Ciao ragazzi, ieri mentre aprivo un file scaricato dal mulo il mio computer ha fatto una schermata blu e si è riavviato.. Al successivo riavvio erano spariti sia avast che zone alarm ed i relativi exe. Al che mi sono messo a cercare che cosa poteva essere e ho visto che probabilmente si tratta del worm Bagle.. Allora mi sono letto la guida che c’è nel sito Megalab riguardo a questo e ho notato che il mio Bagle sembra essere diverso o cmq mancante in alcune sue parti..Cominciamo col dire che ho WINDOWS VISTA (Installato 32 gg fa e finito di ottimizzare 10 gg fa GRRRR).. Innanzitutto provando ad aprire il Task Manager per controllare i processi c’è il blocco immediato del pc quindi non ho potuto verificare la presenza del processo hldrrr.exe.. Poi ho scaricato gmer e ho fatto una scansione e questo effettivamente mi diceva che ero infetto da rootkit ma di file rossi ne evidenziava uno solo.. tutti gli altri non c’erano.. Cmq ho deciso nonstante queste discrepanze di seguire la procedura indicata nella guida visto che era l’unica soluzione che sono riuscito a trovare e che rispecchiava la mia situazione o almeno la rispecchiava in parte.. Ho scaricato avenger ma quando lo sono andato ad aprire mi è arrivato un messaggio di errore con scritto che poteva essere eseguito solo cn Win 2000 o Xp.. Ho provato anche a modificare la compatibilità ma nulla .. Allora mi sono ricordato che tempo fa avevo rimosso un rootkit con VirIT e !KillBox al che sono andato in modalità provvisoria.. ( io riesco ad entrarci a differenza degli altri) e ho provato ad installare VirIT senza però riuscirci... Al che ho provato con kaspersky ma la scansione si bloccava anzi non partiva proprio.. Poi riavviando di nuovo in MP con rete sono riuscito a installare VirIT.. Facendo la scansione quel file nascosto trovato da Gmer è stato eliminato e difatti nella scansione successiva dopo il riavvio Gmer non segnalava + file in rosso ne la presenza di un rootkit.. Però ancora Windows Defender non si apriva.. Centro sicurezza Pc nemmeno.. avast e ZA non ho provato nemmeno a reinstallarli.. Allora sono andati avanti con !KillBOX.. Come sapete vista ha la funzione di indicizzazione per la ricerca dei file quindi mi sono messo a cercare i nomi dei file che erano presenti negli script per avenger visti nella guida e di questi ho trovato se nn ricordo male questi: HIDR.EXE-E05F431A.pf e TRUSTEDINSTALLER.EXE-3CC531E5.pf che si trovavano in una cartella chiamata Prefetch e nella cartella drivers l'srosa.sys. Questi 3 li ho eliminati tramite !KillBox creando dei backup che ho messo all'interno di un rar (non si sa mai). Poi sono andato nel registro e manualmente ho cercato tutte le chiavi segnalate negli script per avenger e sono riuscito a trovare la chiave srosa e LEGACY_srosa ho creato i backup di entrambe e ho cercato di eliminarle.. La prima, la srosa, si è cancellata senza problemi invece la LEGACY ancora non ne vuole sapere.. Ho anke modificato le autorizzazioni nel registro ma niente.. Mi dice che è impossibile modificarle.. Quindi sono andato avanti lasciando li quest’unica chiave.. Allora sono andato nella cartella Temp e ho cercato sempre tramite la funzione cerca tutti i file *.exe (nessuno) e i *.tmp che ho eliminato tutti… Poi mi sono accorto della presenza della cartella hidires con dentro m_hook.sys che era nascosta e l’ho eliminata manualmente, creando una copia di backup nell’apposito rar. ( Non chiedetmi perché non ho usato !KillBox.. erano anche le 3 e 30).. Poi ho fatto una pulizia dei temporary internet file e altri file temporanei con un programma per pulirli e poi anche con CCleaner e poi ho provato a riattivare i servizi ma visto che ero ancora in modalità provvisoria ho pensato che fosse normale che non si avviassero e invece non era così.. Anche in modalità normale niente.. Ma non ho proprio nessun menu che appare col tasto destro o che so io… Sarà il virus o io che nn so usare vista? Cmq il Centro sicurezza PC non si avvia nemmeno dall’apposita icona nella tray quindi suppongo che sia colpa del virus.. Poi ho tentanto a rientrare nel registro per togliere la LEGACY_srosa ma niente.. non si elimina.. Ho rifatto un'altra pulizia con CCleaner sia dei file temp e ho analizzato e corretto i problemi del registro.. e sono passato alla scansione con Kaspersky ma in pratica non so se è un problema del sito oppure del virus però quando mi chiede di installare il controllo ActiveX mi ricarica di nuovo la pagina dove ci sono i tasti accetto declino senza questi ultimi e quindi non posso andare avanti.. E poi c’è una scritta che mi dice di disinstallare una versione precedente che però nn compare in installazione applicazione ne nelle componenti aggiuntive di IE7.. Quindi da qui in poi le mie risorse sono esaurite… Ora vi posto i log di hijackthis e gmer.. Cmq diciamo che i problemi più grossi dopo la mancanza degli antivirus sono le ricorrenti schermate blu (infatti sto scrivendo sul word per evitare che mi si cancelli tutto DI NUOVO!!) e non poter usare il Task Manager.. Spero tanto che qualcuno di voi possa illuminarmi :) e per quanto riguarda kaspersky se mi indicate un sostituto creerò un log anche con quello. Grazie a tutti!! Ciao ciao

P.S. I file cancellati non si sono ricreati e siate tecnici :) credo di capirci abbastanza quindi se mi dite dove cercare posso rivoltare il registro come un calzino :) Basta che nn mi dite di formattare nuovamente :) Cmq ora faccio anche la scansione con bit defender e vi posto il log.. Grazie a tutti!!

P.S.2 :) Esiste un qualcosa di simile ad avenger compatibile con vista?

P.S. 3 :)) Ho usato anche Elibagle che però non aveva accesso ad alcune cartelle... Come faccio a dargli accesso? E anche tutti gli stumenti di rimozione bagle presenti sul sito di nod32 che però non trovavano virus bagle nel computer..

raga ma nessuno sa aiutarmi? Chi mi sa dire se faccio un ripristino col cd di vista se perdo tutte le installazioni dei programmi o no? E se formatto faccio il trasferimento file e impostazioni e poi li ripristino mi ripristina anke il virus? Me li reinstalla i programmi o no?

Guarda se questo topic ti può aiutare! clicca qui (http://www.hwupgrade.it/forum/showthread.php?t=1540816&highlight=Bagle)

No purtroppo già visto già letto e nn è servito a niente... ELibagle non ha accesso ad alcune cartelle...

prima cosa che tengo a dire, se scrivi post lunghi come quello iniziale usa anche righe vuote per creare i paragrafi altrimenti risulta molto difficoltoso seguire il discorso e sopratutto capire i significati risultando oltremodo stancante per il lettore.
questo è solo un appunto/consiglio nulla di cui preoccuparsi :)

1) per prima cosa scarica processmonitor:
http://www.microsoft.com/technet/sysinternals/utilities/processmonitor.mspx
è molto più potente del classico task-manager e non dovrebbe venir bloccato dal worm cosicchè dovresti aver modo di verificare i processi in esecuzione ;)

2) postaci il log di gmer che è assolutamente doveroso sapere cosa possiedi!

3) scarica l'antiRootKit di panda che è ottimo e dacci una scansionata ;)

4) la cartella prefetch la puoi interamente svuotare, mi raccomando solo svuotare!
la cartella deve rimanere ;)

5) idem per la cartella temp

6) il log di hijackthis è assolutamente indispensabile

7) usare FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) e postaci il report ;)

8) potresti provare a scaricare a-squared-free_cmd è quello da usare via command-line (non è difficile da usare, il txt già presenta già il comando da usare) e prova afargli fare una passata sicuramente troverà qualcosa ;)
dopo puoi anche installarti la versione free da tenere nel pc :)

Ok process monitor lo installeròe faro le altre cose non appena finita la scansione con kaspersky... hai visto mai che si blocca tutto...
Cmq il log d Gmer per gli autostart quello per i rootkit invece no perkè sono 2 volte che il pc si riavvia e da schermata blu ogni volta che provo a fare la scansione... Da quando nn ho provato a farla nn si è + bloccato...
Panda Antirootkit scaricato... poi lo installo..
La cartella Prefetch sei sicuro che posso svuotarla tutta? Dentro c'è una cartella ReadyBoot.. Hai capito che si tratta di Vista si?
FindAWS scaricato e lo userò...
Log di hijackthis già presente ma nn c'è niente...
A-squared-free_cmd cos'è? non lo trovo.. dove lo prendo?

Ok process monitor lo installeròe faro le altre cose non appena finita la scansione con kaspersky... hai visto mai che si blocca tutto...
Cmq il log d Gmer per gli autostart quello per i rootkit invece no perkè sono 2 volte che il pc si riavvia e da schermata blu ogni volta che provo a fare la scansione... Da quando nn ho provato a farla nn si è + bloccato...
Panda Antirootkit scaricato... poi lo installo..
La cartella Prefetch sei sicuro che posso svuotarla tutta? Dentro c'è una cartella ReadyBoot.. Hai capito che si tratta di Vista si?
FindAWS scaricato e lo userò...
Log di hijackthis già presente ma nn c'è niente...
A-squared-free_cmd cos'è? non lo trovo.. dove lo prendo?
la prefetch non conterrà mai nulòla di indispensabile, l'importante è che esista la cartella madre, "prefetch" per l'appunto, le eventuali sottocartelle verranno ricreate in automatico ;)

per la versione command-line ecco l'indirizzo:
http://download1.emsisoft.com/a2cmd.zip
per lanciarlo devi:
aprire un "cmd", schermata dos (start -> esegui: cmd )
poi ti posizioni nella cartella dove hai scompattato lo zip appena scaricato, ti sconsiglio caldamente di scompattarlo nel desktop fai piuttosto una cartella nel disco c:\ come:
c:\a-squared

poi una volta posizionato (con la procedura " cd c:\nomecartella " ) scrivi il seguente comando:
a2cmd /f="c:\" /m /t /c /h /r /a /n /q /log=[c:\a-squared.log]
in sostanza quello che farà è usare l'euristica, scansionerà la memoria ram, scansionerà contro riskware, spyware, contro cookies, negli archivi, ecc.. in sostanza scansiona tutto e produce il log:
c:\a-squared.log


mentre la versione da installare, ma solo successivamente, la puoi avere da qui:
http://download5.emsisoft.com/a2FreeSetup.exe

sei sicuro che per la euristica non sia /h? cmq ok lo farò non appena avrà finito kaspersky e poi ti faccio sapere grazie ciao ciao

sei sicuro che per la euristica non sia /h? cmq ok lo farò non appena avrà finito kaspersky e poi ti faccio sapere grazie ciao ciao

sì infatti è /h , la spiegazione dei comandi nons eguiva la loro posizione ;)

Allora scansione finita vi posto il log... Iniziamo subito col dire che il 90% sono file che ho nel pc e che sapevo di avere... Non sono virus.. sono script e altri tool magari qualche hackz tool che ho scaricato molto tempo ma non sono virus infatti mi pare che di virus ne segnali ben pochi... Ora che ho finito la scansione provo anke con cureit... non si sa magari...
Cmq quella cartella housecall non so assolutamente cosa sia però dentro ci sono quei file che conosco quindi bo..
Cmq a quanto ho visto tutti i file contenuti nelle cartelle programmi e utente sono bloccati da vista... Cioè kaspersky non ci è potuto entrare o sbaglio? Forse dovrei mettere l'autorizzazione ad everyone per permettergli di entrare? Però io sono loggato con l'account che ha tutti i permessi... Bo...
Cmq direi che tutti i file contenuti in D si possono tralasciare giusto? Nn c'entrano niente col SO..
Ho provato processmanager ma non mi è sembrato di vedere processi sospetti...
Cartelle Temp E Prefecth svuotate
Posto anke il log di FindAWS anke se nn ho capito come funziona... io ho fatto 1 e poi invio ok? Mi ha creato oltre al log anke locate.com e process.exe cosa sono?
Panda AntiRootkit non gira su vista..
Ora provo cureit e anke al'altro. Ciao ciao a dopo

hai ragione, mi ricordavo male in proposito di Panda AntiRootKit..

sì hai scelto l'opzione corretta perchè così cerca determinate cartelle o files ".bak" e se li trova li segnala nel log, questo sarà indispensabile per ripristinare la condizione iniziale cioè rimuovere l'eventuale infezione..
già che c'eravamo ti ho fatto controllare anche questo tipo di minaccia che è molto attuale ;)

lo zip del log di FindAWS che hai postato è vuoto :eek:
ho provato sia su linux che da winxp :(


Ho segnalato il problema sugli allegati ;)

Fortunatamente non ho mai avuto a che fare con questo worm, quindi non posso aiutarti; quello che però ti consiglio è di riattivare UAC che in questo caso ti avrebbe parato le :ciapet: visto che per fare un casino simile nel sistema sarebbe stata necessaria la tua autorizzazione (e sinceramente se eseguo un *.exe che mi chiede l'autorizzazione e non sono sicuro della fonte da cui proviene io nego subito l'accesso). ;)

sicuramente un hips avrebbe richiesto una vera approvazione :)

sicuramente un hips avrebbe richiesto una vera approvazione :)
Cosa sarebbe cambiato?
Un HIPS chiederebbe l'autorizzazione, UAC chiederebbe la conferma oppure l'autenticazione; in entrambi i casi l'utente viene allertato del pericolo che sta correndo con la differenza che UAC non pesa nulla sul sistema e permette di utilizzare un sistema operativo con i minori privilegi necessari.

l'hips controllatutto cio che avviene all'interno del pc comprese attività quali iniezione di codice all'interno di servizi già avviati o avviabili, iniziezione di codice all'interno di dll, modifica a servizi...
tutto ad ampissimo raggio e in modo più prfondo del UAC che tra le altre cose può essere raggirato in semplicità..
ti consiglio la lettura di questo magnificio articolo di Marco Giuliani, se non vuoi leggere tutta la pappardella posizionati dove c'è il viedo perchè da lì in poi incomincia la parte hot ;)
http://www.pcalsicuro.com/main/2007/01/alcuni-pensieri-su-windows-vista/

l'hips controllatutto cio che avviene all'interno del pc comprese attività quali iniezione di codice all'interno di servizi già avviati o avviabili, iniziezione di codice all'interno di dll, modifica a servizi...
tutto ad ampissimo raggio e in modo più prfondo del UAC che tra le altre cose può essere raggirato in semplicità...
UAC può essere aggirato perché ha alcuni problemi di sicurezza, problemi di sicurezza che anche un HIPS può avere. Se UAC non potesse essere aggirato facilmente tutte le garanzie che hai elencato le fornirebbe in quanto sono tutte operazioni che richiedono i privilegi di amministrazione.
Ad ogni modo un sistema come UAC è necessario poiché se si utilizza un PC senza i privilegi di amministrazione (cosa IMHO necessaria e che incrementa di molto la sicurezza) dover effettuare un logout/login per poter effettuare operazioni amministrative è noioso.
La cosa importante è che con UAC attivi - UAC non è un software di sicurezza - la sicurezza ne beneficia. ;)

ti consiglio la lettura di questo magnificio articolo di Marco Giuliani, se non vuoi leggere tutta la pappardella posizionati dove c'è il viedo perchè da lì in poi incomincia la parte hot ;)
http://www.pcalsicuro.com/main/2007/01/alcuni-pensieri-su-windows-vista/
Leggerò. ;)

EDIT: interessante ma non ho capito con che privilegi è stato eseguito il programma che ha "infettato" le *.dll. Se con account limitato senza intervento di UAC, la cosa è grave, se con account limitato ma con intervento di UAC la cosa è normale.
Inoltre sarebbe interessante capire come eseguire in automatico un software di *.dll injection, Internet Explorer non è un vettore valido poiché grazie ad IL/MIC (a seconda di chi lo nomina) non può eseguire un processo con IL superiore a LOW e non può neppure interagire con esso, ci vorrebbe un vettore che ovviamente sia utilizzabile dal Web e che sia eseguito con IL pari a MEDIUM (purtroppo Firefox o qualsiasi altro browser - nella configurazione di default - sono alternative valide, il mailer - anche se qui è necessario lo zampino dell'utente e non so chi altri).

Io ho fatto in modo che anche Firefox (unico browser alternativo che utilizzo) venga eseguito con IL LOW in questo modo il numero di vettori possibili diminuisce ed un attacco come quello mostrato diventa sempre più improbabile a meno che non venga eseguito dall'utente stesso. ;)

Se non hai ancora risolto prova a leggere questa discussione (http://www.wininizio.it/forum/index.php?showtopic=59639) e prova a seguire quelle istruzioni!

ciao

hai ragione, mi ricordavo male in proposito di Panda AntiRootKit..

sì hai scelto l'opzione corretta perchè così cerca determinate cartelle o files ".bak" e se li trova li segnala nel log, questo sarà indispensabile per ripristinare la condizione iniziale cioè rimuovere l'eventuale infezione..
già che c'eravamo ti ho fatto controllare anche questo tipo di minaccia che è molto attuale ;)

lo zip del log di FindAWS che hai postato è vuoto :eek:
ho provato sia su linux che da winxp :(


Ho segnalato il problema sugli allegati ;)

E' quello è il log che mi ha restituito... E' stata parecchio veloce la cosa... Bo... Cmq cureit ieri sera l'ho lanciato in MP e selezionando il disco C dopo una mezz'ora ankora non si muoveva quindi l'ho interrotto...
Poi ho lanciato a2cmd ma quando stamattina ho riacceso il monitor ho visto che si era bloccato quindi ora l'ho rilanciato in MP autorizzando l'accesso ad everyone sulle cartelle document & settings e programmi... Sotto windows non so se farlo poi ho paura di non ricordare + quali ho autorizzato e quali no.. Cmq ora aspetto il log di questo e poi che faccio? Cmq devo trovare assolutamente qualcosa che mi possa funzionare tipo avenger... Cmq dici che dovrei fare un altra scansione con kaspersky ora che ho autorizzato l'accesso a quelle cartelle?
Cmq Gle89 grazie ma quella discussione l'ho già spulciata su diversi siti.. Ma il mio bagle non è così standard a quanto pare... Boooo Forse vista lo ha bloccato per metà.. Chi lo sa..

Cmq a2cmd si è bloccato di nuovo... e 2 volte sullo stesso file C:\Windows\_default.pif ... Serve a qualcosa? Ora faccio la scansione con systemscan... Poi posto il log.. Dopo di che provo a rifare gmer dalla MP visto che da normale mi fa la schermata blu e non finisce...

Ecco il log di systemscan... Ora riprovo Gmer anke se mi sa che qualcosa è già compreso qua... E' Lunghissimo... http://www.mytempdir.com/2017811

UAC può essere aggirato perché ha alcuni problemi di sicurezza, problemi di sicurezza che anche un HIPS può avere. Se UAC non potesse essere aggirato facilmente tutte le garanzie che hai elencato le fornirebbe in quanto sono tutte operazioni che richiedono i privilegi di amministrazione.
Ad ogni modo un sistema come UAC è necessario poiché se si utilizza un PC senza i privilegi di amministrazione (cosa IMHO necessaria e che incrementa di molto la sicurezza) dover effettuare un logout/login per poter effettuare operazioni amministrative è noioso.
La cosa importante è che con UAC attivi - UAC non è un software di sicurezza - la sicurezza ne beneficia. ;)


Leggerò. ;)

EDIT: interessante ma non ho capito con che privilegi è stato eseguito il programma che ha "infettato" le *.dll. Se con account limitato senza intervento di UAC, la cosa è grave, se con account limitato ma con intervento di UAC la cosa è normale.
Inoltre sarebbe interessante capire come eseguire in automatico un software di *.dll injection, Internet Explorer non è un vettore valido poiché grazie ad IL/MIC (a seconda di chi lo nomina) non può eseguire un processo con IL superiore a LOW e non può neppure interagire con esso, ci vorrebbe un vettore che ovviamente sia utilizzabile dal Web e che sia eseguito con IL pari a MEDIUM (purtroppo Firefox o qualsiasi altro browser - nella configurazione di default - sono alternative valide, il mailer - anche se qui è necessario lo zampino dell'utente e non so chi altri).

Io ho fatto in modo che anche Firefox (unico browser alternativo che utilizzo) venga eseguito con IL LOW in questo modo il numero di vettori possibili diminuisce ed un attacco come quello mostrato diventa sempre più improbabile a meno che non venga eseguito dall'utente stesso. ;)

è vero ma devi considerare anche:
Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso. Una volta ricavato l’handle del processo con l’API OpenProcess() e flag PROCESS_VM_WRITE è possibile andare a scrivere nelle zone di memoria degli altri processi con diritti simili.

e non è cosa da poco... cmq ti do atto che l'account limitato già limita tantissimo le problematiche :)
non credo che tu ogni giorno sia a fare operazioni amministrative sulla tua macchina però è indubbio che una gestione utenti simil-Unix/linux è decisamente più comoda del login/logout :D

Un hips, come del resto ogni programma, gode di bug e criticità ma se è ben sviluppato gli aggiornamenti vengono rilasciati molto tempestivamente (basti vedere anche i browser come Opera e Firefox con quali tempestiche operano) ed è assolutamente necessario che vengano risolti i problemi in tempi celeri in questa categoria di software, come del resto per i firewall e antivirus..

A volte anche solo le ore giocano un ruolo chiave figuriamoci i giorni ;)

ragazzi... il posto lo ho aperto per il mio brutto problema.. non per discutere di queste cose... scusate è ma io devo risolvere in fretta altrimenti mi conviene formattare :) cmq ecco il log di gmer per i rootkit.. http://www.mytempdir.com/2017821
Ora che altro faccio? Magari provo a trovare quell'account administrator tramite il cd di vista in MP... E vedo se quella chiave legacy rosa si fa eliminare... altrimenti bo.. ditemi voi...

è vero ma devi considerare anche:
Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso. Una volta ricavato l’handle del processo con l’API OpenProcess() e flag PROCESS_VM_WRITE è possibile andare a scrivere nelle zone di memoria degli altri processi con diritti simili.
Ad ogni modo è stato riportato anche nell'articolo che hai postato, un qualsiasi sistema di injection può danneggiare un processo in esecuzione (anche processi di sistema a quanto pare) ma non ha possibilità di modificare in modo permanente gli eseguibili e le librerie dinamiche del sistema su Windows Vista, e questo mi sembra già un passo avanti (notevole) rispetto a Windows XP.

e non è cosa da poco... cmq ti do atto che l'account limitato già limita tantissimo le problematiche :)
non credo che tu ogni giorno sia a fare operazioni amministrative sulla tua macchina però è indubbio che una gestione utenti simil-Unix/linux è decisamente più comoda del login/logout :D
UAC nasce soprattutto per dare possibilità di utilizzare il PC con il minor ammontare possibile di privilegi e per permettere una gestione simili UNIX e direi che il suo lavoro lo fa abbastanza bene; se poi UAC riesce anche a migliorare la sicurezza oppure a creare un minimo di prevenzione questo è ancora una volta un punto a suo favore (il fatto che sia possibile creare un hook nel sistema anche con privilegi limitati non dipende da UAC ma è proprio una falla).

EDIT: BigBlack56, scusa l'intrusione. :ops2:

Ecco il log di systemscan... Ora riprovo Gmer anke se mi sa che qualcosa è già compreso qua... E' Lunghissimo... http://www.mytempdir.com/2017811

riuppa i log in un solo post così abbiamo il materiale riunito...
;)

Ho scoperto perkè Find AWF ha il log vuoto... Mi viene questo messaggio: C:\Users\BigBlack\Deskto\Bagle Removal\FindAWF.exe The NTVDM CPU has encountered an illegal istruction. CS:0000 Ip:000b OP:f08b 01 70 00 Choose 'Close' To Terminate the application.. E ci sono i tasti chiudi e ignora... Ignora nn fa niente quidni per forza chiudi... Sarà sempre vista il problema... Cmq ho provato a reinstallare avast... si è installato mi ha fatto riavvia per la scansione prima dell'avvio al momento del riavvio schermata blu... Ha fatto cmq la scansione iniziale nn ha trovato niente... Ora riuppo i log riuniti qui http://www.mytempdir.com/2017867 perkè sul post nn ci entrano... Fatemi sapere!! Grazie

Ho scoperto perkè Find AWF ha il log vuoto... Mi viene questo messaggio: C:\Users\BigBlack\Deskto\Bagle Removal\FindAWF.exe The NTVDM CPU has encountered an illegal istruction. CS:0000 Ip:000b OP:f08b 01 70 00 Choose 'Close' To Terminate the application.. E ci sono i tasti chiudi e ignora... Ignora nn fa niente quidni per forza chiudi... Sarà sempre vista il problema... Cmq ho provato a reinstallare avast... si è installato mi ha fatto riavvia per la scansione prima dell'avvio al momento del riavvio schermata blu... Ha fatto cmq la scansione iniziale nn ha trovato niente... Ora riuppo i log riuniti qui http://www.mytempdir.com/2017867 perkè sul post nn ci entrano... Fatemi sapere!! Grazie

piuttosto facciamo una cosa saggia, se sei riuscito ad installare avast allora possiamo installare un antivirus più efficace tipo antivir ;)
prendi la "classic" e dagli una passata seguendo la guida semplicissima che c'è in questo thread in prima pagina:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

riprova poi anche a rifare la scansione con a-squared ;)

mmm a quanto pare parte tutto.... Sono andato a riattivare i servizi e ora funzionano... Prima avevo sbagliato schermata... ero andato sulle info non sul services.msc :P Scusate tanto!! Cmq ora parte tutto... E non ci sono + i messaggi di errore del windows defender... quindi in teoria... L'unica cosa che rimane da eliminare è quella chiave che nn si elimina... Come la elimino? Se la lascio li succede qualcosa? E è la Legacy_srosa... Bo GRAZIE A TUTTI CMQ :)

P.S. Sapete come consentire sempre sull'UAC un programma? E anke sul controllo all'avvio dei programmi? Grazie

Cmq raga c'è un modo per sapere se quello stronzo manda ankora mail in giro? Una mia amica mi ha detto che gliene sono arrivate tre ma solo a lei.. Bo...

la chiave la possiamo andare a cercare direttamente ;)

E' ma io so dove sta... E' solo che nn si elimina...nemmeno settando le autorizzazioni che a quanto pare non si salvano... Bo...