Grazie per la risposta, ho controllato tutti i servizi e sono tutti avviati ad eccezione di questi due:

"NLA (Network Location Awareness)"

"Provider supporto protezione LM NT"

che non sono presenti in lista e neanche su un altro pc "gemello" non infetto e con rete funzionante

e di questi due avviati e impostati su "Automatico":
"Workstation" che esegue su entrambi i PC
C:\Windows\System32\svchost.exe -k LocalService

"Manuntenzione collegamenti distribuiti client" che esegue su entrambi i pc
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

Resto in attesa di istruzioni, grazie ancora

fialmente a-squared ha finito :) ecco il

report (http://www.fileup.itadib.com/download.php?id=AQsbzREwsT2KCypYDMOX)

se mi dici che tutto va bene parto con f-secure.
Una cosa..mi sono dimenticato di far partire ccleaner come da guida...mi tocca rifare tutte cose?

procedi pure...

procedi pure...

ok vado con f-secure..e per ccleaner?

ok vado con f-secure..e per ccleaner?
vai con f-secure
se hai fatto pulizia con atfcleaner, ccleaner diventa quasi superfluo

ok..f-secure già in esecuzione..allora evito ccleaner..appena finisce f-secure posto log per sicurezza..e speriamo di aver risolto ^^
Grazie in anticipo a tutti per la grande disponibilità e chiarezza :)

Grazie per la risposta, ho controllato tutti i servizi e sono tutti avviati ad eccezione di questi due:

"NLA (Network Location Awareness)"

"Provider supporto protezione LM NT"

che non sono presenti in lista e neanche su un altro pc "gemello" non infetto e con rete funzionante

e di questi due avviati e impostati su "Automatico":
"Workstation" che esegue su entrambi i PC
C:\Windows\System32\svchost.exe -k LocalService

"Manuntenzione collegamenti distribuiti client" che esegue su entrambi i pc
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

Resto in attesa di istruzioni, grazie ancora

strano che tu non abbia quei due servizi... ma sono due pc con winXP sp2 o sp3?
a questo punto prova a chiedere in sezione windows qualcuno lì ci potrebbe essere che potrebbe avere qualche ideain proprosito :)

Aggiunta la rimozione manuale dell'ultima variante (2° post)

infatti è quello che ha detto chill :D

è quello che ho detto, ti ho linkato anche la discussione come riferimento, la mia riflessione era ed è la seguente: trattasi dell'ultima variante del Bagle che funge da downloader (dalla discussione non sembrerebbe) trattasi di un'ulteriore ennesima nuova variante oppore di un nuovo Zonebac et similari molto probabile

Ok capito male io :D
Siccome avevi linkato il zonebac... :asd:
No... è il Bagle, non qualcosa di scaricato in seguito poichè lo fà già nel riiavvio quando fà crashare winzozz...credo sia la versione "eldorado" qualche antivirus così la chiama...

finito con f-secure ecco il log

http://www.fileup.itadib.com/download.php?id=49rZtHQ3jMhNRlhwloHb

fatemi sapere se va tutto bene.

ah e poi un'altra cosa, ma l'antivirus che avevo installato prima, adesso non mi permette di disinstallarlo normalmente, che faccio cancello semplicemente la cartella da Programmi?

ciao :D

strano che tu non abbia quei due servizi... ma sono due pc con winXP sp2 o sp3?
a questo punto prova a chiedere in sezione windows qualcuno lì ci potrebbe essere che potrebbe avere qualche ideain proprosito :)


No, l'ho scritto nel primo post, il pc che si è infettato è con Vista Home Premium, mentre gli altri funzionanti sono uno con XP SP2 (quello con l'HD condiviso) e l'altro sempre con Vista Home Premium, quel servizio non è presente nè su quello infetto, nè sull'altro che non si è infettato e vede tranquillamente il disco e la stampante condivise

finito con f-secure ecco il log

http://www.fileup.itadib.com/download.php?id=49rZtHQ3jMhNRlhwloHb

fatemi sapere se va tutto bene.

ah e poi un'altra cosa, ma l'antivirus che avevo installato prima, adesso non mi permette di disinstallarlo normalmente, che faccio cancello semplicemente la cartella da Programmi?

ciao :D

Ok anche il log di F-Secure, a quale AV ti riferisci?

No, l'ho scritto nel primo post, il pc che si è infettato è con Vista Home Premium, mentre gli altri funzionanti sono uno con XP SP2 (quello con l'HD condiviso) e l'altro sempre con Vista Home Premium, quel servizio non è presente nè su quello infetto, nè sull'altro che non si è infettato e vede tranquillamente il disco e la stampante condivise

Controlla su XP i criterii di protezione locale

Pannello di controllo ==>> Strumenti di Amministrazone ==>> Criteri di protezione locale

Ok anche il log di F-Secure, a quale AV ti riferisci?

Kaspersky Antivirus 6.

non riuscivo più a disinstallarlo, ma poi ho risolto inserendo il path dell'msi di installazione del programma stesso.

spero di non avere altri problemi e vi ringrazio :cincin:

Kaspersky Antivirus 6.

non riuscivo più a disinstallarlo, ma poi ho risolto inserendo il path dell'msi di installazione del programma stesso.

spero di non avere altri problemi e vi ringrazio :cincin:
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Aggiunta la rimozione manuale dell'ultima variante (2° post)
ottima guida
bug per evitare troppi sbattimenti, se facciamo un file .bat con tutte le stringhe che hai indicato e lo facciamo salvare in c: e poi da cd di win facciamo semplicemente partire il .bat dici che funge?

Controlla su XP i criterii di protezione locale

Pannello di controllo ==>> Strumenti di Amministrazone ==>> Criteri di protezione locale

XP ha sempre funzionato, comunque preso dallo sconforto ho salvato tutto buttato dentro un'immagine di ripristino, reinstallato i pochi programmi che aveva su ed ora è tutto ok :)

Grazie comunque per il vostro aiuto ;)

ottima guida
bug per evitare troppi sbattimenti, se facciamo un file .bat con tutte le stringhe che hai indicato e lo facciamo salvare in c: e poi da cd di win facciamo semplicemente partire il .bat dici che funge?

non ho mai provato :S ora provo

Buonasera a tutti,
Sono nuovo del forum e mi sono beccato Bagle.
Ho letto la Vs. guida per la rimozione ma, non essendo un esperto ho paura di fare dei danni al SO, perciò, vorrei salvare i dati dei miei lavori (documenti di word, disegni di Autocad e Coreldraw, foto digitali) su un'hard disk esterno.
Vi chiedo se i suddetti dati possono essere infetti a loro volta perchè non vorrei mai che in caso di formattazione del disco del pc e successiva reinstallazione degli applicativi mi si riproponesse il problema daccapo.
RingraziandoVi anticipatamente

Ciao
Andrea

Se salvi documenti no... se salvi programmi quindi file exe, allora puoi rischiare qualcosa...

Se ti limiti a salvare : "(documenti di word, disegni di Autocad e Coreldraw, foto digitali)" non hai problemi, non salvare .exe, crack o keygen che hanno ovviamente generato l'infezione.

Vi ringrazio, sapete com'è, quando non si sa nulla....:(

Ciao! Premetto che non capisco quasi nulla di pc...tuttavia sono sicura di aver un problema con uno di questi bagle. Se non ho capito male devo postare qui il mio log.

Ciao! Premetto che non capisco quasi nulla di pc...tuttavia sono sicura di aver un problema con uno di questi bagle. Se non ho capito male devo postare qui il mio log.

Prosegui seguendo le istruzioni in Guida

ok...ho già un problema: ho scaricato avenger ma non funziona. Dopo nemmeno 5 secondi mi si chiude da solo qualsiasi cosa stia facendo

ok...ho già un problema: ho scaricato avenger ma non funziona. Dopo nemmeno 5 secondi mi si chiude da solo qualsiasi cosa stia facendo

Fai girare nuovamente EliBagla da modalità provvisoria F8, dopodichè fai una scansione online con F-Secure (http://www.hwupgrade.it/forum/showthread.php?t=1751772)

Ricorda di allegare entrambi i log

ho provato a seguire il vostro procedimento, ma il computer si riavvia in continuazione, anke durante il controllo dei dischi, e appena riesco ad avviare windows mi parte sicuramente sto file infetto ke mi chiede quale file crackare:muro:

ho provato a seguire il vostro procedimento, ma il computer si riavvia in continuazione, anke durante il controllo dei dischi, e appena riesco ad avviare windows mi parte sicuramente sto file infetto ke mi chiede quale file crackare:muro:

vai in pannello di controllo -> sistema -> avanzate -> avvio e ripristino -> impostazioni
e togli il segno di attivazione da "riavvia automaticamente in caso di errore"

in questo modo potrai vedere il messaggio di errore, così lo copi interamente su un foglio di carta e lo pubblichi qui :p

l'hai ripristinata la stringa di registro per la modalità provvisoria?
chi ti ha detto di usare a-squared?
continua a far girare elibagle come ti ho già detto

Ho già utilizzato elibagla mi ha eliminato alcuni virus, poi lo scansionato con twister seguendo le istruzioni di un altro sito e infine ho utilizzato otmoveIT inserendo la stringa ma la modalità provv non me la aggiusta inoltre il windows defender non me lo fa riattivare!!!:muro:

Ho già utilizzato elibagla mi ha eliminato alcuni virus, poi lo scansionato con twister seguendo le istruzioni di un altro sito e infine ho utilizzato otmoveIT inserendo la stringa ma la modalità provv non me la aggiusta inoltre il windows defender non me lo fa riattivare!!!:muro:

Hai WIN Vista?

si ho win vista.:(

si ho win vista.:(
non mi pare di aver trovato dei tuoi log...postane uno di elibagla che vediamo come sei messo

Gente, siccome mi si riavviava da solo il pc ho dovuto risolvere formattando tutto! Per fortuna le cose più importanti le ho salvate qualche settimana fa su un hard disk esterno!...comunque...vi ho inserito tra i preferiti!!
Grazie per la disponibilità!!

Gente, siccome mi si riavviava da solo il pc ho dovuto risolvere formattando tutto! Per fortuna le cose più importanti le ho salvate qualche settimana fa su un hard disk esterno!...comunque...vi ho inserito tra i preferiti!!
Grazie per la disponibilità!!

disabilita da subito il riavvio automatico altriemnti se ricapitasse una schermata blu il pc si avvierebbe senza controllo...
pannello di controllo -> sistema - avanzate -> avvio e ripristino -> impostazioni
e disabilita "riavvia automaticamente in caso di errore"

si ho win vista.:(

Safeboot ==>> tasto dx del mouse ed unisci
http://www.fileqube.com/shared/LUrNkqt36912

Per il resto leggi qui: http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

Safeboot ==>> tasto dx del mouse ed unisci
http://www.fileqube.com/shared/LUrNkqt36912


integrato in guida :)

tutto risolto grazie ragazzi, siete mitici!!!!:cool:

tutto risolto grazie ragazzi, siete mitici!!!!:cool:
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Nell'installare un software che io credevo di non dubbia provenienza (perciò con antivirus e firewall disattivati) devo aver beccato Bagle o qualcosa di simile; fatto stò che al riavvio l'antivirus era disattivato ed anche gli aggiornamenti automatici di windows. Lo stesso antivirus mi ha poi per foruna subito rilevato un sospetto "svdhost.exe" che ho prontamente eliminato. L'antivirus adesso non è più disattivato, lo si riesce ad attivare normalmente, ma il fatto strano sono gli aggiornamenti automatici di windows che risultano sempre disattivati: vado in services.msc e il servizio relativo (Aggiornamenti Automatici) non c'è più, è praticamente scomparso e non posso più usufruire in alcun modo degli aggiornamenti di windows.
Ho comunque eseguito la vostra guida in home, ma il problema non si risolve, qualcuno conosce una procedura per ripristinare il servizio "Aggiornamenti Automatici" e farlo ricomparire nei servizi di sitema?

Nell'installare un software che io credevo di non dubbia provenienza (perciò con antivirus e firewall disattivati) devo aver beccato Bagle o qualcosa di simile; fatto stò che al riavvio l'antivirus era disattivato ed anche gli aggiornamenti automatici di windows. Lo stesso antivirus mi ha poi per foruna subito rilevato un sospetto "svdhost.exe" che ho prontamente eliminato. L'antivirus adesso non è più disattivato, lo si riesce ad attivare normalmente, ma il fatto strano sono gli aggiornamenti automatici di windows che risultano sempre disattivati: vado in services.msc e il servizio relativo (Aggiornamenti Automatici) non c'è più, è praticamente scomparso e non posso più usufruire in alcun modo degli aggiornamenti di windows.
Ho comunque eseguito la vostra guida in home, ma il problema non si risolve, qualcuno conosce una procedura per ripristinare il servizio "Aggiornamenti Automatici" e farlo ricomparire nei servizi di sitema?

Inizia a seguire la Guida e dopo aver allegato il log di EliBagla vediamo il dà farsi

Ecco il log di ELIBAGLA:

http://www.mediafire.com/?zzsnxymakmd

Ecco il log di AVENGER:

http://www.mediafire.com/?xydgynhnmiy

Ecco il log di HIJACKTHIS:

http://www.mediafire.com/?s51tl3qhg3k

I log vanno allegati come indicato in Guida e non copiati ed incollati, quindi dopo aver editato i post allega un log degli StartUp ==>> esegui HijackThis -> clicca su Open the Misc Tool section -> Generate Startup List log spuntando entrambi i campi a destra.

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

I log vanno allegati come indicato in Guida e non copiati ed incollati, quindi dopo aver editato i post allega un log degli StartUp ==>> esegui HijackThis -> clicca su Open the Misc Tool section -> Generate Startup List log spuntando entrambi i campi a destra.

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

1000 scuse da parte mia!
ecco il link: http://www.mediafire.com/?uqi3mzzijal

1000 scuse da parte mia!
ecco il link: http://www.mediafire.com/?uqi3mzzijal

Sistema i post precedenti, imoltre sei sicuro di aver eseguito queste istruzioni
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

Sistema i post precedenti, imoltre sei sicuro di aver eseguito queste istruzioni
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

sistemati i post precedenti...
Avevo visto quelle istruzioni, ma lì in effetti si parla di RIATTIVAZIONE DEI SERVIZI TERMINATI (tra cui anche Aggiornamenti Automatici che a me però non figura proprio più tra i servizi); poi sempre in quelle istruzioni viene preso in esame il RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI, servizio che a me risulta regolarmente attivato, e eventuali problemi a Internet Explorer 7, Windows Media Player, Cerca (Ricerca guidata) e Account Utente che io cmq non ho.

sistemati i post precedenti...
Avevo visto quelle istruzioni, ma lì in effetti si parla di RIATTIVAZIONE DEI SERVIZI TERMINATI (tra cui anche Aggiornamenti Automatici che a me però non figura proprio più tra i servizi); poi sempre in quelle istruzioni viene preso in esame il RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI, servizio che a me risulta regolarmente attivato, e eventuali problemi a Internet Explorer 7, Windows Media Player, Cerca (Ricerca guidata) e Account Utente che io cmq non ho.

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

Net start WuAuServ e batti invio

sc config WuAuServ start= auto e batti invio


per uscire digita Exit

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

Net start WuAuServ e batti invio

sc config WuAuServ start= auto e batti invio


per uscire digita Exit

Allora, dopo Net start WuAuServ mi dice: "Nome di servizio non valido. Ulteriori informazioni sono disponibili digitando NET HELPMSG 2185"

Dopo sc config WuAuServ start= auto mi esce: "[SC] OpenService FAILED 1060: Il servizio specificato non esiste come servizio installato"

Non sò se può servire, ma dopo aver eliminato il file incriminato "svdhost.exe" ho anche eliminato 2 chiavi di avvio correlate a questo eseguibile, chiavi che erano denominate "Windows Sound"

Se vai n Pannello di controllo - Centro sicurezza Pc - la voce Aggiornamenti automatici è presente

Se vai n Pannello di controllo - Centro sicurezza Pc - la voce Aggiornamenti automatici è presente

Sì, è presente, ma cmq ho risolto grazie a questo thread:
http://www.webuser.co.uk/forums/printthread.php/Cat/0/Board/hijackthis/main/396509/type/thread

praticamente usando una utility che si chiama COMBOFIX che mi ha eliminato delle dll residue di quel "svdhost.exe" e un servizio dipendente, dopodichè in Start>Run ho digitato "regsvr32 wuaueng.dll", quindi invio>ok e il servizio Aggiornamenti Automatici è ricomparso

Sì, è presente, ma cmq ho risolto grazie a questo thread:
http://www.webuser.co.uk/forums/printthread.php/Cat/0/Board/hijackthis/main/396509/type/thread

praticamente usando una utility che si chiama COMBOFIX che mi ha eliminato delle dll residue di quel "svdhost.exe" e un servizio dipendente, dopodichè in Start>Run ho digitato "regsvr32 wuaueng.dll", quindi invio>ok e il servizio Aggiornamenti Automatici è ricomparso
se ci posti il log magari ti scopriamo anche altro
poi dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Sì, è presente, ma cmq ho risolto grazie a questo thread:
http://www.webuser.co.uk/forums/printthread.php/Cat/0/Board/hijackthis/main/396509/type/thread

praticamente usando una utility che si chiama COMBOFIX che mi ha eliminato delle dll residue di quel "svdhost.exe" e un servizio dipendente, dopodichè in Start>Run ho digitato "regsvr32 wuaueng.dll", quindi invio>ok e il servizio Aggiornamenti Automatici è ricomparso

Bene infatti era proprio li che volevo arrivare, utilizza IE -> Windows Update e verifica se tutto funziona regolarmente

Safeboot ==>> tasto dx del mouse ed unisci
http://www.fileqube.com/shared/LUrNkqt36912

Per il resto leggi qui: http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

uffa! non mi da il link:mad: !!! vabbe mo provo a postare il log di elibagla e intanto continuo con la procedura del vostro topic per la disinfezione

Saluto tutti e vi ringrazio per la guida molto chiara, che ho seguito fino alla fine.
Tutto bene, il pc è tornato normale, ma Avira non del tutto:
l'ultimo passo della guida era "reinstallare i sw di sicurezza"
io uso Antivir e Sygate PFirewall: li ho prima disinstallati con CCleaner e poi reinstallati. con Sygate tutto bene, con Antivir ho avuto segnalazione di problema sia durante la disinstallazione (che però andava a termine) che durante la nuova installazione (che andava a termine anche lei).
Quando ho avviato l'agiornamento mi segnalava un problema di licenza (?).
Allora ho disinstallato nuovamente (di nuovo msg di errore), ho scaricato l'ultima versione dal sito (probabilmente la stessa che avevo) e ho reinstallato (altri 2 messaggi di "installazione non riuscita"). Però stavolta mi ha fatto aggiornare.
Posso stare tranquillo, o questo significa che non ho rimosso completamente il problema?
grazie a chi vorrà rispondermi

Saluto tutti e vi ringrazio per la guida molto chiara, che ho seguito fino alla fine.
Tutto bene, il pc è tornato normale, ma Avira non del tutto:
l'ultimo passo della guida era "reinstallare i sw di sicurezza"
io uso Antivir e Sygate PFirewall: li ho prima disinstallati con CCleaner e poi reinstallati. con Sygate tutto bene, con Antivir ho avuto segnalazione di problema sia durante la disinstallazione (che però andava a termine) che durante la nuova installazione (che andava a termine anche lei).
Quando ho avviato l'agiornamento mi segnalava un problema di licenza (?).
Allora ho disinstallato nuovamente (di nuovo msg di errore), ho scaricato l'ultima versione dal sito (probabilmente la stessa che avevo) e ho reinstallato (altri 2 messaggi di "installazione non riuscita"). Però stavolta mi ha fatto aggiornare.
Posso stare tranquillo, o questo significa che non ho rimosso completamente il problema?
grazie a chi vorrà rispondermi

Ciao chiedi qui: http://www.hwupgrade.it/forum/showthread.php?t=1514684

se ci posti il log magari ti scopriamo anche altro
poi dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Ecco il link del log di ComboFix:

http://www.mediafire.com/?zmgmwj99mdy

Bene infatti era proprio li che volevo arrivare, utilizza IE -> Windows Update e verifica se tutto funziona regolarmente

Tutto OK, lanciando IE -> Windows UpDate tutto funziona regolarmente

Salve a tutti,
mi sono baglato, grazie agli autori perchè condividete il vostro sapere con i comuni mortali, come me :D e grazie a chi mi aiutera a uscire vivo da questa storia!!
su windows 2000 cliccando proprietà di sistema non c'è la scheda Ripristino configurazione di Sistema, dove trovo la voce Disattiva ripristino configurazione di sistema da spuntare?
non sono riuscito a eseguire in maniera efficacie lo script con avenger...
cmq ecco i miei link

http://www.mediafire.com/?m3y33j98mjc

http://www.mediafire.com/?ubwzvlyyn4v

Salve a tutti,
mi sono baglato, grazie agli autori perchè condividete il vostro sapere con i comuni mortali, come me :D e grazie a chi mi aiutera a uscire vivo da questa storia!!
su windows 2000 cliccando proprietà di sistema non c'è la scheda Ripristino configurazione di Sistema, dove trovo la voce Disattiva ripristino configurazione di sistema da spuntare?
non sono riuscito a eseguire in maniera efficacie lo script con avenger...
cmq ecco i miei link

http://www.mediafire.com/?m3y33j98mjc

http://www.mediafire.com/?ubwzvlyyn4v

Su Win 2000 il ripristino configurazione non c'è, inoltre dai log che hai allegato non vedo tracce del Bagle, che problemi riscontri?

ti ringrazio per la precisazione :)
premesso che utilizzo antivir premium security suite e spy bot, dopo aver scaricato ed eseguito un file *.exe scaricato con e-mule al riavvio di windows antivir era morto, non potevo avviare ne antivir ne spy bot e poi riavviando in modalità provvisoria la sorpresa blu.
Ho rimosso dalla cartella drivers hldrrr.exe dopo aver cancellato la voce dall'avvio con ccleaner e mi sono dato da fare per trovare questo processo sui motori di ricerca...
per magia spybot si è aperto ho fatto una scansione che mi ha riparato 3 chiavi di registro legate a "srosa".
riprendendo la ricerca sono arrivato qui è ho cercato di seguire la guida alla rimozione del bagle... solo che ci sono ancora delle cartelle e dei file legati al bagle sul pc... come posso eliminarli? come mai non sono riuscito a cancellarli con avenger??

ti ringrazio per la precisazione :)
premesso che utilizzo antivir premium security suite e spy bot, dopo aver scaricato ed eseguito un file *.exe scaricato con e-mule al riavvio di windows antivir era morto, non potevo avviare ne antivir ne spy bot e poi riavviando in modalità provvisoria la sorpresa blu.
Ho rimosso dalla cartella drivers hldrrr.exe dopo aver cancellato la voce dall'avvio con ccleaner e mi sono dato da fare per trovare questo processo sui motori di ricerca...
per magia spybot si è aperto ho fatto una scansione che mi ha riparato 3 chiavi di registro legate a "srosa".
riprendendo la ricerca sono arrivato qui è ho cercato di seguire la guida alla rimozione del bagle... solo che ci sono ancora delle cartelle e dei file legati al bagle sul pc... come posso eliminarli? come mai non sono riuscito a cancellarli con avenger??

Avenger non elimina i file che non trova perchè non esistono, quali sarebbero i file legati al Bagle sei in grado di indicarli.

probabilmente non sono stato molto preciso... scusami... questo è il report di spybot a proposito della scansione e ci sono le chiavi di registro rimosse:

http://www.mediafire.com/?1pgbmzjbhtw

questo file l'ho cancellato io WINNT\system32\drivers\hldrrr.exe e non si è più ripresentato credo;
questo file l'ha cancellato kasperski WINNT\system32\mdelk.exe;
questa cartella c'è ancora WINNT\system32\drivers\downld la elimino?
effettivamente credo non ci sia altro... però quando spengo il pc e poi lo accendo fa lo scandisk, mentre se lo riavvio non succede nulla.
infine non posso modificare la visualizzazione di files e cartelle nascosti anche se ho eseguito il file di registro proposto nella guida.

probabilmente non sono stato molto preciso... scusami... questo è il report di spybot a proposito della scansione e ci sono le chiavi di registro rimosse:

http://www.mediafire.com/?1pgbmzjbhtw

questo file l'ho cancellato io WINNT\system32\drivers\hldrrr.exe e non si è più ripresentato credo;
questo file l'ha cancellato kasperski WINNT\system32\mdelk.exe;
questa cartella c'è ancora WINNT\system32\drivers\downld la elimino?
effettivamente credo non ci sia altro... però quando spengo il pc e poi lo accendo fa lo scandisk, mentre se lo riavvio non succede nulla.
infine non posso modificare la visualizzazione di files e cartelle nascosti anche se ho eseguito il file di registro proposto nella guida.

WINNT\system32\drivers\downld ==> da eliminare, comprese quelle evidenziate dal log di SpyBot

quando unisci il file.reg devi aver prima disabilitato SpyBot

Non uso le protezioni permaneti di spybot, non sapevo cosa disattivare e l'ho disinstallato ho riavviato e ho rieseguito il file di registro non mi da errori ma questo è il risultato :( :

http://www.mediafire.com/imageview.php?quickkey=mpnznwbmzn9&thumb=4

forse quel file di registro non è compatibile con windows 2000?

Ps: il pc non fa più lo scan disk all'avvio:) , deve essere stato un errore mio forse lo spegnevo senza l'accortezza di attendere che si arrestasse prima di staccare l'alimentazione :fagiano:

Non uso le protezioni permaneti di spybot, non sapevo cosa disattivare e l'ho disinstallato ho riavviato e ho rieseguito il file di registro non mi da errori ma questo è il risultato :( :

http://www.mediafire.com/imageview.php?quickkey=mpnznwbmzn9&thumb=4

forse quel file di registro non è compatibile con windows 2000?

Ps: il pc non fa più lo scan disk all'avvio:) , deve essere stato un errore mio forse lo spegnevo senza l'accortezza di attendere che si arrestasse prima di staccare l'alimentazione :fagiano:

http://www.hwupgrade.it/forum/showpost.php?p=21867467&postcount=2969

:muro: giuro non voglio seccarti... ma come si fa la copia del registro di sistema?

:muro: giuro non voglio seccarti... ma come si fa la copia del registro di sistema?

http://support.microsoft.com/kb/322755/it

di male in peggio ho paura...
http://www.mediafire.com/imageview.php?quickkey=0wj0fgz2d14&thumb=4

di male in peggio ho paura...
http://www.mediafire.com/imageview.php?quickkey=0wj0fgz2d14&thumb=4

Procedi con il Ripristino del Registro di sistema col Backup, poi vediamo di trovare una soluzione

Salve sono nuova del forum e anke io ho beccato il bable, posto il file log di EliBagle. Cosa devo fare adesso. Grazie mille in anticipo. Scusate se lo allego così il file non so fare in altro modo.

Salve sono nuova del forum e anke io ho beccato il bable, posto il file log di EliBagle. Cosa devo fare adesso. Grazie mille in anticipo. Scusate se lo allego così il file non so fare in altro modo.

Devi seguire il resto della guida nel primo post

ciao a tutti,
sono una nuova utente non tanto pratica con il pc ....che ora è alle prese con il virus di bagle :cry:
ho provato a seguire la procedura della vostra guida ma purtroppo mi blocco già al primo passo:
ho disinserito il ripristino del sistema,
e come da guida ho lanciato safe boot for windows xp,
Il problema è che elibagle non esegue la scansione e dopo poko tempo scompare...
come posso andare avanti ora?
sarò infinitamente grata a chiunque riesca ad aiutarmi
ciaoooo e spero di leggervi presto

dimenticavo di precisarvi che nel pc (che è un portatile) c'era installato già antivir (Avira), Scan Spyware, ad-aware SE, tra questi l'unico che ancora si avvia, senza che mi appaia l'indicazione d'errore (non è un applicazione win32) è ad-aware SE ma anche inviando la scansione non rileva bagle (sempre che davvero si tratti di lui).
anche nel pc non funziona il ripristino di configurazione di sistema, la modalità d'avvio provvisorio ecc.
Oltrettutto il centro in cui ho acquistato non ha dato il cd di windows quindi anche volendo seguire la seconda procedura che avete messo non saprei come fare....
vi ringrazio ancora e scusate l'insistenza....nel portatile ho tantissimi dati che mi servono per lavorare :cry: !!!!

dimenticavo di precisarvi che nel pc (che è un portatile) c'era installato già antivir (Avira), Scan Spyware, ad-aware SE, tra questi l'unico che ancora si avvia, senza che mi appaia l'indicazione d'errore (non è un applicazione win32) è ad-aware SE ma anche inviando la scansione non rileva bagle (sempre che davvero si tratti di lui).
anche nel pc non funziona il ripristino di configurazione di sistema, la modalità d'avvio provvisorio ecc.
Oltrettutto il centro in cui ho acquistato non ha dato il cd di windows quindi anche volendo seguire la seconda procedura che avete messo non saprei come fare....
vi ringrazio ancora e scusate l'insistenza....nel portatile ho tantissimi dati che mi servono per lavorare :cry: !!!!

Scarica http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe masterizza l'ISO su un cd e avvia il computer con il cd

Guida ==>> http://www.hwupgrade.it/forum/showthread.php?t=1689812

per prima cosa ti ringrazio.....
mi domandavo come riavviare il pc con il cd ma noto solo ora che hai inserito il lik in cui è spiegato ...provo a seguire la procedura e poi vi faccio sapere

per prima cosa ti ringrazio.....
scusa l'ignoranza ma come si fa a riavviare il pc con il cd??

Dopo aver creato Avira AntiVir Rescue System metti il CD/DVD nel relativo lettore e riavvi il PC, per disinfettare scegli l'opzione 2.

bene, sto seguendo i consigli, ho masterizzato in un cd avira rescue system, ho effettuato il riavvio dopo aver inserito il cd nell'unità e appena si è riacceso mi ha finalmente aperto (in automatico) la schermata di elibagla...ora lascio andare la scansione ....senza usare il pc....
avira rescue system non l'ho lanciato ancora, sarebbe meglio lanciare anche lui? rpima o dopo che termini elibagla?
vi tengo aggiornati sulle novità....
e grazie mi state davvero salvando!!!!

ecco le novità:
il pc dopo il riavvio lancia in automatico la scansione di elibagla (di cui vi ho messo il file txt allegato). Dopo la sua scansione avenger non si avvia comunque. quindi non si può andare avanti con la procedura di pagina 1.
Ho masterizzato il cd mettendovi Avira AntiVir Rescue System ed ho tentato un riavvio per poter scegliere la procedura 2, eppure non capisco la frase <<Per avviare l'utility è necessario innanzitutto impostare nel BIOS il lettore CD o DVD come first boot nella sezione boot >>
presente nel link a cui mi avete indirizzato http://www.hwupgrade.it/forum/showthread.php?t=1689812
ho provato anche a visualizzare gli esempi presenti qui:
http://66.196.80.202/babelfish/translate_url_content?.intl=it&lp=en_it&trurl=http%3A%2F%2Fwww.hiren.info%2Fpages%2Fbios-boot-cdrom
per regolare il bios per caricare il sistema dal cd rom, ma non capisco neanche come arrivare alla schermata Amibios.....

aiutooooo non mi ero mai trovata in una situazione così, sono scarsissima in tale settore :muro: e ormai non so proprio che "pesci pigliare"

spero di essermi spiegata bene e che qualcuno mi possa aiutare a capire quanto scritto sopra
vi ringrazio ancora ....

ecco un'altra info che vi può essere servire per capire come aiutarmi: il files txt allegato nel precedente messaggio è relativo solo all'hard disck C. ma nel mio pc, i file di sistema sono frazionati in altri due hard disk in "F:" ed "E:",
mentre quello D: è usato solo per porvi i file di archivio (ossia tutto il materiale prezioso).
ho fatto la scansione con elibagla anche per questi, generando il file txt per ciascuno di essi. vi metto in allegato anche questi.
scusate ancora l'insistenza ma credo che questa sia un informazione importante.
Ora mi concedo un pò di sonno ....vista l'ora....
un saluto :)

hai provato elibagla in mod. provvisoria?

si ho provato anche ad avviarlo in modalità provvisoria ma quando scelgo quell'opzione mi compare la schermata blu che avvisa dell'arresto automatico fatto per evitare danni al pc. :(

Ciao ragazzi, pure io ho problemi col virus bagla...

Il pc infetto è quello di mio padre, solo che ho 1 grande problema: visto che non partono i programmi che avete linkato nella guida (avenger su tutti...) sono passato alla 2° opzione di cancellare a mano le cose...

ho un grande problema però: non sappiamo la pass di administrator perchè il pc è della ditta dove lavora mio padre e quell'idiota del responsabile dei servizi informatici non ce la vuole dare:muro:

Come faccio ad accedere al disco rigido e andare a cancellare a mano i files?
Ho provato con un floppy di sistema ma niente...

Ciao e grazie

Ah, sono riuscito a riavviarlo in modalità provvisoria qualche volta, ma magicamente la password dell'utente con il quale usiamo di solito il pc non è giusta!!!

Bagla fa anche questo scherzetto o c'è qualcosa che non va?

Ciao ragazzi, pure io ho problemi col virus bagla...

Il pc infetto è quello di mio padre, solo che ho 1 grande problema: visto che non partono i programmi che avete linkato nella guida (avenger su tutti...) sono passato alla 2° opzione di cancellare a mano le cose...

ho un grande problema però: non sappiamo la pass di administrator perchè il pc è della ditta dove lavora mio padre e quell'idiota del responsabile dei servizi informatici non ce la vuole dare:muro:

Come faccio ad accedere al disco rigido e andare a cancellare a mano i files?
Ho provato con un floppy di sistema ma niente...

Ciao e grazie
Potresti o cancellare le password con queste info di Nuz
http://www.hwupgrade.it/forum/showpost.php?p=22514086&postcount=43

Oppure provare a recuperarle
Per recuperare le password perse o modificate scarica la iso di ophcracklive cd (http://ophcrack.sourceforge.net/download.php?type=livecd) relativa al tuo sistema operativo.
La masterizzi su cd -> Spegni il pc -> Metti il cd appena creato -> Imposti il bios affinchè il boot parta dal cd -> Aspetti che venga avviato il tool e ti ritroverai una tabella contenente tutte le password degli utenti.

Aspetta il parere di qualcun'altro prima.

Potresti o cancellare le password con queste info di Nuz
http://www.hwupgrade.it/forum/showpost.php?p=22514086&postcount=43

Oppure provare a recuperarle
Per recuperare le password perse o modificate scarica la iso di ophcracklive cd (http://ophcrack.sourceforge.net/download.php?type=livecd) relativa al tuo sistema operativo.
La masterizzi su cd -> Spegni il pc -> Metti il cd appena creato -> Imposti il bios affinchè il boot parta dal cd -> Aspetti che venga avviato il tool e ti ritroverai una tabella contenente tutte le password degli utenti.

Aspetta il parere di qualcun'altro prima.

ok, grazie, aspetto anche altri pareri....
intanto, come cavolo faccio ad accedere a disco rigido con un floppy di sistema? è possibile?

ok, grazie, aspetto anche altri pareri....
intanto, come cavolo faccio ad accedere a disco rigido con un floppy di sistema? è possibile?
mi pare esistano dei floppy boot ma con comandi limitati...

mi pare esistano dei floppy boot ma con comandi limitati...

a me basta riuscire ad accedere al disco fisso... non devo fare niente di strano

Per curiosità mia e magari per altri casi come il tuo, prova ophcracklive cd, ti costa solo un cd che potrà servirti comunque anche in altre situazioni...

Per curiosità mia e magari per altri casi come il tuo, prova ophcracklive cd, ti costa solo un cd che potrà servirti comunque anche in altre situazioni...

lo sto scaricando... è un po lungo, pesa mezzo giga:D

cmq per il mio problema mi basterebbe capire come cavolo faccio a vedere il mio disco fisso con il floppy...

http://trucchi.swzone.it/swztips.php?action=tips&id=63
http://www.wintricks.it/faqlamer/floppy.html

qui trovi un pò di info

si ho provato anche ad avviarlo in modalità provvisoria ma quando scelgo quell'opzione mi compare la schermata blu che avvisa dell'arresto automatico fatto per evitare danni al pc. :(

Passa direttamente al Punto 5 della Guida

...disattivazione ripristino conf di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
...

Ciao a tutti!!!
Mi sono appena iscritto xkè penso proprio di aver bisogno di voi!
Facendo questa prima operazione si vanno a cancellare tutti i dati x la Configurazione di sistema, giusto???Una volta forzato l'avvio in modalità provvisoria e dopo aver fatto tutti i passaggi...come faccio a tornare nella modalità "normale" se i dettagli della configurazione sono stati cancellati con l'operazione sopra??? Io riesco ad accedere al pc solo come Amministratore ed in modalità provvisoria...è solo che così non riesco a vedere + i miei vecchi documenti e di programmi installati ce ne saranno 3/4...
Come faccio???

Vi ringrazio anticipatamente x il tempo perso e mi scuso se x caso c'era già la risposta nel post ma cavolo,legger 205 pagine...aiutooo!!!:cry:

si cancellano i punti di ripristino dove sono salvati i backup delle configurazioni, e il più delle volte anche le infezioni non le configurazioni stesse.
i programmi che non vedi li avevi installati con un altro utente?

Ma non credo,quando avviavo il pc non mi dava la possibilità di scegliere l'utente...è solo che ora se vado in Risorse mi dà Documenti-Administrator e non Documenti-Dodo (che è la cartella che mi interessava) forse non mi appare xkè è in modalità provvisoria?
Quando lo accendo mi dice che x uscire dalla modalità provv deve caricare una configurazione ma non essendocene come fà?
Scusate ancora la mia ignoranza...:rolleyes:

Salve gente, volevo solo scrivervi per dire "GRAZIE!", mi sono beccato il virus e, solo grazie alle vostre indicazioni, sono riuscito a risolvere il problema. Ho dovuto seguire la seconda procedura che avete indicato perchè ho avuto problemi con Avenger, mi dava degli errori durante l'esecuzione. Certo che questo visrus è proprio un cagnaccio!! Vi allego i miei report.
GRAZIE ANCORA, CONTINUATE COSI'
http://www.box.net/shared/1qcqrb48wc

Salve gente, volevo solo scrivervi per dire "GRAZIE!", mi sono beccato il virus e, solo grazie alle vostre indicazioni, sono riuscito a risolvere il problema. Ho dovuto seguire la seconda procedura che avete indicato perchè ho avuto problemi con Avenger, mi dava degli errori durante l'esecuzione. Certo che questo visrus è proprio un cagnaccio!! Vi allego i miei report.
GRAZIE ANCORA, CONTINUATE COSI'
http://www.box.net/shared/1qcqrb48wc
per sicurezza e per ripristinare i servizi li hai già fatti i punti 5,6,7?

Ciao!
Io quando avevo il problema che non mi entrava in modalità provvisoria ho trovato su altri forum un file da aggiungere al registro di sistema "SafeBoot" forse aggiungendolo ho cambiato la chiave di sistema dicendogli di avviarsi sempre in mod. provv....non è che qualcuno conosce il percorso x verificare la chiave di sistema x l'avvio???
GRAZIEEEE!!!:rolleyes:

Ciao!
Io quando avevo il problema che non mi entrava in modalità provvisoria ho trovato su altri forum un file da aggiungere al registro di sistema "SafeBoot" forse aggiungendolo ho cambiato la chiave di sistema dicendogli di avviarsi sempre in mod. provv....non è che qualcuno conosce il percorso x verificare la chiave di sistema x l'avvio???
GRAZIEEEE!!!:rolleyes:
al punto 2 della guida trovi quel file per ripristinare la modalità provvisoria ;)
se ti va solo la provvisoria per il momento fa niente, elibagla e kaspersky girano comunque

per sicurezza e per ripristinare i servizi li hai già fatti i punti 5,6,7?
Sì, li ho fatti, anche se sinceramente non ho ben compreso il funzionamento di Kaspersky, una volta terminata la scansione mi ha trovato 35 file corrotti ma non capivo casa andava fatto per ripristinarli, il report l'o creato ma non riesco a postarlo perchè è di circa 160 Mb

Sì, li ho fatti, anche se sinceramente non ho ben compreso il funzionamento di Kaspersky, una volta terminata la scansione mi ha trovato 35 file corrotti ma non capivo casa andava fatto per ripristinarli, il report l'o creato ma non riesco a postarlo perchè è di circa 160 Mb
i file trovati vanno "deletati"
i log aprilo ed estrai su un txt solo i file infetti e i dati della scansione

i file trovati vanno "deletati"
i log aprilo ed estrai su un txt solo i file infetti e i dati della scansione

Questa è la statistica di Kaspersky, ma come faccio a capire quali sono i file corrotti? Ma poi allora devo rifare tutta la scansione con kaspersky?
http://www.box.net/shared/3gfmro9c80

ciao ho preso un bagle e sono infettatissimo nonostante abbia tolto apparentemente il problema: anche la tastiera non rispetta bene i tasti premuti,fa in modo che le scritte vengano spostate (ci sto mettendo un'ora per scrivere tutto) ...inoltre non riesco più ad accedere al router in nessun modo, neanche con il tasto reset,ma internet funziona: spero i virus nn abbiano cambiato la password forzatamente.. come recuperare unpò di strada nei confronti degli agenti infetti? :( :( :(

ciao ho preso un bagle e sono infettatissimo nonostante abbia tolto apparentemente il problema: anche la tastiera non rispetta bene i tasti premuti,fa in modo che le scritte vengano spostate (ci sto mettendo un'ora per scrivere tutto) ...inoltre non riesco più ad accedere al router in nessun modo, neanche con il tasto reset,ma internet funziona: spero i virus nn abbiano cambiato la password forzatamente.. come recuperare unpò di strada nei confronti degli agenti infetti? :( :( :(

dimenticavo che quando accendo il computer, mi compare la richiesta di installare un driver di una usb, chiaramente senza nulla attaccato,oppure mi compare la finestra di ricerca di un file da cracckare (???)..sono malatissimo:(

ciao ho preso un bagle e sono infettatissimo nonostante abbia tolto apparentemente il problema: anche la tastiera non rispetta bene i tasti premuti,fa in modo che le scritte vengano spostate (ci sto mettendo un'ora per scrivere tutto) ...inoltre non riesco più ad accedere al router in nessun modo, neanche con il tasto reset,ma internet funziona: spero i virus nn abbiano cambiato la password forzatamente.. come recuperare unpò di strada nei confronti degli agenti infetti? :( :( :(
segui bene la guida nel primo post e carica i log

Questa è la statistica di Kaspersky, ma come faccio a capire quali sono i file corrotti? Ma poi allora devo rifare tutta la scansione con kaspersky?
http://www.box.net/shared/3gfmro9c80
le righe con i files infetti non le hai trovate?

le righe con i files infetti non le hai trovate?

Sinceramente no! il report è fatto da queste parti: Scan, Detected (vuoto), events, Statistics, settings, quarantine e backup. Inoltre no riesco più a cancellare la cartella "kaspersky lab tool" che era stata creata sul desktop.

Sinceramente no! il report è fatto da queste parti: Scan, Detected (vuoto), events, Statistics, settings, quarantine e backup. Inoltre no riesco più a cancellare la cartella "kaspersky lab tool" che era stata creata sul desktop.
prova a caricarlo completo e zippato
per la disinstallazione leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1631690
ma aspetta che ti controllo il log

prova a caricarlo completo e zippato
per la disinstallazione leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1631690
ma aspetta che ti controllo il log

Eccomi, ho terminato la scansione e questo è il risultato, sembra che problemi particolari non ce ne siano. O sbaglio?? http://www.box.net/shared/3gfmro9c80

salve anch'io sono stato infettato da un beagle, sto cercando di seguire la guida sopra ma ho problemi con avenge non è la versione per vista.
intanto posso postarvi il log di elibagla http://wikisend.com/download/597316/InfoSat.txt grazie in anticipo per il vostro aiuto..

http://www.mediafire.com/?xyyeet1bzdm

ah dimenticavo!!....ad ogni riavvio mi si apre una finestra per selezionare il file da krakkare.....
grazie di nuovo

ah dimenticavo!!....ad ogni riavvio mi si apre una finestra per selezionare il file da krakkare.....
grazie di nuovo

Immagino che abbia già provveduto a disabilitare il ripristino configurazione sistema e a cancellare tutti i crack che hanno generato l'infezione.

Immagino che abbia già provveduto a disabilitare il ripristino configurazione sistema e a cancellare tutti i crack che hanno generato l'infezione.

grazie Chill-out per il nuovo tool...
credo di averli cancellati tutti, o meglio l'unico che mi ha creato questo!!!
dove devo cercare per esserne sicuro?

grazie Chill-out per il nuovo tool...
credo di averli cancellati tutti, o meglio l'unico che mi ha creato questo!!!
dove devo cercare per esserne sicuro?

Questo non lo sò, devi sapere tu qual'è il file che ha generato l'infezione

Allega il log di Avenger che trovi in C:\Avenger.txt

Questo non lo sò, devi sapere tu qual'è il file che ha generato l'infezione

Allega il log di Avenger che trovi in C:\Avenger.txt

..altro problema:muro: ...avanger mi dice che non riesce ad aprire clean.bat....

..altro problema:muro: ...avanger mi dice che non riesce ad aprire clean.bat....

Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\system32\drivers\downld
%AppData%\Roaming\m
%SystemDrive%\WINDOWS\System32\drivers\down


clicca su MoveIT
se ti viene chiesto di riavviare clicca su YES e alla fine allega il log C:\_OTMoveIt\MovedFiles

Successivamente altro giro di EliBagla, ricorda di allegare entrambi i log.

La nuova versione di Bagle disattiva avenger e non permette la creazione dei file di pulizia. Elimina anche automaticamente il file gmer.dll in qualsiasi cartella si trovi :asd:

La guida che ho scritto io infatti procede alla rimozione automatica usando un mio file BAT dalla modalità provvisoria. E' il modo più veloce, semplice e sicuro.

....sono sempre quà!! questo è il log di MoveIt http://wikisend.com/download/587900/06162008_183520.log ..una volta riavviato il sistema si sono aperte non una ma due finestre di richesta file da krakkare!!! il .exe incriminato l'ho cancellato subito ma ora non credo si chiami più come prima....
che faccio???...Aiutatemi grazie!!!

Canna hai un MP

....sono sempre quà!! questo è il log di MoveIt http://wikisend.com/download/587900/06162008_183520.log ..una volta riavviato il sistema si sono aperte non una ma due finestre di richesta file da krakkare!!! il .exe incriminato l'ho cancellato subito ma ora non credo si chiami più come prima....
che faccio???...Aiutatemi grazie!!!

Nuovo log di EliBagla

..questo è il log di eligabla fatto in modalità provvisoria, credo abbia cancellato 5 file....http://wikisend.com/download/939080/InfoSat.txt una domanda ma perche mi parte eligabla ad ogni riavvio??

ora provo con la tua guida!

La nuova versione di Bagle disattiva avenger e non permette la creazione dei file di pulizia. Elimina anche automaticamente il file gmer.dll in qualsiasi cartella si trovi :asd:

La guida che ho scritto io infatti procede alla rimozione automatica usando un mio file BAT dalla modalità provvisoria. E' il modo più veloce, semplice e sicuro.

spiacente mase volevi veramente fare del bene alla community pubblicavi qui la tua soluzione anzicchè fare il solito spam a cui si è assistito da mesi, eravate state avvertiti.

edit: modificata la durata della sospensione, 10 giorni di sospensione :)

chi volesse farsi una lettura sulle vicende trascorse:
http://www.hwupgrade.it/forum/showthread.php?p=22230586

è un bel archivio chiarificatore :p

scusate se ho creato un pò di tensione, sono nuovo del forum e non volevo far casini!!!Grazie al vostro aiuto sono riuscito, credo, ad eliminare il beagle e ripristinare quasi tutto: antivirus, programmi bloccati, l'unica cosa è che non funziona la sche da di rete wlan!!!qualche consiglio?? come faccio ad esser sicuro che non c'è più nessuna traccia del beagle?? con cosa controllo??? grazie di nuovo a tutti quanti....

scusate se ho creato un pò di tensione, sono nuovo del forum e non volevo far casini!!!Grazie al vostro aiuto sono riuscito, credo, ad eliminare il beagle e ripristinare quasi tutto: antivirus, programmi bloccati, l'unica cosa è che non funziona la sche da di rete wlan!!!qualche consiglio?? come faccio ad esser sicuro che non c'è più nessuna traccia del beagle?? con cosa controllo??? grazie di nuovo a tutti quanti....
vorremmo vedere il log di kaspersky o f-secure
già fatto il punto 7 della guida?

scusate se ho creato un pò di tensione, sono nuovo del forum e non volevo far casini!!!Grazie al vostro aiuto sono riuscito, credo, ad eliminare il beagle e ripristinare quasi tutto: antivirus, programmi bloccati, l'unica cosa è che non funziona la sche da di rete wlan!!!qualche consiglio?? come faccio ad esser sicuro che non c'è più nessuna traccia del beagle?? con cosa controllo??? grazie di nuovo a tutti quanti....

inserisci in Avenger lo Script indicato in prima pagina ed allega il log + quanto detto sopra

scusate se ho creato un pò di tensione, sono nuovo del forum e non volevo far casini!!!

non prenderti colpe che non ti spettano :D :p ;)

...allora ho provato a fare una scansione in modalità provvisoria con kasperkay, non sò se si scrive così, ma mi da errore "....aha smesso di funzionare"..questo è il log di avenge http://wikisend.com/download/526842/avenger.txt ...avast sembra rifunzionare, ho risolto il blocco di defender, l'unica cosa che sembra anomala è la scheda wlan che non funziona...
aiutatemi grazie!!!

prova a disinstallare kaspersky quando lo chiudi, poi prova a reinstallarlo disattivando momentaneamente avast
altrimenti scansione con f-secure come indicato in guida

Bene Avenger ha fatto il suo dovere :)

La scansione col Kaspersky puoi farla da modalità normale disabilitando il tuo Av residente nello specifico Avast, per il resto leggi qui: http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

ciao chill-out!!!
niente non riesco proprio a farla la scansione con kaspersky, ho seguito le tue indicazioni ed ho riattivato tutti i servizi, ho creato il file .reg, ed ora sembra essere ritornato tutto come prima....anche se il mio dell non mi cerca più le reti senza fili con il bottoncino...
grazie a voi tutti!!

ciao chill-out!!!
niente non riesco proprio a farla la scansione con kaspersky, ho seguito le tue indicazioni ed ho riattivato tutti i servizi, ho creato il file .reg, ed ora sembra essere ritornato tutto come prima....anche se il mio dell non mi cerca più le reti senza fili con il bottoncino...
grazie a voi tutti!!
prova con f-secure http://www.hwupgrade.it/forum/showthread.php?t=1751772

prova con f-secure http://www.hwupgrade.it/forum/showthread.php?t=1751772

fatto e credo abbia trovato ancora qualcosa questo è il log http://wikisend.com/download/484422/F-Scanner log.txt sono a posto ora???
devo cercare con qualcos'altro???
grazie a tutti voi..

fatto e credo abbia trovato ancora qualcosa questo è il log http://wikisend.com/download/484422/F-Scanner log.txt sono a posto ora???
devo cercare con qualcos'altro???
grazie a tutti voi..

Allega un log di EliBagla (verifica prima che la versione del tool in possesso sia quella aggiornata)

Allega un log di EliBagla (verifica prima che la versione del tool in possesso sia quella aggiornata)

Eccomi qua di nuovo, altra scanzione con elibagla questo è il log http://wikisend.com/download/473876/InfoSat.txt
.....sono nelle vostre mani...aiutatemi!!!

Eccomi qua di nuovo, altra scanzione con elibagla questo è il log http://wikisend.com/download/473876/InfoSat.txt
.....sono nelle vostre mani...aiutatemi!!!

dovresti essere ok

Grazie a voi tutti....

Grazie a voi tutti....
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Grazie Wjmat, era proprio quello che volevo chiedere! come prevenire? e dare una ripulita al pc!
una domanda: mi collego ad internet tramite tytn2 ed ho notato che connesso tramite wifi con WMWifiRouter la connessione è più lenta che tramite cavo, sono ancora incasinato con la scheda wlan per colpa del beagle??
grazie di nuovo....

Volevo far presente che anche io sul pc in ufficio ho contratto il bagle (http://www.hwupgrade.it/forum/showthread.php?p=22976387&posted=1#post22976387) sono riuscito a toglierlo ma attuando qualche variante pescata in rete, visto che non mi funzionava nessuna scansione online, tutte le ultime versioni installate dei programmi di protezione e tutti gli exe scaricati erano stati corrotti subito dal bagle compreso Combofix,avenger, hijack this ed elibagle.

Innanzi tutto ho notato che è meglio scaricare un programma archiviato in quanto il bagle non lo corrompe l'exe se è all'interno di un archivio, a meno che non gli si da l'ok quando chiede di aggiornare l'archivio.

Per rimuoverlo ho dovuto scaricare una vecchia versione di avenger non riconosciuta da bagle,solo che la seconda volta che ho riavviato l'infezione era troppo propagata quindi si è ripresentato il bastardo :D, ho ripassato avanger, con un testo trovato in rete delle varie cartelle e chiavi da rimuovere, poi visto che per il momento era bloccato ho avviato combofix programma che da alcuni antivirus in scansione euristica viene rilevato sospetto per via delle sue funzioni che entrano in profondita nel pulire, ma non vi preoccupate è sicuro, fatto cio una volta che lui ha terminato ho installato un antivirus free o meglio demo, che a quanto pare non è riconosciuto da bagle e quindi non corrompe il suo exe, il programma in questione si chiama Twister Antivirus, con lui impostato in avanzato, quindi con tutta la scansione profonda etc.. ho rimosso tutti i file rilevati del beagle.

Ora sembra non esserci piu :)

:D :D :D

Ho trovato la procedura per eliminare le famose ed infami chiavi di registro

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

finora ineliminabili !!! :cool:





Ecco la procedura:

Scaricare il programma PsExec v1.94 che fa parte del PsTools da questa pagina

http://technet.microsoft.com/it-it/sysinternals/bb897553(en-us).aspx

(il link per il download sulla dx della pagina)



Il file zip scaricato va scompattato e l'eseguibile psexec.exe va copiato nella cartella C:\Windows\System32

Andare in Start -> Programmi -> Accessori e tasto dx su Prompt dei comandi -> Esegui come Amministratore

Nella finestra che si apre nella riga di comando copiare questo comando:

psexec -s -i regedit

dare Invio.



A questo punto si aprirà la finestra di Regedit questa volta finalmente con tutti i privilegi ed autorizzazioni possibili ed immaginabili.

Cliccare sul menù Modifica e poi Trova

digitare "srosa" ed una volta individuata la chiave tasto dx -> elimina.

E QUESTA VOLTA LA ELIMINA SUL SERIO !!!

Premere F3 per continuare la ricerca delle altre due chiavi e agire come sopra cancellandole.

Finito !!!



:cool: :cool: :cool:

:yeah:



Ciao ennys, ho seguito la procedura da te scritta per entrare come amministratore per eliminare le chiavi infette da bagle, però nn ho capito dove mettere la riga di comando... a me spunta una finestra con nome e password...

Ciao ennys, ho seguito la procedura da te scritta per entrare come amministratore per eliminare le chiavi infette da bagle, però nn ho capito dove mettere la riga di comando... a me spunta una finestra con nome e password...

Il problema è solo quello delle chiavi? Presumo quindi che la procedura di disnfezione ha avuto esito positivo, giusto?

Credo di sì, perchè all'avvio non compare più schermata dove fa scegliere il file da cracckare...
ho potuto usare cccleaner, ora sto facendo la scansione con il kaspersky virus removal tool, l'unica cosa che nn mi fa usare è l'avenger neanche la versione "antibagle" mi si chiude dopo 1 secondo...

Grazie mille!

Credo di sì, perchè all'avvio non compare più schermata dove fa scegliere il file da cracckare...
ho potuto usare cccleaner, ora sto facendo la scansione con il kaspersky virus removal tool, l'unica cosa che nn mi fa usare è l'avenger neanche la versione "antibagle" mi si chiude dopo 1 secondo...

Grazie mille!

Il chè vuol dire che non sei pulito, terminata la scansione col Kav Removal Tool alleaga il log, dopodichè scarica EliBagla (trovi il link nella prima pagina della Guida) ed alleghi il log

PS: sei sicuro di avere quelle chiavi di registro?

D'accordo...
Sì, le chiavi di registro ci sono...

Salve a tutti, mi sono appena iscritto perché... mi sono beccato questo maledetto Bagle tre giorni fa. Ho provato a seguire i consigli della guida, ma mi sono bloccato quasi subito, in quanto, una volta scaricato (punto 2) SafeBoot.zip, scompattato ed eseguito, mi avverte che non è riuscito a scrivere tutti dati nel registro. Preciso che ho Windows XP SP3 (è forse questo il problema?). Qualcuno mi può aiutare? Grazie.

Salve a tutti, mi sono appena iscritto perché... mi sono beccato questo maledetto Bagle tre giorni fa. Ho provato a seguire i consigli della guida, ma mi sono bloccato quasi subito, in quanto, una volta scaricato (punto 2) SafeBoot.zip, scompattato ed eseguito, mi avverte che non è riuscito a scrivere tutti dati nel registro. Preciso che ho Windows XP SP3 (è forse questo il problema?). Qualcuno mi può aiutare? Grazie.

Passa direttamente al Punto 3 della Guida ed allega il log

D'accordo...
Sì, le chiavi di registro ci sono...

OK attendiamo i log

OK, eccolo:

http://www.mediafire.com/?jygxndjdm5d

Grazie per l'attenzione.

OK, eccolo:

http://www.mediafire.com/?jygxndjdm5d

Grazie per l'attenzione.

Il log è incompleto, fai girare nuovamente il tool, ti allego un esempio di log completo http://wikisend.com/download/473876/InfoSat.txt

Ok, non avevo riavviato il PC. Allego il nuovo log:

http://www.mediafire.com/?v4mxxbtz1ah

Ho fatto la scansione della partizione C, dove è installato il sistema operativo, devo farla anche per le altre due partizioni?
Al riavvio, inoltre mi è comparsa la finestra con la richiesta del file da crackare (mai comparsa prima) e la schermata blu che mi era comparsa qualche giorno fa. E' normale?

OK attendiamo i log

Ecco finalmente i log:

elibagla

http://www.mediafire.com/?cz1hzj2z9ee

kav virus removal

http://www.mediafire.com/?xxgw01dy9nb

P.S.: Il log di "elibagla" si riferisce anche alla scansione che ho fatto ieri (giorno 20).

Aspetto notizie... :)

Grazie ancora!!

Ok, non avevo riavviato il PC. Allego il nuovo log:

http://www.mediafire.com/?v4mxxbtz1ah

Ho fatto la scansione della partizione C, dove è installato il sistema operativo, devo farla anche per le altre due partizioni?
Al riavvio, inoltre mi è comparsa la finestra con la richiesta del file da crackare (mai comparsa prima) e la schermata blu che mi era comparsa qualche giorno fa. E' normale?
controlla anche le altre partizioni per sicurezza e posta i log

Ecco finalmente i log:

elibagla

http://www.mediafire.com/?cz1hzj2z9ee

kav virus removal

http://www.mediafire.com/?xxgw01dy9nb

P.S.: Il log di "elibagla" si riferisce anche alla scansione che ho fatto ieri (giorno 20).

Aspetto notizie... :)

Grazie ancora!!
procedi pure

procedi pure

scusami, procedo a fare cosa?...

ancora ho le chiavi di registro di "srosa" e non posso avviare avenger...

@Phoes
bastava mettere la parte di log del kasper dove faceva il sommario...vabbè

Dalla Modalità Provvissoria:

1) Tool Rimozione Bagle
(http://fileup.itadib.com/download.php?id=q2a8YzMBk9Qfpwg4wUPV)
● Estrai il contenuto del file FixBagleXP.zip sul desktop.
● Posiziona la cartella Shared, il file FixAll.reg e Fixbagle.bat dentro la cartella C:\Documents and Settings\<Nome account windows>
(In genere sono presenti due cartelle: All Users e un'altra cartella spesso con il tuo nome. Devi posizionare il tutto dentro la cartella con il tuo nome o comunque non dentro All Users)
● Fai doppio clic sul file Fixbagle.bat e premi INVIO.

vediamo se così riesce, (anche se la procedura iniziale sarebbe un pochino differente...) poi riprovi a passare l'elibagla e l'avenger se parte...

Ho aggiunto il log relativo anche alle partizioni D ed E:

http://www.mediafire.com/?cz2z2tzxxbs

Ho proceduto intanto anche con il punto 4: allego il log di avenger

http://www.mediafire.com/?c3mgr38bwyz

Fin qui va bene? posso procedere con il punto 5?
Grazie.

procedi...

Ho fatto la scansione con Kaspersky virus removal tool, di cui allego il report

http://www.mediafire.com/?lzdu1bembe0

In kaspersky mi compare una finestra in cui mi indica il file infettato dicendomi che non può "disinfettarlo" ma mi propone di cancellarlo. Che faccio, spunto la casella "apply to all" e cancello tutti i file?
tra i files infetti (non da bagle) mi indica questo C:\Windows\system32\drivers\MFX.SYS. E' realmente pericoloso? Lo indica come "new threat hidden object" lo posso cancellare?
Resto in attesa... grazie.

@Phoes
bastava mettere la parte di log del kasper dove faceva il sommario...vabbè

Dalla Modalità Provvissoria:

1) Tool Rimozione Bagle
(http://fileup.itadib.com/download.php?id=q2a8YzMBk9Qfpwg4wUPV)
● Estrai il contenuto del file FixBagleXP.zip sul desktop.
● Posiziona la cartella Shared, il file FixAll.reg e Fixbagle.bat dentro la cartella C:\Documents and Settings\<Nome account windows>
(In genere sono presenti due cartelle: All Users e un'altra cartella spesso con il tuo nome. Devi posizionare il tutto dentro la cartella con il tuo nome o comunque non dentro All Users)
● Fai doppio clic sul file Fixbagle.bat e premi INVIO.

vediamo se così riesce, (anche se la procedura iniziale sarebbe un pochino differente...) poi riprovi a passare l'elibagla e l'avenger se parte...


Ho fatto quello che mi hai detto, però avenger ancora non si avvia...
Che faccio?

Grazie!

Ho fatto la scansione con Kaspersky virus removal tool, di cui allego il report

http://www.mediafire.com/?lzdu1bembe0

In kaspersky mi compare una finestra in cui mi indica il file infettato dicendomi che non può "disinfettarlo" ma mi propone di cancellarlo. Che faccio, spunto la casella "apply to all" e cancello tutti i file?
tra i files infetti (non da bagle) mi indica questo C:\Windows\system32\drivers\MFX.SYS. E' realmente pericoloso? Lo indica come "new threat hidden object" lo posso cancellare?
Resto in attesa... grazie.
cancella tutto, tanto poi dai log vediamo se devi ripristinare qualcosa, basta che non disinstalli kaspersky

OK, Kaspersky ha cancellato tutto tranne C:\Windows\system32\drivers\MFX.SYS (non segnalato comunque come infettato da bagle).
Cosa devo fare adesso? chiudere Kaspersky (100% scan ma la lente si muove...) e riavviare? posso passare al punto 6?
Grazie wjmat

Ho fatto quello che mi hai detto, però avenger ancora non si avvia...
Che faccio?

Grazie!

Scusami ...ho dimenticato di dirti che deve essere fatto da provvisoria (anche se il tool lo dice) poi importante che sia messo nella tua directory del tuo account..fatto tutto in questo modo?

Un altra cosa Phoes, non hai detto che sistema operativo usi

Scusami ...ho dimenticato di dirti che deve essere fatto da provvisoria (anche se il tool lo dice) poi importante che sia messo nella tua directory del tuo account..fatto tutto in questo modo?

Sì. l'ho fatto in modalità provvisoria e l'ho messo nella mia directory...

Uso WinXp - SP2.

Phoes una cosa di fondamentale importanza: è che la versione attuale di bagle infetta qualche programma in avvio per poter far danni quindi di conseguenza và disinstallato qualsiasi programma cr....to che hai eventualmente scaricato e se ne vedi qualcuno che ha come icona una X rossa quello è da disinstallare di corsa....se l'elibalga funge fagli fare un giro sia da normale che da provisoria e posta i log... poi mi dovresti dire se il tool che ti ho inserito ha trovato qualcosa...

OK, Kaspersky ha cancellato tutto tranne C:\Windows\system32\drivers\MFX.SYS (non segnalato comunque come infettato da bagle).
Cosa devo fare adesso? chiudere Kaspersky (100% scan ma la lente si muove...) e riavviare? posso passare al punto 6?
Grazie wjmat
dovresti farlo finire per poter produrre il log, e caricarcelo

ciao a tutti,
anke io ho beccato uno stronzissimo Bagle!
ecco L'infoSat di Eliblaga

http://wikisend.com/download/719554/InfoSat.txt

:help:

ciao a tutti,
anke io ho beccato uno stronzissimo Bagle!
ecco L'infoSat di Eliblaga

http://wikisend.com/download/719554/InfoSat.txt

:help:

passa al punto 4

ecco... il punto n4.....

la versione del link di avenger non è compatibile con Vista...
fatal error!:mc:

ecco... il punto n4.....

la versione del link di avenger non è compatibile con Vista...
fatal error!:mc:

errore win32 operazione non valida?

no...
mi dice che può funzionare solo con windows 2000 o xp

mi sorge un dubbio qualora trovassi una versione di Avenge x vista
lo script da inserire è lo stesso?
questa procedura può andar bene x Vista?:confused:

tnks

no...
mi dice che può funzionare solo con windows 2000 o xp

mi sorge un dubbio qualora trovassi una versione di Avenge x vista
lo script da inserire è lo stesso?
questa procedura può andar bene x Vista?:confused:

tnks

Prova con questa versione http://www.mediafire.com/?xyyeet1bzdm, lo script è lo stesso sia per utenti XP che Vista se ti dovesse presentare l'errore di cui sopra proviamo con un altro tool

ok
problema n2 al passaggio n2 :rolleyes:

Scaricato il file SafeBoot dal link x vista ma al momento dell'esecuzione mi dà un errore:

Impossibile importare SafeBoot.reg non tutti i dati sono stati scritti correttamente sul registro.Alcune chiavi sono utilizzate dal sistema o da altri processi.

salto il passaggio e procedo con avenge?

ok
problema n2 al passaggio n2 :rolleyes:

Scaricato il file SafeBoot dal link x vista ma al momento dell'esecuzione mi dà un errore:

Impossibile importare SafeBoot.reg non tutti i dati sono stati scritti correttamente sul registro.Alcune chiavi sono utilizzate dal sistema o da altri processi.

salto il passaggio e procedo con avenge?

Si al SafeBoot ci pensiamo dopo

ho sudato freddo x due minuti e poi ho cliccato su Execute

due errori

Cleanup.bat
avenger.txt

impossibile trovare i file...

presumo non abbia fatto nulla....

ho sudato freddo x due minuti e poi ho cliccato su Execute

due errori

Cleanup.bat
avenger.txt

impossibile trovare i file...

presumo non abbia fatto nulla....

Esatto, procedi così:

scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\USERS\ZOE\APPDATA\ROAMING\M\FLEC006.EXE
C:\USERS\ZOE\APPDATA\ROAMING\M\LIST.OCT


clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

Log Elibagla
anche se durante la scansione mi dava diversi accessi negati a cartelle...
http://wikisend.com/download/597316/InfoSat.txt


Log OtMove
http://wikisend.com/download/497358/06232008_173215.log

Log Elibagla
anche se durante la scansione mi dava diversi accessi negati a cartelle...
http://wikisend.com/download/597316/InfoSat.txt


Log OtMove
http://wikisend.com/download/497358/06232008_173215.log

Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\Users\Zoe\Dati applicazioni\m\flec006.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld
C:\USERS\ZOE\APPDATA\ROAMING\M\FLEC006.EXE
C:\USERS\ZOE\APPDATA\ROAMING\M\LIST.OCT

clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

Log Elibagla
continua a darmi accessi negati:mbe:
http://wikisend.com/download/534630/InfoSat.txt


Log OtMove
http://wikisend.com/download/497500/06232008_180137.log

Log Elibagla
continua a darmi accessi negati:mbe:
http://wikisend.com/download/534630/InfoSat.txt


Log OtMove
http://wikisend.com/download/497500/06232008_180137.log

Molto meglio, riscarica Avenger da dove ti avevo indicato prima ed inserisci lo Script in prima pagina, ricorda di allegare il log.

Usa nuovamente elibagla
terminato riavvia in modalità provvisoria e usa OTMoveIT2 con lo script di Chill-Out finito non riavviare e usa nuovamente elibagla

Ciao

fatto!

Eliblaga log
http://wikisend.com/download/585022/InfoSat.txt




OtM log
http://wikisend.com/download/488440/06232008_192928.log

fatto!

Eliblaga log
http://wikisend.com/download/585022/InfoSat.txt




OtM log
http://wikisend.com/download/488440/06232008_192928.log

Inserisci in Avenger lo Script indicato in prima pagina, naturalmente Avenger lo devi riscaricare, dopodichè procedi col Punto 5 - 6 e 7, mi raccomando ricorda di allegare i log, ciao.

fatto!

Eliblaga log
http://wikisend.com/download/585022/InfoSat.txt




OtM log
http://wikisend.com/download/488440/06232008_192928.log

OK;)

risolto! e sono solo le 5.30 del mattino!
:D
è ripartito anke l'antivirus!Fiù
grazie x l'aiuto tanto così :sofico: ma nke di +!

risolto! e sono solo le 5.30 del mattino!
:D
è ripartito anke l'antivirus!Fiù
grazie x l'aiuto tanto così :sofico: ma nke di +!
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

risolto! e sono solo le 5.30 del mattino!
:D
è ripartito anke l'antivirus!Fiù
grazie x l'aiuto tanto così :sofico: ma nke di +!

Allegare i log è importante, in ogni caso felice che tu abbia risolto

Ciao, è successo anche a me ieri :cry:, fortunatamente sono riuscito a risolvere il problema :D , prova ad aggiungere al registro di sistema il file allegato cambiandogli l'estensione da txt a reg, ovviamente per sicurezza fai una copia del tuo registro di sistema.


Anche a me la tua indicazione e il tuo file mi sono state utilissime. Grazie mille ;)

salve a tutti...

ho preso anche io questo virus ed ho tentato di seguire la guida ma:

quando gira elibagla non gira fino alla fine ma si interompe bruscamente...

vi allego il log:

Thu Jun 26 01:26:16 2008
EliBagle v11.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jun 26 01:26:20 2008
EliBagle v11.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
RUNTIME_REGISTRY_COMPATIBILITYSRC.ZIP -> Bagle


ecco questo è quello che mi presenta.......

grazie dell'aiuto

salve a tutti...

ho preso anche io questo virus ed ho tentato di seguire la guida ma:

quando gira elibagla non gira fino alla fine ma si interompe bruscamente...

vi allego il log:

Thu Jun 26 01:26:16 2008
EliBagle v11.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jun 26 01:26:20 2008
EliBagle v11.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
RUNTIME_REGISTRY_COMPATIBILITYSRC.ZIP -> Bagle


ecco questo è quello che mi presenta.......

grazie dell'aiuto
ciao, i log allegali secondo le modalità che trovi nelle rgole di sezione...
hai provato a farlo girare in mod. provvisoria?

ok provvedo....

in modalità provvisoria non riesco ad andarci mi va in schermata blu XP.... (anche se ho eseguito il punto2 della guida)

Aggiungo un'altra informazione: elibagla ha provato a girare anche come prima attività subito dopo il riavvio del pc... ma il risultato è sempre lo stesso.... si interrompe improvvisamente...

ecco il log
InfoSat.txt (http://wikisend.com/download/511294/InfoSat.txt)

Anche a me succede la stessa cosa, elibagla viene terminato durante l'avvio ,così tutti gli altri antispyware. Da Taskmanager mi dice che hldrrr.exe è impossibile terminarlo.....in modalità provvisoria mi da schermata blu.....a proposito io ho win2000....cosa posso fare?

Salve a tutti. Sono stata infettata da un Bagle, e nonostante segua la procedura, rimango bloccata ad un certo punto. Ho la scansione con il il tool spagnolo che mi ha individuato il virus, solo non riesco a far partire Avenger. Una volta che incollo gli script da voi forniti, mi compaiono degli avvisi d'errore (error: can't open file 'C:\cleanup.bat' impossibile trovare il file specificato; could not open cleanup batch aborting execution, error 6 handle non valido.
Qualcuno saprebbe aiutarmi?

salve a tutti..sono nuovo qui...innanzitutto grazie per tutte le informazioni che ho potuto recuperare dal vostro forum...
sono stato credo anch'io colpito da bagle...non vedevo più il disco C, non avevo più accesso ai programmi e l'antivirus sembrava morto...all'inizio poerò riuscivo anche se con qualche difficoltà a connettermi ad intrnet quindi sono riuscito a scaricare da internet spyware doctor che mi ha eliminato un po' di schifezze...
dopo sono riuscito seguendo varie procedure come quella da voi elencata a eliminaree il virus(o almeno così mi pare)..adesso funziona tutto...il pc non è rallentato quindi mi sembra che vada veramente tutto bene...
l'unico problema è che non riesco più a connettermi a interne...sia con la wireless che con il cavo...mi dice sempre che la connettività è limitata o assente...eppure prende il segnale al massimo!!!non so più cosa fare tanto più che non sono per niente esperto nel campo...ho seguito le procedure da voi descritte sia per riavviare tra i servizi la Zero connection ecc.. sia provando ad utilizzare XPTCIP Repair siua facendo una scansione con gmer che però non ha ripoportato nessun log in rosso...non so veramente più cosa fare...anche il ripristino configurazione non può essere utilizzato perchè non ci sono date antecedenti memorizzate per ripristinare le impostazioni..
io ho un pc olidata con sistema XP home edition, se qualcuno gentilmente sa aiutarmi gliene sarei veramente molto grato,grazie diego!

Anche a me succede la stessa cosa, elibagla viene terminato durante l'avvio ,così tutti gli altri antispyware. Da Taskmanager mi dice che hldrrr.exe è impossibile terminarlo.....in modalità provvisoria mi da schermata blu.....a proposito io ho win2000....cosa posso fare?

Magicamente al riavvio si è aperta la finestra di elibagla, effettuata la sequenza consigliata di analisi, adesso tutto funge..:D :D :D

Magicamente al riavvio si è aperta la finestra di elibagla, effettuata la sequenza consigliata di analisi, adesso tutto funge..:D :D :D
riesci a caricarci qualche log? ;)

salve a tutti..sono nuovo qui...innanzitutto grazie per tutte le informazioni che ho potuto recuperare dal vostro forum...
sono stato credo anch'io colpito da bagle...non vedevo più il disco C, non avevo più accesso ai programmi e l'antivirus sembrava morto...all'inizio poerò riuscivo anche se con qualche difficoltà a connettermi ad intrnet quindi sono riuscito a scaricare da internet spyware doctor che mi ha eliminato un po' di schifezze...
dopo sono riuscito seguendo varie procedure come quella da voi elencata a eliminaree il virus(o almeno così mi pare)..adesso funziona tutto...il pc non è rallentato quindi mi sembra che vada veramente tutto bene...
l'unico problema è che non riesco più a connettermi a interne...sia con la wireless che con il cavo...mi dice sempre che la connettività è limitata o assente...eppure prende il segnale al massimo!!!non so più cosa fare tanto più che non sono per niente esperto nel campo...ho seguito le procedure da voi descritte sia per riavviare tra i servizi la Zero connection ecc.. sia provando ad utilizzare XPTCIP Repair siua facendo una scansione con gmer che però non ha ripoportato nessun log in rosso...non so veramente più cosa fare...anche il ripristino configurazione non può essere utilizzato perchè non ci sono date antecedenti memorizzate per ripristinare le impostazioni..
io ho un pc olidata con sistema XP home edition, se qualcuno gentilmente sa aiutarmi gliene sarei veramente molto grato,grazie diego!
quando sei collegato con il cavo, riesci ad entrare nel router?
il tuo ip locale è statico o automatico con dhcp?

ok provvedo....

in modalità provvisoria non riesco ad andarci mi va in schermata blu XP.... (anche se ho eseguito il punto2 della guida)

Aggiungo un'altra informazione: elibagla ha provato a girare anche come prima attività subito dopo il riavvio del pc... ma il risultato è sempre lo stesso.... si interrompe improvvisamente...

ecco il log
InfoSat.txt (http://wikisend.com/download/511294/InfoSat.txt)
Prova prima a dare una ripulita con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812

Grazie........

cmq siccome il mio è un pc aziendale non credo che riuscirò a fare tutto..... domani proveranno a debellare il virus ma sono sicuro che alla fine formatteranno.

vi farò sapere

a presto e grazie

quando sei collegato con il cavo, riesci ad entrare nel router?
il tuo ip locale è statico o automatico con dhcp?


dunque...non so bene cosa intendi per entrare nel router...di solito mi connetto in wireless cmq anche connettendo il cavo eternet mi rileva lo stesso problema della connettività limitata...per quanto riguarda l'ip..tutto quello che so è che teoricamente nel mio computer viene assegnato automaticamente un indirizzo ip...avevo provato leggendo nel forum ad assegnare manualmente un indirizzo al computer e in questo modo scompare la scritta della connettività limitata ma non si risolve il problema ovvero non riesco a navigare ugualmente....
spero che le poche info che sono in grado di darvi possano rendere un po' l'idea del problema...purtroppo nn sono molto pratico anche se a furia di forum ormai qcs sto capendo anch'io...;-)
grazie ciaooo

dunque...non so bene cosa intendi per entrare nel router...di solito mi connetto in wireless cmq anche connettendo il cavo eternet mi rileva lo stesso problema della connettività limitata...per quanto riguarda l'ip..tutto quello che so è che teoricamente nel mio computer viene assegnato automaticamente un indirizzo ip...avevo provato leggendo nel forum ad assegnare manualmente un indirizzo al computer e in questo modo scompare la scritta della connettività limitata ma non si risolve il problema ovvero non riesco a navigare ugualmente....
spero che le poche info che sono in grado di darvi possano rendere un po' l'idea del problema...purtroppo nn sono molto pratico anche se a furia di forum ormai qcs sto capendo anch'io...;-)
grazie ciaooo
messenger e programmi di posta funzionano?
come dns cosa hai impostato? li trovi nelle proprietà tcp/ip dove si imposta anche l'ip manuale

salve,
http://www.virustotal.com/it/
col link sopra ho verificato che un file che ho eseguito conteneva bagle
ora ho l'antivirus disattivato..ma sono infetto?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0.30.27, on 28/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\DellTPad\Apoint.exe
C:\Programmi\DellTPad\ApMsgFwd.exe
C:\Programmi\Protector Suite QL\psqltray.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\DellTPad\Apntex.exe
C:\Programmi\DellTPad\HidFind.exe
C:\Programmi\UberIcon\UberIcon Manager.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DNA\btdna.exe
C:\Programmi\I8kfanGUI\I8kfanGUI.exe
C:\Programmi\BitTorrent\bittorrent.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\STacSV.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\VideoLAN\VLC\vlc.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\TU0PVU74\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programmi\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Programmi\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [i8kfangui] C:\Programmi\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RivaTuner.lnk = C:\Programmi\RivaTuner v2.09\RivaTuner.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214135663500
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA3C58C3-C46F-4E25-BE6B-0F723E78B59E}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: prio.dll
O20 - Winlogon Notify: voicesub32 - C:\WINDOWS\SYSTEM32\voicesub32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

--
End of file - 10437 bytes

Ciao Ragazzi mi sa che ho preso un Virus, non riesco ad accedere al mulo, non mi fa installare gli antivirus, quando apro media player mi si blocca, e in più non riesco ad aprire internet explorer, adesso sto usando mozilla, cosa devo fare???
Inoltre ieri avast mi aveva trovato un trojan che si trovava su "C:\Programmi\Programmini\WinRar\Zip.SFX", e adesso non mi fa fare un cavolo.

Un'altro dato, come sistema operativo ho xp service pack 2,
comunque avast funza, ma non mi trova nessun virus..

Un'altro dato, come sistema operativo ho xp service pack 2,
comunque avast funza, ma non mi trova nessun virus..

Se Avast funziona dubito fortemente sia il Bagle

Se Avast funziona dubito fortemente sia il Bagle

Allora cosa può essere?

Allora cosa può essere?
Apriti una discussione tutta tua, spieghi brevemente il problema leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei log nell'ordine indicato.

Allora cosa può essere?

Difficile da dire puoi eventualemnte seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

NB: dopo aver prodotto tutti log è opportuno aprire una nuova discussione nella Sezione aiuto sono infetto!

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

salve,
http://www.virustotal.com/it/
col link sopra ho verificato che un file che ho eseguito conteneva bagle
ora ho l'antivirus disattivato..ma sono infetto?

Dal log, non caricato secondo le modalità, si vede altro ma non bagle...ma può essere un limite di hjt, non aggiornato, tra l'altro...
Tu comincia a seguire la guida che verifichiamo

messenger e programmi di posta funzionano?
come dns cosa hai impostato? li trovi nelle proprietà tcp/ip dove si imposta anche l'ip manuale

dunque la posta e messenger non funzionano, proprio perchè mi dicono che non sono connesso...
come dns ho visto che è impostato Usa i seguenti... però non ci sono valori all'interno delle due righe sottostanti...

dunque la posta e messenger non funzionano, proprio perchè mi dicono che non sono connesso...
come dns ho visto che è impostato Usa i seguenti... però non ci sono valori all'interno delle due righe sottostanti...
io comincerei collegando il router tramite cavo e impostando l'ip in manuale.
leggi sulle istruzioni qul'è ip di defalt del router e aggiungi 1 all'ultima cifra.
subnet mask ci metti 255.255.255.0
gateway ci metti quello del router che hai cercato prima...
dns:208.67.220.220
208.67.222.222
tramite un browser qualsiasi o esplora risorse, se nell'indirizzo ci metti l'ip del router potrai accedere al suo menù di configurazione.

Dal log, non caricato secondo le modalità, si vede altro ma non bagle...ma può essere un limite di hjt, non aggiornato, tra l'altro...
Tu comincia a seguire la guida che verifichiamo

la maggior parte dei programmi da cui salvare il log non riesco ad installarli o eseguirli (applicazione win32 non valida)


edit: stavo quasi per formattare..ma in un attimo mi sono ricordato di tutti i driver e programmi che dovrei reinstallare:(
qualcuno mi aiuta nella disinfezione?

elibagla in prima pagina non funziona più..se ho capito lo spagnolo esiste una versioe successiva, ma non la trovo
neanche il link ad avenger funziona

kaspersky virus removal tool si installa ma non si avvia ("impossibile avviare l'app specificata)
ccleaner si installa ma non si avvia (parte la schermata del softwae e scompare subito)

Salve a tutti.

Eligabla dà qualche problema anche a me. :confused:

Avenger non ho capito se ha fatto il suo dovere o meno, forse dovrei usare l'altra versione visto che ho xp, ma il link nel primo post è in realtà solo testo. :confused: :confused:

Ho scansionato con Kaspersky, ma il log è di dimensioni per il momento eccessive... ditemi se posso darci un'occhiata io.

Ho controllato poi anche con Spyware Doctor. Ha trovato alcune cose, tra cui una di livello alto (un file in c://windows/system32 dal nome eraseme_84434.exe) ma non avendo una versione registrata non posso eliminarle.

Non ho ancora controllato se funziona il safe mode, domani provvedo.

Salve a tutti.

Eligabla dà qualche problema anche a me. :confused:

Avenger non ho capito se ha fatto il suo dovere o meno, forse dovrei usare l'altra versione visto che ho xp, ma il link nel primo post è in realtà solo testo. :confused: :confused:

Ho scansionato con Kaspersky, ma il log è di dimensioni per il momento eccessive... ditemi se posso darci un'occhiata io.

Ho controllato poi anche con Spyware Doctor. Ha trovato alcune cose, tra cui una di livello alto (un file in c://windows/system32 dal nome eraseme_84434.exe) ma non avendo una versione registrata non posso eliminarle.

Non ho ancora controllato se funziona il safe mode, domani provvedo.
ricomincia con elibagla in mod. provvisoria

ciao a tutti io ho il bagle nel pc con windows vista home premium(antivirus AVG dato che l'antivir non riesco a installarlo) però la modalità provvisoria mi va lo stesso...come è possibile??poi ho provato ad esempio the avenger, il removal tool della symantec e altre cose ma mi danno errore e non riesco a farle....non riesco a togliere questo virus come posso fare???non sono tanto esperta di pc mi sono iscritta oggi sul forum apposta...

ciao, segui l'ordine della guida nel primo post:
-disattiva il ripristino di conf. sist
-elibagla da mod. provvisoria anche più di una volta, e ci carichi il log la la funzione gestisci allegati

ciao, segui l'ordine della guida nel primo post:
-disattiva il ripristino di conf. sist
-elibagla da mod. provvisoria anche più di una volta, e ci carichi il log la la funzione gestisci allegati

ok ora provo , il ripristino config. di sistema l'avevo già disattivato quindi uso elibagla e poi carico il log...speriamo bene

ho fatto elibagla in modalità provvisoria...ecco il log



http://www.fileqube.com/shared/uYJwtGouD49906

poi ho anche usato avenger

http://www.fileqube.com/shared/sRjlqOoF49913

E nell'archivio di avenger c'era anche questo che ho eseguito (hijackthis)

http://www.fileqube.com/shared/YkYrJH49919

adesso che cosa devo fare?

ricomincia con elibagla in mod. provvisoria

La modalità provvisoria continua a non avviarsi.

Ho fatto uno scan con Spybot che ha corretto un paio di cose nel registro, e con Avast, che ha trovato un trojan in se stesso senza riuscire a rimuoverlo:

c://programmi/Alwil/Avast/Data/Integ/avast.int

Lo descrive come Win32: HacDef-IZ [Trj]

:confused:


PS: ho riscaricato elibagla e ora funziona... ma non ha trovato nulla.

ho fatto elibagla in modalità provvisoria...ecco il log



http://www.fileqube.com/shared/uYJwtGouD49906

poi ho anche usato avenger

http://www.fileqube.com/shared/sRjlqOoF49913

E nell'archivio di avenger c'era anche questo che ho eseguito (hijackthis)

http://www.fileqube.com/shared/YkYrJH49919

adesso che cosa devo fare?
fai fare un ultimo giro ad elibagla, alla prima tornata ha fatto una strage... ;)
poi posta il log e comincia a seguire il punto 4

Ciao a tutti ragazzi...
Anche il mio portatile con windows vista è stato infettato da Bagle e visto che ho una partizione con linux mi seccava formattare

http://www.mediafire.com/?v9nyld9ccyd [ELIBAGLA]


http://www.mediafire.com/?94voxmmj9pt [AVENGER]

Non so se vadano bene i risultati...cmq il punto 4 della guida non riesco a farlo perchè con kaspersky lo installo ma subito dopo l'nstallazione mi dice "kaspersky anti-virus ha smesso di funzionare" e non riesco a fare la scansione (neanche in modalità provvisoria) (non ho kaspersky già intallato nel portatile). E con f-secure online scanner mi da dei problemi nell'activeX (inizialmente clicco su installa il controllo activeX ma successivamentemi compare un avviso che mi dice "Insufficient rights to use ActiveX controls...") Ho provato a smanettare nelle opzioni internet per il controllo activeX....ma niente....adesso come faccio per togliere sto cavolo di vius....grazie mille in anticipo....siete grandi!!!!!!

Ciao a tutti ragazzi...
Anche il mio portatile con windows vista è stato infettato da Bagle e visto che ho una partizione con linux mi seccava formattare

http://www.mediafire.com/?v9nyld9ccyd [ELIBAGLA]


http://www.mediafire.com/?94voxmmj9pt [AVENGER]

Non so se vadano bene i risultati...cmq il punto 4 della guida non riesco a farlo perchè con kaspersky lo installo ma subito dopo l'nstallazione mi dice "kaspersky anti-virus ha smesso di funzionare" e non riesco a fare la scansione (neanche in modalità provvisoria) (non ho kaspersky già intallato nel portatile). E con f-secure online scanner mi da dei problemi nell'activeX (inizialmente clicco su installa il controllo activeX ma successivamentemi compare un avviso che mi dice "Insufficient rights to use ActiveX controls...") Ho provato a smanettare nelle opzioni internet per il controllo activeX....ma niente....adesso come faccio per togliere sto cavolo di vius....grazie mille in anticipo....siete grandi!!!!!!

Fai girare nuovamente EliBagla dalla modalità provvisoria ed allega il log

L'ho rifatto....ecco....

http://www.mediafire.com/?swizu41c1nx

cmq non so se sia importante, alcuni file o cartelle me le salta, mi compare un avviso con il percorso e in spagnolo mi dice che nn può controllarla..se è importante lo rifaccio e mi segno i percorsi...saranno 5 più o meno

L'ho rifatto....ecco....

http://www.mediafire.com/?swizu41c1nx

cmq non so se sia importante, alcuni file o cartelle me le salta, mi compare un avviso con il percorso e in spagnolo mi dice che nn può controllarla..se è importante lo rifaccio e mi segno i percorsi...saranno 5 più o meno

Fai la scansione online con F-Secure cliccando col tasto dx del mouse sull'icone di IE ed eseguire come Amministratore

Sicuramente sono molto rincoglionito (ho finito sabato la maturità e sono ancora provato) ma come faccio ad eseguire ie come amministratore....

non va con tasto dx ed esegui come admin...?

posto come da sequenza istruzioni:

http://wikisend.com/download/726278/InfoSat.txt


Mon Jun 30 13:01:33 2008
EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.53
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Jun 30 13:02:28 2008
EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5909
Nº Total de Ficheros: 63683
Nº de Ficheros Analizados: 12800
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

io comincerei collegando il router tramite cavo e impostando l'ip in manuale.
leggi sulle istruzioni qul'è ip di defalt del router e aggiungi 1 all'ultima cifra.
subnet mask ci metti 255.255.255.0
gateway ci metti quello del router che hai cercato prima...
dns:208.67.220.220
208.67.222.222
tramite un browser qualsiasi o esplora risorse, se nell'indirizzo ci metti l'ip del router potrai accedere al suo menù di configurazione.

eccomi di nuovo...ho seguito tutti i consigli che mi hai dato ma ancora niente...non riesco a connettermi ne col cavo ne in wireless...sono spacciato???non posso formattare mi sparo se no....aiuto plsssssss!!!!:muro:

posto come da sequenza istruzioni:

http://wikisend.com/download/726278/InfoSat.txt


Mon Jun 30 13:01:33 2008
EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.53
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Jun 30 13:02:28 2008
EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5909
Nº Total de Ficheros: 63683
Nº de Ficheros Analizados: 12800
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Passa al Punto 3 della Guida ed allega il log

fai fare un ultimo giro ad elibagla, alla prima tornata ha fatto una strage... ;)
poi posta il log e comincia a seguire il punto 4

OK allora adesso faccio elibagla...kaspesky l'ho provato ieri ma non sono riuscita a farlo...avevo fatto ccleaner che mi ha tolto un pò di cose^^

Sono stato un pirla io x il fatto di ie...cmq ecco il risulato di f-secure

http://www.mediafire.com/?bt3x5tiygdn

Sono stato un pirla io x il fatto di ie...cmq ecco il risulato di f-secure

http://www.mediafire.com/?bt3x5tiygdn

controlla che il ripristino configurazione sistema sia disattivato, dopodichè prova a reistallare il tuo AV

grazie mille ragazzi...avast si è reinstallato e va senza problemi....adesso procedo come da punto 6 e riattivo tutti i servizi disabilitati??? Perchè all'avvio mi da un errore di windows defender....si risolve con il punto 6?

p.s una curiosità ma perchè per eliminare qualsiasi tipo di virus o problema si deve sempre disattivare il ripristino??? Cos'ha quel programma che nn va?

ho rifatto elibagla...ecco il log:


http://www.fileqube.com/shared/KXsbW50498

poi ho provato a fare kaspersky però lo installo e mi dice "kaspersky antivirus ha smesso di funzionare"quindi non riesco a fare la scansione....con f-secure(la scansione online) mi da problemi con l'active x ...boh ho anche provato a modificare le opzioni per l'active x ma niente...intanto adesso ho fatto ccleaner

grazie mille ragazzi...avast si è reinstallato e va senza problemi....adesso procedo come da punto 6 e riattivo tutti i servizi disabilitati??? Perchè all'avvio mi da un errore di windows defender....si risolve con il punto 6?

p.s una curiosità ma perchè per eliminare qualsiasi tipo di virus o problema si deve sempre disattivare il ripristino??? Cos'ha quel programma che nn va?
avast è vivamente sconsigliato...
nel trattamento che ho in firma trovi come mettere al sicuro il pc ;)

ho rifatto elibagla...ecco il log:


http://www.fileqube.com/shared/KXsbW50498

poi ho provato a fare kaspersky però lo installo e mi dice "kaspersky antivirus ha smesso di funzionare"quindi non riesco a fare la scansione....con f-secure(la scansione online) mi da problemi con l'active x ...boh ho anche provato a modificare le opzioni per l'active x ma niente...intanto adesso ho fatto ccleaner
da mod. normale lancialo e mentre lo chiudi disinstallalo, se non parte nella sua cartella c'è un file uninstal o simile...per disinstallarlo

rifai il passagio con avenger e posta il log

poi riscarichi kaspersky, e da mod provvisoria lo reinstalli e riprovi

p.s una curiosità ma perchè per eliminare qualsiasi tipo di virus o problema si deve sempre disattivare il ripristino??? Cos'ha quel programma che nn va?

Perché spesso la cartella System Volume Information che contiene appunto i file di ripristino può essere infetta e se si tenta un ripristino c'è il rischio di ripristinare anche il virus :asd:

Salve a tutti, credo di aver beccato una variante di questo virus, ho fatto tutte le operazioni preliminari.

Sono riuscito a far ripartire l'antivirus e adesso sto facendo le scansioni anche con kaspersky e fsecure.
Il problema è che il servizio di aggiornamenti automatici non si avvia. Come OS ho vista.

Qualche consiglio? Grazie anticipatamente

Salve a tutti, credo di aver beccato una variante di questo virus, ho fatto tutte le operazioni preliminari.

Sono riuscito a far ripartire l'antivirus e adesso sto facendo le scansioni anche con kaspersky e fsecure.
Il problema è che il servizio di aggiornamenti automatici non si avvia. Come OS ho vista.

Qualche consiglio? Grazie anticipatamente

http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441


E' proprio quello che tento di fare ma niente. Inoltre non capisco perchè mi si è riattivato automaticamente il controllo account utente che non riesco a togliere

E' proprio quello che tento di fare ma niente. Inoltre non capisco perchè mi si è riattivato automaticamente il controllo account utente che non riesco a togliere

UAC sarebbe meglio lasciarlo abilitato, il servizio di aggiornamenti automatici è presente nell'elenco dei servizi?

UAC sarebbe meglio lasciarlo abilitato, il servizio di aggiornamenti automatici è presente nell'elenco dei servizi?

Vabbè riguardo UAC l'ho sempre disabilitato. Si il servizio aggiornamenti è presente è messo come automatico ma non si avvia col seguente errore:

"Errore 126: Impossibile trovare il modulo specificato"

Ciao ragazzi spero mi possiate aiutare... sono un malato grave... :/
anch'io sono stato infettato da questo bel virus...
ho gia scaricato tutti i tool che consigliate e ho già pronto quasi tutti i log.
c'è qualcuno che mi può aiutare?
la cosa stupenda è che riavviando il pc alcuni driver sono andati a quel paese...
a volte non va il mouse e non è molto rilassante usare solo la tastiera... per non dire delle bizze che fa lo schermo ma spero che questo riesca a risolverlo dopo aver tolto sto virus...
per non parlare di explorer.exe che mi si pianta ogni tanto...
va bè ora cerchiamo di togliere il virus...

prevx csi.JPG >> http://www.fileqube.com/shared/YuImAlav51023
gmer.log >> http://wikisend.com/download/580354/gmer.log
hijackthis.log >> http://wikisend.com/download/532134/hijackthis.log
ELIBAGLA >> http://wikisend.com/download/584220/InfoSat.txt
prevx csi.log >> http://wikisend.com/download/526170/prevx csi.log
SysInspector >> http://wikisend.com/download/722630/SysInspector-PC-MATTIA-080701-2110.xml

Non è finita... ogni volta che riavvio il PC parte il file del virus (un crack) che mi dice: select file to crack e se lo chiudo iniziano gli errori vari e a volte va in schermata blu....

Ciao ragazzi spero mi possiate aiutare... sono un malato grave... :/
anch'io sono stato infettato da questo bel virus...
ho gia scaricato tutti i tool che consigliate e ho già pronto quasi tutti i log.
c'è qualcuno che mi può aiutare?
la cosa stupenda è che riavviando il pc alcuni driver sono andati a quel paese...
a volte non va il mouse e non è molto rilassante usare solo la tastiera... per non dire delle bizze che fa lo schermo ma spero che questo riesca a risolverlo dopo aver tolto sto virus...
per non parlare di explorer.exe che mi si pianta ogni tanto...
va bè ora cerchiamo di togliere il virus...

prevx csi.JPG >> http://www.fileqube.com/shared/YuImAlav51023
gmer.log >> http://wikisend.com/download/580354/gmer.log
hijackthis.log >> http://wikisend.com/download/532134/hijackthis.log
ELIBAGLA >> http://wikisend.com/download/584220/InfoSat.txt
prevx csi.log >> http://wikisend.com/download/526170/prevx csi.log
SysInspector >> http://wikisend.com/download/722630/SysInspector-PC-MATTIA-080701-2110.xml

Non è finita... ogni volta che riavvio il PC parte il file del virus (un crack) che mi dice: select file to crack e se lo chiudo iniziano gli errori vari e a volte va in schermata blu....
devi seguire la guida del primo post di questa discussione non quella generale ;)

Le ho seguite tutte due...
questa più specifica mi pianto al punto 3 il programma mi da un sacco di errori dopo che ho fatto execute...
1° errore: Error: Can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato)
2° errore: Could not open cleanup batch. Aborting execution! (errore 6: handle non valido.)
3° errore: Error: Can't open file 'C:\avanger.txt' (error 2: impossibile trovare il file specificato)
4° errore: Could not log error messages to file. (errore 6: handle non valido.)

Mentre con kaspersky virus removal tool scompatto e alla fine dell'operazione mi dice: Applicazione non correttamente inizializzata (0x000000f). Fare clic su OK per chiudere l'applicazione.
E poi non è finita...
Impossibile avviare l'applicazione specificata. prremote.dll non è stato trovato. Una nuova instalazione dell'applicazione potrebbe risolvere il problema.

e con kaspersky virus removal tool è finita...

F-secure online scanner.... bè la legge di murphy dice che se qualcosa va male andrà anche tutto il resto male...
quindi F-secure online scanner non funziona... Downloaded database file is corrupt! Please close the scanner and try again.

Ah bè per consolarmi CCleaner funziona ed ho già fatto parecchie passate...
nonostante tutto la finestrella: Select file to crack mi tiene sempre compagnia... Help...

NB: ripristino configurazione sistema disattivato, inoltre devi eliminare tutti i crack che hanno generato l'infezione

- Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

- Fai girare nuovamente EliBagla al termine riavvia il Pc in modalità provvisoria F8, al riavvio in modalità provvisoria fai girare ancora EliBagla

- Doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\MATTIA\DATI APPLICAZIONI\M\FLEC006.EXE
C:\DOCUMENTS AND SETTINGS\MATTIA\DATI APPLICAZIONI\M\LIST.OCT
C:\Programmi\SlySoft\AnyDVD\ANYDVDTRAY.EXE

clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

ok procedo, cmq è possibile che il ripristino configurazione sistema si riattivi sa solo? l'ho più volte disattivato ma si riattiva.
io dovrei aver cancellato tutti i crack ma la finestrella rimane sempre aperta... cmq procedo e posto

Vabbè riguardo UAC l'ho sempre disabilitato. Si il servizio aggiornamenti è presente è messo come automatico ma non si avvia col seguente errore:

"Errore 126: Impossibile trovare il modulo specificato"

UAC disabilitato non và bene, procedi cosi:

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

regsvr32 wuaueng.dll e batti invio

per uscire digita Exit