Aiuto BASTIONE

**bencri** · 20-10-2008, 18:14

Chiedo aiuto peerchè il mio pc è stato infettato dal virus bastione. Leggendo il forum ho visto che molti hanno avuto il mio stesso problema e ho seguito alcune istruzioni ma senza successo. Ho installato e lanciato navigol1...se può essere utile trascrivo i risultati dell'operazione:
Grazie a chi potrà essermi d'aiuto.
Bencri

Clean Navipromo version 3.6.6 commencé le 17/10/2008 à 18.53.32,39

Outil exécuté depuis C:\Programmi\navilog1
Session actuelle : "Cristina"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [Versione 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression par méthode manuelle

Nom du fichier saisi : baqjbnthy

Nettoyage executé en mode sans échec

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *

* Suppression dans "C:\Documents and Settings\Cristina\impost~1\datiap~1" *

* Suppression dans "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Programmi" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menuav~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menuav~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\datiap~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Cristina\datiap~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\datiap~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Cristina\impost~1\datiap~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Cristina\menuav~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menuav~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Cristina\impost~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\Cristina\impost~1\datiap~1" *

* Dans "C:\DOCUME~1\ADMINI~1\impost~1\datiap~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 17/10/2008 à 18.55.12,54 ***

**hell's bells** · 20-10-2008, 18:22

Allora, se non altro non hai navipromo

per bastione, vediamo se ha intenzione di andarsene in fretta, segui questa procedura:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il report segui questa scaletta:

1) andare sul sito http://freefilehosting.net/
2) cliccare su sfoglia
3) scegliere il file di log dal proprio computer
4) cliccare su upload
5) copiare la riga " Page URL: " con relativo indirizzo
6) copiare ed incollare sul forum il link per il download

**bencri** · 20-10-2008, 23:09

Finalmente ce l'ho fatta...la scansione è stata lunghissima.
Spero di aver fatto tuto bene ed ecco l'indirizzo
mbam-log-2008-10-20 (23-00-38).txt

Cosa devo fare adesso?
Grazie

**hell's bells** · 21-10-2008, 08:28

Riesegui la scansione con malewarebytes ed elimina tutto, poi dimmi se il pc ti dà ancora problemi, se è tutto a posto finiamo le pulizie altrimenti passiamo a systemscan.

**bencri** · 21-10-2008, 17:57

Mi dispiace...ho fatto la scansione, ho eliminato le 5 minacce rilevate ho riavviato il pc ma il bastione è riapparso subito!!

**hell's bells** · 21-10-2008, 18:09

Non preoccuparti, vediamo di rimuoverlo a mano, segui questa procedura:

scarica Systemscan

1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"

Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.

Posta il report come il precedente.

**bencri** · 21-10-2008, 18:36

Fatto!

report_1224606934726_1225.txt

**hell's bells** · 21-10-2008, 19:23

Ti avviso che mi serve un bel momento, sto lavorando, quindi non ti consiglio di aspettarmi connesso, spero più tardi di riuscire a verificare e postarti la procedura.

**hell's bells** · 21-10-2008, 20:33

Dunque, file propri dell'infezione da bastione non ne vedo, manca addirittura la sua cartella, in ogni caso ho trovato altro, segui la procedura:

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\DOCUME~1\Cristina\IMPOST~1\Temp\is-6NMPK.tmp
C:\WINDOWS\LSPRN.EXE
C:\WINDOWS\shapi32.dll
C:\WINDOWS\system32\PRINTDRV.EXE

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Printer Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\PrinterSecurityLayer

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

Poi cortesemente rifai una scansione con malewarebytes e rimuovi tutto quello che rileva e fai questa scansione on-line

scansione on line con Kaspersky

1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.

La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.

Posta i report di avenger, malewarebytes, e kaspersky.

**bencri** · 22-10-2008, 02:05

Ti mando i risultati delle prime due operazioni, forse è la stanchezza ma non riesco ad eseguire kaspersky online scanner perchè mi dice che ho altri antivirus attivi ...ma a me non sembra. Comunque dopo aver eseguito avenger, il bastione non si è fatto più vedere!!!!

avenger_1224633725620_1249.txt

mbam-log-2008-10-22 (01-29-31).txt
Grazie ancora e...buonanotte

Discussione: Aiuto BASTIONE

Strumenti discussione

Ricerca discussione

Visualizza

Aiuto BASTIONE

Permessi di invio