PDA

View Full Version : Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione


Pagine : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 [18] 19 20 21 22 23 24 25 26 27 28 29 30

Chill-Out
02-07-2008, 10:19
ok procedo, cmq è possibile che il ripristino configurazione sistema si riattivi sa solo? l'ho più volte disattivato ma si riattiva.
io dovrei aver cancellato tutti i crack ma la finestrella rimane sempre aperta... cmq procedo e posto

Si è possibile che il system restore si riattivi, segui la procedura mi raccomando presta attenzione alle istruzioni.

Mattia37
02-07-2008, 10:40
ok procedure effettuate alla lettera
ecco i log:
http://wikisend.com/download/574638/InfoSat.txt
http://wikisend.com/download/584196/07022008_112343.log

Aggiungo:
é cambiato il risultato di prevx: http://www.fileqube.com/shared/ghLasisj51227

ed ogni tanto escono questi messaggi:
http://www.fileqube.com/shared/RKpYXL51229
http://www.fileqube.com/shared/KbsgUjDhu51230

Giusto per avere un quadro della situazione migliore (ah stranamente va il mouse)

Chill-Out
02-07-2008, 11:10
ok procedure effettuate alla lettera
ecco i log:
http://wikisend.com/download/574638/InfoSat.txt
http://wikisend.com/download/584196/07022008_112343.log

Aggiungo:
é cambiato il risultato di prevx: http://www.fileqube.com/shared/ghLasisj51227

ed ogni tanto escono questi messaggi:
http://www.fileqube.com/shared/RKpYXL51229
http://www.fileqube.com/shared/KbsgUjDhu51230

Giusto per avere un quadro della situazione migliore (ah stranamente va il mouse)

Esegui il punto 3 della Guida ovviamente il tool lo devi riscaricare

Mattia37
02-07-2008, 11:27
Fatto ecco il log:
http://wikisend.com/download/566054/avenger.txt

Chill-Out
02-07-2008, 11:30
Fatto ecco il log:
http://wikisend.com/download/566054/avenger.txt

Bene porta a termine la Guida con i Punti 4 - 5 - 6 il Kav Removal Tool ovviamente lo devi riscaricare

Mi dici qual'era il tuo AV prima di contrarre il Bagle?

Mattia37
02-07-2008, 11:34
NOD 32
con firewall saygate
ma secondo te i crash di explorer a cosa sono dovuti? mi è ricapitato di nuovo...

Chill-Out
02-07-2008, 11:52
NOD 32
con firewall saygate
ma secondo te i crash di explorer a cosa sono dovuti? mi è ricapitato di nuovo...

Per il momento reinstalla il Nod configuralo, aggiornalo e fai una scansione completa del sistema + i Punti della Guida indicati sopra, per il discorso degli errori lo approfondiamo successivamente perchè possono essere diverse cose.

Mattia37
02-07-2008, 12:15
Ok eseguo, ci impiegheranno un pò a controllare tutto...

intanto ti ringrazio infinitamente per l'aiuto!
la finestrella mi ha abbandonato e le cose sembrano rientrate quasi tutte nella normalità. Grazie ancora del tuo tempo.

per gli errori ora sistemo tutto, reinstallo i driver aggiornati e poi vediamo se si ripresentano.

MattiaAnimeRex
02-07-2008, 12:47
Ciao a tutti!:D
Ho trovato questo sito mentre vagavo alla ricerca di una soluzione per eliminare il maledetto flec006.exe, e' il primo virus che mi da' veramente problemi!!!
Nemmeno Hijack riesco ad usare dato che esce i messaggino "..non e' un applicazione di win32 valida"....
Posto qui di seguito il log di Elibagla nella speranza che possiate aiutarmi!!!:help: :help:




Wed Jul 02 13:12:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle

Wed Jul 02 13:13:52 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:09 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:13 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:49:06 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jul 02 13:49:46 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\119421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\143750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14831390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14905093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\158140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\9647718.EXE --> Eliminado Bagle

Nº Total de Directorios: 5087
Nº Total de Ficheros: 58333
Nº de Ficheros Analizados: 5596
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9

Wed Jul 02 14:52:51 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Detective Conan 2\APPLIAN_FLV_PLAYER_1.33.EXE --> Eliminado Bagle.dldr
D:\Detective Conan 2\Replay Media Catcher 2.01\REPLAY MEDIA CATCHER 2.01.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 430
Nº Total de Ficheros: 15644
Nº de Ficheros Analizados: 215
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

sat333
02-07-2008, 13:42
UAC disabilitato non và bene, procedi cosi:

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

regsvr32 wuaueng.dll e batti invio

per uscire digita Exit

Fatto ma in pratica se vado su account utente UAC è sempre non spuntanto però è attivo.

E in più ho quei servizi che non partono, ma ho fatto tutte le scansioni e non c'è più traccia di nessun virus

Giampaolo Olivotti
02-07-2008, 13:59
Anche io ho Bagle, purtroppo.....
Vin vista...
1) disabilitati il ripristino
2) eseguito elibagla con il log allegato
3) eseguito Avenger, ma con tutti questi messaggi di errore e quindi NON eseguito:
---------------------------
Error
---------------------------
Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not open cleanup batch.Aborting execution! (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Quit?
---------------------------
No action has been queued for next reboot. Are you sure you want to quit The Avenger?
---------------------------
Sì No
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
AIUTO PER FAVOREEEE

Chill-Out
02-07-2008, 14:17
Fatto ma in pratica se vado su account utente UAC è sempre non spuntanto però è attivo.

E in più ho quei servizi che non partono, ma ho fatto tutte le scansioni e non c'è più traccia di nessun virus

Uac è un discorso a parte decidi tu se attivarlo o meno, io consiglio di tenerlo attivo, per quanto riguarda il problema degli aggiornamenti hai fatto questo:

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

regsvr32 wuaueng.dll e batti invio

per uscire digita Exit

Chill-Out
02-07-2008, 14:29
Ciao a tutti!:D
Ho trovato questo sito mentre vagavo alla ricerca di una soluzione per eliminare il maledetto flec006.exe, e' il primo virus che mi da' veramente problemi!!!
Nemmeno Hijack riesco ad usare dato che esce i messaggino "..non e' un applicazione di win32 valida"....
Posto qui di seguito il log di Elibagla nella speranza che possiate aiutarmi!!!:help: :help:




Wed Jul 02 13:12:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle

Wed Jul 02 13:13:52 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:09 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:14:13 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 13:49:06 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\UTENTE\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jul 02 13:49:46 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\119421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\141640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\143750.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14831390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14905093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\158140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\9647718.EXE --> Eliminado Bagle

Nº Total de Directorios: 5087
Nº Total de Ficheros: 58333
Nº de Ficheros Analizados: 5596
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9

Wed Jul 02 14:52:51 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Detective Conan 2\APPLIAN_FLV_PLAYER_1.33.EXE --> Eliminado Bagle.dldr
D:\Detective Conan 2\Replay Media Catcher 2.01\REPLAY MEDIA CATCHER 2.01.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 430
Nº Total de Ficheros: 15644
Nº de Ficheros Analizados: 215
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Punto 3 della Guida se funziona eventualmente procediamo diversamente, ti ricordo che i log vanno allegatI come indicato in Guida, grazie per la collaborazione.

Chill-Out
02-07-2008, 14:36
Anche io ho Bagle, purtroppo.....
Vin vista...
1) disabilitati il ripristino
2) eseguito elibagla con il log allegato
3) eseguito Avenger, ma con tutti questi messaggi di errore e quindi NON eseguito:
---------------------------
Error
---------------------------
Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not open cleanup batch.Aborting execution! (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
---------------------------
Quit?
---------------------------
No action has been queued for next reboot. Are you sure you want to quit The Avenger?
---------------------------
Sì No
---------------------------
---------------------------
Error
---------------------------
Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato.)
---------------------------
OK
---------------------------
---------------------------
Error
---------------------------
Error: Could not log error messages to file. (error 6: handle non valido.)
---------------------------
OK
---------------------------
AIUTO PER FAVOREEEE

NB: ripristino configurazione sistema disattivato, inoltre devi eliminare tutti i crack che hanno generato l'infezione

- Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

- Fai girare nuovamente EliBagla al termine riavvia il Pc in modalità provvisoria F8, al riavvio in modalità provvisoria fai girare ancora EliBagla

- Doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\USERS\PAOLO\APPDATA\ROAMING\M\FLEC006.EXE
C:\USERS\PAOLO\APPDATA\ROAMING\M\LIST.OCT


clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

Giampaolo Olivotti
02-07-2008, 16:34
Tutto fatto come da istruzioni.
Al riavvio del pc ottengo sempre questo msg:
---------------------------
Windows Defender
---------------------------
Impossibile inizializzare l'applicazione: 0x800106ba. Il servizio utilizzato dal programma è stato arrestato a causa di un problema. Per avviare il servizio, riavviare il computer oppure consultare Guida e supporto tecnico per informazioni su come avviare un servizio manualmente.
---------------------------
OK
---------------------------
e qui allego i log:
1)Elibagla: vedi file allegato...

Giampaolo Olivotti
02-07-2008, 16:40
2) e ecco il log di OTMoveIT2:

Ma non riesco a metterlo come allegato!!! Mi dice invalid file....
allora lo incollo.... è un pò grande... ma.....

< %SystemDrive%\WINDOWS\system32\drivers\hidr.exe >
Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys >
Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe >
Folder C:\WINDOWS\system32\wintems.exe not found.
< %SystemDrive%\WINDOWS\system32\hldrrr.exe >
Folder C:\WINDOWS\system32\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\trusted.exe >
Folder C:\WINDOWS\system32\trusted.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %UserProfile%\Dati applicazioni\hidires\hidr.exe >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\hidr.exe not found.
< %UserProfile%\Dati applicazioni\hidires\rosa.sys >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\rosa.sys not found.
< %UserProfile%\Dati applicazioni\m\list.oct >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\list.oct not found.
< %UserProfile%\Dati applicazioni\m\data.oct >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\data.oct not found.
< %UserProfile%\Dati applicazioni\m\flec006.exe >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m\flec006.exe not found.
< %SystemDrive%\system32\re_file.exe >
Folder C:\system32\re_file.exe not found.
< %SystemDrive%\elist.xpt >
Folder C:\elist.xpt not found.
< %UserProfile%\Dati applicazioni\hidires\m_hook.sys >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires\m_hook.sys not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe >
Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ >
Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe >
Folder C:\WINDOWS\system32\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe >
Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %SystemDrive%\WINDOWS\system32\edlm.exe >
Folder C:\WINDOWS\system32\edlm.exe not found.
< %SystemDrive%\WINDOWS\system32\edlm2.exe >
Folder C:\WINDOWS\system32\edlm2.exe not found.
< %SystemDrive%\Windows\system32\ldR64.dll >
Folder C:\Windows\system32\ldR64.dll not found.
< %SystemDrive%\WINDOWS\system32\german.exe >
Folder C:\WINDOWS\system32\german.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys. >
Folder C:\WINDOWS\system32\drivers\srosa.sys. not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe. >
Folder C:\WINDOWS\system32\mdelk.exe. not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe. >
Folder C:\WINDOWS\system32\wintems.exe. not found.
< %SystemDrive%\WINDOWS\system32\1.exe >
Folder C:\WINDOWS\system32\1.exe not found.
< %SystemDrive%\WINDOWS\exefqd >
Folder C:\WINDOWS\exefqd not found.
< %SystemDrive%\WINDOWS\exefnd >
Folder C:\WINDOWS\exefnd not found.
< %SystemDrive%\WINDOWS\exefld >
Folder C:\WINDOWS\exefld not found.
< %UserProfile%\Dati applicazioni\hidires >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidires not found.
< %UserProfile%\Dati applicazioni\hidn >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\hidn not found.
< %UserProfile%\Dati applicazioni\m >
Folder C:\Windows\system32\config\systemprofile\Dati applicazioni\m not found.
< %SystemDrive%\WINDOWS\System32\drivers\down >
Folder C:\WINDOWS\System32\drivers\down not found.
< %SystemDrive%\WINDOWS\system32\drivers\downld >
C:\WINDOWS\system32\drivers\downld moved successfully.
< %SystemDrive%\WINDOWS\temp\ >
Folder C:\WINDOWS\temp\ not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 >
Folder C:\Windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5 not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files >
Folder C:\Windows\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07022008_171128

Chill-Out
02-07-2008, 16:44
Se leggi la Guida in prima pagina è indicato come allegare i log, esegui il Punto 3 della Guida e nel prossimo post oltre ad allegare il log di Avenger (lo devi riscaricare) indicami qual'era il tuo AV prima dell'infezione.

Edit: per quanto concerne Windows Defender ci pensiamo dopo

Edit 2: riscarica EliBagla e fallo girare ancora in modalità provvisoria perchè stai usando una versione vecchia

Giampaolo Olivotti
02-07-2008, 21:07
Se leggi la Guida in prima pagina è indicato come allegare i log, esegui il Punto 3 della Guida e nel prossimo post oltre ad allegare il log di Avenger (lo devi riscaricare) indicami qual'era il tuo AV prima dell'infezione.

Edit: per quanto concerne Windows Defender ci pensiamo dopo

Edit 2: riscarica EliBagla e fallo girare ancora in modalità provvisoria perchè stai usando una versione vecchia

Fatto tutto come da tue istruzioni
Purtroppo non avevo un AV installato, avendo da pocp messo Vista.

Giampaolo Olivotti
02-07-2008, 21:08
ecco l'altro log
Grazie!!!!!!!!!!!!

E ora? che fo?

Chill-Out
02-07-2008, 22:56
ecco l'altro log
Grazie!!!!!!!!!!!!

E ora? che fo?

Segui il Punto 5 di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 ed installa Avira Antir Free configuralo come indicato nella guida di juninho85 - aggiornalo e fai una scansione completa del sistema. Al termine allega il log, ciao.

Giampaolo Olivotti
03-07-2008, 09:29
Tutto fatto secondo le precise istruzioni....
Sembra che tutto vada meglio.......
allego:

1) il log di Avira Antivir
http://www.fileqube.com/shared/TSVoAk52328

2) e la schermata ottenuta alla fine dello scan
http://img374.imageshack.us/img374/3491/finezs6.th.jpg (http://img374.imageshack.us/my.php?image=finezs6.jpg)

Giampaolo Olivotti
03-07-2008, 09:37
Ho da chiedere una cosa, nel mentre......
Dovrò poi controllare e disinfettare tutti i miei supporti removibili utilizzati in questo ultimo periodo: vedi mem sd, hd est, ecc....
Queste periferiche non sono sempre collegate al pc....
Come posso fare?
Grazie ancora di tutti i consigli, aiuti e del tempo che dedicate con tanta passione, e che risolve dei problemi incredibili!!!!
COMPLIMENTI

sat333
03-07-2008, 09:51
Uac è un discorso a parte decidi tu se attivarlo o meno, io consiglio di tenerlo attivo, per quanto riguarda il problema degli aggiornamenti hai fatto questo:

Da Start - Esegui - digita cmd
nella finestra Dos digita questo comando:

regsvr32 wuaueng.dll e batti invio

per uscire digita Exit


Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.

Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"

Chill-Out
03-07-2008, 09:52
Tutto fatto secondo le precise istruzioni....
Sembra che tutto vada meglio.......
allego:

1) il log di Avira Antivir
http://www.fileqube.com/shared/TSVoAk52328

2) e la schermata ottenuta alla fine dello scan
http://img374.imageshack.us/img374/3491/finezs6.th.jpg (http://img374.imageshack.us/my.php?image=finezs6.jpg)

Immaginavo di vedere una sisuazione del genere, avrai compreso l'importanza di proteggere il Pc e prestare attenzione a cosa si scarica :) segui il Punto 5 e 6 della Guida dopodichè metti in sicurezza il PC seguendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Per i supporti removibili inserisci le pendrive....etc nella porta usb e tieni premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto per impedire l'esecuzione in Autoplay) dopodichè scansioni con Avira ed eventuali altri software di sicurezza che andrai ad installare seguendo la Guida linkata sopra

Chill-Out
03-07-2008, 09:56
Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.

Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"

Per il momento lasciamo stare UAC :)

● RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI

per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
● NDISUIO
● RPC
si procede in questa maniera:
● aprite il blocco note di windows
● copiate ed incollate il testo in rosso

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004


● salvate, sul desktop, il file creato, con il nome registro.reg (mi raccomando, l’estensione: .REG e non .TXT) e lo eseguite:
● due click sul file registro.reg
● confermate le due successive richieste
per fare in modo che le modifiche apportate abbiano effetto, è necessario riavviare il computer

sat333
03-07-2008, 10:53
Per il momento lasciamo stare UAC :)

● RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI

per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
● NDISUIO
● RPC
si procede in questa maniera:
● aprite il blocco note di windows
● copiate ed incollate il testo in rosso



● salvate, sul desktop, il file creato, con il nome registro.reg (mi raccomando, l’estensione: .REG e non .TXT) e lo eseguite:
● due click sul file registro.reg
● confermate le due successive richieste
per fare in modo che le modifiche apportate abbiano effetto, è necessario riavviare il computer

Nulla da fare, non è cambiato nulla

Giampaolo Olivotti
03-07-2008, 13:55
Ma con Avira posso scansionare solo la pendrive che vado ad inserire con lo shift premuto?
o devo fare la scansione dell'intero sistema e lui scansiona tutte le unità collegate al pc?
Non ho trovato nei comandi di Avira come scansionare una singola unità.....

wjmat
03-07-2008, 14:01
Ma con Avira posso scansionare solo la pendrive che vado ad inserire con lo shift premuto?
o devo fare la scansione dell'intero sistema e lui scansiona tutte le unità collegate al pc?
Non ho trovato nei comandi di Avira come scansionare una singola unità.....
se clicchi sull'unita della chiavetta con dx e fai la scansione da menù contestuale? ;)
e magari la stessa cosa anche con a-squared per il controllo antispyware

Giampaolo Olivotti
03-07-2008, 14:09
Grazie!
in effetti nelle pen drive ci sono virus dappertutto!!!!
Chiedo: con Avira qual è il comando da dare quando li tova?
Deny access?
delete?
move to quarantine?

Angelus88
03-07-2008, 14:13
Delete ovviamente.

Consiglio anche di disattivare del tutto l'autorun così da evitare infezioni da pendrive. Potete farlo da questa guida (hxxp://generazionenet.itadib.com/tips-tricks-f75/disabilitare-l-autoplay-autorun-in-windows-xp-t494.html).

wjmat
03-07-2008, 14:57
Grazie!
in effetti nelle pen drive ci sono virus dappertutto!!!!
Chiedo: con Avira qual è il comando da dare quando li tova?
Deny access?
delete?
move to quarantine?
se è molto infetta e se non ci sono dati importanti io formatterei ;)

Tommy88
03-07-2008, 18:33
Salve a tutti sono nuovo e purtroppo anch'io sono stato infettato dal malefico Bagle... Ecco qui dunque il logfile ottenuto con le scansioni di EliBagla:


Wed Jul 02 18:42:45 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle

Wed Jul 02 18:44:39 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 18:48:17 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 18:51:56 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 19:03:17 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 20:37:07 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle

Wed Jul 02 20:39:21 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 20:42:14 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 20:45:37 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Jul 02 21:08:16 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Wed Jul 02 21:25:35 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Java\jre1.5.0_01\bin\JUSCHED.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 5287
Nº Total de Ficheros: 51044
Nº de Ficheros Analizados: 11215
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Wed Jul 02 21:30:57 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 1242
Nº Total de Ficheros: 17193
Nº de Ficheros Analizados: 240
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Jul 02 21:31:32 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5287
Nº Total de Ficheros: 51042
Nº de Ficheros Analizados: 11214
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Jul 03 18:24:47 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jul 03 18:25:32 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5288
Nº Total de Ficheros: 50963
Nº de Ficheros Analizados: 11216
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Jul 03 18:29:55 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 1242
Nº Total de Ficheros: 17193
Nº de Ficheros Analizados: 240
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Jul 03 18:40:11 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jul 03 18:43:19 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jul 03 18:43:56 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5289
Nº Total de Ficheros: 50879
Nº de Ficheros Analizados: 11216
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


Sì lo so è un po' lunghetto ma non so come mai mi ha fatto un sacco di scansioni fra ieri e oggi... Comunque mo' che faccio? Vado avanti seguendo la guida? Grazie :)

Angelus88
03-07-2008, 18:35
ho sbagliato scusate :p

wjmat
03-07-2008, 18:36
si procedi....

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Tommy88
03-07-2008, 18:37
.

Scusa mi sono perso...DOVE dovevo inserirlo? (cominciamo bene...)

Angelus88
03-07-2008, 18:38
Scusa mi sono perso...DOVE dovevo inserirlo? (cominciamo bene...)

Continua con la guida, ho sbagliato io

Tommy88
03-07-2008, 18:53
Ho incollato lo script riportato nella guida nella finestrella di Avenger, cliccato su "Execute" e STRANAMENTE mi dà messaggi di errore...:D

Mi dice:
"Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato)."
"Error: Could not open cleanup batch. Aborting execution! (error 6: handle non valido)."
"Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato)."
"Error: Could not log error messages to file. (error 6: handle non valido)."

Chill-Out
03-07-2008, 23:26
Ho incollato lo script riportato nella guida nella finestrella di Avenger, cliccato su "Execute" e STRANAMENTE mi dà messaggi di errore...:D

Mi dice:
"Error: can't open file 'C:\cleanup.bat' (error 2: impossibile trovare il file specificato)."
"Error: Could not open cleanup batch. Aborting execution! (error 6: handle non valido)."
"Error: can't open file 'C:\avenger.txt' (error 2: impossibile trovare il file specificato)."
"Error: Could not log error messages to file. (error 6: handle non valido)."

Ciao Tommy88 procedi così:

NB: ripristino configurazione sistema disattivato, inoltre devi eliminare tutti i crack che hanno generato l'infezione

- Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

- Fai girare nuovamente EliBagla al termine riavvia il Pc in modalità provvisoria F8, al riavvio in modalità provvisoria fai girare ancora EliBagla

- Doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\FLEC006.EXE
C:\DOCUMENTS AND SETTINGS\JACOPO\DATI APPLICAZIONI\M\LIST.OCT

clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles


Allega i log utilizzando i server remoti indicati in guida in prima pagina,thx.

Chill-Out
03-07-2008, 23:53
Il problema è che UAC è attivo anche se da account utente risulta disabilitato, cioè non c'è il check, e se provo a metterlo viene comunque tolto pero UAC è attivo.

Riguardo il comando l'ho eseguito e pare che windows update si sia avviato. Però c'è qualche altro servizio (centro sicurezza pc, zero configuration) che se provo ad avviarli mi da: "Errore 1083: L'eseguibile che prevede l'esecuzione di questo servizio non implementa il servizio"

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

sat333
04-07-2008, 08:34
Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Allora ecco i due log. Sono due perchè nella prima scansione avevo dimenticato a disconnetere il pc dalla rete. Comunque nel primo ha eliminato qualcosa, alla seconda passata naturalmente no. Li allego entrambi

log_1.txt (http://wikisend.com/download/226844/log_1.txt)

log_2.txt (http://wikisend.com/download/681272/log_2.txt)

Chill-Out
04-07-2008, 08:44
Allora ecco i due log. Sono due perchè nella prima scansione avevo dimenticato a disconnetere il pc dalla rete. Comunque nel primo ha eliminato qualcosa, alla seconda passata naturalmente no. Li allego entrambi

log_1.txt (http://wikisend.com/download/226844/log_1.txt)

log_2.txt (http://wikisend.com/download/681272/log_2.txt)

Vedi se riesci a riattivare i servizi

sat333
04-07-2008, 11:36
Vedi se riesci a riattivare i servizi

Ok anche centro sicurezza è partito. L'unico che non ne vuole sapere è il zero configuration da sempre errore 1083. Ho anche aggiunto le 2 chiavi di registro ma niente. Suggerimenti?

Grazie.

xcdegasp
04-07-2008, 13:47
Continua con la guida, ho sbagliato io
e
http://www.hwupgrade.it/forum/showpost.php?p=23159398&postcount=4281

puoi dirlo forte che hai sbagliato.. anche a tenere il link senza editarlo.
5giorni per spam :)

lore_83
04-07-2008, 15:35
Ciao.
Anche io ho avuto problemi con questo virus tempo fa, ma dopo aver seguito correttamente, almeno credo, tutta la guida credevo di essermi "ripulito".

Oggi faccio una scansione (NOD32 - Versione spagnola) e mi salta fuori: C:\WINDOWS\system32\drivers\mdelk.exe - Win32/Bagle.OH (Gusano de Internet).
Tutto però sembra funzionare correttamente.

Cosa devo fare?

Ciao.

Chill-Out
04-07-2008, 15:39
Ciao.
Anche io ho avuto problemi con questo virus tempo fa, ma dopo aver seguito correttamente, almeno credo, tutta la guida credevo di essermi "ripulito".

Oggi faccio una scansione (NOD32 - Versione spagnola) e mi salta fuori: C:\WINDOWS\system32\drivers\mdelk.exe - Win32/Bagle.OH (Gusano de Internet).
Tutto però sembra funzionare correttamente.

Cosa devo fare?

Ciao.

Lo elimini

sat333
04-07-2008, 16:02
Ok anche centro sicurezza è partito. L'unico che non ne vuole sapere è il zero configuration da sempre errore 1083. Ho anche aggiunto le 2 chiavi di registro ma niente. Suggerimenti?

Grazie.

Aggiungo che anche Client DHCP mi da lo stesso errore

Chill-Out
04-07-2008, 16:41
Aggiungo che anche Client DHCP mi da lo stesso errore

Dovrebbe essere necessario ripristinare il file legato a quel determinato servizio, adesso sono su XP ho bisogno di vedere alcune cose sul Vista nel frattempo mi allegheresti un log di questo tool:

Esegui HijackThis clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx ed allega il log

sat333
04-07-2008, 17:07
Dovrebbe essere necessario ripristinare il file legato a quel determinato servizio, adesso sono su XP ho bisogno di vedere alcune cose sul Vista nel frattempo mi allegheresti un log di questo tool:

Esegui HijackThis clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx ed allega il log

Intanto grazie per l'aiuto. Ecco il log: startuplist.txt (http://wikisend.com/download/203042/startuplist.txt)

mannaggiaalbagle
05-07-2008, 09:40
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo

ho seguito la guida per rimuoverlo ma niente

ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)

avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione

inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"

karspesky nemmeno parlarne

e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete

se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello

oltre al suicidio qualcuno vede altre soluzioni?

Chill-Out
05-07-2008, 10:19
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo

ho seguito la guida per rimuoverlo ma niente

ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)

avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione

inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"

karspesky nemmeno parlarne

e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete

se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello

oltre al suicidio qualcuno vede altre soluzioni?

Allega il log di EliBagla

mannaggiaalbagle
05-07-2008, 10:24
e da dove lo prendo se non posso connettermi ne ad internet ne ad altri pc?

Chill-Out
05-07-2008, 10:41
ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)

dal Pc del cliente in C:\Infosat.txt

e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete

dipende dalla variante che hai contratto.

mannaggiaalbagle
05-07-2008, 10:43
CI SONO RIUSCITO!!!

ho inserito il cd di windows, ripristino di emergenza e ho cancellato i file dal dos

poi ho riavviato togliendo il cd di windows

appena accesso ho chiuso il processo mdelk.exe e ho eseguito avenger con lo script postato in prima pagina

ho riavviato e ha tolto tutto

adesso ripristino tutti i servizi, reinstallo antivirus e cose varie

wjmat
05-07-2008, 10:47
CI SONO RIUSCITO!!!

ho inserito il cd di windows, ripristino di emergenza e ho cancellato i file dal dos

poi ho riavviato togliendo il cd di windows

appena accesso ho chiuso il processo mdelk.exe e ho eseguito avenger con lo script postato in prima pagina

ho riavviato e ha tolto tutto

adesso ripristino tutti i servizi, reinstallo antivirus e cose varie
fai comunque le varie scansioni della guida per ripulirti completamente e caricaci i log

mannaggiaalbagle
05-07-2008, 10:55
i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla

fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione

wjmat
05-07-2008, 10:57
i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla

fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione
che centra se non hai usato quei tool???

norton lo sconsigliamo... c'è l'ottimo e free antivir

Chill-Out
05-07-2008, 11:06
salve,
ho qui un computer di un cliente che è riuscito a prendere il virus bagle e adesso non c'è verso di cancellarlo

ho seguito la guida per rimuoverlo ma niente

ho fatto la scansione con elibagla mi dice che ha cancellato il file bagle.dldr in nerocheck.exe (file da cui probabilmente è partita l'infezione)

avenger non va perche sembra che non riesca a creare il file avenger.txt in C: e appena cerca di crearlo compare un errore di windows che notifica l'impossibilità di creazione

inoltre da 10 minuti il pc continua a spegnersi ogni 2 minuti e al riavvio se ne esce con un "il sistema è stato riavviato in seguito ad un errore grave"

karspesky nemmeno parlarne

e oltretutto non posso cercare di attaccarmi in internet dal pc infetto in quanto cercherebbe di scaricarsi tutti i virus che trova in rete

se inserisco una chiavetta per trasferire il log di elibagla o quello di hijackthis su un pc con connessione ad internet mi si infetta pure quello

oltre al suicidio qualcuno vede altre soluzioni?

i log in questo caso sono perfettamente inutili in quanto non ho usato ne hijackthis e ne elibagla

fatto le scansioni e reinstallato norton quindi è pulito altrimenti romperebbe le balle nell'installazione

Questo è quello che hai scritto tu, comunque se hai risolto meglio così

sat333
05-07-2008, 11:07
Intanto grazie per l'aiuto. Ecco il log: startuplist.txt (http://wikisend.com/download/203042/startuplist.txt)

piccolo up :)

wjmat
05-07-2008, 12:51
piccolo up :)
sinceramente non so se c'è anche su vista....
nella pagina dei servizi, quando li clicchi 2 volte, si apre una finestra in cui c'è un menù "relazioni di dipendenza"
verifica che quelli associati ai servizi che non ti partono siano in avvio automatico

sat333
05-07-2008, 14:04
sinceramente non so se c'è anche su vista....
nella pagina dei servizi, quando li clicchi 2 volte, si apre una finestra in cui c'è un menù "relazioni di dipendenza"
verifica che quelli associati ai servizi che non ti partono siano in avvio automatico

Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"

Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono

cicciopas
05-07-2008, 17:01
Ciao a tutti e un rigraziamento per la guida. Io ho seguito la guida passo passo ed ho eliminato il virus bagle solo che la connessione wifi dopo alcuni minuti non funziona piu. Nel senso che il computer è connesso però non si ricevono piu dati. Allora se riavvio la connessione funziona per 4 o 5 minuti e poi si ferma. Non so cosa possa essere grazie per l'aiuto

xcdegasp
05-07-2008, 18:44
disinstalla il wi-fi,al riavvio successivo verràreinstallato :)

cicciopas
05-07-2008, 20:52
Ho provato a disinstallare e reistallare ma niente dopo pochi minuti la connessione non funziona. Sembra che si chiudono le richieste http perchè invio e ricezione della posta funziona come funziona il ping del router attraverso il dos mentre la stessa richiesta tramite http non funziona. Come posso fare?

xcdegasp
05-07-2008, 21:02
prova con questo:
http://www.xp-smoker.com/downloads/xptcprep.exe

:)

cicciopas
05-07-2008, 23:18
già provato, niente da fare se riavvio la connessione dura 4 o 5 minuti e poi le richiette http si bloccano non so perche.

Chill-Out
06-07-2008, 01:00
Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"

Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono

Mannaggia che pasticcio, verifica la presenza e relativa attivazione del seguente servizio:

Configurazione automatica WLAN

cicciopas
06-07-2008, 08:32
Scusa ma il servizio configurazione automatica wlan non lo trovo nei servizi.

sat333
06-07-2008, 09:32
Mannaggia che pasticcio, verifica la presenza e relativa attivazione del seguente servizio:

Configurazione automatica WLAN

Si questo si avvia

saviola89
06-07-2008, 10:28
Edit: ho risolto..


(nn si possono cancellare i msg?)

giack83
07-07-2008, 07:52
Salve a tutti,
ancheio ho pigliato un bagle miseriaccia piu precisamente un srose.sys........

il mio problema è questo; accendo il notebook ma dopo qualcheminuto, uno-due per la precisione, mi compare la schermata blu di errore di windows...... cosa strana xche ho disabilitato da Sistema\Avanzate\...... riavvio automatico ech ect....

sta di fatto che cosi non riesco ad fare le diverse scansioni come indicato nella guida vostra....

quindi devo mettere in modalità provvisoria?

Ultima cosa, nel altro mio pc di casa (avente come il notebook windows xp home edition) ho cercato di eseguire avenger ma mi compare una finestra d'errore dicendo che l'applicazione non è compatibile con win32 ect ect.....

come mai?

Grazie delle risposte che mi date.

wjmat
07-07-2008, 12:10
Salve a tutti,
ancheio ho pigliato un bagle miseriaccia piu precisamente un srose.sys........

il mio problema è questo; accendo il notebook ma dopo qualcheminuto, uno-due per la precisione, mi compare la schermata blu di errore di windows...... cosa strana xche ho disabilitato da Sistema\Avanzate\...... riavvio automatico ech ect....

sta di fatto che cosi non riesco ad fare le diverse scansioni come indicato nella guida vostra....

quindi devo mettere in modalità provvisoria?

Ultima cosa, nel altro mio pc di casa (avente come il notebook windows xp home edition) ho cercato di eseguire avenger ma mi compare una finestra d'errore dicendo che l'applicazione non è compatibile con win32 ect ect.....

come mai?

Grazie delle risposte che mi date.
ciao, cerca di spiegare bene cosa hai già fatto e dove ti blocchi.
se possibile cerca di usare la mod. provvisoria

giack83
07-07-2008, 13:38
adesso stasera quando torno a casa, provo in modalità provvisoria se riesco a fare qualcosa e poi vi dico.

giack83
07-07-2008, 14:39
Per "wjmat", mi blocca questo:

non riesco a fare scansioni con avenger o altro o cmq seguire i passi della guida perchè appena acceso windows e quindi visualizzatoil desktop dopo 2-3minuti mi compare la schermata blu di windows (indicante errore del tipo Stop:0000x4 mi pare) e devo riavviare.......................

per quello non riesco a fare scansioni xche è un contiunuo riavvio..........

se metto in modalità provvisoria la schermata non dovrebbe comparire?

e se manco quella funziona?

wjmat
07-07-2008, 15:40
Per "wjmat", mi blocca questo:

non riesco a fare scansioni con avenger o altro o cmq seguire i passi della guida perchè appena acceso windows e quindi visualizzatoil desktop dopo 2-3minuti mi compare la schermata blu di windows (indicante errore del tipo Stop:0000x4 mi pare) e devo riavviare.......................

per quello non riesco a fare scansioni xche è un contiunuo riavvio..........

se metto in modalità provvisoria la schermata non dovrebbe comparire?

e se manco quella funziona?
avenger viene dopo di elibagla, elibagla riesci a farlo girare?
se non riesci, prova da mod. provvisoria
se non va nemmeno da provvisoria poi vediamo

giack83
07-07-2008, 17:30
stasera provo subito e poi vi dico......

cmq fin all'altro giorno gmer e elibegla riuscivo, ora non piu xche compare quasi subito la schermata blu.......

wjmat
07-07-2008, 18:02
stasera provo subito e poi vi dico......

cmq fin all'altro giorno gmer e elibegla riuscivo, ora non piu xche compare quasi subito la schermata blu.......
elibagla riscaricalo per sicurezza

giack83
07-07-2008, 20:10
Ho risolto credo di aver debellato il bagle......

solo che non mi funzionano piu le wireless................

ho provato cosi:

1) reinstallare i drivere per il wireless
2) come dice la guida creare da notepad il file .reg e controllare i servizi attivi
3) utilizzare il tool xp tcpip repair

ma niente, quando vado a spingere nel pulsantino del mio notebook mi dice "nessun dispositivo"

giack83
08-07-2008, 07:40
stamattina sono ripartite anche le wireless :D :D mah...

suppongo quindi di aver tolto sto bagle.........

wjmat
08-07-2008, 12:16
stamattina sono ripartite anche le wireless :D :D mah...

suppongo quindi di aver tolto sto bagle.........
non abbiamo visto i log ma se lo dici tu... ;)

in caso dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

oste
08-07-2008, 13:18
Ciao,
ho seguito la procedura, ma quando devo fare la scansione con Kaspersy non riesco.
Non riesco ad installare nessun antivirus, non mi va la modalità provvisoria e nemmeno la Zero Configuration.

Avete consigli?
Allego i log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.01.29, on 08/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Microsoft IntelliPoint\ipoint.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
C:\Documents and Settings\Stefano\Dati applicazioni\m\flec006.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclBCBTSrv.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Stefano\IMPOST~1\Temp\Rar$EX53.000\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [mcagent_exe] C:\Programmi\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=21871
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8860 bytes

giack83
08-07-2008, 13:24
non li ho postati perche ho rifatto tutte le scansioni e non mi è stato trovato nulla quindi penso sia stato eliminato tutto...... cmq ok.

wjmat
08-07-2008, 13:24
Ciao,
ho seguito la procedura, ma quando devo fare la scansione con Kaspersy non riesco.
Non riesco ad installare nessun antivirus, non mi va la modalità provvisoria e nemmeno la Zero Configuration.

Avete consigli?

fai un altro giro con elibagla e poi passa ad avenger

oste
08-07-2008, 21:52
ho fatto partire ancora elibagla e avenger ma non ho ottenuto risultati...
devo per forza formattare??

vi prego ditemi chec'è una soluzione.... io col pc ci lavoro!:muro: :muro:
allego log

Chill-Out
08-07-2008, 22:06
ho fatto partire ancora elibagla e avenger ma non ho ottenuto risultati...
devo per forza formattare??

vi prego ditemi chec'è una soluzione.... io col pc ci lavoro!:muro: :muro:
allego log

Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

oste
09-07-2008, 08:25
GRAZIE CHILL OUT!
adesso zero configuration ha ripreso a funzionare. La modalità provvisoria non l'ho ancora controllata, IE7 è lentissimo ma il resto sembra andare.
Ora provo a reinstallare l'antivirus, MCAFEE internet security.

allego il log, è tutto ok ora?

wjmat
09-07-2008, 08:48
GRAZIE CHILL OUT!
adesso zero configuration ha ripreso a funzionare. La modalità provvisoria non l'ho ancora controllata, IE7 è lentissimo ma il resto sembra andare.
Ora provo a reinstallare l'antivirus, MCAFEE internet security.

allego il log, è tutto ok ora?
riscarica avenger e continua da quel punto
ps non so se bagled sistemi già tutto lui, quindi meglio fare tutte le altre operazioni di rito

oste
09-07-2008, 18:28
per la cronoca: ho formattato e ora va tutto mooolto meglio...
a volte si fa prima...

GRAZIE a tutti cmq!

wjmat
09-07-2008, 19:13
per la cronoca: ho formattato e ora va tutto mooolto meglio...
a volte si fa prima...

GRAZIE a tutti cmq!
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti

marmy90
09-07-2008, 19:34
Ciao!Ho avuto problemi col virus bagle e ho seguito la guida. Vi posto i log , mi aiutate? :help: Please.
Elibagla: http://www.fileqube.com/shared/fxbWW56411
Avenger: http://www.fileqube.com/shared/FzMqvNTEY56408
Kaspersky: http://www.fileqube.com/shared/GkpcjKfP56410

Non capisco se è tutto risolto o meno dato che ho ancora problemi con la connessione. Dopo circa 7 minuti che sono in linea anche se l'ADSL è connessa non si caricano più le pagine. Ho già provato con questo tool http://www.xp-smoker.com/downloads/xptcprep.exe come diceva la guida ma niente.

Grazie mille.

wjmat
09-07-2008, 19:46
Ciao!Ho avuto problemi col virus bagle e ho seguito la guida. Vi posto i log , mi aiutate? :help: Please.
Elibagla: http://www.fileqube.com/shared/fxbWW56411
Avenger: http://www.fileqube.com/shared/FzMqvNTEY56408
Kaspersky: http://www.fileqube.com/shared/GkpcjKfP56410

Non capisco se è tutto risolto o meno dato che ho ancora problemi con la connessione. Dopo circa 7 minuti che sono in linea anche se l'ADSL è connessa non si caricano più le pagine. Ho già provato con questo tool http://www.xp-smoker.com/downloads/xptcprep.exe come diceva la guida ma niente.

Grazie mille.
ma elibagla l'hai fatto scansionare? segna 0 file scansionati

marmy90
09-07-2008, 20:12
ma elibagla l'hai fatto scansionare? segna 0 file scansionati
Si io l'ho fatto partire ma mi dava subito "Unidad no Preparada". Ho provato a riavviare, scaricare di nuovo il programma e riavviare nuovamente ma mi da sempre quello.

marmy90
09-07-2008, 21:40
Si io l'ho fatto partire ma mi dava subito "Unidad no Preparada". Ho provato a riavviare, scaricare di nuovo il programma e riavviare nuovamente ma mi da sempre quello.

Ho provato in modalità provvispria ed ha funzionato ecco il log.
http://www.fileqube.com/shared/pOsXF56550

Persiste il problema della connessione. Cosa posso fare?
Grazie

wjmat
09-07-2008, 22:49
Ho provato in modalità provvispria ed ha funzionato ecco il log.
http://www.fileqube.com/shared/pOsXF56550

Persiste il problema della connessione. Cosa posso fare?
Grazie
dai sintomi poteve essere bagle....ma non c'è nemmeno l'ombra
torniamo nella tua discussione che qui andiamo off topic

Nuz
11-07-2008, 13:20
Segnalo un tool da parte di F-Secure: F-Bagle 1.00.12

F-Bagle
The F-Bagle utility disinfects computers infected with the certain Bagle worm variants. Please see the readme.txt file for more information.
Download: http://www.f-secure.com/tools/f-bagle.zip
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

The unpacked version is available from here:
Download: http://www.f-secure.com/tools/f-bagle.exe
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe
Readme: http://www.f-secure.com/tools/f-bagle.txt
Readme: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

System administrators can download the JAR version from here:
Download: http://www.f-secure.com/tools/f-bagle.jar
Download: ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.jar

fonte: http://www.f-secure.com/security_center/malware_removal_tools.html

wjmat
11-07-2008, 13:33
grazie per la segnalazione, già testata per caso?

Nuz
11-07-2008, 13:43
grazie per la segnalazione, già testata per caso?

No, non l'ho testata. Nel readme si possono trovare le varianti che ha nel database.
:)

demix3
11-07-2008, 20:58
Anchio sono infetto da un bagle...ho seguito il procedimento in prima pagina fino al punto 3,ho scarico avenger,si avvia,copio lo script,do il via e poi escono degli errori che dicono che il programma non riesce ad aprire dei file.E tutto OK ho devo usare la versione indicata al fondo del punto 3 il quale link non funziona.
Grazie in anticipo

wjmat
12-07-2008, 09:00
Anchio sono infetto da un bagle...ho seguito il procedimento in prima pagina fino al punto 3,ho scarico avenger,si avvia,copio lo script,do il via e poi escono degli errori che dicono che il programma non riesce ad aprire dei file.E tutto OK ho devo usare la versione indicata al fondo del punto 3 il quale link non funziona.
Grazie in anticipo
comincia a caricare il log di elibagla

demix3
12-07-2008, 10:13
Eccolo

http://www.mediafire.com/?tiz31jjknnm

Chill-Out
12-07-2008, 10:18
Eccolo

http://www.mediafire.com/?tiz31jjknnm

Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

demix3
12-07-2008, 10:40
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Eccolo il log di beagled

http://www.mediafire.com/?idj1mn9tz0m

Chill-Out
12-07-2008, 10:45
Eccolo il log di beagled

http://www.mediafire.com/?idj1mn9tz0m

Fai girare ancora EliBagla in modalità provvisoria F8 ed allega il log, ciao.

demix3
12-07-2008, 10:46
Avast dopo l'utilizzo del tuo tool è tornato a funzionare,ma sicuramente il virus ci sarà ancora

Chill-Out
12-07-2008, 10:49
Avast dopo l'utilizzo del tuo tool è tornato a funzionare,ma sicuramente il virus ci sarà ancora

Come indicato sopra fai girare in provvisoria EliBagla ed allega il log, poi portiamo a termine tutta la procedura indicata in Guida, e successivamente affrontiamo anche il discorso Antivirus in quanto Avast è decisamente sullo scarso andante :)

demix3
12-07-2008, 11:16
Ho il link con il log di elibagla fatto in mod. provvisoria

http://www.mediafire.com/?wqde9mwtow1

Chill-Out
12-07-2008, 11:30
Ho il link con il log di elibagla fatto in mod. provvisoria

http://www.mediafire.com/?wqde9mwtow1

Inserisci in Avenger lo Script indicato in Guida ed allega il log ovviamente lo devi riscaricare.

demix3
12-07-2008, 12:54
Con avenger tutto ok...Ecco il log
http://www.mediafire.com/?gdyn2mz7mww

wjmat
12-07-2008, 12:57
Con avenger tutto ok...Ecco il log
http://www.mediafire.com/?gdyn2mz7mww
procedi pure

demix3
12-07-2008, 14:02
Ho il log di f-secure,kaspersky non va mi apre un pop up e non riesco a scaricare il file.
Questo è il log di f-secure
http://www.mediafire.com/?d7lde1z1gi5

Una domanda...in C mi si sono create 3 cartelle di nome Qoobox,Avenger,fsaua.data,oltre ai vari log.E tutto Ok posso eliminarle tranquillamente?In attesa procedo con ccleaner

wjmat
12-07-2008, 14:07
procedi e se vuoi elimina pure, te l'avremmo fatto fare comunque alla fine ;)

demix3
12-07-2008, 14:25
Ok ho terminato,ora posso eliminare tutti i tools scaricati come beagled,avenger e elibagla?
Il virus e stato rimosso no :D

PinkNoiser
12-07-2008, 14:51
GMER log (http://www.wikiupload.com/download_page.php?id=45532)

hijackthis (http://www.wikiupload.com/download_page.php?id=45524)

ELIBAGLA (http://www.wikiupload.com/download_page.php?id=45525)

Mi date un'occhiata per vedere se sono pulito? ora sembra tutto a posto, tranne che la volte dopo qualche minuto la navigazione diventa impossibile, come se il rootkit stesse ancora attaccando i file host...

ho reso inoffensivo il virus facendo girare elibagla su un'altra partizione con WinXp pulito, poi ho reistallato antivirus e ccleaner e simili e ho scansionato in tutti i modi..ora si è riattivata zeroconfiguration, rivedo le cartelle nascoste eccetera, però rimango con il dubbio di avere ancora il rootkit.

Siccome ho almeno un altro computer infetto probabilmente con la stessa variante del virus speravo però di poter creare un file per avenger che potesse funzionare (quelli che ho trovato in rete non funzionano, nè riuscivo a far partire avenger, neanche modificato)..ora che ho pulito questa partizione, e non mi ricordo le cartelle che attaccava il virus, come posso fare? infetto di proposito l'altra? il problema è che l'altro pc ha contenuti molto importanti e volevo stare molto attento, visto che ho letto che il virus potrebbe non reagire bene, in qualche versione, ai tentativi di ripristinare la modalità provvisoria..
Consigli? provo comumque a far partire la modalità provvisoria, nella speranza di far andare qualche tool?
Oppure non so, e se andassi a caccia di cartelle infette con un linux live? Molti tool antibeagle che vengono proposti sembrano non funzionare..anzi, praticamente tutti..


Ps:avevo aperto un altro topic non perchè non avessi letto la guida e questo 3ad, ma perchè il procedimento di questa guida sembrava non funzionare affatto con la versione di bagle che ho dovuto "affrontare"

demix3
12-07-2008, 14:55
procedi e se vuoi elimina pure, te l'avremmo fatto fare comunque alla fine ;)


Ho eliminato tutti i tools e programmi vari seguendo il trattamento post disinfestazione che non avevo letto.
Ho 2 domande da farti ma prima volevo ringraziarvi per il vostro grande aiuto.
Volevo sapere perchè Avast e Spyboth S&D sono tornati a funzionare senza essere stati reinstallati.
E poi ho notato che al riavvio del pc appena appare il desktop per una frazione di secondo si carica una pagina di dos che mi pare abbia iniziato a comparire dopo che ho scaricato beagled (che ora ho cancellato).Non e che questo mi generi grandi problemi ho rallenti il processo di avvio però visto che prima non c'era...:confused:
Ancora grazie

sat333
12-07-2008, 15:41
Questo già l'avevo verificato, anche aggiungendo le chiavi di registro necessarie a far ripartire zero config. Il problema è che già ottengo un errore quando apro i servizi "l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente"

Credo che sia necessario ripristinare i file di sistema associati a questi servizi, ma non conosco quali sono


Ragazzi ancora nulla...non sono riuscito a trovare quali sono i file di sistema che fanno riferimento ai servizi zero config e client dhcp. Ottengo sempre l'errore e non li posso abilitare.

Help :cry:

Grazie

wjmat
12-07-2008, 18:17
Ho eliminato tutti i tools e programmi vari seguendo il trattamento post disinfestazione che non avevo letto.
Ho 2 domande da farti ma prima volevo ringraziarvi per il vostro grande aiuto.
Volevo sapere perchè Avast e Spyboth S&D sono tornati a funzionare senza essere stati reinstallati.
E poi ho notato che al riavvio del pc appena appare il desktop per una frazione di secondo si carica una pagina di dos che mi pare abbia iniziato a comparire dopo che ho scaricato beagled (che ora ho cancellato).Non e che questo mi generi grandi problemi ho rallenti il processo di avvio però visto che prima non c'era...:confused:
Ancora grazie
probabilemente i file di avast e spybot non sono stati corrotti...
avast rimuovilo assolutamente per antivir ;)
Per quella finestra ora vediamo...
Scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis

demix3
12-07-2008, 19:23
Ho il log di Hijack.
http://www.mediafire.com/?z3ydanyhd43

Per quanto riguarda avast lo sostituiro invece spyboth mi consigli di tenerlo ho sostituirlo con qualcosaltro

wjmat
12-07-2008, 19:32
Ho il log di Hijack.
http://www.mediafire.com/?z3ydanyhd43

Per quanto riguarda avast lo sostituiro invece spyboth mi consigli di tenerlo ho sostituirlo con qualcosaltro

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\Claudio\IMPOST~1\Temp\RarSFX0\8agle.cmd"
O8 - Extra context menu item: Open with &ZipScan - C:\PROGRA~1\ZIPSCA~1\zs_ie.htm
O20 - AppInit_DLLs: \?C:WINDOWSsystem32lpt8.pii

demix3
12-07-2008, 19:47
Ecco il log
http://www.mediafire.com/?zzv3zryvhmz

Comunque all'ultimo riavvio non c'era più la finestra ammeno che non abbia battuto le palpebre tanto per farti capire quanto era veloce:D :D :D

wjmat
13-07-2008, 11:58
Ecco il log
http://www.mediafire.com/?zzv3zryvhmz

Comunque all'ultimo riavvio non c'era più la finestra ammeno che non abbia battuto le palpebre tanto per farti capire quanto era veloce:D :D :D
puoi fixare anche queste
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background


punto 3 del trattamento per aggiornare java

come antispyware, spybot puoi toglierlo e mettere a-squared o superantispyware, per le scansioni periodiche
se ne vuoi anche uno con il controllo in tempo reale metti anche spyware terminator

wjmat
13-07-2008, 12:03
sarebbe meglio che tu caricassi i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
vorremmo veder anche quello di avenger e kaspersky

sakurina46
14-07-2008, 10:13
da mod. normale lancialo e mentre lo chiudi disinstallalo, se non parte nella sua cartella c'è un file uninstal o simile...per disinstallarlo

rifai il passagio con avenger e posta il log

poi riscarichi kaspersky, e da mod provvisoria lo reinstalli e riprovi

grazie mille...non ho fatto kaspesky però avevo disinstallato l'AVG e messo l'antivir e il bagle a quanto sembra non c'è più....poi sono riuscita anche a installare il service pack 1 che prima non riuscivo a mettere quindi penso che il problema sia risolto:D

wjmat
14-07-2008, 10:32
grazie mille...non ho fatto kaspesky però avevo disinstallato l'AVG e messo l'antivir e il bagle a quanto sembra non c'è più....poi sono riuscita anche a installare il service pack 1 che prima non riuscivo a mettere quindi penso che il problema sia risolto:D
purtroppo senza i log non possiamo "battezzarti" pulita ;)

PinkNoiser
14-07-2008, 18:17
sarebbe meglio che tu caricassi i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
vorremmo veder anche quello di avenger e kaspersky

Chiedo nuovamente scusa ma dalla partizione "infetta" devo fare le cose di fretta... infatti l'unico problema che mi è rimasto è quello dei file host (mi si blocca la navigazione dopo un certo tempo o andando su certi siti), oltre che devo provare di nuovo a ripristinare la finestra di ricerca..
Ecco di nuovo i log:
GMER.txt (http://wikisend.com/download/111838/GMER.txt)
elibagla.txt (http://wikisend.com/download/487136/elibagla.txt)
kaspersky log.txt (http://wikisend.com/download/476898/kaspersky log.txt)

Kasperksy mostra due scansioni approfondite: una subito dopo essere intervenuto dall'altra partizione a eliminare file e facendo girare elibagla (e quindi averlo potuto installare) e una di ieri, che non segna più file infetti.

Avenger posso anche postarlo, ma ogni tentativo di far girare qualche script si è risolto in una serie di errori: nessun file o chiave di quelli presenti in tutti gli script per avenger trovati (o che ho provato a scrivere) sembra esistere nel pc..

Nell'altro pc infetto è bastato far girare Beagled che tutto sembra tornato normale: Norton Internet security che era installato sembra proprio fregata, ma ora c'è installato zonealarm e AntiVir aggiornato che ha fatto scansioni complete anche dei rootkit e non trova piu niente, nessun file sospetto dove sono andato a guardare e nessun'attività di rete sospetta.. posso star tranquillo?

Poi provo a far girare il tool antirootkit di Avira anche nel pc ancora infetto o presunto tale.. può funzionare?
PS: in certi log l'unità è F anziche G: questo perchè alcune scansioni l'ho effettuate da un'altra partizione pulita e mi scambia la letterà ell'unità, ma la partizione è sempre la stessa

Qua sotto il log di hijackthis (che ancora non ho guardato)

wjmat
15-07-2008, 19:54
x PinkNoiser
scusami non riesco a capire quanti sono i pc, quante le partizioni
chi è pulito e chi no.....

PinkNoiser
16-07-2008, 01:13
x PinkNoiser
scusami non riesco a capire quanti sono i pc, quante le partizioni
chi è pulito e chi no.....

Hai ragione..Allora tutti i log che vedete sono riferiti al pc1, diciamo, che ha una partizione che ancora da problemi con la navigazione (tutte le altre applicazioni di rete vanno benissimo, e ultimamente con la funzione cerca. L'ho ripulita agendo da un'altra partizione pulita, cancellando tutti i file che conoscevo e facendo girare elibagla. Ho fatto girare tutti i tool indicati nelle guide e altri (se serve qualche log basta chiedere), tranne ovviamente quelli su internet e il removal tool di kaspersky che non trovo..
L'altro pc che ERA infetto, facendo girare bagled sembra a posto, tutte le scansioni effettuate danno esito negativo, riferivo l'esperienza perchè probabilmente si tratta di una delle ultime versioni di bagle e riferivo che bagled funziona ottimamente.
Sul pc1 restano questi problemi, e con qualche programma di taskmenaging un processo "unknow" solitamente con id4 che mi insospettisce, ma tutti gli scan non rivelano niente del genere, e nessun altro avvertimento relativo a beagle.
Ah il sistema operativo infetto ha anche due partizioni dedicate, una per la mem virtuale l'altra per i temporanei..

wjmat
16-07-2008, 12:16
Hai ragione..Allora tutti i log che vedete sono riferiti al pc1, diciamo, che ha una partizione che ancora da problemi con la navigazione (tutte le altre applicazioni di rete vanno benissimo, e ultimamente con la funzione cerca. L'ho ripulita agendo da un'altra partizione pulita, cancellando tutti i file che conoscevo e facendo girare elibagla. Ho fatto girare tutti i tool indicati nelle guide e altri (se serve qualche log basta chiedere), tranne ovviamente quelli su internet e il removal tool di kaspersky che non trovo....................................

Sul pc con problemi fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

PinkNoiser
16-07-2008, 17:53
Sul pc con problemi fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)

L'avevo già fatta con esito negativo. L'ho rifatta questo pomeriggio, ma poco è cambiato

wjmat
16-07-2008, 19:50
L'avevo già fatta con esito negativo. L'ho rifatta questo pomeriggio, ma poco è cambiato
con che browser hai problemi?

PinkNoiser
17-07-2008, 01:30
con che browser hai problemi?

Con firefox, nn ho provato ultimamente con IE ma penso anche con quello.. In più ho problemi con la funzione cerca di windows, non posso aprire documenti direttamente dal desktop, non ho il click destro sopra gli archivi zip..Ho provato i vari procedimenti e i vari tools per ripristinare il TCPIP e le funzioni di ricerca, ma non hanno funzionato.. ZeroConfiguration e le cartelle nascoste invece sono tornati in vita da soli, dopo aver "ripulito il pc"..non riesco a capire se il rootkit è ancora attivo oppure semplicemente ho qualche impostazione rovinata..

wjmat
17-07-2008, 07:16
Con firefox, nn ho provato ultimamente con IE ma penso anche con quello.. In più ho problemi con la funzione cerca di windows, non posso aprire documenti direttamente dal desktop, non ho il click destro sopra gli archivi zip..Ho provato i vari procedimenti e i vari tools per ripristinare il TCPIP e le funzioni di ricerca, ma non hanno funzionato.. ZeroConfiguration e le cartelle nascoste invece sono tornati in vita da soli, dopo aver "ripulito il pc"..non riesco a capire se il rootkit è ancora attivo oppure semplicemente ho qualche impostazione rovinata..
scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, fai la scansione e carica il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

verifica di avere disabilitato il ripristino di configurazione su tutte le partizioni

Dai una resettata a IE
Strumenti → Opzioni Internet → Avanzate → Reimposta
NB: La reimpostazione delle impostazioni predefinite di Internet Explorer consente di ripristinare lo stato del programma al momento della prima installazione nel computer. Questo può essere utile per risolvere problemi potenzialmente originati dalla modifica di alcune impostazioni dopo l'installazione. Quando vengono ripristinate le impostazioni predefinite di Internet Explorer, alcune pagine Web che fanno riferimento a cookie, dati dei moduli e password memorizzati in precedenza o a componenti aggiuntivi del browser precedentemente installati potrebbero non funzionare correttamente. La reimpostazione delle impostazioni predefinite di Internet Explorer non elimina i Preferiti, i feed e altre impostazioni personalizzate. .

PinkNoiser
17-07-2008, 13:18
il log di hijackthis lo posto qui?

wjmat
17-07-2008, 13:57
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

leggi tutto e comincia ad aggiornare IE alla 7

PinkNoiser
17-07-2008, 14:55
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

leggi tutto e comincia ad aggiornare IE alla 7

Avevo già letto e mi sembra di aver sempre rispettato più o meno tutti i punti come mia abitudine personaleora aggiorno IE, ma a parte quello cos'altro posso fare? si certo, dovrei ripulire la partizione con un format e cariare un'immagine pulita, ma volevo "mettere una pezza" e poter rimandare questa cosa almeno per un mese, visto che mi servono molti programmi in quella partizione, e reistallarli è un lungo processo..

wjmat
17-07-2008, 23:13
Avevo già letto e mi sembra di aver sempre rispettato più o meno tutti i punti come mia abitudine personaleora aggiorno IE, ma a parte quello cos'altro posso fare? si certo, dovrei ripulire la partizione con un format e cariare un'immagine pulita, ma volevo "mettere una pezza" e poter rimandare questa cosa almeno per un mese, visto che mi servono molti programmi in quella partizione, e reistallarli è un lungo processo..
dimmi se con firefox e ie7 ci sono ancora problemi

nickfor
18-07-2008, 07:47
Questo è il link della scanzione con ELIBAGLE

http://www.mediafire.com/?9vqxvimdvh1

nickfor
18-07-2008, 07:59
http://www.mediafire.com/?4uozjtmo3k1

wjmat
18-07-2008, 08:00
Questo è il link della scanzione con ELIBAGLE

http://www.mediafire.com/?9vqxvimdvh1
procedi pure

nickfor
18-07-2008, 10:39
Sono riuscito a togliere i file infetti, installato avast e funziona

ora però ho ancora un problema non riesco a vedere le reti wifi?

che posso fare?

Angelus88
18-07-2008, 10:59
Sono riuscito a togliere i file infetti, installato avast e funziona

ora però ho ancora un problema non riesco a vedere le reti wifi?

che posso fare?

Leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441)

wjmat
18-07-2008, 11:47
Sono riuscito a togliere i file infetti, installato avast e funziona

ora però ho ancora un problema non riesco a vedere le reti wifi?

che posso fare?
vorremmo comunque vedere i log...
avast io lo farei fuori subito in favore di antivir...

Franceskina
18-07-2008, 14:55
scusate, visto che ho già sbagliato più volte a scrivere nelle sezioni,:D mi confermate che posso scrivere qui per dei problemi (spero risolti) con bagle?
dovrei inviare dei file log. si possono caricare uno alla volta giusto?
scusate la mia ignoranza ma non mi era mai capitato di avere problemi del genere.:muro: per questo è la mia prima volta nel forum.

xcdegasp
18-07-2008, 16:13
scusate, visto che ho già sbagliato più volte a scrivere nelle sezioni,:D mi confermate che posso scrivere qui per dei problemi (spero risolti) con bagle?
dovrei inviare dei file log. si possono caricare uno alla volta giusto?
scusate la mia ignoranza ma non mi era mai capitato di avere problemi del genere.:muro: per questo è la mia prima volta nel forum.

ti basta ripercorrere le tracce che hai ben seminato come Mollica per capire se sei nel posto giusto, per sapere come pubblicare i log basterebbe leggere il titolo di questo thread (discussione) e poi accedere alle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) per conoscere i vari mezzi a tua disposizione per tale pubblicazione :)

nickfor
18-07-2008, 16:17
http://www.mediafire.com/?pmtcldjfwnd

come procedo?

Franceskina
18-07-2008, 16:24
il mio problema è questo. ho preso un bagle, ho seguito la guida e il problema sembra essere risolto. infatti nella cartella C:\WINDOWS\system32\drivers non ci sono più i file hldrrr.exe e mdelk.exe.
ho usato elibagle e avenger.adesso però questi file sono nella cartella prefetch di WINDOWS. volevo capire se è normale o se devo cancellarli.
grazie mille!troppo pazienti..:)

Angelus88
18-07-2008, 16:28
Puoi svuotarla per intero la cartella prefetch

Franceskina
18-07-2008, 16:33
ok..grazie!quindi il problema è risolto no? se quei due file non ci sono più..:confused: E poi per capire, in questa cartella prefetch cosa ci va a finire? perchè ci sono un sacco di file..:mbe:

Angelus88
18-07-2008, 16:42
La cartella prefetch dovrebbe contenere le informazioni dei programmi utilizzati più spesso per rendere più veloce il caricamento. In teoria... perché in pratica non cambia nulla e spesso in quella cartella si posizionano file infetti.

Su Vista funziona molto meglio, su XP la puoi svuotare.

nickfor
18-07-2008, 16:55
http://www.mediafire.com/?pmtcldjfwnd

ho postato il link del file log ottenuto con filebat!!!!!

sulla guida c'è scritto di aspettare che un helper dica come proseguire!!

che devo fare?

Angelus88
18-07-2008, 17:01
Nickfor scusa ma... quale guida hai seguito? Non capisco di quel file bat parli...

nickfor
18-07-2008, 17:10
Scusa Angelus88,

qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.

Sono a buon punto, penso!!!!!

ora riesco a far funzionare Avast, ma non riesco a vedere le reti wifi!!!

tu ne sai qualcosa?

ti ringrazio

wjmat
18-07-2008, 17:28
Scusa Angelus88,

qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.

Sono a buon punto, penso!!!!!

ora riesco a far funzionare Avast, ma non riesco a vedere le reti wifi!!!

tu ne sai qualcosa?

ti ringrazio
o segui di qua o segui di là.... o se segui tutte e due almeno non incrociare i log...;)

per il ripristino dei servizi http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

Angelus88
18-07-2008, 17:38
Nickfor ti ho postato di là.

Per evitare che xcdegasp mi sospenda nuovamente come suo solito, vorrei precisare che non sono stato io ad indirizzare nickfor sul forum. Avrà trovato la guida nella mia firma e si è poi confuso nel postare.

wjmat
18-07-2008, 18:44
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.

Avrà trovato la guida nella mia firma e si è poi confuso nel postare.[/B]

:confused:

xcdegasp
19-07-2008, 00:11
Nickfor ti ho postato di là.

Per evitare che xcdegasp mi sospenda nuovamente come suo solito, vorrei precisare che non sono stato io ad indirizzare nickfor sul forum. Avrà trovato la guida nella mia firma e si è poi confuso nel postare.

a me sembra che abbia detto che qualcuno lo aveva indirizzato altrove non che avesse preso un link lui di sua spkntanea iniziativa!
Scusa Angelus88,
qualcuno mi aveva indirizzato su un'altro forum per risolvere sto benedetto problema con bagle e sulle spiegazioni dicevano di aspettare un helper per proseguire.
guarda caso dopo che hai ricominciato a bazzicare su questo 3D.. un po' troppo di coincidenza..
5 giorni di sospensionecome la volta precedete, in pvt possiamo proseguire il chiarimento se vorrai :)

JeZZyNa
19-07-2008, 14:54
il mio log:

http://www.fileqube.com/shared/ATGzBC63150

per favore aiutatemiiii!!!

Chill-Out
19-07-2008, 15:11
il mio log:

http://www.fileqube.com/shared/ATGzBC63150

per favore aiutatemiiii!!!

Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Dopodichè fai girare ancora EliBagla dalla modalità provvisoria F8

Riepilogo log da allegare:
Beagled
EliBagla

Ciao

Itzpapalot
19-07-2008, 18:29
ciao a tutti, premetto che le mie competenze informatiche non sono eccezionali.. seguendo la guida mi sono bloccata al punto2) mentre mi fa la scansione mi compare spessissimo "acceso denegato a la carpeta C:\Windows\System32.." e molte altre.. se clicco ok prosegue ma poi alla fine della scansione non mi trova virus.. eppure il mio pc è infetto.. ha tutti i sintomi!
potreste aiutarmi??
grazie!

wjmat
20-07-2008, 12:52
ciao a tutti, premetto che le mie competenze informatiche non sono eccezionali.. seguendo la guida mi sono bloccata al punto2) mentre mi fa la scansione mi compare spessissimo "acceso denegato a la carpeta C:\Windows\System32.." e molte altre.. se clicco ok prosegue ma poi alla fine della scansione non mi trova virus.. eppure il mio pc è infetto.. ha tutti i sintomi!
potreste aiutarmi??
grazie!
ciao, già provato da mod. provvisoria?
carica il log che vediamo come prodedere

sat333
20-07-2008, 15:19
Ragazzi ancora nulla...non sono riuscito a trovare quali sono i file di sistema che fanno riferimento ai servizi zero config e client dhcp. Ottengo sempre l'errore " l'handle dell'istanza del dispositivo specificato non corrisponde ad un dispositivo presente" e non li posso abilitare.

Help :cry:

Grazie

Qualcuno ha qualche suggerimento per poter far ripartire questi due servizi? In particolare il zero config.

GRAZIE

wjmat
20-07-2008, 22:36
Qualcuno ha qualche suggerimento per poter far ripartire questi due servizi? In particolare il zero config.

GRAZIE
Proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.

Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)

sat333
21-07-2008, 09:33
Proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.

Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)

Ottengo:

Protezione risorse di Windows: impossibile ripristinare alcuni dei file danneggi
ati trovati. I dettagli sono disponibili nel file CBS.Log windir\Logs\CBS\CBS.log.

A questo punto applico il comando:

findstr /C:"[SR] Cannot repair member file" %windir%\logs\cbs\cbs.log >sfcdetails.txt

e dentro sfcdetails ho:
2008-07-02 00:01:41, Info CSI 00000136 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:03:52, Info CSI 00000172 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:04:04, Info CSI 000001a0 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch


Ho provato a sostituire il tcpip.sys ma non è cambiato nulla

wjmat
21-07-2008, 12:49
Ottengo:

Protezione risorse di Windows: impossibile ripristinare alcuni dei file danneggi
ati trovati. I dettagli sono disponibili nel file CBS.Log windir\Logs\CBS\CBS.log.

A questo punto applico il comando:

findstr /C:"[SR] Cannot repair member file" %windir%\logs\cbs\cbs.log >sfcdetails.txt

e dentro sfcdetails ho:
2008-07-02 00:01:41, Info CSI 00000136 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:03:52, Info CSI 00000172 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2008-07-02 00:04:04, Info CSI 000001a0 [SR] Cannot repair member file [l:18{9}]"tcpip.sys" of Microsoft-Windows-TCPIP-Binaries, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch


Ho provato a sostituire il tcpip.sys ma non è cambiato nulla
Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e carica i log di:
Hijackthis
ESETSysinspector
Prevx

sat333
21-07-2008, 16:42
Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e carica i log di:
Hijackthis
ESETSysinspector
Prevx


hijackthis.log (http://wikisend.com/download/484678/hijackthis.log)

prevx_log.log (http://wikisend.com/download/924134/prevx_log.log)

SysInspector-DELLINO-080721-1724.zip (http://wikisend.com/download/924348/SysInspector-DELLINO-080721-1724.zip)

wjmat
21-07-2008, 20:40
hijackthis.log (http://wikisend.com/download/484678/hijackthis.log)

prevx_log.log (http://wikisend.com/download/924134/prevx_log.log)

SysInspector-DELLINO-080721-1724.zip (http://wikisend.com/download/924348/SysInspector-DELLINO-080721-1724.zip)
nella scheda dei servizi metti in avvio automatico
Intel(R) PROSet/Wireless Registry Service
Intel(R) PROSet/Wireless Event Log
Zero Configuration reti senza fili

se Zero Configuration reti senza fili desse ancora ploblema...

proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)

ewin7
21-07-2008, 20:58
CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.
2) Utilizzo di elibagla (removal tool spagnolo): dopo essere andati su QUESTA (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
guida.

Premessa veloce: è la prima volta che posto qui, e forse ci sono molte risposte a quello che sto per postare ma ci soo già oltre 200 pagine da leggere...scusate in anticipo per qualsiasi cosa....

Anch'io ho preso il baggle hldrrr.exe e ho provato ad eseguire i passi postati all'inizio del post, quando l'ho fatto avevo saltato un passaggio e mi sono trovato un po incasinato, ogni volta che accendevo il pc si spegneva dopo circa 5 minuti, però io riesco sempre ad entrare nel pc con la modalità provvisoria e così disattivando e cancellando alcuni programmi e file ora navigo come prima ma il virus è sempre lì, e mi sa che non è solo...ora vi posto il lo di infosat...se qualcuno mi può dare qualche consiglio vi sarei molto grato, non sono granché intenditore quindi magari vi chiedo di essere pignoli nelle spiegazioni.. grazie


Sat Jul 19 12:06:57 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
C:\ERROR.TXT --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Eliminada Carpeta "%AppData%\Hidires"

Sat Jul 19 12:12:03 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sat Jul 19 12:12:28 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sat Jul 19 12:35:52 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ANTON\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Jul 19 12:38:39 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Bluetooth File Sender\BTFILESENDER.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 12031
Nº Total de Ficheros: 116928
Nº de Ficheros Analizados: 10758
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

wjmat
21-07-2008, 21:20
ciao
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

fai ancora un giro con elibagla e posta il nuovo log

sat333
21-07-2008, 21:29
nella scheda dei servizi metti in avvio automatico
Intel(R) PROSet/Wireless Registry Service
Intel(R) PROSet/Wireless Event Log
Zero Configuration reti senza fili

se Zero Configuration reti senza fili desse ancora ploblema...

proviamo a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Start → Esegui → digita sfc /scannow (invio)

Sempre lo stesso errore...credo sia proprio il file corrotto. con lo sfc /scannow ho già postato il risultato mi da come corrotto tcpip.sys

wjmat
21-07-2008, 21:48
Sempre lo stesso errore...credo sia proprio il file corrotto. con lo sfc /scannow ho già postato il risultato mi da come corrotto tcpip.sys
Proviamo a riparare e resettare il TCP/IP winsock

Clicca Start -> Esegui -> digita cmd (invio) -> Premi Ctrl+Shift+Invio per lanciare i comandi con diritti da amministratore e permetti -> digita netsh winsock reset (invio) -> riavvia il pc

ewin7
21-07-2008, 22:14
ciao
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
fai ancora un giro con elibagla e posta il nuovo log
elibagla me lo fa vedere appena accendo il pc, prima che carichi periferiche e programmi, se ora cercassi di aprirlo non lo apre...il passaggia dice di fare la scansione con elibagla

wjmat
21-07-2008, 22:21
elibagla me lo fa vedere appena accendo il pc, prima che carichi periferiche e programmi, se ora cercassi di aprirlo non lo apre...il passaggia dice di fare la scansione con elibagla
non ho capito nulla:confused: :confused:
da mod. provvisoria scansione con elibagle e posti il log secondo le modalità

ewin7
21-07-2008, 22:33
mi sono spiegato male.
ora se volessi aprire elibagla non potrei, o meglio ci clicco il programma si apre e si chiude subito, invece prima appena accendevo il pc, successivamente ho disattivato elibagla, si avviava automaticamente elibagla, il resto della schermata è blu, e posso fare due cose o explorar oppure salir, con explorar fa una scansione, con salir mi fa accedere al deskop e poi carica programmi, periferiche ecc.....
se ora volessi usare elibagla per fare una scansione dovrei prima attivarlo e poi riavviare il computer......
nel primo post di questo topic c'è scritto di fare la scansione con elibagla ma non dice che bisogna riavviare il pc....
spero di essere spiegato.

cmq riproverò a fare tutti i passaggi in ordine corretto, e senza più sbagliare nulla, e posterò infostat

P.S.1 ho windows installato su un mac, ma il mac lo ha installato mio fratello ed ha attivato una password che richiede ogni volta che bisogna installare o modificare qualcosa, e lui si è scordato la pass e non sa dove ha messo il cd di installazione di mac :muro: :muro:

wjmat
21-07-2008, 22:34
mi sono spiegato male.
ora se volessi aprire elibagla non potrei, o meglio ci clicco il programma si apre e si chiude subito, invece prima appena accendevo il pc, successivamente ho disattivato elibagla, si avviava automaticamente elibagla, il resto della schermata è blu, e posso fare due cose o explorar oppure salir, con explorar fa una scansione, con salir mi fa accedere al deskop e poi carica programmi, periferiche ecc.....
se ora volessi usare elibagla per fare una scansione dovrei prima attivarlo e poi riavviare il computer......
nel primo post di questo topic c'è scritto di fare la scansione con elibagla ma non dice che bisogna riavviare il pc....
spero di essere spiegato.

P.S. ho windows installato su un mac, ma il mac lo ha installato mio fratello ed ha attivato una password che richiede ogni volta che bisogna installare o modificare qualcosa, e lui si è scordato la pass e non sa dove ha messo il cd di installazione di mac :muro: :muro:
prova a riscaricarlo

sat333
21-07-2008, 22:55
Proviamo a riparare e resettare il TCP/IP winsock

Clicca Start -> Esegui -> digita cmd (invio) -> Premi Ctrl+Shift+Invio per lanciare i comandi con diritti da amministratore e permetti -> digita netsh winsock reset (invio) -> riavvia il pc

Nulla, sempre lo stesso errore...Riguardo il tcpip.sys qualche tempo fa l'ho sostituito con quello preso da un altro pc con la mia stessa versione di vista e sostituito nella cartella drivers sotto system32, ma a quanto pare non è servito a nulla.

Domanda: nel caso non riesco a ripristinare in questa maniera, l'installazione di vista permette di sovrascrivere solo i file di sistema così da evitare una formattazione?

Grazie

wjmat
22-07-2008, 07:10
Nulla, sempre lo stesso errore...Riguardo il tcpip.sys qualche tempo fa l'ho sostituito con quello preso da un altro pc con la mia stessa versione di vista e sostituito nella cartella drivers sotto system32, ma a quanto pare non è servito a nulla.

Domanda: nel caso non riesco a ripristinare in questa maniera, l'installazione di vista permette di sovrascrivere solo i file di sistema così da evitare una formattazione?

Grazie
mi è sembrato di vedere che tu abbia varie applicazioni per gestire la connessione... su altri forum ho visto che questi programmi possono dare problemi...
con la sovrainstallazione potrebbe andare a posto ma con vista non so se è possibile (ma penso di si...)

Chill-Out
22-07-2008, 07:43
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

sat333
22-07-2008, 14:17
mi è sembrato di vedere che tu abbia varie applicazioni per gestire la connessione... su altri forum ho visto che questi programmi possono dare problemi...
con la sovrainstallazione potrebbe andare a posto ma con vista non so se è possibile (ma penso di si...)

Intendi disisntallare queste applicazioni??

akroma195
22-07-2008, 14:30
ciao a tutti. inizio col dire che sono nuovo del forum e quindi correggetemi per eventuali errori.

ho preso anche io il virus bagle.
ora vi posto qui sotto i vari rapporti:

rapporto di elibagla (removal tool spagnolo):

Mon Jul 21 18:23:10 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 18:24:24 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 18:25:36 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 18:32:39 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 18:33:19 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 21:11:53 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Jul 21 21:12:10 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Jul 21 21:14:17 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Jul 21 21:14:25 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Jul 21 21:15:14 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Jul 21 21:15:35 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Jul 21 21:15:38 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Jul 21 21:16:16 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Jul 21 21:16:18 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Jul 21 21:29:51 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Jul 21 21:31:07 2008
EliBagle v11.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\105625.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\106984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\114171.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\119406.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\126234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\139890.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\141953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\148140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14847921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\15563656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\179187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30080734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30363015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\30375515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\864468.EXE --> Eliminado Bagle

Nº Total de Directorios: 14216
Nº Total de Ficheros: 194286
Nº de Ficheros Analizados: 14415
Nº de Ficheros Infectados: 17
Nº de Ficheros Limpiados: 17


rapporto di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\m" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: could not open folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\Roaming\m"
Deletion of folder "C:\Documents and Settings\HP_Administrator\Dati applicazioni\Roaming\m" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: folder "C:\WINDOWS\System32\drivers\down" not found!
Deletion of folder "C:\WINDOWS\System32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|drvsyskit" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mule_st_key"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mule_st_key" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


rapporto di kaspersky virus removal tool: http://www.mediafire.com/?viznm4hbnmw

vi prego aiutatemi!! :help:

Chill-Out
22-07-2008, 14:59
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Successivamente fai girare ancora EliBagla ed alleghi il log

Per salvare il log del Kasperaky Removal Tool devi cliccare su Reports -> Save to file -> salvarlo in formato .txt ed allegarlo

wjmat
22-07-2008, 15:07
Intendi disisntallare queste applicazioni??
su un altro forum per esempio era net limiter a rompere le balle...
tu mi pare abbia installato qualche altro programma che potrebbe interagire con il tcp...
prova a disinstallarli e poi a ripristinare di nuovo

sat333
22-07-2008, 15:36
su un altro forum per esempio era net limiter a rompere le balle...
tu mi pare abbia installato qualche altro programma che potrebbe interagire con il tcp...
prova a disinstallarli e poi a ripristinare di nuovo

Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?

Posso provare a disinstallare i tool intel della scheda wifi, no?

Grazie ancora per l'aiuto

wjmat
22-07-2008, 15:55
Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?

Posso provare a disinstallare i tool intel della scheda wifi, no?

Grazie ancora per l'aiuto
prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...

prova come ieri ma con questo comando
netsh int ip reset

Chill-Out
22-07-2008, 16:11
Ho netsetman ma quello mi serve a settare gli indirizzi ip, certo potrebbe anche essere ma per il zero config?

Posso provare a disinstallare i tool intel della scheda wifi, no?

Grazie ancora per l'aiuto

prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...

prova come ieri ma con questo comando
netsh int ip reset


A questo punto mi viene da pensare che questo problema sia antecedente al Bagle.

Mi faresti questa verifica da Start - Esegui - digita Regedit verifica la corrispondenza di questa chiave:


[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004

molosit1
22-07-2008, 20:15
Io ho un problema particolare....non riesco a partire con la procedura perchè la casella ove spuntare DISABILITA RIPRISTINO è invisibile......

Ho già provato a digitare regedit e poi cercare la seguente chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Configuration Manager

Ma nn c'è.........

Mi servirebbe qlcosa di alternativo........

Aggiungo che a me il Norton che ho installato funziona ancora.......anche se nn becca nulla!!!

sat333
22-07-2008, 20:36
prova a disattivare dallo startup quelli della intel e lasciare solo quelli di win, però nulla toglie che ci sia quel file rovinato...

prova come ieri ma con questo comando
netsh int ip reset



Ha fatto tutto ma niente..ora provo a disinstallare

A questo punto mi viene da pensare che questo problema sia antecedente al Bagle.

Mi faresti questa verifica da Start - Esegui - digita Regedit verifica la corrispondenza di questa chiave:


[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004

La chiave ha quel valore ma se la apro dentro come decimale c'è 3, è giusto?

Chill-Out
22-07-2008, 22:48
Ha fatto tutto ma niente..ora provo a disinstallare



La chiave ha quel valore ma se la apro dentro come decimale c'è 3, è giusto?

4 o 5

sat333
23-07-2008, 08:36
4 o 5

Si!!! Piccola novità ieri sono riuscito a collegarmi in wifi anche senza attivare il zero config. Però sta cosa che non parte e nemmeno il client dhcp è una rottura. Ma potrebbe esser dovuto ai servizi da cui dipendono.

Anche se l'errore si riferisce all'handle

molosit1
23-07-2008, 10:04
Io ho un problema particolare....non riesco a partire con la procedura perchè la casella ove spuntare DISABILITA RIPRISTINO è invisibile......

Ho già provato a digitare regedit e poi cercare la seguente chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Configuration Manager

Ma nn c'è.........

Mi servirebbe qlcosa di alternativo........

Aggiungo che a me il Norton che ho installato funziona ancora.......anche se nn becca nulla!!!


Niente????????
O devo cambiare sezione..........scusate l'insistenza ma mi trovo in difficoltà!

Gle89
23-07-2008, 10:23
Niente????????
O devo cambiare sezione..........scusate l'insistenza ma mi trovo in difficoltà!

Sei sicuro di avere il Bagle? Chi è infetto dal bagle ha questi effetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso

e tu hai scritto che invece il norton gira ancora...;)

molosit1
23-07-2008, 10:30
Hai ragione......nel senso che alcuni sintomi nn sembrano quelli ma altri si...

Il Norton nn mi trova nulla.....però succedono cmq delle cose strane, tipo la disabiltazione nn possibile, disabilitazione del sistema di protezione Windows, cambiano impostazioni di base nella riaccensione etc etc....

Magari consigliami una scansione con qualche antivirus o tool che ritieni opportuno...

GRAZIE!

Gle89
23-07-2008, 10:39
@ molosit1

prima di consigliarti qualcosa fai una cosa, guarda se il computer entra in modalità provvisoria per favore se non sai come si fa ecco qui:


1.Riavviare il computer.
2. al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
3. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio.

Fammi sapere

molosit1
23-07-2008, 10:42
Si...il computer entra in modalità provvisoria!

Anche se il disabilita ripristino mi resta invisibile.


Ti aggiorno su quello che sto facendo........scansione con kapersky Virus Removal tool...........sta al 3% e per ora mi ha trovato 2 Trojan.Win32.Qhost.kk

Gle89
23-07-2008, 10:47
Si...il computer entra in modalità provvisoria!

Anche se il disabilita ripristino mi resta invisibile.

ok allora non si tratta del Bagle quindi è inutile continuare in questo thread quindi apri tu una nuova discussione in "aiuto sono infetto" dove spieghi meglio quali sono i sintomi dell infezione, il tuo sistema operativo, il tuo antivirus e inizia con il seguire la Guida alla Disinfestazione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) passo passo e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)) cosi potremo darti una mano!;)

Ti aspetto di la :)

molosit1
23-07-2008, 11:25
Sono passato in una discussione che ho creato ad hoc.

Grazie!

Adrianz
23-07-2008, 11:55
Ciao a tutti!

Mi sono preso anch'io un bagle e sto seguendo la guida per salvare il mio PC dalla formattazione...sono arrivato al punto 3) "Usare avenger":

inserisco lo script --> click su execute -->si -->ok -->Errore: impossibile trovare il file C:\cleaner.bat --> Errore -->.... alla fine avenger non esegue nulla!

Che posso fare?

Grazie mille

Adrianz

wjmat
23-07-2008, 12:12
Ciao a tutti!

Mi sono preso anch'io un bagle e sto seguendo la guida per salvare il mio PC dalla formattazione...sono arrivato al punto 3) "Usare avenger":

inserisco lo script --> click su execute -->si -->ok -->Errore: impossibile trovare il file C:\cleaner.bat --> Errore -->.... alla fine avenger non esegue nulla!

Che posso fare?

Grazie mille

Adrianz
ciao, prima carica il log di elibagla secondo le modalità

h7-25
24-07-2008, 20:10
ciao, grazie a questa guida sono riuscito a risolvere quasi tutti i problemi.sono riuscito a installare nuovamente antivir ma non zonealarm, anche se credo che questo sia un problema del programma...dice che devo disattivare truevector per procedere con l'installazione. il vero problema è un altro...dopo circa 10/15 minuti che il pc è acceso non funzionano + i browser (firefox,explorer) che inizialmente funzionano . non è un problema di connesione perchè durante il "blocco" funziona ad esempio messenger.inoltre ho provato ad eseguire il ping, spero si dica così, ed il risultato è che ci sono zero file persi.secondo voi da cosa dipende? vi prego datemi un consiglio.grazie

wjmat
25-07-2008, 07:28
ciao, grazie a questa guida sono riuscito a risolvere quasi tutti i problemi.sono riuscito a installare nuovamente antivir ma non zonealarm, anche se credo che questo sia un problema del programma...dice che devo disattivare truevector per procedere con l'installazione. il vero problema è un altro...dopo circa 10/15 minuti che il pc è acceso non funzionano + i browser (firefox,explorer) che inizialmente funzionano . non è un problema di connesione perchè durante il "blocco" funziona ad esempio messenger.inoltre ho provato ad eseguire il ping, spero si dica così, ed il risultato è che ci sono zero file persi.secondo voi da cosa dipende? vi prego datemi un consiglio.grazie
ciao
purtroppo senza i log possiamo capire ben poco...

come scansione virus "dovresti" essere a posto in teoria

Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis

Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto

Adrianz
25-07-2008, 08:40
ciao, prima carica il log di elibagla secondo le modalità

Ecco il link al log di Elibagla:

http://www.mediafire.com/?m3hkslmelfm

In più vi AGGIORNO LA SITUAZIONE:
1) il file che non trova Avenger è c:\cleanup.bat (scusate l'errore nel precedente post)
2) Avenger dice anche che non riesce a creare il file c:\avenger.txt.....allora ho provato io a creare un file di testo vuoto sotto c:\avenger.txt, ma appena lo creo, automaticamente scompare (e non viane nascosto, proprio non esiste più)
3)NON RIESCO PIù AD ACCEDERE ALLA MIA PENNA USB TRAMITE ESPLORA RISORSE (intendo quando attacco la pendrive al mio pc infetto, mentre sul pc del lavoro la penna la legge normalmente e la uso per "importare" sul mio pc i programmi che mi segnalate), il che è un bel problema: se non posso andare su internet e non posso "importare" file e programmi con la penna, come faccio? Con un CD? C...o al lavoro non ho un masterizzatore...
4)Non so perchè, ma non riesco ad aprire il file .htm nel quale ho salvato la guida. SOLO QUEL FILE E SOLO SUL MIO PC INFETTO
5)Se provo a riavviare Elibagla non parte e mi dice di scaricare la versione aggiornata (c...o 3 gg fa funzionava, adesso mi dice che c'è una nuova versione... Che c...o ne sa lui?)

Grazie e tutti per il vostro aiuto!

Adrianz

Chill-Out
25-07-2008, 08:45
Ecco il link al log di Elibagla:

http://www.mediafire.com/?m3hkslmelfm

In più vi AGGIORNO LA SITUAZIONE:
1) il file che non trova Avenger è c:\cleanup.bat (scusate l'errore nel precedente post)
2) Avenger dice anche che non riesce a creare il file c:\avenger.txt.....allora ho provato io a creare un file di testo vuoto sotto c:\avenger.txt, ma appena lo creo, automaticamente scompare (e non viane nascosto, proprio non esiste più)
3)NON RIESCO PIù AD ACCEDERE ALLA MIA PENNA USB TRAMITE ESPLORA RISORSE, il che è un bel problema: se non posso andare su internet e non posso "importare" file e programmi con la penna, come faccio? Con un CD? C...o al lavoro non ho un masterizzatore...
4)Non so perchè, ma non riesco ad aprire il file .htm nel quale ho salvato la guida. SOLO QUEL FILE E SOLO SUL MIO PC INFETTO
5)Se provo a riavviare Elibagla non parte e mi dice di scaricare la versione aggiornata (c...o 3 gg fa funzionava, adesso mi dice che c'è una nuova versione... Che c...o ne sa lui?)

Grazie e tutti per il vostro aiuto!

Adrianz

Riscarica EliBagla e fallo girare nuovamente perchè stai usanto una versione vecchia, la versione attuale è la 11.62

Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Dopodichè nuovo giro di EliBagla da modalità provvisoria F8

Allega entrambi i log, ciao.

Newbie Inesperto
25-07-2008, 09:01
Ciao a tutti io sono nuovo e... inesperto...
Allora io mi ritrovo in una situazione "strana". Io uso Windows Viasta e so di aver preso il virus Bagle con il file HLDRRR.EXE. Questo mi ha bruciato Windows Defender, tutti i controlli Antivirus di Messenger e Norton Internet Security (che però non era aggiornato). L'unico software "sopravvissuto" è Webroot Antivirus with Antispyware: con questo speravo di essere risucito a rimuovere Bagle del tutto ma ogni volta, dopo che Webroot Antivirus lo sposta in quarantena, il virus si riproduce e ricevo il messaggio di avviso che è stato messo in quarantena praticamente sempre! E oltre a rallentare il sistema, rallenta e blocca spesso anche l'antivirus, e questo mi può rendere vulnerabile a altre minacce. Ora non so cosa fare, in un giorno Webroot Antivirus ha bloccato più di 70000 minacce in entrata, ho perso tutti i controlli per Messenger, il firewall che usavo (Norton) e Windows Defender... e poi se guardo tra i processi in Gestione Attività non riesco a vedere HLDRRR.EXE... Però so che Webroot Antivirus non è stato disinstallato ma riesce a eliminare il virus che però si riproduce. Cosa posso fare nella mia situazione?

Grazie, e vi prego perdonate la mia ignoranza :( io non mi intendo molto di queste cose :cry:

Chill-Out
25-07-2008, 09:03
Ciao a tutti io sono nuovo e... inesperto...
Allora io mi ritrovo in una situazione "strana". Io uso Windows Viasta e so di aver preso il virus Bagle con il file HLDRRR.EXE. Questo mi ha bruciato Windows Defender, tutti i controlli Antivirus di Messenger e Norton Internet Security (che però non era aggiornato). L'unico software "sopravvissuto" è Webroot Antivirus with Antispyware: con questo speravo di essere risucito a rimuovere Bagle del tutto ma ogni volta, dopo che Webroot Antivirus lo sposta in quarantena, il virus si riproduce e ricevo il messaggio di avviso che è stato messo in quarantena praticamente sempre! E oltre a rallentare il sistema, rallenta e blocca spesso anche l'antivirus, e questo mi può rendere vulnerabile a altre minacce. Ora non so cosa fare, in un giorno Webroot Antivirus ha bloccato più di 70000 minacce in entrata, ho perso tutti i controlli per Messenger, il firewall che usavo (Norton) e Windows Defender... e poi se guardo tra i processi in Gestione Attività non riesco a vedere HLDRRR.EXE... Però so che Webroot Antivirus non è stato disinstallato ma riesce a eliminare il virus che però si riproduce. Cosa posso fare nella mia situazione?

Grazie, e vi prego perdonate la mia ignoranza :( io non mi intendo molto di queste cose :cry:

Fai girare EliBagla come indicato in Guida, dopodichè fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Allega entrambi i log

Newbie Inesperto
25-07-2008, 09:12
Fai girare EliBagla come indicato in Guida, dopodichè fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Allega entrambi i log Grazie lo faccio immediatamente ma prima chiudo Webroot Antivirus o lo lascio aperto?

Chill-Out
25-07-2008, 09:17
Grazie lo faccio immediatamente ma prima chiudo Webroot Antivirus o lo lascio aperto?

Spegnilo

Adrianz
25-07-2008, 11:37
Riscarica EliBagla e fallo girare nuovamente perchè stai usanto una versione vecchia, la versione attuale è la 11.62

Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Dopodichè nuovo giro di EliBagla da modalità provvisoria F8

Allega entrambi i log, ciao.


Scusa, io posso scaricare (al lavoro) tutto ma poi quando torno a casa e attacco la pennetta al pc non riesco ad esplorarla! Come faccio? Da DOS? non mi ricordo come si copiano i file...

wjmat
25-07-2008, 12:06
la penna usb la usavi già su pc infetto?

Adrianz
25-07-2008, 12:22
No.

Mi si infetta ogni volta che la collego al mio pc infetto.
Poi vengo al lavoro, la collego qui e grazie a Dio il McAfee me lo individua e mi ripulisce la pen.

Praticamente la pulisco con il pc del lavoro...cosa rischiosissima, ma la prima volta è avvenuto senza che ci pensassi ed ora so che posso andare tranquillo.

Mentre aspettavo vs notizie, ho provato ad installare AVG Free (ne avevo l'ultimo installer sul pc) e gli ho fatto fare una scansione completa (senza che trovasse nulla). Può essere quello che mi ha bloccato l'accesso alla penna?

Nel mentre, mi sapete dire perchè il McAfee del lavoro vede il tool-anti-bagle.zip (quel file zip per intenderci dove dentro c'è avenger) come un virus (Vundo)? :confused:

wjmat
25-07-2008, 13:17
click dx su risorse computer -> gestione -> gestione disco
guarda se li la vedi la chiavetta, a volte bisogna cambiargli la lettera

Adrianz
25-07-2008, 13:38
"click dx su risorse computer -> gestione -> gestione disco
guarda se li la vedi la chiavetta, a volte bisogna cambiargli la lettera"

Ok ci provo, cmq sotto "risorse del computer" la vedo la penna, è che se ci clikko sopra stranamente non succede niente!:help:

Angelus88
25-07-2008, 14:16
Probabilmente è infetta... invece di farci doppio clic, cliccaci con il destro e dimmi qual'è il comando scritto in grassetto

sat333
26-07-2008, 16:29
Si!!! Piccola novità ieri sono riuscito a collegarmi in wifi anche senza attivare il zero config. Però sta cosa che non parte e nemmeno il client dhcp è una rottura. Ma potrebbe esser dovuto ai servizi da cui dipendono.

Anche se l'errore si riferisce all'handle

Niente..sempre fermo a questa situazione. Qualcuno mi sa dire quali file di sistema si dovrebbero rimpiazzare per far partire questi servizi.

Grazie

dazan
26-07-2008, 16:36
è già la terza volta che mi capita lo stesso problema però ora vorrei evitare di dover formattare ancora...

ho scaricato elibagla
report

Sat Jul 26 12:10:22 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sat Jul 26 12:12:12 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Jul 26 12:15:14 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3251
Nº Total de Ficheros: 48435
Nº de Ficheros Analizados: 8490
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jul 26 12:22:44 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.



provato anche avenger poi ma niente mi da errore pure la versione moddata che ho trovato in giro..
kaspersky mi da errore nell'aggiornamento del database e nn mi fa neanche la scansione online

hijakthis riporto il report

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.07.50, on 26/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\dazan26\Dati applicazioni\m\flec006.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dazan26\Desktop\Tools-Anti-Bagle-nuovo\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215760572046
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{77F739FB-20AC-40F5-8068-6114416D502E}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{77F739FB-20AC-40F5-8068-6114416D502E}: NameServer = 193.70.152.15,193.70.152.25
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5461 bytes



Please help me che nn so piu che pesci pigliare grazie!

Chill-Out
26-07-2008, 16:45
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Dopodichè nuovo giro di EliBagla da modalità provvisoria F8

Allega entrambi i log, ciao.

NB: allega i log secondo le modalità indicate in Guida, grazie.

wjmat
26-07-2008, 16:46
ciao

rilancia elibagla da mod. provvisoria

sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

dazan
26-07-2008, 16:49
provo subito..
attualmente però la modalita provvisoria non funge

dazan
26-07-2008, 16:56
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Doppio click su Beagled.exe e segui le indicazioni a video, al termine allega il log che trovi in C:\Bagled.txt

Dopodichè nuovo giro di EliBagla da modalità provvisoria F8

Allega entrambi i log, ciao.

NB: allega i log secondo le modalità indicate in Guida, grazie.

ho provato ma non funziona si apre e poi si richiude la finestra del prompt e nel log non c'è nulla

Chill-Out
26-07-2008, 17:00
ho provato ma non funziona si apre e poi si richiude la finestra del prompt e nel log non c'è nulla

scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE


clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

wjmat
26-07-2008, 17:03
edit

dazan
26-07-2008, 17:20
ecco qua

< %SystemDrive%\WINDOWS\system32\drivers\hidr.exe >
Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys >
Folder C:\WINDOWS\system32\drivers\srosa.sys not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe >
Folder C:\WINDOWS\system32\wintems.exe not found.
< %SystemDrive%\WINDOWS\system32\hldrrr.exe >
Folder C:\WINDOWS\system32\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\trusted.exe >
Folder C:\WINDOWS\system32\trusted.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %UserProfile%\Dati applicazioni\hidires\hidr.exe >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\hidr.exe not found.
< %UserProfile%\Dati applicazioni\hidires\rosa.sys >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\rosa.sys not found.
< %UserProfile%\Dati applicazioni\m\list.oct >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\list.oct not found.
< %UserProfile%\Dati applicazioni\m\data.oct >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\data.oct not found.
< %UserProfile%\Dati applicazioni\m\flec006.exe >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\m\flec006.exe not found.
< %SystemDrive%\system32\re_file.exe >
Folder C:\system32\re_file.exe not found.
< %SystemDrive%\elist.xpt >
Folder C:\elist.xpt not found.
< %UserProfile%\Dati applicazioni\hidires\m_hook.sys >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires\m_hook.sys not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe >
Folder C:\WINDOWS\system32\drivers\hldrrr.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ >
Folder C:\WINDOWS\system32\drivers\hldrrr.ex_ not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe >
Folder C:\WINDOWS\system32\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe >
Folder C:\WINDOWS\system32\drivers\mdelk.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\pci32.sys >
Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
< %SystemDrive%\WINDOWS\system32\edlm.exe >
Folder C:\WINDOWS\system32\edlm.exe not found.
< %SystemDrive%\WINDOWS\system32\edlm2.exe >
Folder C:\WINDOWS\system32\edlm2.exe not found.
< %SystemDrive%\Windows\system32\ldR64.dll >
Folder C:\Windows\system32\ldR64.dll not found.
< %SystemDrive%\WINDOWS\system32\german.exe >
Folder C:\WINDOWS\system32\german.exe not found.
< %SystemDrive%\WINDOWS\system32\drivers\srosa.sys. >
Folder C:\WINDOWS\system32\drivers\srosa.sys. not found.
< %SystemDrive%\WINDOWS\system32\mdelk.exe. >
Folder C:\WINDOWS\system32\mdelk.exe. not found.
< %SystemDrive%\WINDOWS\system32\wintems.exe. >
Folder C:\WINDOWS\system32\wintems.exe. not found.
< %SystemDrive%\WINDOWS\system32\1.exe >
Folder C:\WINDOWS\system32\1.exe not found.
< %SystemDrive%\WINDOWS\exefqd >
Folder C:\WINDOWS\exefqd not found.
< %SystemDrive%\WINDOWS\exefnd >
Folder C:\WINDOWS\exefnd not found.
< %SystemDrive%\WINDOWS\exefld >
Folder C:\WINDOWS\exefld not found.
< %UserProfile%\Dati applicazioni\hidires >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidires not found.
< %UserProfile%\Dati applicazioni\hidn >
Folder C:\Documents and Settings\dazan26\Dati applicazioni\hidn not found.
< %UserProfile%\Dati applicazioni\m >
Folder move failed. C:\Documents and Settings\dazan26\Dati applicazioni\m scheduled to be moved on reboot.
< %SystemDrive%\WINDOWS\System32\drivers\down >
Folder C:\WINDOWS\System32\drivers\down not found.
< %SystemDrive%\WINDOWS\system32\drivers\downld >
C:\WINDOWS\system32\drivers\downld moved successfully.
< %SystemDrive%\WINDOWS\temp\ >
Folder C:\WINDOWS\temp\ not found.
< %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 >
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\W5MVO1I7 moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\SLAFC1MB moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\KDQBSXQ7 moved successfully.
C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5\85MZKHAR moved successfully.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
< %UserProfile%\Impostazioni locali\Temporary Internet Files >
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.
< %UserProfile%\Impostazioni locali\Temp >
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temp scheduled to be moved on reboot.
File/Folder C:\DOCUMENTS AND SETTINGS\DAZAN26\DATI APPLICAZIONI\M\FLEC006.EXE not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07262008_181056

Files moved on Reboot...
File C:\Documents and Settings\dazan26\Dati applicazioni\m not found!
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files\Content.IE5 scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\dazan26\Impostazioni locali\Temporary Internet Files scheduled to be moved on reboot.
C:\Documents and Settings\dazan26\Impostazioni locali\Temp moved successfully.



elibagla


Nº Total de Directorios: 3452
Nº Total de Ficheros: 49940
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jul 26 18:13:24 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"

Sat Jul 26 18:13:26 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3451
Nº Total de Ficheros: 49943
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jul 26 18:16:30 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Jul 26 18:16:31 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3450
Nº Total de Ficheros: 49940
Nº de Ficheros Analizados: 8641
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Chill-Out
26-07-2008, 17:23
I log devono essere allegati secondo le regole indicate in Guida, grazie per la collaborazione.

dazan
26-07-2008, 19:27
sembra che abbia risolto.. speriamo bene.. sapete consigliarmi qualche buon programma per evitare che capiti nuovamente?

wjmat
26-07-2008, 19:30
sembra che abbia risolto.. speriamo bene.. sapete consigliarmi qualche buon programma per evitare che capiti nuovamente?
io senza vedere log non ti do il bollino "clean" ma se ti sembra di essere a posto
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

turbo5
27-07-2008, 17:41
ragazzi, ho disinfettato il computer da questo virus da un bel po', ma mi sono accorto solo ora di una cosa, non riesco più a visualizzare i file nascosti...
come devo fare?
GRAZIE

Angelus88
27-07-2008, 21:17
Scarica questo file (http://fileup.itadib.com/download.php?id=RUhgL38PUZaRLQOIwL3w) di registro e poi fai doppio clic per aprirlo e aggiungerlo.

SharksXP
27-07-2008, 22:35
Grazie alla guida sono riuscito a eliminare il virus ma ora non riesco più a modificare l'opzione account utente.

Come posso fare?

wjmat
27-07-2008, 22:43
Grazie alla guida sono riuscito a eliminare il virus ma ora non riesco più a modificare l'opzione account utente.

Come posso fare?
ciao
senza log non possiamo sapere come sei messo...

Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto.

SharksXP
27-07-2008, 23:11
ciao
senza log non possiamo sapere come sei messo...

Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto.
Eccolo :cry:
http://www.mediafire.com/?oqw40zd1dyg

wjmat
27-07-2008, 23:23
Eccolo :cry:
http://www.mediafire.com/?oqw40zd1dyg
hai due antivirus... togli avast e tieni antivir
di antispyware io terrei superantispyware, quindi io farei fuori il mattone di spyware doctor

vorremmo vedere anche gli altri log, quello di f-secure o kasp. ce l'hai?
assicuriamoci di essere a posto anche con gli spyware
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

SharksXP
27-07-2008, 23:39
hai due antivirus... togli avast e tieni antivir
di antispyware io terrei superantispyware, quindi io farei fuori il mattone di spyware doctor

vorremmo vedere anche gli altri log, quello di f-secure o kasp. ce l'hai?
assicuriamoci di essere a posto anche con gli spyware
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Avast l'ho già disistallato cmq avevo già fatto una scansione con superantyspyware ma non aveva trovato niente ora riprovo con la configurazione che mi hai dato e domani posto il log.

f-secure o kasp non cè l'ho:muro:

SharksXP
28-07-2008, 08:45
Superantispyware non ha trovato niente ;)
Kasp non riesco a farlo funzionare :muro:

Angelus88
28-07-2008, 08:52
Per caso hai Windows Vista? Perché con Vista crea problemi.
Se hai XP e non ti funziona, puoi usare F-Secure Scan OnLine seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1751772).

SharksXP
28-07-2008, 09:39
Ho vista :muro:
Non mi fa installare neanche i controlli activex per F-secure ho provato in tutti i modi impostando la protezione bassa e mettendolo come sito consentito.

Adrianz
28-07-2008, 12:01
Probabilmente è infetta... invece di farci doppio clic, cliccaci con il destro e dimmi qual'è il comando scritto in grassetto


Ciao!

dopo aver disinstallato AVG sono riuscito ad esplorare la penna!

Allora ho fatto un nuovo giro con elibagla, poi con beagled, poi ancora con elibagla (non da modalità provvisoria, perchè non riuscivo a farla partire)

Cmq sembra sia andato bene anche il secondo giro di elibagla, tant'è che poi ho completato TUTTA la guida!

Vi allego i link a tutti i rapporti:

Infosat.txt:
http://www.mediafire.com/?etx29ydmhpq

Beagled.txt:
http://www.mediafire.com/?cldsuvch1mg

Avenger.txt:
http://www.mediafire.com/?oxm1nujib9y

Kaspersky.txt:
http://www.mediafire.com/?ndlmbnaoyad

Sembra tutto ok! Adesso la modalità provvisoria va, vedo i file nascosti, la cpu viaggia normalmente, ho reinstallato il firewall e funziona!

Stasera re-installerò l'Avira Antivir e poi vi faccio sapere se l'explorer funziona bene!

:D :D :D

xcdegasp
28-07-2008, 12:45
per impostare correttamente avira segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

:)

wjmat
28-07-2008, 12:46
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Adrianz
28-07-2008, 13:23
per impostare correttamente avira segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

:)

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Ok thanks!

CCleaner sembra un bel programmino...me lo tengo?
Dico una c.....a se dico che sembra faccia lo stesso lavoro, ma meglio, di Ad-Aware personal free? Se è così tolgo Ad-Aware e lascio CCleaner....

Adrianz

wjmat
28-07-2008, 13:33
Ok thanks!

CCleaner sembra un bel programmino...me lo tengo?
Dico una c.....a se dico che sembra faccia lo stesso lavoro, ma meglio, di Ad-Aware personal free? Se è così tolgo Ad-Aware e lascio CCleaner....

Adrianz
ccleaner cancella files inutili come atf cleaner, ad-aware era un buon antispyware, ora meglio sostituirlo con a-squared o superantispyware

Angelus88
28-07-2008, 13:34
CCleaner è un programma di pulizia file e registro. Non file infetti.
Comunque si, tienilo

marina1983
29-07-2008, 10:28
ciao
penso di avere un virus bagle. Non riesco ad aprire l'antivirus e non mi funziona più l'audio.
Ho provo a seguire la guida ed elibagle dice che ha trovato toscdspd.exe baglema, il prg lo elimina ma poi non riesco ad avviare avenger.
come posso fare?

wjmat
29-07-2008, 17:54
ciao
penso di avere un virus bagle. Non riesco ad aprire l'antivirus e non mi funziona più l'audio.
Ho provo a seguire la guida ed elibagle dice che ha trovato toscdspd.exe baglema, il prg lo elimina ma poi non riesco ad avviare avenger.
come posso fare?
ciao comincia a caricare il log di elibagla secondo le modalità

SuiCiDaL_MaNiAc
30-07-2008, 12:10
salve a tutti e intanto grazie.
non sono tipo da chiedere senza aver letto prima il thread ma 225 pagine era impossibile.
posto il log di elibagla, avenger da' errore (non trova il file cleanup.dat)
kaspersky non funge ma scansionando avg ha trovato un bagle.
posso andare avanti con le operazioni anche se avenger? scusatemi la domanda da idiota ma su questa macchina ho roba alquanto delicata e non vorrei fare di testa mia facendo il passo più lungo della gamba.
grazie ancora.
Fabio

wjmat
30-07-2008, 12:38
salve a tutti e intanto grazie.
non sono tipo da chiedere senza aver letto prima il thread ma 225 pagine era impossibile.
posto il log di elibagla, avenger da' errore (non trova il file cleanup.dat)
kaspersky non funge ma scansionando avg ha trovato un bagle.
posso andare avanti con le operazioni anche se avenger? scusatemi la domanda da idiota ma su questa macchina ho roba alquanto delicata e non vorrei fare di testa mia facendo il passo più lungo della gamba.
grazie ancora.
Fabio
Scarica questo tool sul Desktop
http://download.bleepingcomputer.com/sUBs/Beagled.exe

Lancia Beagled.exe -> segui le indicazioni -> al termine carica il log che trovi in C:\Bagled.txt

Scarica OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Lancialo -> Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto nella finestra "Paste List of Files/Folders to be moved"


%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp


clicca su MoveIT
al successivo riavvio carica il log che trovi in C:\_OTMoveIt\MovedFiles

Angelus88
30-07-2008, 13:30
Forse sarebbe il caso di aggiornare la guida.
Come sapete la nuova versione di Bagle rende inutile Elibagla e Avenger.
Io consiglio quindi di sostituire i due tool con questi che fate usare con la nuova versione che ovviamente funzionano anche con la vecchio versione di Bagle ossia Beagled e OTMoveIt2

wjmat
30-07-2008, 14:14
Forse sarebbe il caso di aggiornare la guida.
Come sapete la nuova versione di Bagle rende inutile Elibagla e Avenger.
Io consiglio quindi di sostituire i due tool con questi che fate usare con la nuova versione che ovviamente funzionano anche con la vecchio versione di Bagle ossia Beagled e OTMoveIt2
elibagla lo eliminesti del tutto o lo sposteresti dopo bagled e ot?

Angelus88
30-07-2008, 14:24
Magari invece di eliminarlo lo sposterei dopo Beagled e OT dato che questi ultimi dovrebbero già rilevare ed eliminare bagle. Elibagla si potrebbe usare così, solo come controllo.

SuiCiDaL_MaNiAc
30-07-2008, 14:49
beagled non sembra aver funzionato, all'avvio è ripartito elibagla ma non gli ho permesso di scansionare
ecco il log:

Bagle_Remover.exe
Date: 30/07/2008
Time: 15.32.42,21


il log di OTmoveIT è in allegato

wjmat
30-07-2008, 14:58
beagled non sembra aver funzionato, all'avvio è ripartito elibagla ma non gli ho permesso di scansionare
ecco il log:


il log di OTmoveIT è in allegato
beagled nei log non segnala nulla, è per questo che dici che non ha funzionato?
fai un giro di verifica con elibagla su c: e carica il log
poi procedi con f-secure o kasp

SuiCiDaL_MaNiAc
30-07-2008, 15:40
beagled nei log non segnala nulla, è per questo che dici che non ha funzionato?
si, anvedomi richiesto di postarlo pensavo di trovarci qualcosa ma evidentemente solo la creazione del log è sintomatica del suo corretto funzionamento.

inanto ho riavviato per rendere attivi i cambiamenti apportati da ONmoveIT e lanciato ELIbanglabaona, di cui allego log; ancora non ci siamo..peraltro stavolta è partito direttamente senza avviare e poi partire come aveva fatto la prima volta

prima di lanciare un virus scan, avg è valido lo stesso o è opportuno sostituirlo con quelli consigliati da te? entrambi fino a poco fa non me li faceva installare. poco fa ha rilevato minacce negli exe di moveIT. ora vado nella cartella e mi accordo che l'ha riempita dei suoi maledetti exe, che peraltro ELIbangladesh non sembra trovare (saprai meglio dirmi tu con il log)

wjmat
30-07-2008, 15:54
avg lo rimpiazzerai alla fine
fai un giro con elibagla in mod. provv.

SuiCiDaL_MaNiAc
30-07-2008, 15:58
provvedo subito.
mi sono appena accorto che la cartelle di ot sono ora infestate di maledetti exe di bagle

wjmat
30-07-2008, 16:09
provvedo subito.
mi sono appena accorto che la cartelle di ot sono ora infestate di maledetti exe di bagle
sono i file che ha rimosso, solo li come backup ;)