infetti. Alla fine riavvia il pc

f. Torna a postare e ti dirò quali ulteriori controlli effettuare.

...tools... ne ho provati un po', ma...



...uhm...ascolta:

c'è il rischio di dover formattare il pc o peggio di perdere dei dati?

Ti spiego: il computer infettato è in realtà una workstation audio dove sono stipati, in 2 unità diverse, circa 500gb di dati.

...in fondo salvare i dati 'fondamentali' non sarebbe poi cosi difficile.

Ma se dovessi formattare, per la 'ricostruzione' del pacchetto software che mi serve per lavorare e per la configurazione e l'ottimizzazione del sistema, sarebbero necessari un po' di giorni, il ché mi rallenterebbe, e non di poco, la tabella di marcia...

..Ok, dirai, 'te la sei cercata, se hai dati importanti non ti metti a scherzare con files 'sconosciuti', ed hai ragione.

...Ma adesso che ho fatto 'la frittata', dici che non ho piu via di scampo?


...in sostanza..perche' dovrei fare un backup dei dati importanti?

Detto questo ti ringrazio davvero per la pazienza e per l'attenzione mostratemi. La tua professionalità e disponibilità fanno davvero onore a questo forum ed alla sua casa d'appartenenza.

Il punto è che molti virus sono in grado di iniettare del codice maligno all'interno dei normali processi di sistema o addirittura di sostituirli con processi che hanno lo stesso nome ma che sono in realtà derivazioni del virus. Da un lato il System File Checker potrebbe rilevare dei file di sistema corrotti e sostituirli, dall'altro la disinfezione di KAV dal CD di ripristino potrebbe rimuovere dei file vitali per il sistema che sono stati modificati dal virus e che non possono essere disinfettati. Nell'uno e nell'altro caso, se qualcosa dovesse andare storto, potresti anche trovarti con un sistema estremamente instabile, dunque la prudenza è d'obbligo.

Come dico sempre in questi casi, l'unica cosa certa è la prevenzione. Purtroppo, quando un virus ha avuto modo di fare il bello e il cattivo tempo su un computer, il ripristino della situazione originaria è sempre una scommessa, può riuscire oppure no. In alcuni casi la formattazione è l'unico modo di risolvere definitivamente la situazione.