View Full Version : Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione
Chill-Out
02-07-2008, 10:19
ok procedo, cmq è possibile che il ripristino configurazione sistema si riattivi sa solo? l'ho più volte disattivato ma si riattiva.
io dovrei aver cancellato tutti i crack ma la finestrella rimane sempre aperta... cmq procedo e posto
Si è possibile che il system restore si riattivi, segui la procedura mi raccomando presta attenzione alle istruzioni.
Mattia37
02-07-2008, 10:40
ok procedure effettuate alla lettera
ecco i log:
http://wikisend.com/download/574638/InfoSat.txt
http://wikisend.com/download/584196/07022008_112343.log
Aggiungo:
é cambiato il risultato di prevx: http://www.fileqube.com/shared/ghLasisj51227
ed ogni tanto escono questi messaggi:
http://www.fileqube.com/shared/RKpYXL51229
http://www.fileqube.com/shared/KbsgUjDhu51230
Giusto per avere un quadro della situazione migliore (ah stranamente va il mouse)
Chill-Out
02-07-2008, 11:10
ok procedure effettuate alla lettera
ecco i log:
http://wikisend.com/download/574638/InfoSat.txt
http://wikisend.com/download/584196/07022008_112343.log
Aggiungo:
é cambiato il risultato di prevx: http://www.fileqube.com/shared/ghLasisj51227
ed ogni tanto escono questi messaggi:
http://www.fileqube.com/shared/RKpYXL51229
http://www.fileqube.com/shared/KbsgUjDhu51230
Giusto per avere un quadro della situazione migliore (ah stranamente va il mouse)
Esegui il punto 3 della Guida ovviamente il tool lo devi riscaricare
Mattia37
02-07-2008, 11:27
Fatto ecco il log:
http://wikisend.com/download/566054/avenger.txt
Chill-Out
02-07-2008, 11:30
Fatto ecco il log:
http://wikisend.com/download/566054/avenger.txt
Bene porta a termine la Guida con i Punti 4 - 5 - 6 il Kav Removal Tool ovviamente lo devi riscaricare
Mi dici qual'era il tuo AV prima di contrarre il Bagle?
Mattia37
02-07-2008, 11:34
NOD 32
con firewall saygate
ma secondo te i crash di explorer a cosa sono dovuti? mi è ricapitato di nuovo...
Chill-Out
02-07-2008, 11:52
NOD 32
con firewall saygate
ma secondo te i crash di explorer a cosa sono dovuti? mi è ricapitato di nuovo...
Per il momento reinstalla il Nod configuralo, aggiornalo e fai una scansione completa del sistema + i Punti della Guida indicati sopra, per il discorso degli errori lo approfondiamo successivamente perchè possono essere diverse cose.
Mattia37
02-07-2008, 12:15
Ok eseguo, ci impiegheranno un pò a controllare tutto...
intanto ti ringrazio infinitamente per l'aiuto!
la finestrella mi ha abbandonato e le cose sembrano rientrate quasi tutte nella normalità. Grazie ancora del tuo tempo.
per gli errori ora sistemo tutto, reinstallo i driver aggiornati e poi vediamo se si ripresentano.
MattiaAnimeRex
02-07-2008, 12:47
Ciao a tutti!:D
Ho trovato questo sito mentre vagavo alla ricerca di una soluzione per eliminare il maledetto flec006.exe, e' il primo virus che mi da' veramente problemi!!!
Nemmeno Hijack riesco ad usare dato che esce i messaggino "..non e' un applicazione di win32 valida"....
Posto qui di seguito il log di Elibagla nella speranza che possiate aiutarmi!!!:help: :help:
Wed Jul 02 13:12:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Wed Jul 02 13:13:52 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:09 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:13 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:49:06 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Jul 02 13:49:46 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\119421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\143750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14831390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14905093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\158140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\9647718.EXE --> Eliminado Bagle
Nº Total de Directorios: 5087
Nº Total de Ficheros: 58333
Nº de Ficheros Analizados: 5596
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
Wed Jul 02 14:52:51 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Detective Conan 2\APPLIAN_FLV_PLAYER_1.33.EXE --> Eliminado Bagle.dldr
D:\Detective Conan 2\Replay Media Catcher 2.01\REPLAY MEDIA CATCHER 2.01.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 430
Nº Total de Ficheros: 15644
Nº de Ficheros Analizados: 215
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
UAC disabilitato non và bene, procedi cosi:
Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:
regsvr32 wuaueng.dll e batti invio
per uscire digita Exit
Fatto ma in pratica se vado su account utente UAC è sempre non spuntanto però è attivo.
E in più ho quei servizi che non partono, ma ho fatto tutte le scansioni e non c'è più traccia di nessun virus
Giampaolo Olivotti
02-07-2008, 13:59
Anche io ho Bagle, purtroppo.....
Vin vista...
1) disabilitati il ripristino
2) eseguito elibagla con il log allegato
3) eseguito Avenger, ma con tutti questi messaggi di errore e quindi NON eseguito:
---------------------------
Error
---------------------------
Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not open cleanup batch.Aborting execution! (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Quit?
---------------------------
No action has been queued for next reboot. Are you sure you want to quit The Avenger?
---------------------------
Sì No
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
AIUTO PER FAVOREEEE
Chill-Out
02-07-2008, 14:17
Fatto ma in pratica se vado su account utente UAC è sempre non spuntanto però è attivo.
E in più ho quei servizi che non partono, ma ho fatto tutte le scansioni e non c'è più traccia di nessun virus
Uac è un discorso a parte decidi tu se attivarlo o meno, io consiglio di tenerlo attivo, per quanto riguarda il problema degli aggiornamenti hai fatto questo:
Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:
regsvr32 wuaueng.dll e batti invio
per uscire digita Exit
Chill-Out
02-07-2008, 14:29
Ciao a tutti!:D
Ho trovato questo sito mentre vagavo alla ricerca di una soluzione per eliminare il maledetto flec006.exe, e' il primo virus che mi da' veramente problemi!!!
Nemmeno Hijack riesco ad usare dato che esce i messaggino "..non e' un applicazione di win32 valida"....
Posto qui di seguito il log di Elibagla nella speranza che possiate aiutarmi!!!:help: :help:
Wed Jul 02 13:12:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Wed Jul 02 13:13:52 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:09 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:14:13 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 13:49:06 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Wed Jul 02 13:49:46 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\119421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\143750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14831390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14905093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\158140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\9647718.EXE --> Eliminado Bagle
Nº Total de Directorios: 5087
Nº Total de Ficheros: 58333
Nº de Ficheros Analizados: 5596
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
Wed Jul 02 14:52:51 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Detective Conan 2\APPLIAN_FLV_PLAYER_1.33.EXE --> Eliminado Bagle.dldr
D:\Detective Conan 2\Replay Media Catcher 2.01\REPLAY MEDIA CATCHER 2.01.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 430
Nº Total de Ficheros: 15644
Nº de Ficheros Analizados: 215
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Punto 3 della Guida se funziona eventualmente procediamo diversamente, ti ricordo che i log vanno allegatI come indicato in Guida, grazie per la collaborazione.
Chill-Out
02-07-2008, 14:36
Anche io ho Bagle, purtroppo.....
Vin vista...
1) disabilitati il ripristino
2) eseguito elibagla con il log allegato
3) eseguito Avenger, ma con tutti questi messaggi di errore e quindi NON eseguito:
---------------------------
Error
---------------------------
Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not open cleanup batch.Aborting execution! (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Quit?
---------------------------
No action has been queued for next reboot. Are you sure you want to quit The Avenger?
---------------------------
Sì No
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
AIUTO PER FAVOREEEE
NB: ripristino configurazione sistema disattivato, inoltre devi eliminare tutti i crack che hanno generato l'infezione
- Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
- Fai girare nuovamente EliBagla al termine riavvia il Pc in modalità provvisoria F8, al riavvio in modalità provvisoria fai girare ancora EliBagla
- Doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\USERS\PAOLO\APPDATA\ROAMING\M\FLEC006.EXE
C:\USERS\PAOLO\APPDATA\ROAMING\M\LIST.OCT
clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles
Giampaolo Olivotti
02-07-2008, 16:34
Tutto fatto come da istruzioni.
Al riavvio del pc ottengo sempre questo msg:
---------------------------
Windows Defender
---------------------------
Impossibile inizializzare l'applicazione: 0x800106ba. Il servizio utilizzato dal programma è stato arrestato a causa di un problema. Per avviare il servizio, riavviare il computer oppure consultare Guida e supporto tecnico per informazioni su come avviare un servizio manualmente.
---------------------------
OK
---------------------------
e qui allego i log:
1)Elibagla: vedi file allegato...
Giampaolo Olivotti
02-07-2008, 16:40
2) e ecco il log di OTMoveIT2:
Ma non riesco a metterlo come allegato!!! Mi dice invalid file....
allora lo incollo.... è un pò grande... ma.....
< %SystemDrive%\WINDOWS\system32\drivers\hidr.exe >
Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys >
Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe >
Folder C:\WINDOWS\system32\wintems.exe not found.
< %SystemDrive%\WINDOWS\system32\hldrrr.exe >
Folder C:\WINDOWS\system32\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\trusted.exe >
Folder C:\WINDOWS\system32\trusted.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %UserProfile%\Dati applicazioni\hidires\hidr.exe >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\hidr.exe not found.
< %UserProfile%\Dati applicazioni\hidires\rosa.sys >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\rosa.sys not found.
< %UserProfile%\Dati applicazioni\m\list.oct >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\list.oct not found.
< %UserProfile%\Dati applicazioni\m\data.oct >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\data.oct not found.
< %UserProfile%\Dati applicazioni\m\flec006.exe >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\flec006.exe not found.
< %SystemDrive%\system32\re_file.exe >
Folder C:\system32\re_file.exe not found.
< %SystemDrive%\elist.xpt >
Folder C:\elist.xpt not found.
< %UserProfile%\Dati applicazioni\hidires\m_hook.sys >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\m_hook.sys not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe >
Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ >
Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe >
Folder C:\WINDOWS\system32\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe >
Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %SystemDrive%\WINDOWS\system32\edlm.exe >
Folder C:\WINDOWS\system32\edlm.exe not found.
< %SystemDrive%\WINDOWS\system32\edlm2.exe >
Folder C:\WINDOWS\system32\edlm2.exe not found.
< %SystemDrive%\Windows\system32\ldR64.dll >
Folder C:\Windows\system32\ldR64.dll not found.
< %SystemDrive%\WINDOWS\system32\german.exe >
Folder C:\WINDOWS\system32\german.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys. >
Folder C:\WINDOWS\system32\drivers\srosa.sys. not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe. >
Folder C:\WINDOWS\system32\mdelk.exe. not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe. >
Folder C:\WINDOWS\system32\wintems.exe. not found.
< %SystemDrive%\WINDOWS\system32\1.exe >
Folder C:\WINDOWS\system32\1.exe not found.
< %SystemDrive%\WINDOWS\exefqd >
Folder C:\WINDOWS\exefqd not found.
< %SystemDrive%\WINDOWS\exefnd >
Folder C:\WINDOWS\exefnd not found.
< %SystemDrive%\WINDOWS\exefld >
Folder C:\WINDOWS\exefld not found.
< %UserProfile%\Dati applicazioni\hidires >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires not found.
< %UserProfile%\Dati applicazioni\hidn >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidn not found.
< %UserProfile%\Dati applicazioni\m >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m not found.
< %SystemDrive%\WINDOWS\System32\drivers\down >
Folder C:\WINDOWS\System32\drivers\down not found.
< %SystemDrive%\WINDOWS\system32\drivers\downld >
C:\WINDOWS\system32\drivers\downld moved successfully.
< %SystemDrive%\WINDOWS\temp\ >
Folder C:\WINDOWS\temp\ not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 >
Folder C:\Windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5 not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files >
Folder C:\Windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07022008_171128
Chill-Out
02-07-2008, 16:44
Se leggi la Guida in prima pagina è indicato come allegare i log, esegui il Punto 3 della Guida e nel prossimo post oltre ad allegare il log di Avenger (lo devi riscaricare) indicami qual'era il tuo AV prima dell'infezione.
Edit: per quanto concerne Windows Defender ci pensiamo dopo
Edit 2: riscarica EliBagla e fallo girare ancora in modalità provvisoria perchè stai usando una versione vecchia
Giampaolo Olivotti
02-07-2008, 21:07
Se leggi la Guida in prima pagina è indicato come allegare i log, esegui il Punto 3 della Guida e nel prossimo post oltre ad allegare il log di Avenger (lo devi riscaricare) indicami qual'era il tuo AV prima dell'infezione.
Edit: per quanto concerne Windows Defender ci pensiamo dopo
Edit 2: riscarica EliBagla e fallo girare ancora in modalità provvisoria perchè stai usando una versione vecchia
Fatto tutto come da tue istruzioni
Purtroppo non avevo un AV installato, avendo da pocp messo Vista.
Giampaolo Olivotti
02-07-2008, 21:08
ecco l'altro log
Grazie!!!!!!!!!!!!
E ora? che fo?
Chill-Out
02-07-2008, 22:56
ecco l'altro log
Grazie!!!!!!!!!!!!
E ora? che fo?
Segui il Punto 5 di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 ed installa Avira Antir Free configuralo come indicato nella guida di juninho85 - aggiornalo e fai una scansione completa del sistema. Al termine allega il log, ciao.
Giampaolo Olivotti
03-07-2008, 09:29
Tutto fatto secondo le precise istruzioni....
Sembra che tutto vada meglio.......
allego:
1) il log di Avira Antivir
http://www.fileqube.com/shared/TSVoAk52328
2) e la schermata ottenuta alla fine dello scan
http://img374.imageshack.us/img374/3491/finezs6.th.jpg (http://img374.imageshack.us/my.php?image=finezs6.jpg)
Giampaolo Olivotti
03-07-2008, 09:37
Ho da chiedere una cosa, nel mentre......
Dovrò poi controllare e disinfettare tutti i miei supporti removibili utilizzati in questo ultimo periodo: vedi mem sd, hd est, ecc....
Queste periferiche non sono sempre collegate al pc....
Come posso fare?
Grazie ancora di tutti i consigli, aiuti e del tempo che dedicate con tanta passione, e che risolve dei problemi incredibili!!!!
COMPLIMENTI
Uac è un discorso a parte decidi tu se attivarlo o meno, io consiglio di tenerlo attivo, per quanto riguarda il problema degli aggiornamenti hai fatto questo:
Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:
regsvr32 wuaueng.dll e batti invio
per uscire digita Exit
Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.
Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"
Chill-Out
03-07-2008, 09:52
Tutto fatto secondo le precise istruzioni....
Sembra che tutto vada meglio.......
allego:
1) il log di Avira Antivir
http://www.fileqube.com/shared/TSVoAk52328
2) e la schermata ottenuta alla fine dello scan
http://img374.imageshack.us/img374/3491/finezs6.th.jpg (http://img374.imageshack.us/my.php?image=finezs6.jpg)
Immaginavo di vedere una sisuazione del genere, avrai compreso l'importanza di proteggere il Pc e prestare attenzione a cosa si scarica :) segui il Punto 5 e 6 della Guida dopodichè metti in sicurezza il PC seguendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
Per i supporti removibili inserisci le pendrive....etc nella porta usb e tieni premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto per impedire l'esecuzione in Autoplay) dopodichè scansioni con Avira ed eventuali altri software di sicurezza che andrai ad installare seguendo la Guida linkata sopra
Chill-Out
03-07-2008, 09:56
Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.
Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"
Per il momento lasciamo stare UAC :)
● RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI
per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
● NDISUIO
● RPC
si procede in questa maniera:
● aprite il blocco note di windows
● copiate ed incollate il testo in rosso
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
● salvate, sul desktop, il file creato, con il nome registro.reg (mi raccomando, l’estensione: .REG e non .TXT) e lo eseguite:
● due click sul file registro.reg
● confermate le due successive richieste
per fare in modo che le modifiche apportate abbiano effetto, è necessario riavviare il computer
Per il momento lasciamo stare UAC :)
● RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI
per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
● NDISUIO
● RPC
si procede in questa maniera:
● aprite il blocco note di windows
● copiate ed incollate il testo in rosso
● salvate, sul desktop, il file creato, con il nome registro.reg (mi raccomando, l’estensione: .REG e non .TXT) e lo eseguite:
● due click sul file registro.reg
● confermate le due successive richieste
per fare in modo che le modifiche apportate abbiano effetto, è necessario riavviare il computer
Nulla da fare, non è cambiato nulla
Giampaolo Olivotti
03-07-2008, 13:55
Ma con Avira posso scansionare solo la pendrive che vado ad inserire con lo shift premuto?
o devo fare la scansione dell'intero sistema e lui scansiona tutte le unità collegate al pc?
Non ho trovato nei comandi di Avira come scansionare una singola unità.....
Ma con Avira posso scansionare solo la pendrive che vado ad inserire con lo shift premuto?
o devo fare la scansione dell'intero sistema e lui scansiona tutte le unità collegate al pc?
Non ho trovato nei comandi di Avira come scansionare una singola unità.....
se clicchi sull'unita della chiavetta con dx e fai la scansione da menù contestuale? ;)
e magari la stessa cosa anche con a-squared per il controllo antispyware
Giampaolo Olivotti
03-07-2008, 14:09
Grazie!
in effetti nelle pen drive ci sono virus dappertutto!!!!
Chiedo: con Avira qual è il comando da dare quando li tova?
Deny access?
delete?
move to quarantine?
Angelus88
03-07-2008, 14:13
Delete ovviamente.
Consiglio anche di disattivare del tutto l'autorun così da evitare infezioni da pendrive. Potete farlo da questa guida (hxxp://generazionenet.itadib.com/tips-tricks-f75/disabilitare-l-autoplay-autorun-in-windows-xp-t494.html).
Grazie!
in effetti nelle pen drive ci sono virus dappertutto!!!!
Chiedo: con Avira qual è il comando da dare quando li tova?
Deny access?
delete?
move to quarantine?
se è molto infetta e se non ci sono dati importanti io formatterei ;)
Salve a tutti sono nuovo e purtroppo anch'io sono stato infettato dal malefico Bagle... Ecco qui dunque il logfile ottenuto con le scansioni di EliBagla:
Wed Jul 02 18:42:45 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Wed Jul 02 18:44:39 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 18:48:17 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 18:51:56 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 19:03:17 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 20:37:07 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Wed Jul 02 20:39:21 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 20:42:14 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 20:45:37 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Wed Jul 02 21:08:16 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Wed Jul 02 21:25:35 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Java\jre1.5.0_01\bin\JUSCHED.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 5287
Nº Total de Ficheros: 51044
Nº de Ficheros Analizados: 11215
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Jul 02 21:30:57 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 1242
Nº Total de Ficheros: 17193
Nº de Ficheros Analizados: 240
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Wed Jul 02 21:31:32 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5287
Nº Total de Ficheros: 51042
Nº de Ficheros Analizados: 11214
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 18:24:47 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 03 18:25:32 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5288
Nº Total de Ficheros: 50963
Nº de Ficheros Analizados: 11216
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 18:29:55 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 1242
Nº Total de Ficheros: 17193
Nº de Ficheros Analizados: 240
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 18:40:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 03 18:43:19 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Thu Jul 03 18:43:56 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5289
Nº Total de Ficheros: 50879
Nº de Ficheros Analizados: 11216
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sì lo so è un po' lunghetto ma non so come mai mi ha fatto un sacco di scansioni fra ieri e oggi... Comunque mo' che faccio? Vado avanti seguendo la guida? Grazie :)
Angelus88
03-07-2008, 18:35
ho sbagliato scusate :p
si procedi....
Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.
.
Scusa mi sono perso...DOVE dovevo inserirlo? (cominciamo bene...)
Angelus88
03-07-2008, 18:38
Scusa mi sono perso...DOVE dovevo inserirlo? (cominciamo bene...)
Continua con la guida, ho sbagliato io
Ho incollato lo script riportato nella guida nella finestrella di Avenger, cliccato su "Execute" e STRANAMENTE mi dà messaggi di errore...:D
Mi dice:
"Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato)."
"Error: Could not open cleanup batch. Aborting execution! (error 6: handle non valido)."
"Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato)."
"Error: Could not log error messages to file. (error 6: handle non valido)."
Chill-Out
03-07-2008, 23:26
Ho incollato lo script riportato nella guida nella finestrella di Avenger, cliccato su "Execute" e STRANAMENTE mi dà messaggi di errore...:D
Mi dice:
"Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato)."
"Error: Could not open cleanup batch. Aborting execution! (error 6: handle non valido)."
"Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato)."
"Error: Could not log error messages to file. (error 6: handle non valido)."
Ciao Tommy88 procedi così:
NB: ripristino configurazione sistema disattivato, inoltre devi eliminare tutti i crack che hanno generato l'infezione
- Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
- Fai girare nuovamente EliBagla al termine riavvia il Pc in modalità provvisoria F8, al riavvio in modalità provvisoria fai girare ancora EliBagla
- Doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT
clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles
Allega i log utilizzando i server remoti indicati in guida in prima pagina,thx.
Chill-Out
03-07-2008, 23:53
Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.
Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"
Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
Allora ecco i due log. Sono due perchè nella prima scansione avevo dimenticato a disconnetere il pc dalla rete. Comunque nel primo ha eliminato qualcosa, alla seconda passata naturalmente no. Li allego entrambi
log_1.txt (http://wikisend.com/download/226844/log_1.txt)
log_2.txt (http://wikisend.com/download/681272/log_2.txt)
Chill-Out
04-07-2008, 08:44
Allora ecco i due log. Sono due perchè nella prima scansione avevo dimenticato a disconnetere il pc dalla rete. Comunque nel primo ha eliminato qualcosa, alla seconda passata naturalmente no. Li allego entrambi
log_1.txt (http://wikisend.com/download/226844/log_1.txt)
log_2.txt (http://wikisend.com/download/681272/log_2.txt)
Vedi se riesci a riattivare i servizi
Vedi se riesci a riattivare i servizi
Ok anche centro sicurezza è partito. L'unico che non ne vuole sapere è il zero configuration da sempre errore 1083. Ho anche aggiunto le 2 chiavi di registro ma niente. Suggerimenti?
Grazie.
xcdegasp
04-07-2008, 13:47
Continua con la guida, ho sbagliato io
e
http://www.hwupgrade.it/forum/showpost.php?p=23159398&postcount=4281
puoi dirlo forte che hai sbagliato.. anche a tenere il link senza editarlo.
5giorni per spam :)
Ciao.
Anche io ho avuto problemi con questo virus tempo fa, ma dopo aver seguito correttamente, almeno credo, tutta la guida credevo di essermi "ripulito".
Oggi faccio una scansione (NOD32 - Versione spagnola) e mi salta fuori: C:\WINDOWS\system32\drivers\mdelk.exe - Win32/Bagle.OH (Gusano de Internet).
Tutto però sembra funzionare correttamente.
Cosa devo fare?
Ciao.
Chill-Out
04-07-2008, 15:39
Ciao.
Anche io ho avuto problemi con questo virus tempo fa, ma dopo aver seguito correttamente, almeno credo, tutta la guida credevo di essermi "ripulito".
Oggi faccio una scansione (NOD32 - Versione spagnola) e mi salta fuori: C:\WINDOWS\system32\drivers\mdelk.exe - Win32/Bagle.OH (Gusano de Internet).
Tutto però sembra funzionare correttamente.
Cosa devo fare?
Ciao.
Lo elimini
Ok anche centro sicurezza è partito. L'unico che non ne vuole sapere è il zero configuration da sempre errore 1083. Ho anche aggiunto le 2 chiavi di registro ma niente. Suggerimenti?
Grazie.
Aggiungo che anche Client DHCP mi da lo stesso errore
Chill-Out
04-07-2008, 16:41
Aggiungo che anche Client DHCP mi da lo stesso errore
Dovrebbe essere necessario ripristinare il file legato a quel determinato servizio, adesso sono su XP ho bisogno di vedere alcune cose sul Vista nel frattempo mi allegheresti un log di questo tool:
Esegui HijackThis clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx ed allega il log
Dovrebbe essere necessario ripristinare il file legato a quel determinato servizio, adesso sono su XP ho bisogno di vedere alcune cose sul Vista nel frattempo mi allegheresti un log di questo tool:
Esegui HijackThis clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx ed allega il log
Intanto grazie per l'aiuto. Ecco il log: startuplist.txt (http://wikisend.com/download/203042/startuplist.txt)
mannaggiaalbagle
05-07-2008, 09:40
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo
ho seguito la guida per rimuoverlo ma niente
ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)
avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione
inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"
karspesky nemmeno parlarne
e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete
se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello
oltre al suicidio qualcuno vede altre soluzioni?
Chill-Out
05-07-2008, 10:19
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo
ho seguito la guida per rimuoverlo ma niente
ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)
avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione
inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"
karspesky nemmeno parlarne
e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete
se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello
oltre al suicidio qualcuno vede altre soluzioni?
Allega il log di EliBagla
mannaggiaalbagle
05-07-2008, 10:24
e da dove lo prendo se non posso connettermi ne ad internet ne ad altri pc?
Chill-Out
05-07-2008, 10:41
ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)
dal Pc del cliente in C:\Infosat.txt
e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete
dipende dalla variante che hai contratto.
mannaggiaalbagle
05-07-2008, 10:43
CI SONO RIUSCITO!!!
ho inserito il cd di windows, ripristino di emergenza e ho cancellato i file dal dos
poi ho riavviato togliendo il cd di windows
appena accesso ho chiuso il processo mdelk.exe e ho eseguito avenger con lo script postato in prima pagina
ho riavviato e ha tolto tutto
adesso ripristino tutti i servizi, reinstallo antivirus e cose varie
CI SONO RIUSCITO!!!
ho inserito il cd di windows, ripristino di emergenza e ho cancellato i file dal dos
poi ho riavviato togliendo il cd di windows
appena accesso ho chiuso il processo mdelk.exe e ho eseguito avenger con lo script postato in prima pagina
ho riavviato e ha tolto tutto
adesso ripristino tutti i servizi, reinstallo antivirus e cose varie
fai comunque le varie scansioni della guida per ripulirti completamente e caricaci i log
mannaggiaalbagle
05-07-2008, 10:55
i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla
fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione
i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla
fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione
che centra se non hai usato quei tool???
norton lo sconsigliamo... c'è l'ottimo e free antivir
Chill-Out
05-07-2008, 11:06
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo
ho seguito la guida per rimuoverlo ma niente
ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)
avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione
inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"
karspesky nemmeno parlarne
e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete
se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello
oltre al suicidio qualcuno vede altre soluzioni?
i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla
fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione
Questo è quello che hai scritto tu, comunque se hai risolto meglio così
Intanto grazie per l'aiuto. Ecco il log: startuplist.txt (http://wikisend.com/download/203042/startuplist.txt)
piccolo up :)
piccolo up :)
sinceramente non so se c'è anche su vista....
nella pagina dei servizi, quando li clicchi 2 volte, si apre una finestra in cui c'è un menù "relazioni di dipendenza"
verifica che quelli associati ai servizi che non ti partono siano in avvio automatico
sinceramente non so se c'è anche su vista....
nella pagina dei servizi, quando li clicchi 2 volte, si apre una finestra in cui c'è un menù "relazioni di dipendenza"
verifica che quelli associati ai servizi che non ti partono siano in avvio automatico
Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"
Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono
cicciopas
05-07-2008, 17:01
Ciao a tutti e un rigraziamento per la guida. Io ho seguito la guida passo passo ed ho eliminato il virus bagle solo che la connessione wifi dopo alcuni minuti non funziona piu. Nel senso che il computer è connesso però non si ricevono piu dati. Allora se riavvio la connessione funziona per 4 o 5 minuti e poi si ferma. Non so cosa possa essere grazie per l'aiuto
xcdegasp
05-07-2008, 18:44
disinstalla il wi-fi,al riavvio successivo verràreinstallato :)
cicciopas
05-07-2008, 20:52
Ho provato a disinstallare e reistallare ma niente dopo pochi minuti la connessione non funziona. Sembra che si chiudono le richieste http perchè invio e ricezione della posta funziona come funziona il ping del router attraverso il dos mentre la stessa richiesta tramite http non funziona. Come posso fare?
xcdegasp
05-07-2008, 21:02
prova con questo:
http://www.xp-smoker.com/downloads/xptcprep.exe
:)
cicciopas
05-07-2008, 23:18
già provato, niente da fare se riavvio la connessione dura 4 o 5 minuti e poi le richiette http si bloccano non so perche.
Chill-Out
06-07-2008, 01:00
Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"
Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono
Mannaggia che pasticcio, verifica la presenza e relativa attivazione del seguente servizio:
Configurazione automatica WLAN
cicciopas
06-07-2008, 08:32
Scusa ma il servizio configurazione automatica wlan non lo trovo nei servizi.
Mannaggia che pasticcio, verifica la presenza e relativa attivazione del seguente servizio:
Configurazione automatica WLAN
Si questo si avvia
saviola89
06-07-2008, 10:28
Edit: ho risolto..
(nn si possono cancellare i msg?)
Salve a tutti,
ancheio ho pigliato un bagle miseriaccia piu precisamente un srose.sys........
il mio problema è questo; accendo il notebook ma dopo qualcheminuto, uno-due per la precisione, mi compare la schermata blu di errore di windows...... cosa strana xche ho disabilitato da Sistema\Avanzate\...... riavvio automatico ech ect....
sta di fatto che cosi non riesco ad fare le diverse scansioni come indicato nella guida vostra....
quindi devo mettere in modalità provvisoria?
Ultima cosa, nel altro mio pc di casa (avente come il notebook windows xp home edition) ho cercato di eseguire avenger ma mi compare una finestra d'errore dicendo che l'applicazione non è compatibile con win32 ect ect.....
come mai?
Grazie delle risposte che mi date.
Salve a tutti,
ancheio ho pigliato un bagle miseriaccia piu precisamente un srose.sys........
il mio problema è questo; accendo il notebook ma dopo qualcheminuto, uno-due per la precisione, mi compare la schermata blu di errore di windows...... cosa strana xche ho disabilitato da Sistema\Avanzate\...... riavvio automatico ech ect....
sta di fatto che cosi non riesco ad fare le diverse scansioni come indicato nella guida vostra....
quindi devo mettere in modalità provvisoria?
Ultima cosa, nel altro mio pc di casa (avente come il notebook windows xp home edition) ho cercato di eseguire avenger ma mi compare una finestra d'errore dicendo che l'applicazione non è compatibile con win32 ect ect.....
come mai?
Grazie delle risposte che mi date.
ciao, cerca di spiegare bene cosa hai già fatto e dove ti blocchi.
se possibile cerca di usare la mod. provvisoria
adesso stasera quando torno a casa, provo in modalità provvisoria se riesco a fare qualcosa e poi vi dico.
Per "wjmat", mi blocca questo:
non riesco a fare scansioni con avenger o altro o cmq seguire i passi della guida perchè appena acceso windows e quindi visualizzatoil desktop dopo 2-3minuti mi compare la schermata blu di windows (indicante errore del tipo Stop:0000x4 mi pare) e devo riavviare.......................
per quello non riesco a fare scansioni xche è un contiunuo riavvio..........
se metto in modalità provvisoria la schermata non dovrebbe comparire?
e se manco quella funziona?
Per "wjmat", mi blocca questo:
non riesco a fare scansioni con avenger o altro o cmq seguire i passi della guida perchè appena acceso windows e quindi visualizzatoil desktop dopo 2-3minuti mi compare la schermata blu di windows (indicante errore del tipo Stop:0000x4 mi pare) e devo riavviare.......................
per quello non riesco a fare scansioni xche è un contiunuo riavvio..........
se metto in modalità provvisoria la schermata non dovrebbe comparire?
e se manco quella funziona?
avenger viene dopo di elibagla, elibagla riesci a farlo girare?
se non riesci, prova da mod. provvisoria
se non va nemmeno da provvisoria poi vediamo
stasera provo subito e poi vi dico......
cmq fin all'altro giorno gmer e elibegla riuscivo, ora non piu xche compare quasi subito la schermata blu.......
stasera provo subito e poi vi dico......
cmq fin all'altro giorno gmer e elibegla riuscivo, ora non piu xche compare quasi subito la schermata blu.......
elibagla riscaricalo per sicurezza
Ho risolto credo di aver debellato il bagle......
solo che non mi funzionano piu le wireless................
ho provato cosi:
1) reinstallare i drivere per il wireless
2) come dice la guida creare da notepad il file .reg e controllare i servizi attivi
3) utilizzare il tool xp tcpip repair
ma niente, quando vado a spingere nel pulsantino del mio notebook mi dice "nessun dispositivo"
stamattina sono ripartite anche le wireless :D :D mah...
suppongo quindi di aver tolto sto bagle.........
stamattina sono ripartite anche le wireless :D :D mah...
suppongo quindi di aver tolto sto bagle.........
non abbiamo visto i log ma se lo dici tu... ;)
in caso dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Ciao,
ho seguito la procedura, ma quando devo fare la scansione con Kaspersy non riesco.
Non riesco ad installare nessun antivirus, non mi va la modalità provvisoria e nemmeno la Zero Configuration.
Avete consigli?
Allego i log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.01.29, on 08/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Microsoft IntelliPoint\ipoint.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
C:\Documents and Settings\Stefano\Dati applicazioni\m\flec006.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclBCBTSrv.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Stefano\IMPOST~1\Temp\Rar$EX53.000\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [mcagent_exe] C:\Programmi\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=21871
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 8860 bytes
non li ho postati perche ho rifatto tutte le scansioni e non mi è stato trovato nulla quindi penso sia stato eliminato tutto...... cmq ok.
Ciao,
ho seguito la procedura, ma quando devo fare la scansione con Kaspersy non riesco.
Non riesco ad installare nessun antivirus, non mi va la modalità provvisoria e nemmeno la Zero Configuration.
Avete consigli?
fai un altro giro con elibagla e poi passa ad avenger
ho fatto partire ancora elibagla e avenger ma non ho ottenuto risultati...
devo per forza formattare??
vi prego ditemi chec'è una soluzione.... io col pc ci lavoro!:muro: :muro:
allego log
Chill-Out
08-07-2008, 22:06
ho fatto partire ancora elibagla e avenger ma non ho ottenuto risultati...
devo per forza formattare??
vi prego ditemi chec'è una soluzione.... io col pc ci lavoro!:muro: :muro:
allego log
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
GRAZIE CHILL OUT!
adesso zero configuration ha ripreso a funzionare. La modalità provvisoria non l'ho ancora controllata, IE7 è lentissimo ma il resto sembra andare.
Ora provo a reinstallare l'antivirus, MCAFEE internet security.
allego il log, è tutto ok ora?
GRAZIE CHILL OUT!
adesso zero configuration ha ripreso a funzionare. La modalità provvisoria non l'ho ancora controllata, IE7 è lentissimo ma il resto sembra andare.
Ora provo a reinstallare l'antivirus, MCAFEE internet security.
allego il log, è tutto ok ora?
riscarica avenger e continua da quel punto
ps non so se bagled sistemi già tutto lui, quindi meglio fare tutte le altre operazioni di rito
per la cronoca: ho formattato e ora va tutto mooolto meglio...
a volte si fa prima...
GRAZIE a tutti cmq!
per la cronoca: ho formattato e ora va tutto mooolto meglio...
a volte si fa prima...
GRAZIE a tutti cmq!
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti
Ciao!Ho avuto problemi col virus bagle e ho seguito la guida. Vi posto i log , mi aiutate? :help: Please.
Elibagla: http://www.fileqube.com/shared/fxbWW56411
Avenger: http://www.fileqube.com/shared/FzMqvNTEY56408
Kaspersky: http://www.fileqube.com/shared/GkpcjKfP56410
Non capisco se è tutto risolto o meno dato che ho ancora problemi con la connessione. Dopo circa 7 minuti che sono in linea anche se l'ADSL è connessa non si caricano più le pagine. Ho già provato con questo tool http://www.xp-smoker.com/downloads/xptcprep.exe come diceva la guida ma niente.
Grazie mille.
Ciao!Ho avuto problemi col virus bagle e ho seguito la guida. Vi posto i log , mi aiutate? :help: Please.
Elibagla: http://www.fileqube.com/shared/fxbWW56411
Avenger: http://www.fileqube.com/shared/FzMqvNTEY56408
Kaspersky: http://www.fileqube.com/shared/GkpcjKfP56410
Non capisco se è tutto risolto o meno dato che ho ancora problemi con la connessione. Dopo circa 7 minuti che sono in linea anche se l'ADSL è connessa non si caricano più le pagine. Ho già provato con questo tool http://www.xp-smoker.com/downloads/xptcprep.exe come diceva la guida ma niente.
Grazie mille.
ma elibagla l'hai fatto scansionare? segna 0 file scansionati
ma elibagla l'hai fatto scansionare? segna 0 file scansionati
Si io l'ho fatto partire ma mi dava subito "Unidad no Preparada". Ho provato a riavviare, scaricare di nuovo il programma e riavviare nuovamente ma mi da sempre quello.
Si io l'ho fatto partire ma mi dava subito "Unidad no Preparada". Ho provato a riavviare, scaricare di nuovo il programma e riavviare nuovamente ma mi da sempre quello.
Ho provato in modalità provvispria ed ha funzionato ecco il log.
http://www.fileqube.com/shared/pOsXF56550
Persiste il problema della connessione. Cosa posso fare?
Grazie
Ho provato in modalità provvispria ed ha funzionato ecco il log.
http://www.fileqube.com/shared/pOsXF56550
Persiste il problema della connessione. Cosa posso fare?
Grazie
dai sintomi poteve essere bagle....ma non c'è nemmeno l'ombra
torniamo nella tua discussione che qui andiamo off topic
Segnalo un tool da parte di F-Secure: F-Bagle 1.00.12
F-Bagle
The F-Bagle utility disinfects computers infected with the certain Bagle worm variants. Please see the readme.txt file for more information.
Download: http://www.f-secure.com/tools/f-bagle.zip
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip
The unpacked version is available from here:
Download: http://www.f-secure.com/tools/f-bagle.exe
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe
Readme: http://www.f-secure.com/tools/f-bagle.txt
Readme: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt
System administrators can download the JAR version from here:
Download: http://www.f-secure.com/tools/f-bagle.jar
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.jar
fonte: http://www.f-secure.com/security_center/malware_removal_tools.html
grazie per la segnalazione, già testata per caso?
grazie per la segnalazione, già testata per caso?
No, non l'ho testata. Nel readme si possono trovare le varianti che ha nel database.
:)
Anchio sono infetto da un bagle...ho seguito il procedimento in prima pagina fino al punto 3,ho scarico avenger,si avvia,copio lo script,do il via e poi escono degli errori che dicono che il programma non riesce ad aprire dei file.E tutto OK ho devo usare la versione indicata al fondo del punto 3 il quale link non funziona.
Grazie in anticipo
Anchio sono infetto da un bagle...ho seguito il procedimento in prima pagina fino al punto 3,ho scarico avenger,si avvia,copio lo script,do il via e poi escono degli errori che dicono che il programma non riesce ad aprire dei file.E tutto OK ho devo usare la versione indicata al fondo del punto 3 il quale link non funziona.
Grazie in anticipo
comincia a caricare il log di elibagla
Eccolo
http://www.mediafire.com/?tiz31jjknnm
Chill-Out
12-07-2008, 10:18
Eccolo
http://www.mediafire.com/?tiz31jjknnm
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Eccolo il log di beagled
http://www.mediafire.com/?idj1mn9tz0m
Chill-Out
12-07-2008, 10:45
Eccolo il log di beagled
http://www.mediafire.com/?idj1mn9tz0m
Fai girare ancora EliBagla in modalità provvisoria F8 ed allega il log, ciao.
Avast dopo l'utilizzo del tuo tool è tornato a funzionare,ma sicuramente il virus ci sarà ancora
Chill-Out
12-07-2008, 10:49
Avast dopo l'utilizzo del tuo tool è tornato a funzionare,ma sicuramente il virus ci sarà ancora
Come indicato sopra fai girare in provvisoria EliBagla ed allega il log, poi portiamo a termine tutta la procedura indicata in Guida, e successivamente affrontiamo anche il discorso Antivirus in quanto Avast è decisamente sullo scarso andante :)
Ho il link con il log di elibagla fatto in mod. provvisoria
http://www.mediafire.com/?wqde9mwtow1
Chill-Out
12-07-2008, 11:30
Ho il link con il log di elibagla fatto in mod. provvisoria
http://www.mediafire.com/?wqde9mwtow1
Inserisci in Avenger lo Script indicato in Guida ed allega il log ovviamente lo devi riscaricare.
Con avenger tutto ok...Ecco il log
http://www.mediafire.com/?gdyn2mz7mww
Con avenger tutto ok...Ecco il log
http://www.mediafire.com/?gdyn2mz7mww
procedi pure
Ho il log di f-secure,kaspersky non va mi apre un pop up e non riesco a scaricare il file.
Questo è il log di f-secure
http://www.mediafire.com/?d7lde1z1gi5
Una domanda...in C mi si sono create 3 cartelle di nome Qoobox,Avenger,fsaua.data,oltre ai vari log.E tutto Ok posso eliminarle tranquillamente?In attesa procedo con ccleaner
procedi e se vuoi elimina pure, te l'avremmo fatto fare comunque alla fine ;)
Ok ho terminato,ora posso eliminare tutti i tools scaricati come beagled,avenger e elibagla?
Il virus e stato rimosso no :D
PinkNoiser
12-07-2008, 14:51
GMER log (http://www.wikiupload.com/download_page.php?id=45532)
hijackthis (http://www.wikiupload.com/download_page.php?id=45524)
ELIBAGLA (http://www.wikiupload.com/download_page.php?id=45525)
Mi date un'occhiata per vedere se sono pulito? ora sembra tutto a posto, tranne che la volte dopo qualche minuto la navigazione diventa impossibile, come se il rootkit stesse ancora attaccando i file host...
ho reso inoffensivo il virus facendo girare elibagla su un'altra partizione con WinXp pulito, poi ho reistallato antivirus e ccleaner e simili e ho scansionato in tutti i modi..ora si è riattivata zeroconfiguration, rivedo le cartelle nascoste eccetera, però rimango con il dubbio di avere ancora il rootkit.
Siccome ho almeno un altro computer infetto probabilmente con la stessa variante del virus speravo però di poter creare un file per avenger che potesse funzionare (quelli che ho trovato in rete non funzionano, nè riuscivo a far partire avenger, neanche modificato)..ora che ho pulito questa partizione, e non mi ricordo le cartelle che attaccava il virus, come posso fare? infetto di proposito l'altra? il problema è che l'altro pc ha contenuti molto importanti e volevo stare molto attento, visto che ho letto che il virus potrebbe non reagire bene, in qualche versione, ai tentativi di ripristinare la modalità provvisoria..
Consigli? provo comumque a far partire la modalità provvisoria, nella speranza di far andare qualche tool?
Oppure non so, e se andassi a caccia di cartelle infette con un linux live? Molti tool antibeagle che vengono proposti sembrano non funzionare..anzi, praticamente tutti..
Ps:avevo aperto un altro topic non perchè non avessi letto la guida e questo 3ad, ma perchè il procedimento di questa guida sembrava non funzionare affatto con la versione di bagle che ho dovuto "affrontare"
procedi e se vuoi elimina pure, te l'avremmo fatto fare comunque alla fine ;)
Ho eliminato tutti i tools e programmi vari seguendo il trattamento post disinfestazione che non avevo letto.
Ho 2 domande da farti ma prima volevo ringraziarvi per il vostro grande aiuto.
Volevo sapere perchè Avast e Spyboth S&D sono tornati a funzionare senza essere stati reinstallati.
E poi ho notato che al riavvio del pc appena appare il desktop per una frazione di secondo si carica una pagina di dos che mi pare abbia iniziato a comparire dopo che ho scaricato beagled (che ora ho cancellato).Non e che questo mi generi grandi problemi ho rallenti il processo di avvio però visto che prima non c'era...:confused:
Ancora grazie
Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"
Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono
Ragazzi ancora nulla...non sono riuscito a trovare quali sono i file di sistema che fanno riferimento ai servizi zero config e client dhcp. Ottengo sempre l'errore e non li posso abilitare.
Help :cry:
Grazie
Ho eliminato tutti i tools e programmi vari seguendo il trattamento post disinfestazione che non avevo letto.
Ho 2 domande da farti ma prima volevo ringraziarvi per il vostro grande aiuto.
Volevo sapere perchè Avast e Spyboth S&D sono tornati a funzionare senza essere stati reinstallati.
E poi ho notato che al riavvio del pc appena appare il desktop per una frazione di secondo si carica una pagina di dos che mi pare abbia iniziato a comparire dopo che ho scaricato beagled (che ora ho cancellato).Non e che questo mi generi grandi problemi ho rallenti il processo di avvio però visto che prima non c'era...:confused:
Ancora grazie
probabilemente i file di avast e spybot non sono stati corrotti...
avast rimuovilo assolutamente per antivir ;)
Per quella finestra ora vediamo...
Scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis
Ho il log di Hijack.
http://www.mediafire.com/?z3ydanyhd43
Per quanto riguarda avast lo sostituiro invece spyboth mi consigli di tenerlo ho sostituirlo con qualcosaltro
Ho il log di Hijack.
http://www.mediafire.com/?z3ydanyhd43
Per quanto riguarda avast lo sostituiro invece spyboth mi consigli di tenerlo ho sostituirlo con qualcosaltro
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\Claudio\IMPOST~1\Temp\RarSFX0\8agle.cmd"
O8 - Extra context menu item: Open with &ZipScan - C:\PROGRA~1\ZIPSCA~1\zs_ie.htm
O20 - AppInit_DLLs: \?C:WINDOWSsystem32lpt8.pii
Ecco il log
http://www.mediafire.com/?zzv3zryvhmz
Comunque all'ultimo riavvio non c'era più la finestra ammeno che non abbia battuto le palpebre tanto per farti capire quanto era veloce:D :D :D
Ecco il log
http://www.mediafire.com/?zzv3zryvhmz
Comunque all'ultimo riavvio non c'era più la finestra ammeno che non abbia battuto le palpebre tanto per farti capire quanto era veloce:D :D :D
puoi fixare anche queste
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
punto 3 del trattamento per aggiornare java
come antispyware, spybot puoi toglierlo e mettere a-squared o superantispyware, per le scansioni periodiche
se ne vuoi anche uno con il controllo in tempo reale metti anche spyware terminator
sarebbe meglio che tu caricassi i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
vorremmo veder anche quello di avenger e kaspersky
sakurina46
14-07-2008, 10:13
da mod. normale lancialo e mentre lo chiudi disinstallalo, se non parte nella sua cartella c'è un file uninstal o simile...per disinstallarlo
rifai il passagio con avenger e posta il log
poi riscarichi kaspersky, e da mod provvisoria lo reinstalli e riprovi
grazie mille...non ho fatto kaspesky però avevo disinstallato l'AVG e messo l'antivir e il bagle a quanto sembra non c'è più....poi sono riuscita anche a installare il service pack 1 che prima non riuscivo a mettere quindi penso che il problema sia risolto:D
grazie mille...non ho fatto kaspesky però avevo disinstallato l'AVG e messo l'antivir e il bagle a quanto sembra non c'è più....poi sono riuscita anche a installare il service pack 1 che prima non riuscivo a mettere quindi penso che il problema sia risolto:D
purtroppo senza i log non possiamo "battezzarti" pulita ;)
PinkNoiser
14-07-2008, 18:17
sarebbe meglio che tu caricassi i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
vorremmo veder anche quello di avenger e kaspersky
Chiedo nuovamente scusa ma dalla partizione "infetta" devo fare le cose di fretta... infatti l'unico problema che mi è rimasto è quello dei file host (mi si blocca la navigazione dopo un certo tempo o andando su certi siti), oltre che devo provare di nuovo a ripristinare la finestra di ricerca..
Ecco di nuovo i log:
GMER.txt (http://wikisend.com/download/111838/GMER.txt)
elibagla.txt (http://wikisend.com/download/487136/elibagla.txt)
kaspersky log.txt (http://wikisend.com/download/476898/kaspersky log.txt)
Kasperksy mostra due scansioni approfondite: una subito dopo essere intervenuto dall'altra partizione a eliminare file e facendo girare elibagla (e quindi averlo potuto installare) e una di ieri, che non segna più file infetti.
Avenger posso anche postarlo, ma ogni tentativo di far girare qualche script si è risolto in una serie di errori: nessun file o chiave di quelli presenti in tutti gli script per avenger trovati (o che ho provato a scrivere) sembra esistere nel pc..
Nell'altro pc infetto è bastato far girare Beagled che tutto sembra tornato normale: Norton Internet security che era installato sembra proprio fregata, ma ora c'è installato zonealarm e AntiVir aggiornato che ha fatto scansioni complete anche dei rootkit e non trova piu niente, nessun file sospetto dove sono andato a guardare e nessun'attività di rete sospetta.. posso star tranquillo?
Poi provo a far girare il tool antirootkit di Avira anche nel pc ancora infetto o presunto tale.. può funzionare?
PS: in certi log l'unità è F anziche G: questo perchè alcune scansioni l'ho effettuate da un'altra partizione pulita e mi scambia la letterà ell'unità, ma la partizione è sempre la stessa
Qua sotto il log di hijackthis (che ancora non ho guardato)
x PinkNoiser
scusami non riesco a capire quanti sono i pc, quante le partizioni
chi è pulito e chi no.....
PinkNoiser
16-07-2008, 01:13
x PinkNoiser
scusami non riesco a capire quanti sono i pc, quante le partizioni
chi è pulito e chi no.....
Hai ragione..Allora tutti i log che vedete sono riferiti al pc1, diciamo, che ha una partizione che ancora da problemi con la navigazione (tutte le altre applicazioni di rete vanno benissimo, e ultimamente con la funzione cerca. L'ho ripulita agendo da un'altra partizione pulita, cancellando tutti i file che conoscevo e facendo girare elibagla. Ho fatto girare tutti i tool indicati nelle guide e altri (se serve qualche log basta chiedere), tranne ovviamente quelli su internet e il removal tool di kaspersky che non trovo..
L'altro pc che ERA infetto, facendo girare bagled sembra a posto, tutte le scansioni effettuate danno esito negativo, riferivo l'esperienza perchè probabilmente si tratta di una delle ultime versioni di bagle e riferivo che bagled funziona ottimamente.
Sul pc1 restano questi problemi, e con qualche programma di taskmenaging un processo "unknow" solitamente con id4 che mi insospettisce, ma tutti gli scan non rivelano niente del genere, e nessun altro avvertimento relativo a beagle.
Ah il sistema operativo infetto ha anche due partizioni dedicate, una per la mem virtuale l'altra per i temporanei..
Hai ragione..Allora tutti i log che vedete sono riferiti al pc1, diciamo, che ha una partizione che ancora da problemi con la navigazione (tutte le altre applicazioni di rete vanno benissimo, e ultimamente con la funzione cerca. L'ho ripulita agendo da un'altra partizione pulita, cancellando tutti i file che conoscevo e facendo girare elibagla. Ho fatto girare tutti i tool indicati nelle guide e altri (se serve qualche log basta chiedere), tranne ovviamente quelli su internet e il removal tool di kaspersky che non trovo....................................
Sul pc con problemi fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.
Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)
PinkNoiser
16-07-2008, 17:53
Sul pc con problemi fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
L'avevo già fatta con esito negativo. L'ho rifatta questo pomeriggio, ma poco è cambiato
L'avevo già fatta con esito negativo. L'ho rifatta questo pomeriggio, ma poco è cambiato
con che browser hai problemi?
PinkNoiser
17-07-2008, 01:30
con che browser hai problemi?
Con firefox, nn ho provato ultimamente con IE ma penso anche con quello.. In più ho problemi con la funzione cerca di windows, non posso aprire documenti direttamente dal desktop, non ho il click destro sopra gli archivi zip..Ho provato i vari procedimenti e i vari tools per ripristinare il TCPIP e le funzioni di ricerca, ma non hanno funzionato.. ZeroConfiguration e le cartelle nascoste invece sono tornati in vita da soli, dopo aver "ripulito il pc"..non riesco a capire se il rootkit è ancora attivo oppure semplicemente ho qualche impostazione rovinata..
Con firefox, nn ho provato ultimamente con IE ma penso anche con quello.. In più ho problemi con la funzione cerca di windows, non posso aprire documenti direttamente dal desktop, non ho il click destro sopra gli archivi zip..Ho provato i vari procedimenti e i vari tools per ripristinare il TCPIP e le funzioni di ricerca, ma non hanno funzionato.. ZeroConfiguration e le cartelle nascoste invece sono tornati in vita da soli, dopo aver "ripulito il pc"..non riesco a capire se il rootkit è ancora attivo oppure semplicemente ho qualche impostazione rovinata..
scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, fai la scansione e carica il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
verifica di avere disabilitato il ripristino di configurazione su tutte le partizioni
Dai una resettata a IE
Strumenti → Opzioni Internet → Avanzate → Reimposta
NB: La reimpostazione delle impostazioni predefinite di Internet Explorer consente di ripristinare lo stato del programma al momento della prima installazione nel computer. Questo può essere utile per risolvere problemi potenzialmente originati dalla modifica di alcune impostazioni dopo l'installazione. Quando vengono ripristinate le impostazioni predefinite di Internet Explorer, alcune pagine Web che fanno riferimento a cookie, dati dei moduli e password memorizzati in precedenza o a componenti aggiuntivi del browser precedentemente installati potrebbero non funzionare correttamente. La reimpostazione delle impostazioni predefinite di Internet Explorer non elimina i Preferiti, i feed e altre impostazioni personalizzate. .
PinkNoiser
17-07-2008, 13:18
il log di hijackthis lo posto qui?
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)
leggi tutto e comincia ad aggiornare IE alla 7
PinkNoiser
17-07-2008, 14:55
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)
leggi tutto e comincia ad aggiornare IE alla 7
Avevo già letto e mi sembra di aver sempre rispettato più o meno tutti i punti come mia abitudine personaleora aggiorno IE, ma a parte quello cos'altro posso fare? si certo, dovrei ripulire la partizione con un format e cariare un'immagine pulita, ma volevo "mettere una pezza" e poter rimandare questa cosa almeno per un mese, visto che mi servono molti programmi in quella partizione, e reistallarli è un lungo processo..
Avevo già letto e mi sembra di aver sempre rispettato più o meno tutti i punti come mia abitudine personaleora aggiorno IE, ma a parte quello cos'altro posso fare? si certo, dovrei ripulire la partizione con un format e cariare un'immagine pulita, ma volevo "mettere una pezza" e poter rimandare questa cosa almeno per un mese, visto che mi servono molti programmi in quella partizione, e reistallarli è un lungo processo..
dimmi se con firefox e ie7 ci sono ancora problemi
Questo è il link della scanzione con ELIBAGLE
http://www.mediafire.com/?9vqxvimdvh1
http://www.mediafire.com/?4uozjtmo3k1
Questo è il link della scanzione con ELIBAGLE
http://www.mediafire.com/?9vqxvimdvh1
procedi pure
Sono riuscito a togliere i file infetti, installato avast e funziona
ora però ho ancora un problema non riesco a vedere le reti wifi?
che posso fare?
Angelus88
18-07-2008, 10:59
Sono riuscito a togliere i file infetti, installato avast e funziona
ora però ho ancora un problema non riesco a vedere le reti wifi?
che posso fare?
Leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441)
Sono riuscito a togliere i file infetti, installato avast e funziona
ora però ho ancora un problema non riesco a vedere le reti wifi?
che posso fare?
vorremmo comunque vedere i log...
avast io lo farei fuori subito in favore di antivir...
Franceskina
18-07-2008, 14:55
scusate, visto che ho già sbagliato più volte a scrivere nelle sezioni,:D mi confermate che posso scrivere qui per dei problemi (spero risolti) con bagle?
dovrei inviare dei file log. si possono caricare uno alla volta giusto?
scusate la mia ignoranza ma non mi era mai capitato di avere problemi del genere.:muro: per questo è la mia prima volta nel forum.
xcdegasp
18-07-2008, 16:13
scusate, visto che ho già sbagliato più volte a scrivere nelle sezioni,:D mi confermate che posso scrivere qui per dei problemi (spero risolti) con bagle?
dovrei inviare dei file log. si possono caricare uno alla volta giusto?
scusate la mia ignoranza ma non mi era mai capitato di avere problemi del genere.:muro: per questo è la mia prima volta nel forum.
ti basta ripercorrere le tracce che hai ben seminato come Mollica per capire se sei nel posto giusto, per sapere come pubblicare i log basterebbe leggere il titolo di questo thread (discussione) e poi accedere alle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) per conoscere i vari mezzi a tua disposizione per tale pubblicazione :)
http://www.mediafire.com/?pmtcldjfwnd
come procedo?
Franceskina
18-07-2008, 16:24
il mio problema è questo. ho preso un bagle, ho seguito la guida e il problema sembra essere risolto. infatti nella cartella C:\WINDOWS\system32\drivers non ci sono più i file hldrrr.exe e mdelk.exe.
ho usato elibagle e avenger.adesso però questi file sono nella cartella prefetch di WINDOWS. volevo capire se è normale o se devo cancellarli.
grazie mille!troppo pazienti..:)
Angelus88
18-07-2008, 16:28
Puoi svuotarla per intero la cartella prefetch
Franceskina
18-07-2008, 16:33
ok..grazie!quindi il problema è risolto no? se quei due file non ci sono più..:confused: E poi per capire, in questa cartella prefetch cosa ci va a finire? perchè ci sono un sacco di file..:mbe:
Angelus88
18-07-2008, 16:42
La cartella prefetch dovrebbe contenere le informazioni dei programmi utilizzati più spesso per rendere più veloce il caricamento. In teoria... perché in pratica non cambia nulla e spesso in quella cartella si posizionano file infetti.
Su Vista funziona molto meglio, su XP la puoi svuotare.
http://www.mediafire.com/?pmtcldjfwnd
ho postato il link del file log ottenuto con filebat!!!!!
sulla guida c'è scritto di aspettare che un helper dica come proseguire!!
che devo fare?
Angelus88
18-07-2008, 17:01
Nickfor scusa ma... quale guida hai seguito? Non capisco di quel file bat parli...
Scusa Angelus88,
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.
Sono a buon punto, penso!!!!!
ora riesco a far funzionare Avast, ma non riesco a vedere le reti wifi!!!
tu ne sai qualcosa?
ti ringrazio
Scusa Angelus88,
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.
Sono a buon punto, penso!!!!!
ora riesco a far funzionare Avast, ma non riesco a vedere le reti wifi!!!
tu ne sai qualcosa?
ti ringrazio
o segui di qua o segui di là.... o se segui tutte e due almeno non incrociare i log...;)
per il ripristino dei servizi http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441
Angelus88
18-07-2008, 17:38
Nickfor ti ho postato di là.
Per evitare che xcdegasp mi sospenda nuovamente come suo solito, vorrei precisare che non sono stato io ad indirizzare nickfor sul forum. Avrà trovato la guida nella mia firma e si è poi confuso nel postare.
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.
Avrà trovato la guida nella mia firma e si è poi confuso nel postare.[/B]
:confused:
xcdegasp
19-07-2008, 00:11
Nickfor ti ho postato di là.
Per evitare che xcdegasp mi sospenda nuovamente come suo solito, vorrei precisare che non sono stato io ad indirizzare nickfor sul forum. Avrà trovato la guida nella mia firma e si è poi confuso nel postare.
a me sembra che abbia detto che qualcuno lo aveva indirizzato altrove non che avesse preso un link lui di sua spkntanea iniziativa!
Scusa Angelus88,
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.
guarda caso dopo che hai ricominciato a bazzicare su questo 3D.. un po' troppo di coincidenza..
5 giorni di sospensionecome la volta precedete, in pvt possiamo proseguire il chiarimento se vorrai :)
il mio log:
http://www.fileqube.com/shared/ATGzBC63150
per favore aiutatemiiii!!!
Chill-Out
19-07-2008, 15:11
il mio log:
http://www.fileqube.com/shared/ATGzBC63150
per favore aiutatemiiii!!!
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Dopodichè fai girare ancora EliBagla dalla modalità provvisoria F8
Riepilogo log da allegare:
Beagled
EliBagla
Ciao
Itzpapalot
19-07-2008, 18:29
ciao a tutti, premetto che le mie competenze informatiche non sono eccezionali.. seguendo la guida mi sono bloccata al punto2) mentre mi fa la scansione mi compare spessissimo "acceso denegato a la carpeta C:\Windows\System32.." e molte altre.. se clicco ok prosegue ma poi alla fine della scansione non mi trova virus.. eppure il mio pc è infetto.. ha tutti i sintomi!
potreste aiutarmi??
grazie!
ciao a tutti, premetto che le mie competenze informatiche non sono eccezionali.. seguendo la guida mi sono bloccata al punto2) mentre mi fa la scansione mi compare spessissimo "acceso denegato a la carpeta C:\Windows\System32.." e molte altre.. se clicco ok prosegue ma poi alla fine della scansione non mi trova virus.. eppure il mio pc è infetto.. ha tutti i sintomi!
potreste aiutarmi??
grazie!
ciao, già provato da mod. provvisoria?
carica il log che vediamo come prodedere
Ragazzi ancora nulla...non sono riuscito a trovare quali sono i file di sistema che fanno riferimento ai servizi zero config e client dhcp. Ottengo sempre l'errore " l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente" e non li posso abilitare.
Help :cry:
Grazie
Qualcuno ha qualche suggerimento per poter far ripartire questi due servizi? In particolare il zero config.
GRAZIE
Qualcuno ha qualche suggerimento per poter far ripartire questi due servizi? In particolare il zero config.
GRAZIE
Proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)
Proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)
Ottengo:
Protezione risorse di Windows: impossibile ripristinare alcuni dei file danneggi
ati trovati. I dettagli sono disponibili nel file CBS.Log windir\Logs\CBS\CBS.log.
A questo punto applico il comando:
findstr /C:"[SR] Cannot repair member file" %windir%\logs\cbs\cbs.log >sfcdetails.txt
e dentro sfcdetails ho:
2008-07-02 00:01:41, Info CSI 00000136 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:03:52, Info CSI 00000172 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:04:04, Info CSI 000001a0 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
Ho provato a sostituire il tcpip.sys ma non è cambiato nulla
Ottengo:
Protezione risorse di Windows: impossibile ripristinare alcuni dei file danneggi
ati trovati. I dettagli sono disponibili nel file CBS.Log windir\Logs\CBS\CBS.log.
A questo punto applico il comando:
findstr /C:"[SR] Cannot repair member file" %windir%\logs\cbs\cbs.log >sfcdetails.txt
e dentro sfcdetails ho:
2008-07-02 00:01:41, Info CSI 00000136 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:03:52, Info CSI 00000172 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:04:04, Info CSI 000001a0 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
Ho provato a sostituire il tcpip.sys ma non è cambiato nulla
Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e carica i log di:
Hijackthis
ESETSysinspector
Prevx
Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e carica i log di:
Hijackthis
ESETSysinspector
Prevx
hijackthis.log (http://wikisend.com/download/484678/hijackthis.log)
prevx_log.log (http://wikisend.com/download/924134/prevx_log.log)
SysInspector-DELLINO-080721-1724.zip (http://wikisend.com/download/924348/SysInspector-DELLINO-080721-1724.zip)
hijackthis.log (http://wikisend.com/download/484678/hijackthis.log)
prevx_log.log (http://wikisend.com/download/924134/prevx_log.log)
SysInspector-DELLINO-080721-1724.zip (http://wikisend.com/download/924348/SysInspector-DELLINO-080721-1724.zip)
nella scheda dei servizi metti in avvio automatico
Intel(R) PROSet/Wireless Registry Service
Intel(R) PROSet/Wireless Event Log
Zero Configuration reti senza fili
se Zero Configuration reti senza fili desse ancora ploblema...
proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)
CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.
2) Utilizzo di elibagla (removal tool spagnolo): dopo essere andati su QUESTA (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
guida.
Premessa veloce: è la prima volta che posto qui, e forse ci sono molte risposte a quello che sto per postare ma ci soo già oltre 200 pagine da leggere...scusate in anticipo per qualsiasi cosa....
Anch'io ho preso il baggle hldrrr.exe e ho provato ad eseguire i passi postati all'inizio del post, quando l'ho fatto avevo saltato un passaggio e mi sono trovato un po incasinato, ogni volta che accendevo il pc si spegneva dopo circa 5 minuti, però io riesco sempre ad entrare nel pc con la modalità provvisoria e così disattivando e cancellando alcuni programmi e file ora navigo come prima ma il virus è sempre lì, e mi sa che non è solo...ora vi posto il lo di infosat...se qualcuno mi può dare qualche consiglio vi sarei molto grato, non sono granché intenditore quindi magari vi chiedo di essere pignoli nelle spiegazioni.. grazie
Sat Jul 19 12:06:57 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
C:\ERROR.TXT --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Eliminada Carpeta "%AppData%\Hidires"
Sat Jul 19 12:12:03 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Sat Jul 19 12:12:28 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Sat Jul 19 12:35:52 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Sat Jul 19 12:38:39 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Bluetooth File Sender\BTFILESENDER.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 12031
Nº Total de Ficheros: 116928
Nº de Ficheros Analizados: 10758
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
ciao
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
fai ancora un giro con elibagla e posta il nuovo log
nella scheda dei servizi metti in avvio automatico
Intel(R) PROSet/Wireless Registry Service
Intel(R) PROSet/Wireless Event Log
Zero Configuration reti senza fili
se Zero Configuration reti senza fili desse ancora ploblema...
proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)
Sempre lo stesso errore...credo sia proprio il file corrotto. con lo sfc /scannow ho già postato il risultato mi da come corrotto tcpip.sys
Sempre lo stesso errore...credo sia proprio il file corrotto. con lo sfc /scannow ho già postato il risultato mi da come corrotto tcpip.sys
Proviamo a riparare e resettare il TCP/IP winsock
Clicca Start -> Esegui -> digita cmd (invio) -> Premi Ctrl+Shift+Invio per lanciare i comandi con diritti da amministratore e permetti -> digita netsh winsock reset (invio) -> riavvia il pc
ciao
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
fai ancora un giro con elibagla e posta il nuovo log
elibagla me lo fa vedere appena accendo il pc, prima che carichi periferiche e programmi, se ora cercassi di aprirlo non lo apre...il passaggia dice di fare la scansione con elibagla
elibagla me lo fa vedere appena accendo il pc, prima che carichi periferiche e programmi, se ora cercassi di aprirlo non lo apre...il passaggia dice di fare la scansione con elibagla
non ho capito nulla:confused: :confused:
da mod. provvisoria scansione con elibagle e posti il log secondo le modalità
mi sono spiegato male.
ora se volessi aprire elibagla non potrei, o meglio ci clicco il programma si apre e si chiude subito, invece prima appena accendevo il pc, successivamente ho disattivato elibagla, si avviava automaticamente elibagla, il resto della schermata è blu, e posso fare due cose o explorar oppure salir, con explorar fa una scansione, con salir mi fa accedere al deskop e poi carica programmi, periferiche ecc.....
se ora volessi usare elibagla per fare una scansione dovrei prima attivarlo e poi riavviare il computer......
nel primo post di questo topic c'è scritto di fare la scansione con elibagla ma non dice che bisogna riavviare il pc....
spero di essere spiegato.
cmq riproverò a fare tutti i passaggi in ordine corretto, e senza più sbagliare nulla, e posterò infostat
P.S.1 ho windows installato su un mac, ma il mac lo ha installato mio fratello ed ha attivato una password che richiede ogni volta che bisogna installare o modificare qualcosa, e lui si è scordato la pass e non sa dove ha messo il cd di installazione di mac :muro: :muro:
mi sono spiegato male.
ora se volessi aprire elibagla non potrei, o meglio ci clicco il programma si apre e si chiude subito, invece prima appena accendevo il pc, successivamente ho disattivato elibagla, si avviava automaticamente elibagla, il resto della schermata è blu, e posso fare due cose o explorar oppure salir, con explorar fa una scansione, con salir mi fa accedere al deskop e poi carica programmi, periferiche ecc.....
se ora volessi usare elibagla per fare una scansione dovrei prima attivarlo e poi riavviare il computer......
nel primo post di questo topic c'è scritto di fare la scansione con elibagla ma non dice che bisogna riavviare il pc....
spero di essere spiegato.
P.S. ho windows installato su un mac, ma il mac lo ha installato mio fratello ed ha attivato una password che richiede ogni volta che bisogna installare o modificare qualcosa, e lui si è scordato la pass e non sa dove ha messo il cd di installazione di mac :muro: :muro:
prova a riscaricarlo
Proviamo a riparare e resettare il TCP/IP winsock
Clicca Start -> Esegui -> digita cmd (invio) -> Premi Ctrl+Shift+Invio per lanciare i comandi con diritti da amministratore e permetti -> digita netsh winsock reset (invio) -> riavvia il pc
Nulla, sempre lo stesso errore...Riguardo il tcpip.sys qualche tempo fa l'ho sostituito con quello preso da un altro pc con la mia stessa versione di vista e sostituito nella cartella drivers sotto system32, ma a quanto pare non è servito a nulla.
Domanda: nel caso non riesco a ripristinare in questa maniera, l'installazione di vista permette di sovrascrivere solo i file di sistema così da evitare una formattazione?
Grazie
Nulla, sempre lo stesso errore...Riguardo il tcpip.sys qualche tempo fa l'ho sostituito con quello preso da un altro pc con la mia stessa versione di vista e sostituito nella cartella drivers sotto system32, ma a quanto pare non è servito a nulla.
Domanda: nel caso non riesco a ripristinare in questa maniera, l'installazione di vista permette di sovrascrivere solo i file di sistema così da evitare una formattazione?
Grazie
mi è sembrato di vedere che tu abbia varie applicazioni per gestire la connessione... su altri forum ho visto che questi programmi possono dare problemi...
con la sovrainstallazione potrebbe andare a posto ma con vista non so se è possibile (ma penso di si...)
Chill-Out
22-07-2008, 07:43
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
mi è sembrato di vedere che tu abbia varie applicazioni per gestire la connessione... su altri forum ho visto che questi programmi possono dare problemi...
con la sovrainstallazione potrebbe andare a posto ma con vista non so se è possibile (ma penso di si...)
Intendi disisntallare queste applicazioni??
akroma195
22-07-2008, 14:30
ciao a tutti. inizio col dire che sono nuovo del forum e quindi correggetemi per eventuali errori.
ho preso anche io il virus bagle.
ora vi posto qui sotto i vari rapporti:
rapporto di elibagla (removal tool spagnolo):
Mon Jul 21 18:23:10 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 18:24:24 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 18:25:36 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 18:32:39 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 18:33:19 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 21:11:53 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Mon Jul 21 21:12:10 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Mon Jul 21 21:14:17 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Mon Jul 21 21:14:25 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Jul 21 21:15:14 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Mon Jul 21 21:15:35 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Mon Jul 21 21:15:38 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Jul 21 21:16:16 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Mon Jul 21 21:16:18 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Jul 21 21:29:51 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Mon Jul 21 21:31:07 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\105625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\106984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\114171.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\119406.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\126234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\139890.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\141953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\148140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14847921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\15563656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\179187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30080734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30363015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30375515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\864468.EXE --> Eliminado Bagle
Nº Total de Directorios: 14216
Nº Total de Ficheros: 194286
Nº de Ficheros Analizados: 14415
Nº de Ficheros Infectados: 17
Nº de Ficheros Limpiados: 17
rapporto di avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\m" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Error: could not open folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\Roaming\m"
Deletion of folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\Roaming\m" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: folder "C:\WINDOWS\System32\drivers\down" not found!
Deletion of folder "C:\WINDOWS\System32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.
Error: registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mule_st_key"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mule_st_key" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
rapporto di kaspersky virus removal tool: http://www.mediafire.com/?viznm4hbnmw
vi prego aiutatemi!! :help:
Chill-Out
22-07-2008, 14:59
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Successivamente fai girare ancora EliBagla ed alleghi il log
Per salvare il log del Kasperaky Removal Tool devi cliccare su Reports -> Save to file -> salvarlo in formato .txt ed allegarlo
Intendi disisntallare queste applicazioni??
su un altro forum per esempio era net limiter a rompere le balle...
tu mi pare abbia installato qualche altro programma che potrebbe interagire con il tcp...
prova a disinstallarli e poi a ripristinare di nuovo
su un altro forum per esempio era net limiter a rompere le balle...
tu mi pare abbia installato qualche altro programma che potrebbe interagire con il tcp...
prova a disinstallarli e poi a ripristinare di nuovo
Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?
Posso provare a disinstallare i tool intel della scheda wifi, no?
Grazie ancora per l'aiuto
Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?
Posso provare a disinstallare i tool intel della scheda wifi, no?
Grazie ancora per l'aiuto
prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...
prova come ieri ma con questo comando
netsh int ip reset
Chill-Out
22-07-2008, 16:11
Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?
Posso provare a disinstallare i tool intel della scheda wifi, no?
Grazie ancora per l'aiuto
prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...
prova come ieri ma con questo comando
netsh int ip reset
A questo punto mi viene da pensare che questo problema sia antecedente al Bagle.
Mi faresti questa verifica da Start - Esegui - digita Regedit verifica la corrispondenza di questa chiave:
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
molosit1
22-07-2008, 20:15
Io ho un problema particolare....non riesco a partire con la procedura perchè la casella ove spuntare DISABILITA RIPRISTINO è invisibile......
Ho già provato a digitare regedit e poi cercare la seguente chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Configuration Manager
Ma nn c'è.........
Mi servirebbe qlcosa di alternativo........
Aggiungo che a me il Norton che ho installato funziona ancora.......anche se nn becca nulla!!!
prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...
prova come ieri ma con questo comando
netsh int ip reset
Ha fatto tutto ma niente..ora provo a disinstallare
A questo punto mi viene da pensare che questo problema sia antecedente al Bagle.
Mi faresti questa verifica da Start - Esegui - digita Regedit verifica la corrispondenza di questa chiave:
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004
La chiave ha quel valore ma se la apro dentro come decimale c'è 3, è giusto?
Chill-Out
22-07-2008, 22:48
Ha fatto tutto ma niente..ora provo a disinstallare
La chiave ha quel valore ma se la apro dentro come decimale c'è 3, è giusto?
4 o 5
4 o 5
Si!!! Piccola novità ieri sono riuscito a collegarmi in wifi anche senza attivare il zero config. Però sta cosa che non parte e nemmeno il client dhcp è una rottura. Ma potrebbe esser dovuto ai servizi da cui dipendono.
Anche se l'errore si riferisce all'handle
molosit1
23-07-2008, 10:04
Io ho un problema particolare....non riesco a partire con la procedura perchè la casella ove spuntare DISABILITA RIPRISTINO è invisibile......
Ho già provato a digitare regedit e poi cercare la seguente chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Configuration Manager
Ma nn c'è.........
Mi servirebbe qlcosa di alternativo........
Aggiungo che a me il Norton che ho installato funziona ancora.......anche se nn becca nulla!!!
Niente????????
O devo cambiare sezione..........scusate l'insistenza ma mi trovo in difficoltà!
Niente????????
O devo cambiare sezione..........scusate l'insistenza ma mi trovo in difficoltà!
Sei sicuro di avere il Bagle? Chi è infetto dal bagle ha questi effetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso
e tu hai scritto che invece il norton gira ancora...;)
molosit1
23-07-2008, 10:30
Hai ragione......nel senso che alcuni sintomi nn sembrano quelli ma altri si...
Il Norton nn mi trova nulla.....però succedono cmq delle cose strane, tipo la disabiltazione nn possibile, disabilitazione del sistema di protezione Windows, cambiano impostazioni di base nella riaccensione etc etc....
Magari consigliami una scansione con qualche antivirus o tool che ritieni opportuno...
GRAZIE!
@ molosit1
prima di consigliarti qualcosa fai una cosa, guarda se il computer entra in modalità provvisoria per favore se non sai come si fa ecco qui:
1.Riavviare il computer.
2. al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
3. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio.
Fammi sapere
molosit1
23-07-2008, 10:42
Si...il computer entra in modalità provvisoria!
Anche se il disabilita ripristino mi resta invisibile.
Ti aggiorno su quello che sto facendo........scansione con kapersky Virus Removal tool...........sta al 3% e per ora mi ha trovato 2 Trojan.Win32.Qhost.kk
Si...il computer entra in modalità provvisoria!
Anche se il disabilita ripristino mi resta invisibile.
ok allora non si tratta del Bagle quindi è inutile continuare in questo thread quindi apri tu una nuova discussione in "aiuto sono infetto" dove spieghi meglio quali sono i sintomi dell infezione, il tuo sistema operativo, il tuo antivirus e inizia con il seguire la Guida alla Disinfestazione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) passo passo e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)) cosi potremo darti una mano!;)
Ti aspetto di la :)
molosit1
23-07-2008, 11:25
Sono passato in una discussione che ho creato ad hoc.
Grazie!
Ciao a tutti!
Mi sono preso anch'io un bagle e sto seguendo la guida per salvare il mio PC dalla formattazione...sono arrivato al punto 3) "Usare avenger":
inserisco lo script --> click su execute -->si -->ok -->Errore: impossibile trovare il file C:\cleaner.bat --> Errore -->.... alla fine avenger non esegue nulla!
Che posso fare?
Grazie mille
Adrianz
Ciao a tutti!
Mi sono preso anch'io un bagle e sto seguendo la guida per salvare il mio PC dalla formattazione...sono arrivato al punto 3) "Usare avenger":
inserisco lo script --> click su execute -->si -->ok -->Errore: impossibile trovare il file C:\cleaner.bat --> Errore -->.... alla fine avenger non esegue nulla!
Che posso fare?
Grazie mille
Adrianz
ciao, prima carica il log di elibagla secondo le modalità
ciao, grazie a questa guida sono riuscito a risolvere quasi tutti i problemi.sono riuscito a installare nuovamente antivir ma non zonealarm, anche se credo che questo sia un problema del programma...dice che devo disattivare truevector per procedere con l'installazione. il vero problema è un altro...dopo circa 10/15 minuti che il pc è acceso non funzionano + i browser (firefox,explorer) che inizialmente funzionano . non è un problema di connesione perchè durante il "blocco" funziona ad esempio messenger.inoltre ho provato ad eseguire il ping, spero si dica così, ed il risultato è che ci sono zero file persi.secondo voi da cosa dipende? vi prego datemi un consiglio.grazie
ciao, grazie a questa guida sono riuscito a risolvere quasi tutti i problemi.sono riuscito a installare nuovamente antivir ma non zonealarm, anche se credo che questo sia un problema del programma...dice che devo disattivare truevector per procedere con l'installazione. il vero problema è un altro...dopo circa 10/15 minuti che il pc è acceso non funzionano + i browser (firefox,explorer) che inizialmente funzionano . non è un problema di connesione perchè durante il "blocco" funziona ad esempio messenger.inoltre ho provato ad eseguire il ping, spero si dica così, ed il risultato è che ci sono zero file persi.secondo voi da cosa dipende? vi prego datemi un consiglio.grazie
ciao
purtroppo senza i log possiamo capire ben poco...
come scansione virus "dovresti" essere a posto in teoria
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.
Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)
Scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis
Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto
ciao, prima carica il log di elibagla secondo le modalità
Ecco il link al log di Elibagla:
http://www.mediafire.com/?m3hkslmelfm
In più vi AGGIORNO LA SITUAZIONE:
1) il file che non trova Avenger è c:\cleanup.bat (scusate l'errore nel precedente post)
2) Avenger dice anche che non riesce a creare il file c:\avenger.txt.....allora ho provato io a creare un file di testo vuoto sotto c:\avenger.txt, ma appena lo creo, automaticamente scompare (e non viane nascosto, proprio non esiste più)
3)NON RIESCO PIù AD ACCEDERE ALLA MIA PENNA USB TRAMITE ESPLORA RISORSE (intendo quando attacco la pendrive al mio pc infetto, mentre sul pc del lavoro la penna la legge normalmente e la uso per "importare" sul mio pc i programmi che mi segnalate), il che è un bel problema: se non posso andare su internet e non posso "importare" file e programmi con la penna, come faccio? Con un CD? C...o al lavoro non ho un masterizzatore...
4)Non so perchè, ma non riesco ad aprire il file .htm nel quale ho salvato la guida. SOLO QUEL FILE E SOLO SUL MIO PC INFETTO
5)Se provo a riavviare Elibagla non parte e mi dice di scaricare la versione aggiornata (c...o 3 gg fa funzionava, adesso mi dice che c'è una nuova versione... Che c...o ne sa lui?)
Grazie e tutti per il vostro aiuto!
Adrianz
Chill-Out
25-07-2008, 08:45
Ecco il link al log di Elibagla:
http://www.mediafire.com/?m3hkslmelfm
In più vi AGGIORNO LA SITUAZIONE:
1) il file che non trova Avenger è c:\cleanup.bat (scusate l'errore nel precedente post)
2) Avenger dice anche che non riesce a creare il file c:\avenger.txt.....allora ho provato io a creare un file di testo vuoto sotto c:\avenger.txt, ma appena lo creo, automaticamente scompare (e non viane nascosto, proprio non esiste più)
3)NON RIESCO PIù AD ACCEDERE ALLA MIA PENNA USB TRAMITE ESPLORA RISORSE, il che è un bel problema: se non posso andare su internet e non posso "importare" file e programmi con la penna, come faccio? Con un CD? C...o al lavoro non ho un masterizzatore...
4)Non so perchè, ma non riesco ad aprire il file .htm nel quale ho salvato la guida. SOLO QUEL FILE E SOLO SUL MIO PC INFETTO
5)Se provo a riavviare Elibagla non parte e mi dice di scaricare la versione aggiornata (c...o 3 gg fa funzionava, adesso mi dice che c'è una nuova versione... Che c...o ne sa lui?)
Grazie e tutti per il vostro aiuto!
Adrianz
Riscarica EliBagla e fallo girare nuovamente perchè stai usanto una versione vecchia, la versione attuale è la 11.62
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Dopodichè nuovo giro di EliBagla da modalità provvisoria F8
Allega entrambi i log, ciao.
Newbie Inesperto
25-07-2008, 09:01
Ciao a tutti io sono nuovo e... inesperto...
Allora io mi ritrovo in una situazione "strana". Io uso Windows Viasta e so di aver preso il virus Bagle con il file HLDRRR.EXE. Questo mi ha bruciato Windows Defender, tutti i controlli Antivirus di Messenger e Norton Internet Security (che però non era aggiornato). L'unico software "sopravvissuto" è Webroot Antivirus with Antispyware: con questo speravo di essere risucito a rimuovere Bagle del tutto ma ogni volta, dopo che Webroot Antivirus lo sposta in quarantena, il virus si riproduce e ricevo il messaggio di avviso che è stato messo in quarantena praticamente sempre! E oltre a rallentare il sistema, rallenta e blocca spesso anche l'antivirus, e questo mi può rendere vulnerabile a altre minacce. Ora non so cosa fare, in un giorno Webroot Antivirus ha bloccato più di 70000 minacce in entrata, ho perso tutti i controlli per Messenger, il firewall che usavo (Norton) e Windows Defender... e poi se guardo tra i processi in Gestione Attività non riesco a vedere HLDRRR.EXE... Però so che Webroot Antivirus non è stato disinstallato ma riesce a eliminare il virus che però si riproduce. Cosa posso fare nella mia situazione?
Grazie, e vi prego perdonate la mia ignoranza :( io non mi intendo molto di queste cose :cry:
Chill-Out
25-07-2008, 09:03
Ciao a tutti io sono nuovo e... inesperto...
Allora io mi ritrovo in una situazione "strana". Io uso Windows Viasta e so di aver preso il virus Bagle con il file HLDRRR.EXE. Questo mi ha bruciato Windows Defender, tutti i controlli Antivirus di Messenger e Norton Internet Security (che però non era aggiornato). L'unico software "sopravvissuto" è Webroot Antivirus with Antispyware: con questo speravo di essere risucito a rimuovere Bagle del tutto ma ogni volta, dopo che Webroot Antivirus lo sposta in quarantena, il virus si riproduce e ricevo il messaggio di avviso che è stato messo in quarantena praticamente sempre! E oltre a rallentare il sistema, rallenta e blocca spesso anche l'antivirus, e questo mi può rendere vulnerabile a altre minacce. Ora non so cosa fare, in un giorno Webroot Antivirus ha bloccato più di 70000 minacce in entrata, ho perso tutti i controlli per Messenger, il firewall che usavo (Norton) e Windows Defender... e poi se guardo tra i processi in Gestione Attività non riesco a vedere HLDRRR.EXE... Però so che Webroot Antivirus non è stato disinstallato ma riesce a eliminare il virus che però si riproduce. Cosa posso fare nella mia situazione?
Grazie, e vi prego perdonate la mia ignoranza :( io non mi intendo molto di queste cose :cry:
Fai girare EliBagla come indicato in Guida, dopodichè fai girare questo tool:
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Allega entrambi i log
Newbie Inesperto
25-07-2008, 09:12
Fai girare EliBagla come indicato in Guida, dopodichè fai girare questo tool:
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Allega entrambi i log Grazie lo faccio immediatamente ma prima chiudo Webroot Antivirus o lo lascio aperto?
Chill-Out
25-07-2008, 09:17
Grazie lo faccio immediatamente ma prima chiudo Webroot Antivirus o lo lascio aperto?
Spegnilo
Riscarica EliBagla e fallo girare nuovamente perchè stai usanto una versione vecchia, la versione attuale è la 11.62
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Dopodichè nuovo giro di EliBagla da modalità provvisoria F8
Allega entrambi i log, ciao.
Scusa, io posso scaricare (al lavoro) tutto ma poi quando torno a casa e attacco la pennetta al pc non riesco ad esplorarla! Come faccio? Da DOS? non mi ricordo come si copiano i file...
la penna usb la usavi già su pc infetto?
No.
Mi si infetta ogni volta che la collego al mio pc infetto.
Poi vengo al lavoro, la collego qui e grazie a Dio il McAfee me lo individua e mi ripulisce la pen.
Praticamente la pulisco con il pc del lavoro...cosa rischiosissima, ma la prima volta è avvenuto senza che ci pensassi ed ora so che posso andare tranquillo.
Mentre aspettavo vs notizie, ho provato ad installare AVG Free (ne avevo l'ultimo installer sul pc) e gli ho fatto fare una scansione completa (senza che trovasse nulla). Può essere quello che mi ha bloccato l'accesso alla penna?
Nel mentre, mi sapete dire perchè il McAfee del lavoro vede il tool-anti-bagle.zip (quel file zip per intenderci dove dentro c'è avenger) come un virus (Vundo)? :confused:
click dx su risorse computer -> gestione -> gestione disco
guarda se li la vedi la chiavetta, a volte bisogna cambiargli la lettera
"click dx su risorse computer -> gestione -> gestione disco
guarda se li la vedi la chiavetta, a volte bisogna cambiargli la lettera"
Ok ci provo, cmq sotto "risorse del computer" la vedo la penna, è che se ci clikko sopra stranamente non succede niente!:help:
Angelus88
25-07-2008, 14:16
Probabilmente è infetta... invece di farci doppio clic, cliccaci con il destro e dimmi qual'è il comando scritto in grassetto
Si!!! Piccola novità ieri sono riuscito a collegarmi in wifi anche senza attivare il zero config. Però sta cosa che non parte e nemmeno il client dhcp è una rottura. Ma potrebbe esser dovuto ai servizi da cui dipendono.
Anche se l'errore si riferisce all'handle
Niente..sempre fermo a questa situazione. Qualcuno mi sa dire quali file di sistema si dovrebbero rimpiazzare per far partire questi servizi.
Grazie
è già la terza volta che mi capita lo stesso problema però ora vorrei evitare di dover formattare ancora...
ho scaricato elibagla
report
Sat Jul 26 12:10:22 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Sat Jul 26 12:12:12 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Sat Jul 26 12:15:14 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3251
Nº Total de Ficheros: 48435
Nº de Ficheros Analizados: 8490
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sat Jul 26 12:22:44 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
provato anche avenger poi ma niente mi da errore pure la versione moddata che ho trovato in giro..
kaspersky mi da errore nell'aggiornamento del database e nn mi fa neanche la scansione online
hijakthis riporto il report
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.07.50, on 26/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\dazan26\Dati applicazioni\m\flec006.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dazan26\Desktop\Tools-Anti-Bagle-nuovo\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215760572046
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{77F739FB-20AC-40F5-8068-6114416D502E}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{77F739FB-20AC-40F5-8068-6114416D502E}: NameServer = 193.70.152.15,193.70.152.25
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5461 bytes
Please help me che nn so piu che pesci pigliare grazie!
Chill-Out
26-07-2008, 16:45
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Dopodichè nuovo giro di EliBagla da modalità provvisoria F8
Allega entrambi i log, ciao.
NB: allega i log secondo le modalità indicate in Guida, grazie.
ciao
rilancia elibagla da mod. provvisoria
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
provo subito..
attualmente però la modalita provvisoria non funge
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt
Dopodichè nuovo giro di EliBagla da modalità provvisoria F8
Allega entrambi i log, ciao.
NB: allega i log secondo le modalità indicate in Guida, grazie.
ho provato ma non funziona si apre e poi si richiude la finestra del prompt e nel log non c'è nulla
Chill-Out
26-07-2008, 17:00
ho provato ma non funziona si apre e poi si richiude la finestra del prompt e nel log non c'è nulla
scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE
clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles
ecco qua
< %SystemDrive%\WINDOWS\system32\drivers\hidr.exe >
Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys >
Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe >
Folder C:\WINDOWS\system32\wintems.exe not found.
< %SystemDrive%\WINDOWS\system32\hldrrr.exe >
Folder C:\WINDOWS\system32\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\trusted.exe >
Folder C:\WINDOWS\system32\trusted.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %UserProfile%\Dati applicazioni\hidires\hidr.exe >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\hidr.exe not found.
< %UserProfile%\Dati applicazioni\hidires\rosa.sys >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\rosa.sys not found.
< %UserProfile%\Dati applicazioni\m\list.oct >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\list.oct not found.
< %UserProfile%\Dati applicazioni\m\data.oct >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\data.oct not found.
< %UserProfile%\Dati applicazioni\m\flec006.exe >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\flec006.exe not found.
< %SystemDrive%\system32\re_file.exe >
Folder C:\system32\re_file.exe not found.
< %SystemDrive%\elist.xpt >
Folder C:\elist.xpt not found.
< %UserProfile%\Dati applicazioni\hidires\m_hook.sys >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\m_hook.sys not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe >
Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ >
Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe >
Folder C:\WINDOWS\system32\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe >
Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %SystemDrive%\WINDOWS\system32\edlm.exe >
Folder C:\WINDOWS\system32\edlm.exe not found.
< %SystemDrive%\WINDOWS\system32\edlm2.exe >
Folder C:\WINDOWS\system32\edlm2.exe not found.
< %SystemDrive%\Windows\system32\ldR64.dll >
Folder C:\Windows\system32\ldR64.dll not found.
< %SystemDrive%\WINDOWS\system32\german.exe >
Folder C:\WINDOWS\system32\german.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys. >
Folder C:\WINDOWS\system32\drivers\srosa.sys. not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe. >
Folder C:\WINDOWS\system32\mdelk.exe. not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe. >
Folder C:\WINDOWS\system32\wintems.exe. not found.
< %SystemDrive%\WINDOWS\system32\1.exe >
Folder C:\WINDOWS\system32\1.exe not found.
< %SystemDrive%\WINDOWS\exefqd >
Folder C:\WINDOWS\exefqd not found.
< %SystemDrive%\WINDOWS\exefnd >
Folder C:\WINDOWS\exefnd not found.
< %SystemDrive%\WINDOWS\exefld >
Folder C:\WINDOWS\exefld not found.
< %UserProfile%\Dati applicazioni\hidires >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires not found.
< %UserProfile%\Dati applicazioni\hidn >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidn not found.
< %UserProfile%\Dati applicazioni\m >
Folder move failed. C:\Documents and Settings\dazan26\Dati applicazioni\m scheduled to be moved on reboot.
< %SystemDrive%\WINDOWS\System32\drivers\down >
Folder C:\WINDOWS\System32\drivers\down not found.
< %SystemDrive%\WINDOWS\system32\drivers\downld >
C:\WINDOWS\system32\drivers\downld moved successfully.
< %SystemDrive%\WINDOWS\temp\ >
Folder C:\WINDOWS\temp\ not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 >
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\W5MVO1I7 moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\SLAFC1MB moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\KDQBSXQ7 moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\85MZKHAR moved successfully.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
< %UserProfile%\Impostazioni locali\Temporary Internet Files >
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.
< %UserProfile%\Impostazioni locali\Temp >
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temp scheduled to be moved on reboot.
File/Folder C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07262008_181056
Files moved on Reboot...
File C:\Documents and Settings\dazan26\Dati applicazioni\m not found!
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.
C:\Documents and Settings\dazan26\Impostazioni locali\Temp moved successfully.
elibagla
Nº Total de Directorios: 3452
Nº Total de Ficheros: 49940
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sat Jul 26 18:13:24 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"
Sat Jul 26 18:13:26 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3451
Nº Total de Ficheros: 49943
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sat Jul 26 18:16:30 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Jul 26 18:16:31 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3450
Nº Total de Ficheros: 49940
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Chill-Out
26-07-2008, 17:23
I log devono essere allegati secondo le regole indicate in Guida, grazie per la collaborazione.
sembra che abbia risolto.. speriamo bene.. sapete consigliarmi qualche buon programma per evitare che capiti nuovamente?
sembra che abbia risolto.. speriamo bene.. sapete consigliarmi qualche buon programma per evitare che capiti nuovamente?
io senza vedere log non ti do il bollino "clean" ma se ti sembra di essere a posto
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide
ragazzi, ho disinfettato il computer da questo virus da un bel po', ma mi sono accorto solo ora di una cosa, non riesco più a visualizzare i file nascosti...
come devo fare?
GRAZIE
Angelus88
27-07-2008, 21:17
Scarica questo file (http://fileup.itadib.com/download.php?id=RUhgL38PUZaRLQOIwL3w) di registro e poi fai doppio clic per aprirlo e aggiungerlo.
SharksXP
27-07-2008, 22:35
Grazie alla guida sono riuscito a eliminare il virus ma ora non riesco più a modificare l'opzione account utente.
Come posso fare?
Grazie alla guida sono riuscito a eliminare il virus ma ora non riesco più a modificare l'opzione account utente.
Come posso fare?
ciao
senza log non possiamo sapere come sei messo...
Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto.
SharksXP
27-07-2008, 23:11
ciao
senza log non possiamo sapere come sei messo...
Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto.
Eccolo :cry:
http://www.mediafire.com/?oqw40zd1dyg
Eccolo :cry:
http://www.mediafire.com/?oqw40zd1dyg
hai due antivirus... togli avast e tieni antivir
di antispyware io terrei superantispyware, quindi io farei fuori il mattone di spyware doctor
vorremmo vedere anche gli altri log, quello di f-secure o kasp. ce l'hai?
assicuriamoci di essere a posto anche con gli spyware
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.
Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)
SharksXP
27-07-2008, 23:39
hai due antivirus... togli avast e tieni antivir
di antispyware io terrei superantispyware, quindi io farei fuori il mattone di spyware doctor
vorremmo vedere anche gli altri log, quello di f-secure o kasp. ce l'hai?
assicuriamoci di essere a posto anche con gli spyware
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.
Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)
Avast l'ho già disistallato cmq avevo già fatto una scansione con superantyspyware ma non aveva trovato niente ora riprovo con la configurazione che mi hai dato e domani posto il log.
f-secure o kasp non cè l'ho:muro:
SharksXP
28-07-2008, 08:45
Superantispyware non ha trovato niente ;)
Kasp non riesco a farlo funzionare :muro:
Angelus88
28-07-2008, 08:52
Per caso hai Windows Vista? Perché con Vista crea problemi.
Se hai XP e non ti funziona, puoi usare F-Secure Scan OnLine seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1751772).
SharksXP
28-07-2008, 09:39
Ho vista :muro:
Non mi fa installare neanche i controlli activex per F-secure ho provato in tutti i modi impostando la protezione bassa e mettendolo come sito consentito.
Probabilmente è infetta... invece di farci doppio clic, cliccaci con il destro e dimmi qual'è il comando scritto in grassetto
Ciao!
dopo aver disinstallato AVG sono riuscito ad esplorare la penna!
Allora ho fatto un nuovo giro con elibagla, poi con beagled, poi ancora con elibagla (non da modalità provvisoria, perchè non riuscivo a farla partire)
Cmq sembra sia andato bene anche il secondo giro di elibagla, tant'è che poi ho completato TUTTA la guida!
Vi allego i link a tutti i rapporti:
Infosat.txt:
http://www.mediafire.com/?etx29ydmhpq
Beagled.txt:
http://www.mediafire.com/?cldsuvch1mg
Avenger.txt:
http://www.mediafire.com/?oxm1nujib9y
Kaspersky.txt:
http://www.mediafire.com/?ndlmbnaoyad
Sembra tutto ok! Adesso la modalità provvisoria va, vedo i file nascosti, la cpu viaggia normalmente, ho reinstallato il firewall e funziona!
Stasera re-installerò l'Avira Antivir e poi vi faccio sapere se l'explorer funziona bene!
:D :D :D
xcdegasp
28-07-2008, 12:45
per impostare correttamente avira segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684
:)
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide
per impostare correttamente avira segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684
:)
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide
Ok thanks!
CCleaner sembra un bel programmino...me lo tengo?
Dico una c.....a se dico che sembra faccia lo stesso lavoro, ma meglio, di Ad-Aware personal free? Se è così tolgo Ad-Aware e lascio CCleaner....
Adrianz
Ok thanks!
CCleaner sembra un bel programmino...me lo tengo?
Dico una c.....a se dico che sembra faccia lo stesso lavoro, ma meglio, di Ad-Aware personal free? Se è così tolgo Ad-Aware e lascio CCleaner....
Adrianz
ccleaner cancella files inutili come atf cleaner, ad-aware era un buon antispyware, ora meglio sostituirlo con a-squared o superantispyware
Angelus88
28-07-2008, 13:34
CCleaner è un programma di pulizia file e registro. Non file infetti.
Comunque si, tienilo
marina1983
29-07-2008, 10:28
ciao
penso di avere un virus bagle. Non riesco ad aprire l'antivirus e non mi funziona più l'audio.
Ho provo a seguire la guida ed elibagle dice che ha trovato toscdspd.exe baglema, il prg lo elimina ma poi non riesco ad avviare avenger.
come posso fare?
ciao
penso di avere un virus bagle. Non riesco ad aprire l'antivirus e non mi funziona più l'audio.
Ho provo a seguire la guida ed elibagle dice che ha trovato toscdspd.exe baglema, il prg lo elimina ma poi non riesco ad avviare avenger.
come posso fare?
ciao comincia a caricare il log di elibagla secondo le modalità
SuiCiDaL_MaNiAc
30-07-2008, 12:10
salve a tutti e intanto grazie.
non sono tipo da chiedere senza aver letto prima il thread ma 225 pagine era impossibile.
posto il log di elibagla, avenger da' errore (non trova il file cleanup.dat)
kaspersky non funge ma scansionando avg ha trovato un bagle.
posso andare avanti con le operazioni anche se avenger? scusatemi la domanda da idiota ma su questa macchina ho roba alquanto delicata e non vorrei fare di testa mia facendo il passo più lungo della gamba.
grazie ancora.
Fabio
salve a tutti e intanto grazie.
non sono tipo da chiedere senza aver letto prima il thread ma 225 pagine era impossibile.
posto il log di elibagla, avenger da' errore (non trova il file cleanup.dat)
kaspersky non funge ma scansionando avg ha trovato un bagle.
posso andare avanti con le operazioni anche se avenger? scusatemi la domanda da idiota ma su questa macchina ho roba alquanto delicata e non vorrei fare di testa mia facendo il passo più lungo della gamba.
grazie ancora.
Fabio
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe
Lancia Beagled.exe -> segui le indicazioni -> al termine carica il log che trovi in C:\Bagled.txt
Scarica OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Lancialo -> Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto nella finestra "Paste List of Files/Folders to be moved"
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
clicca su MoveIT
al successivo riavvio carica il log che trovi in C:\_OTMoveIt\MovedFiles
Angelus88
30-07-2008, 13:30
Forse sarebbe il caso di aggiornare la guida.
Come sapete la nuova versione di Bagle rende inutile Elibagla e Avenger.
Io consiglio quindi di sostituire i due tool con questi che fate usare con la nuova versione che ovviamente funzionano anche con la vecchio versione di Bagle ossia Beagled e OTMoveIt2
Forse sarebbe il caso di aggiornare la guida.
Come sapete la nuova versione di Bagle rende inutile Elibagla e Avenger.
Io consiglio quindi di sostituire i due tool con questi che fate usare con la nuova versione che ovviamente funzionano anche con la vecchio versione di Bagle ossia Beagled e OTMoveIt2
elibagla lo eliminesti del tutto o lo sposteresti dopo bagled e ot?
Angelus88
30-07-2008, 14:24
Magari invece di eliminarlo lo sposterei dopo Beagled e OT dato che questi ultimi dovrebbero già rilevare ed eliminare bagle. Elibagla si potrebbe usare così, solo come controllo.
SuiCiDaL_MaNiAc
30-07-2008, 14:49
beagled non sembra aver funzionato, all'avvio è ripartito elibagla ma non gli ho permesso di scansionare
ecco il log:
Bagle_Remover.exe
Date: 30/07/2008
Time: 15.32.42,21
il log di OTmoveIT è in allegato
beagled non sembra aver funzionato, all'avvio è ripartito elibagla ma non gli ho permesso di scansionare
ecco il log:
il log di OTmoveIT è in allegato
beagled nei log non segnala nulla, è per questo che dici che non ha funzionato?
fai un giro di verifica con elibagla su c: e carica il log
poi procedi con f-secure o kasp
SuiCiDaL_MaNiAc
30-07-2008, 15:40
beagled nei log non segnala nulla, è per questo che dici che non ha funzionato?
si, anvedomi richiesto di postarlo pensavo di trovarci qualcosa ma evidentemente solo la creazione del log è sintomatica del suo corretto funzionamento.
inanto ho riavviato per rendere attivi i cambiamenti apportati da ONmoveIT e lanciato ELIbanglabaona, di cui allego log; ancora non ci siamo..peraltro stavolta è partito direttamente senza avviare e poi partire come aveva fatto la prima volta
prima di lanciare un virus scan, avg è valido lo stesso o è opportuno sostituirlo con quelli consigliati da te? entrambi fino a poco fa non me li faceva installare. poco fa ha rilevato minacce negli exe di moveIT. ora vado nella cartella e mi accordo che l'ha riempita dei suoi maledetti exe, che peraltro ELIbangladesh non sembra trovare (saprai meglio dirmi tu con il log)
avg lo rimpiazzerai alla fine
fai un giro con elibagla in mod. provv.
SuiCiDaL_MaNiAc
30-07-2008, 15:58
provvedo subito.
mi sono appena accorto che la cartelle di ot sono ora infestate di maledetti exe di bagle
provvedo subito.
mi sono appena accorto che la cartelle di ot sono ora infestate di maledetti exe di bagle
sono i file che ha rimosso, solo li come backup ;)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.