adesso il pc rimane accesso avira ha trovato beagle e trojan e adesso gli ha eliminati giusto??
pero il pc ha ancora problemi faccio lostesso la procedura con il cd di windows??
grazie dell'aiuto

adesso il pc rimane accesso avira ha trovato beagle e trojan e adesso gli ha eliminati giusto??
pero il pc ha ancora problemi faccio lostesso la procedura con il cd di windows??
grazie dell'aiuto
se hai seguito la guida li ha eliminati...
si fai anche il chkdsk
se il pc parte fai così
start -> esegui -> digita cmd (invio)
nella finestra dos digita
chkdsk x: /f/r
dove x è l'indirizzo della partizione su cui gira win
Ti chiederà di forzare lo smontaggio del disco in quanto è in uso da win, premi S
Riavvia il pc e lasciagli fare il controllo del disco

intendi C:
va bene??

intendi C:
va bene??
se win è su c: si

chill da quello che vedo sto cd serve ben poco in questi casi disperati.....

asartori se non risolvi col cd di avira, passiamo al metodo classico...

procurati il cd di windows
accendi il pc e dal bios assicurati che il boot parta dal cd (qui (http://www.hiren.info/pages/bios-boot-cdrom) e qui (http://www.megalab.it/articoli.php?id=944&pagina=4) alcuni esempi per farlo)
riavvia con il cd di win inserito
premi un tasto quando richiesto per avviare da cd
attendi il caricamento dei file necessari
arrivato al menù installazione premi R per avviare la console di ripristino
se hai più sistemi operativi installati, seleziona quello su cui intervenire (solitamente bisogna premere 1 (invio) per accedere a 1: C:\WINDOWS)
inserisci la passwword di administratore quando richiesta, se non impostata premi solamente INVIO
ora potrai inserire i comandi come in dos


digita il comando:
chkdsk /p/r
attendi il controllo/riparazione dei settori del disco
al termine digita Exit (invio), togli il cd e vediamo come va il seguente riavvio

non direi ;)

combofix non l'ho mai usato
dici che in modalità provvisoria funziona?

Dimmi se in precedenza avevi usato Avenger

non direi ;)
stavolta ti è andata "parzialmente" bene.... ;)
il log lo fa ancora ma solo in presenza di floppy?

stavolta ti è andata "parzialmente" bene.... ;)
il log lo fa ancora ma solo in presenza di floppy?

affermazione tendenziosa :mbe:

Dimmi se in precedenza avevi usato Avenger
no, mai

in modalità provvisoria non mi ci entra

no, mai

in modalità provvisoria non mi ci entra


fai pulizia con ATFCleaner
[info] (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
e scansione completa con Kaspersky removal tool
[info] (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

i file mi si ricreano... uffa!

scusate un attimo.. ma il ripristino conf di sistema deve essere disattivato per tutto il processo o solo per la prima fase?
perchè ogni volta che riavvio si riattiva automaticamente

ora il pc comincia anche a riavviarsi da solo:doh:

i file mi si ricreano... uffa!

scusate un attimo.. ma il ripristino conf di sistema deve essere disattivato per tutto il processo o solo per la prima fase?
perchè ogni volta che riavvio si riattiva automaticamente

ora il pc comincia anche a riavviarsi da solo:doh:

Tombola il Ripristino deve rimanere disattivato sempre ed in ogni caso

http://www.hwupgrade.it/forum/showthread.php?t=1689812 opzione 2 per disinfettare, ovviamente il CD lo devi creare da un Pc funzionante

e vediamo se va grassa anche stavolta :asd:

e vediamo se va grassa anche stavolta :asd:
non è sempre mercoledì.... :D

non è sempre mercoledì.... :D

fino a prova contraria oggi lo è :ciapet:

fino a prova contraria oggi lo è :ciapet:
causa esperimenti dietro casa.... sono preventivamente/virtualmente/sandboxato in australia...
qui è giovedi 11 :D

causa esperimenti dietro casa.... sono preventivamente/virtualmente/sandboxato in australia...
qui è giovedi 11 :D

ho capito stai poco bene :p

niente.. ora mi si riavvia da solo dopo 5 min che è acceso..
lo porterò da qualcuno che ne capisce più di me...
grazie cmq

niente.. ora mi si riavvia da solo dopo 5 min che è acceso..
lo porterò da qualcuno che ne capisce più di me...
grazie cmq
e poi cosa fa? formatta come farebbe l'italiano medio;)

hai provato col cd di avira come ti ha detto chill?

non direi ;)

ho appena finito adesso il controllo mi ha detto integro e di tipo ntfs
adesso come procedo??
grazie dell'aiuto

ho appena finito adesso il controllo mi ha detto integro e di tipo ntfs
adesso come procedo??
grazie dell'aiuto

Mi confermi che il Pc si è stabilizzato, niente loop

Mi confermi che il Pc si è stabilizzato, niente loop

loop?? puoi spiegarti meglio scusa della mia ignoranza.
adesso non sembra del tutto apposto pero in internet ci va senza problemi e all'avvio che ci mette tanto ho gia provato a vedere i programmi all'avvio ma non so cosa fare.
fammi sapere
molte grazie
e poi un ultima cosa io come antivirus ho avira free pero non mi compare la sua icona con l'ombrellino rosso sulla barra in basso a destra e non capisco perche e come se fosse spento.

loop?? puoi spiegarti meglio scusa della mia ignoranza.
adesso non sembra del tutto apposto pero in internet ci va senza problemi e all'avvio che ci mette tanto ho gia provato a vedere i programmi all'avvio ma non so cosa fare.
fammi sapere
molte grazie
e poi un ultima cosa io come antivirus ho avira free pero non mi compare la sua icona con l'ombrellino rosso sulla barra in basso a destra e non capisco perche e come se fosse spento.

Nel senso che non si riavvia in continuazione, adesso segui la Guida per la rimozione del Bagle dal Punto 1 in poi ed allega i log per il controllo, ti suggersico di scaricare tutti i tool disconnetterti da internet ed iniziare il lavoro. Avira non funzione perchè sei ancora infetto.

si si non si riavvia piu. pero norton antibot va perche??

si si non si riavvia piu. pero norton antibot va perche??

Evidentemente bagle non lo considera :D

Segui la Guida

ecco qua ho finito la guida.
log di bagled http://www.fileqube.com/shared/TSrwkL100180
log di elibagla http://www.fileqube.com/shared/yqKhXWrqC100181
log di malwarebytes http://www.fileqube.com/shared/OizFfP100182
adesso faccio il trattamento post disinfestazione

ecco qua ho finito la guida.
log di bagled http://www.fileqube.com/shared/TSrwkL100180
log di elibagla http://www.fileqube.com/shared/yqKhXWrqC100181
log di malwarebytes http://www.fileqube.com/shared/OizFfP100182
adesso faccio il trattamento post disinfestazione

Hai provveduto a reinstallare Avira Antivir

si adesso compare l'icona in basso a destra sulla barra di windows

si adesso compare l'icona in basso a destra sulla barra di windows

Se non riscontri altri problemi puoi passare alla Guida post infezione

Mi sono accorto tramite lo scanner di nod32 di aver preso questo virus, ho seguito tutta la procedura in prima pagina e penso di averlo rimosso, adesso vi posto i file di log creati:
InfoSat.txt (http://wikisend.com/download/554878/InfoSat.txt)
mbam-log-2008-09-12 (10-56-55).txt (http://wikisend.com/download/561034/mbam-log-2008-09-12 (10-56-55).txt)
Ho però un dubbio: ho letto che avrebbe dovuto disattivare i programmi di sicurezza, io ho nod32 e windows defender (il fw di vista è disattivato perchè uso un fw hw del router), eppure questi 2 programmi hanno sempre continuato a funzionare, a cosa è dovuto?
Inoltre io ho vista a 64bit, non è che per questa versione devo andare a controllare anche altri file?
Grazie.

Mi sono accorto tramite lo scanner di nod32 di aver preso questo virus, ho seguito tutta la procedura in prima pagina e penso di averlo rimosso, adesso vi posto i file di log creati:
InfoSat.txt (http://wikisend.com/download/554878/InfoSat.txt)
mbam-log-2008-09-12 (10-56-55).txt (http://wikisend.com/download/561034/mbam-log-2008-09-12 (10-56-55).txt)
Ho però un dubbio: ho letto che avrebbe dovuto disattivare i programmi di sicurezza, io ho nod32 e windows defender (il fw di vista è disattivato perchè uso un fw hw del router), eppure questi 2 programmi hanno sempre continuato a funzionare, a cosa è dovuto?
Inoltre io ho vista a 64bit, non è che per questa versione devo andare a controllare anche altri file?
Grazie.

rifai scansione completa con mbam, non rapida
anche un altro giro con elibagla da provvisoria

ecco i log:
infosat: http://www.fileqube.com/shared/VBcLwHQsJ101755
mbam:http://www.fileqube.com/shared/DwzESnc101756
con beagled ho sbagliato perchè l'ho fatto partire 2 volte cancellandomi il primo log....comunque dopo che ho fatto partire beagled mi ha fatto riavviare il sistema
e dopo il riavvio mi sono spuntati gli aggiornamenti di windows, il firewalle spybot quindi credo abbia fatto il suo lavoro.

ecco i log:
infosat: http://www.fileqube.com/shared/VBcLwHQsJ101755
mbam:http://www.fileqube.com/shared/DwzESnc101756
con beagled ho sbagliato perchè l'ho fatto partire 2 volte cancellandomi il primo log....comunque dopo che ho fatto partire beagled mi ha fatto riavviare il sistema
e dopo il riavvio mi sono spuntati gli aggiornamenti di windows, il firewalle spybot quindi credo abbia fatto il suo lavoro.

Estratto dal log di MBAM si evince che non hai intrapreso azioni No action taken

Cartelle infette:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

cerca il file di log da allegare per il controlo si trova nel Tab File di log, nella peggiore delle ipotesi dovrai rifare la scansione

Estratto dal log di MBAM si evince che non hai intrapreso azioni No action taken



cerca il file di log da allegare per il controlo si trova nel Tab File di log, nella peggiore delle ipotesi dovrai rifare la scansione

su mbam andando su log non sono presenti file....devo rifare la scansione?

su mbam andando su log non sono presenti file....devo rifare la scansione?

Proviamo così ed allega l'ultimo log con la speranza che ci sia

Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

Proviamo così ed allega l'ultimo log con la speranza che ci sia

Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

niente da fare :(

niente da fare :(

Ripeti la scansione al termine della quale premurati di selezionare tutti i malware trovati e cliccare su Rimuovi elementi selezionati

Allega il log per il controllo

Ripeti la scansione al termine della quale premurati di selezionare tutti i malware trovati e cliccare su Rimuovi elementi selezionati

Allega il log per il controllo

ok...

ok...

ma questo thread? http://www.hwupgrade.it/forum/showthread.php?t=1818640
:confused:

ecco il nuovo log: http://www.fileqube.com/shared/SRYzpi101870

ma questo thread? http://www.hwupgrade.it/forum/showthread.php?t=1818640
:confused:

cosa questo thread??:confused:

cosa questo thread??:confused:

Ripeti la scansione con EliBagla ed allega il log

Ripeti la scansione con EliBagla ed allega il log

ecco il log

ecco il log

Dire che siamo sulla strada giusta, che AV usavi prima dell'infezione?

Dire che siamo sulla strada giusta, che AV usavi prima dell'infezione?

avast

avast

Bene leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 al Punto 5 ed installa l'ottimo Antivir Free configuralo come da Guida, aggiornalo e fai uno scan completo.

Bene leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 al Punto 5 ed installa l'ottimo Antivir Free configuralo come da Guida, aggiornalo e fai uno scan completo.

fatto..ecco il log:

fatto..ecco il log:

Bene porta a termine la guida dal Punto 5 in poi ed eventualmente il Punto 6 se riscontri le problematiche inerenti

Un attimo di attenzione....vi prego aiutatemi.

A causa di tale virus ho provato la soluzione più corta....visto che dovevo cambiare l'HD ho formattato.

Metti il nuovo HD, installo tutto e dopo 5 giorni, facendo un giro di AD-AWARE, mi rileva di nuovo il virus.

Io sono disposto anche di nuovo a formattare, c'è un programma che mi fa da sentinella a questo virus cosi stronzo?????

http://img222.imageshack.us/img222/1334/immaginefc5.jpg (http://imageshack.us)
http://img222.imageshack.us/img222/immaginefc5.jpg/1/w994.png (http://g.imageshack.us/img222/immaginefc5.jpg/1/)

per caricare le immagini ho le modalità in firma... thank you

hai in giro ancora i crack/sorgenti della vecchia infezione, oppure hai un immagine di win scaricata infetta, secondo me

Sono più propenso per la prima ossia:

hai in giro ancora i crack/sorgenti della vecchia infezione

Che antivirus usi?

Mi sembra che AD-Aware abbia rilevato solo le chiavi di registro

con una sovrainstallazione può essere che rimangano tracce nel registro, penso...
ma dopo una formattazione mi sembra strano....

Mi sembra che AD-Aware abbia rilevato solo le chiavi di registro

Magari i file ci sono ma Ad-Aware non li riesce a rilevare...
Dopo una formattazione è impossibile che ci siano solo le chiavi di registro.
Di sicuro è infetto quindi e non solo dalle chiavi.
D'altronde, Ad-Aware non è che sia un buon antispyware

Magari i file ci sono ma Ad-Aware non li riesce a rilevare...
Dopo una formattazione è impossibile che ci siano solo le chiavi di registro.
Di sicuro è infetto quindi e non solo dalle chiavi.
D'altronde, Ad-Aware non è che sia un buon antispyware

può essere, ma nel caso in cui così fosse l'utente riscontrerebbe tutti gli altri problemi legati al Bagle, rimaniamo in attesa che l'utente ci fornisca altre info.

Ecco infatti :D

Salve ragazzi, credo di essere nei casini. Ho preso anche io il bagle prima wintems.exe che ho scovato su task manager, poi ho cercato di seguire la vostra procedura ma non posso più di tanto visto che ha bloccato la connessione ad internet e ha pure bloccato alcuni programmi. Inutile dirvi che l'antivirus non mi funziona. Ho VIsta con service pack 1. Come posso fare. Vi prego aiutatemi. Grazie tante. Allego il file di elibagla, mi dice che molte cartelle sono inaccessibili. Mi dice pure che alcune cartelle hanno accesso negato, poi mi ha pure detto di averlo trovato ma le cose non cambiano.
Avevo provato anche con avenger e combofix (presi da altri forum) ma non me li fa aprire per niente (è applicazione di win 32 non valida). Attendo notizie

Salve ragazzi, credo di essere nei casini. Ho preso anche io il bagle prima wintems.exe che ho scovato su task manager, poi ho cercato di seguire la vostra procedura ma non posso più di tanto visto che ha bloccato la connessione ad internet e ha pure bloccato alcuni programmi. Inutile dirvi che l'antivirus non mi funziona. Ho VIsta con service pack 1. Come posso fare. Vi prego aiutatemi. Grazie tante. Allego il file di elibagla, mi dice che molte cartelle sono inaccessibili. Mi dice pure che alcune cartelle hanno accesso negato, poi mi ha pure detto di averlo trovato ma le cose non cambiano.
Avevo provato anche con avenger e combofix (presi da altri forum) ma non me li fa aprire per niente (è applicazione di win 32 non valida). Attendo notizie
fai una altro giro con elibagla da provvisoria se riesci poi procedi con Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

fai una altro giro con elibagla da provvisoria se riesci poi procedi con Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

Procedo ugualmente anche se non posso aggiornarlo visto che mi ha bloccato la connessione wi-fi (il servizio wireless di windows non è in esecuzione nel computer) ed è impossibile attivarlo??

Procedo ugualmente anche se non posso aggiornarlo visto che mi ha bloccato la connessione wi-fi (il servizio wireless di windows non è in esecuzione nel computer) ed è impossibile attivarlo??
puoi aggiornalo..... basta saper leggere... ;)

puoi aggiornalo..... basta saper leggere... ;)
Come faccio ad aggiornarlo da internet visto che il bagle mi ha bloccato gran parte dei servizi (internet, centro sicurezza pc ecc.)? Grazie ancora per l'aiuto.

Come faccio ad aggiornarlo da internet visto che il bagle mi ha bloccato gran parte dei servizi (internet, centro sicurezza pc ecc.)? Grazie ancora per l'aiuto.
stiamol parlando di malwarebytes no?
hai letto sotto portabilità?

Come faccio ad aggiornarlo da internet visto che il bagle mi ha bloccato gran parte dei servizi (internet, centro sicurezza pc ecc.)? Grazie ancora per l'aiuto.

Scusa ma da quale PC stai scrivendo?

Scusa ma da quale PC stai scrivendo?
Il computer infetto un notebook mentre io scrivo da quello fisso. ;-)

Per wjmat: avevi ragione. Ma sai....ormai non capisco più nulla. E' da stamattina che le provo tutte. Adesso non mi parte nemmeno in provvisorio (ora è partito!!!). Grazie ancora

Il computer infetto un notebook mentre io scrivo da quello fisso. ;-)

Per wjmat: avevi ragione. Ma sai....ormai non capisco più nulla. E' da stamattina che le provo tutte. Adesso non mi parte nemmeno in provvisorio. Faccio ugualmente la scansione in modalità normale? Grazie

Bene utilizza il Pc sano per scaricare MBAM e ralativi aggiornamenti da passare sul Pc malato con un supporto removibile USB o CD

PS: il secondo giro di EliBagla lo facciamo dopo MBAM

Bene utilizza il Pc sano per scaricare MBAM e ralativi aggiornamenti da passare sul Pc malato con un supporto removibile USB o CD
dove lo trovo? Avete già un link oppure cerco? Questo devo farlo partire dopo malwarebytes?

dove lo trovo? Avete già un link oppure cerco? Questo devo farlo partire dopo malwarebytes?

MBAM è l'acronimo di malwarebytes, quindi sono la stessa cosa :)

Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

ditemi un'altra cosa nel frattempo: siccome il bagle mi ha bloccato molti servizi che non partono più in automatico (centro sicurezza pc,internet,ecc), alcuni riesco a farli partire ma al riavvio ritorna come prima, c'è un modo per farli ripartire? Come faccio a capire quali fare partire in automatico, quali lasciare in manuale e quali non attivare per niente?
Volevo dirvi inoltre che avevo provveduto a cancellare manualmente la cartella downld con tre eseguibili dentro (ho letto in giro che fanno parte del virus), in precedenza avevo anche cancellato manualmente il file wintems.exe tramite Unlocker.
stay tuned

ditemi un'altra cosa nel frattempo: siccome il bagle mi ha bloccato molti servizi che non partono più in automatico (centro sicurezza pc,internet,ecc), alcuni riesco a farli partire ma al riavvio ritorna come prima, c'è un modo per farli ripartire? Come faccio a capire quali fare partire in automatico, quali lasciare in manuale e quali non attivare per niente?
Volevo dirvi inoltre che avevo provveduto a cancellare manualmente la cartella downld con tre eseguibili dentro (ho letto in giro che fanno parte del virus), in precedenza avevo anche cancellato manualmente il file wintems.exe tramite Unlocker.
stay tuned

Il discorso dei servizi terminati etc......lo sistemiamo successivamente, ti suggerisco inoltre di seguire la Guida e non fare altro, si rischia di complicare ulteriormente la situazione.

ditemi un'altra cosa nel frattempo: siccome il bagle mi ha bloccato molti servizi che non partono più in automatico (centro sicurezza pc,internet,ecc), alcuni riesco a farli partire ma al riavvio ritorna come prima, c'è un modo per farli ripartire? Come faccio a capire quali fare partire in automatico, quali lasciare in manuale e quali non attivare per niente?
Volevo dirvi inoltre che avevo provveduto a cancellare manualmente la cartella downld con tre eseguibili dentro (ho letto in giro che fanno parte del virus), in precedenza avevo anche cancellato manualmente il file wintems.exe tramite Unlocker.
stay tuned
sono tutte cose che sarebbero state eliminate con mbam
per i servizi c'è un link apposta a fine guida ma ci arriviamo dopo

Ulteriore informazione: all'avvio mi spunta una schermata di windows defender "impossibile inizializzare l'applicazione 0x800106ba. Il servizio utilizzato dal programma è stato arrestato a causa di un problema. Per avviare il servizio riavviare il computer oppure consultare Guida e supporto tecnico per informazioni su come avviare un servizio manualmente.
Anche questa fa parte del bagle?
Parto con la scansione. Siete dei geniacci ;) ;) ;) ;) ;) ;) ;) ;)

Ulteriore informazione: all'avvio mi spunta una schermata di windows defender "impossibile inizializzare l'applicazione 0x800106ba. Il servizio utilizzato dal programma è stato arrestato a causa di un problema. Per avviare il servizio riavviare il computer oppure consultare Guida e supporto tecnico per informazioni su come avviare un servizio manualmente.
Anche questa fa parte del bagle?
Parto con la scansione. Siete dei geniacci ;) ;) ;) ;) ;) ;) ;) ;)
fa tutto parte di bagle....
scansionaaaaaa!

Allora, scansione completata. Ha trovato due files infetti (1 file ed una cartella) trojan.agent. Che faccio li rimuovo ?

Allego log

Allego log

Estratto dal log di MBAM

Cartelle infette:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.

File infetti:
D:\Emule\Complete\Ahead Nero v8.3.2.1B Incl Keymaker-Embrace\keygen.exe (Trojan.Agent) -> No action taken.

No action taken -> vuol dire che non hai provveduto alla cancellazione dei file infetti

Apri MBAM -> File di log -> ed allega l'ultimo log nell'eventualità non avessi cancellato i file devi rifare la scansione

Ho rimosso i files, in pratica non ho chiuso il programma dopo la scansione fino a quando non avessi ricevuto vostri commenti. Adesso ho rimosso tutto. Come procedo??

allega l'ultimo log Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) che comprende le eliminazioni

Eccolo. Che faccio. Nel frattempo ho riavviato ma la finestra di windows defender è ricomparsa

Eccolo. Che faccio. Nel frattempo ho riavviato ma la finestra di windows defender è ricomparsa
non mi sembra il log giusto...

nella cartella logs ci sono questi due. Riallego il più recente. Perchè non sono questi?

io vedo solo questo
[InternetShortcut]
URL=http://www.0932blog.it/

Hai ragione. ho provato ad aprirlo dal posto e mi risulta la stessa cosa ma se apro il file mi fa leggere tutto. Riprovo ad allegarlo

Hai ragione. ho provato ad aprirlo dal posto e mi risulta la stessa cosa ma se apro il file mi fa leggere tutto. Riprovo ad allegarlo

ora è il log giuusto e compare l'azione eseguita :)

ora è il log giuusto e compare l'azione eseguita :)

Quindi come procedo? La connessione ad internet con wi-fi non mi funziona ancora. Alcuni servizi non mi partono. pare siano ancora bloccati.

Ehi, c'è qualcuno? Ci sei xcdegasp?

Ehi, c'è qualcuno? Ci sei xcdegasp?prosegui con la guida...

prosegui con la guida...

Meglio far girare ancora EliBagla

Ho fatto partire i servizi. Zero configuration senza fili però in Vista non esiste, non lo trovo.

Condivisione connessione Internet mi dice che si è avviato, quindi si è arrestato. Alcuni servizi si arrestano automaticamente se non sono utilizzati da altri servizi o programmi.

Il wi-fi non parte ancora. Come procedo?

Meglio far girare ancora EliBagla

In modalità normale o provvisoria?

la guida per il RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI è valida anche per Vista dato che non esiste tale servizio nell'elenco?
Un'altra cosa. L'antivirus non mi parte ancora. Che faccio?

prosegui con la guida...

In modalità normale o provvisoria?

la guida per il RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI è valida anche per Vista dato che non esiste tale servizio nell'elenco?
Un'altra cosa. L'antivirus non mi parte ancora. Che faccio?

Meglio in provvisoria, per il resto come detto in precedenza vediamo alla fine prima liberiamoci dell'infezione

Meglio in provvisoria, per il resto come detto in precedenza vediamo alla fine prima liberiamoci dell'infezione

Fatto. Allego file di elibagle. Volevo dirvi: è normale che durante la scansione in alcune cartelle mi dice "acceso denegado" come per esempio documents and settings oppure c\program data\application data e tanti altri??

Adesso?

Fatto. Allego file di elibagle. Volevo dirvi: è normale che durante la scansione in alcune cartelle mi dice "acceso denegado" come per esempio documents and settings oppure c\program data\application data e tanti altri??

Adesso?

Bene qual'era il tuo AV prima dell'infezione?

Nod32

Nod32

Devi reinstallarlo da CD o riscaricare l'installer

siccome è quello che ho trovato al momento dell'acquisto dove mi consigli di scaricarlo. Ovviamente una copia che "duri"!!!! A me avevano istallato una copia che non aveva licenza mi pare ma nemmeno scadenza.

siccome è quello che ho trovato al momento dell'acquisto dove mi consigli di scaricarlo. Ovviamente una copia che "duri"!!!! A me avevano istallato una copia che non aveva licenza mi pare ma nemmeno scadenza.

Pensavo avessi regolare licenza, a questo punto disinstallalo completamente ed installa Avira Antivir Free (http://www.hwupgrade.it/forum/showthread.php?t=1514684) configuralo come da Guida, aggiornalo e fai una scansione completa del sistema

siccome è quello che ho trovato al momento dell'acquisto dove mi consigli di scaricarlo. Ovviamente una copia che "duri"!!!! A me avevano istallato una copia che non aveva licenza mi pare ma nemmeno scadenza.
se non hai la licenza, io provvedere a cambiarlo in favore di antivir

Pensavo avessi regolare licenza, a questo punto disinstallalo completamente ed installa Avira Antivir Free (http://www.hwupgrade.it/forum/showthread.php?t=1514684) configuralo come da Guida, aggiornalo e fai una scansione completa del sistema

Ma è meglio di nod32 come antivirus?

Ma è meglio di nod32 come antivirus?

Ormai da mesi Avira a confronto di molti altri tra cui Nod32 è un extraterrestre :D

Mi è appena spuntata questa schermata. Che faccio? Nielsen è un programma che ho installato tempo fa ma non è un virus.

Mi è appena spuntata questa schermata. Che faccio? Nielsen è un programma che ho installato tempo fa ma non è un virus.

Ignore e poi lo metti nella lista delle esclusioni

http://www.hwupgrade.it/forum/showpost.php?p=17960749&postcount=5

aspetta Avira rileva il Bagle

Questo è un virus bello e buono, sbattilo in quarantena

Ignore e poi lo metti nella lista delle esclusioni

http://www.hwupgrade.it/forum/showpost.php?p=17960749&postcount=5

aspetta Avira rileva il Bagle

Questo è un virus bello e buono, sbattilo in quarantena

In sostanza non devo ignorarlo devo metterlo in quarantena. Cmq inserito. Mi conviene disinstallarlo ( o va bene lasciarlo così? Nel frattempo continuo a configurare avira. Grazie ancora

In sostanza non devo ignorarlo devo metterlo in quarantena. Cmq inserito. Mi conviene disinstallarlo ( o va bene lasciarlo così? Nel frattempo continuo a configurare avira. Grazie ancora

In quarantena diretto

In quarantena diretto

Quindi lo lascio installato....

Quindi lo lascio installato....

mettilo in quarantena, scansione completa con Avira come già detto ed allega il report

La schermata di prima mi è rispuntata per il seguente programma C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\googletoolbarnotifier.exe. L'ho messo in quarantena ho fatto bene?

La schermata di prima mi è rispuntata per il seguente programma C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\googletoolbarnotifier.exe. L'ho messo in quarantena ho fatto bene?
tutto in quarantena, poi eventualmente si ripristina da li
antivir l'hai configurato correttamente da guida?
almeno eviti anche che ti esca l'avviso ad ogni file...

La schermata di prima mi è rispuntata per il seguente programma C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\googletoolbarnotifier.exe. L'ho messo in quarantena ho fatto bene?

anche googletoolbarnotifier.exe è il Bagle tutto in quarantena al termine allega il report, su forza e coraggio :)

anche googletoolbarnotifier.exe è il Bagle tutto in quarantena al termine allega il report, su forza e coraggio :)

Sta scansionando. Intanto vi informo che ha trovato qualcosa. Attendiamo la fine. Nel frattempo ditemi una cosa. Come faccio a togliere l'autorizzazione dell'utente che mi spunta quasi ogni volta che apro o installo un programma.Ho provato a disattivarlo dal pannello di controllo ma mi spunta sempre.

Sta scansionando. Intanto vi informo che ha trovato qualcosa. Attendiamo la fine. Nel frattempo ditemi una cosa. Come faccio a togliere l'autorizzazione dell'utente che mi spunta quasi ogni volta che apro o installo un programma.Ho provato a disattivarlo dal pannello di controllo ma mi spunta sempre.

Intendo che tu stia parlando di UAC se si tienilo abilitato ;)

Altra schermata, anzi due uguali. Che faccio in questo caso?

Intendo che tu stia parlando di UAC se si tienilo abilitato ;)
Controllo account utente. E' questo? Ma non conviene toglierlo? Io l'ho tenuto sempre disattivato. Consigli di tenerlo attivato?

Controllo account utente. E' questo? Ma non conviene toglierlo? Io l'ho tenuto sempre disattivato. Consigli di tenerlo attivato?

assolutamente attivato con account senza previlegi di admin

assolutamente attivato con account senza previlegi di admin

Cioè?? Io sono con account da admim protetto da pwd!

Scansione completata.Il report supera il limite consentito come allegato.

Scansione completata.Il report supera il limite consentito come allegato.

nelle regole di sezione sono indicati tutti i sistemi ritenuti idonei per pubblicare i log, ovviamente leggi bene quale usare e in che modo :)
le regole di sezione sono anche linkate nella mia firma :)

Eccolo AVSCAN-20080917-120738-30E84DA4.txt (http://wikisend.com/download/584562/AVSCAN-20080917-120738-30E84DA4.txt)

Attendo direttive

Eccolo AVSCAN-20080917-120738-30E84DA4.txt (http://wikisend.com/download/584562/AVSCAN-20080917-120738-30E84DA4.txt)

Attendo direttive
antivir non mi sembra configurato come da guida o sbaglio?
intanto procedi con i punti restanti

Si, ho seguito la guida. Cosa ti sembra non configurato? fammi sapere che controllo.

Si, ho seguito la guida. Cosa ti sembra non configurato? fammi sapere che controllo.
l'euristica mi sembra alta

l'euristica mi sembra alta

Nella guida c'è scritto "Lasciamo attivo di default il controllo delle Macrovirus(1)e permettiamo al programma di sfruttare uno dei suoi punti di forza,l'euristica,selezionando "High Detection Level"(2)avremo si un minimo aumento delle risorse occupate in scansione di avira,una probabilità maggiore che il programma generi falsi positivi,ma saremo più protetti dagli 0-days,file maligni ancora non riconosciuti dalle definizioni della casa."


Procedo con il trattamento post infezione o dimentico qualcosa?

se ccleaner e servizi sono a posto si

Allora Zero configuration senza fili non lo trovo nei servizi (ho Vista)
Il servizio configurazione automatica wlan si deve attivare? Se si non me lo fa attivare, è messo in auto ma se lo avvio mi dice "avvio del gruppo o del servizio di dipendenza non riuscito"

Il RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI con la modifica del registro è valida anche per Vista?

Mi raccomando il ripristino configurazione sistema non disattiviamolo mai, così passiamo giorni e giorni nel tentativo di disinfettare un Pc, un'altra cosa, non vedo i files precedentemente indicati googletoolbarnotifier.exe etc. dove sono finiti?

Mi raccomando il ripristino configurazione sistema non disattiviamolo mai, così passiamo giorni e giorni nel tentativo di disinfettare un Pc, un'altra cosa, non vedo i files precedentemente indicati googletoolbarnotifier.exe etc. dove sono finiti?

Non saprei io li vedo in quarantena. Come posso fare per farteli vedere? Procedo subito con l'attivazione del ripristino del sistema! Nel frattempo sto aggiornando tutti i programmi che secunia mi ha segnalato.Come procedo con i servizi di cui ti ho parlato nel precedente post? Il wi fi ancora non funge.

Non saprei io li vedo in quarantena. Come posso fare per farteli vedere? Procedo subito con l'attivazione del ripristino del sistema! Nel frattempo sto aggiornando tutti i programmi che secunia mi ha segnalato.Come procedo con i servizi di cui ti ho parlato nel precedente post? Il wi fi ancora non funge.
non puoi attivarlo... è già attivato e contiene molte schifezze... andava disattivato in partenza...

No no, era disattivato te lo assicuro. Quello che ho notato invece è che il punto di ripristino anche se disattivato mi rimane, nel senso che non cancella i punti precedenti. Ti ricordo che ho Win VISTA.
Come procedo allora?

No no, era disattivato te lo assicuro. Quello che ho notato invece è che il punto di ripristino anche se disattivato mi rimane, nel senso che non cancella i punti precedenti. Ti ricordo che ho Win VISTA.
Come procedo allora?

Windows Vista

* Start
* Pannello di controllo
* seleziona Sistema e manutenzione
* seleziona l’icona Sistema
* nel menu a sinistra clicca su Protezione sistema
* togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
* Confermare come da richiesta

lo sò che hai Vista :D

dal log
C:\123\nircmd.com
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.71
C:\Program Files\KONAMI\Pro Evolution Soccer 2008\settings.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\hldrrr.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\downld\239196.exe
C:\Users\Salvatore\AppData\Roaming\Thunderbird\Profiles\f2xdra9k.default\Mail\Local Folders\Inbox
C:\Windows\System32\drivers\sptd.sys


c'è anche thurderbird da pulire...
disattiva momentaneamente il realtime di antivir
lancia thunderbird
cancella tutte le mail relative a bancoposta, banca intesa, paypal
File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato
Riattiva il realtime di antivir

Windows Vista

* Start
* Pannello di controllo
* seleziona Sistema e manutenzione
* seleziona l’icona Sistema
* nel menu a sinistra clicca su Protezione sistema
* togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
* Confermare come da richiesta

lo sò che hai Vista :D

Ed è quello che ho fatto.

dal log
C:\123\nircmd.com
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.71
C:\Program Files\KONAMI\Pro Evolution Soccer 2008\settings.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\hldrrr.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\downld\239196.exe
C:\Users\Salvatore\AppData\Roaming\Thunderbird\Profiles\f2xdra9k.default\Mail\Local Folders\Inbox

c'è anche thurderbird da pulire...

Come faccio. Datemi le indicazioni come pulire. Non mi avete risposto su come attivare il wi-fi e se zero configuration della guida è valido per vista. Grazie mille ancora

per il wireless dovrebbe essere uguale
per thunder ho editato sopra

dal log
C:\123\nircmd.com
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.71
C:\Program Files\KONAMI\Pro Evolution Soccer 2008\settings.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\hldrrr.exe
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\drivers\downld\239196.exe
C:\Users\Salvatore\AppData\Roaming\Thunderbird\Profiles\f2xdra9k.default\Mail\Local Folders\Inbox
C:\Windows\System32\drivers\sptd.sys


c'è anche thurderbird da pulire...
disattiva momentaneamente il realtime di antivir
lancia thunderbird
cancella tutte le mail relative a bancoposta, banca intesa, paypal
File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato
Riattiva il realtime di antivir

per il wireless dovrebbe essere uguale
per thunder ho editato sopra

Ed è quello che ho fatto.



Come faccio. Datemi le indicazioni come pulire. Non mi avete risposto su come attivare il wi-fi e se zero configuration della guida è valido per vista. Grazie mille ancora

Thunderbird
File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

Vista wireless

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004

chill stavo provando con thunder 2.0
sotto file File -> Non in linea ho Lavora scollegato e no per non scaricare le mail....

che ne dici di aggiornare il post di river e sistemarlo per bene....

chill stavo provando con thunder 2.0
sotto file File -> Non in linea ho Lavora scollegato e no per non scaricare le mail....

che ne dici di aggiornare il post di river e sistemarlo per bene....

per me và bene

c'è anche thurderbird da pulire...
disattiva momentaneamente il realtime di antivir
lancia thunderbird
cancella tutte le mail relative a bancoposta, banca intesa, paypal
File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato
Riattiva il realtime di antivir

Solo della cartella posta in arrivo o anche le sue sottocartelle o saranno comprese in automatico?

farà in automatico
svuota anche il cestino...

Solo della cartella posta in arrivo o anche le sue sottocartelle o saranno comprese in automatico?

Comunque non ho trovato mail di quel tipo. Ne avevo cancellato qualcuna qualche giorno fa, come sempre.

farà in automatico
svuota anche il cestino...

Fatto. Ho riattivato Antivir Guard. Adesso? Posso procedere con zero configuration?

il problema è che rimangono salvate in un indice di thunder e vanno eliminate in questo modo... (basta la procedura di chill in teoria ma meglio cercare ed eliminarne eventuali altre)

procedi con il wireless (tra xp e vista alla fine cambiava solo uno \)

Perfetto. Ho riavviato e adesso il wi-fi funziona. Per il thunderbird non ho capito cosa fare. Io ho fatto così
Disattivato antivir
Aperto thunderbird e messo "lavora scollegato"
ho compattato posta in arrivo
ho tolto lavora scollegato
ho riattivato antivir
Adesso che si fa?
Con il files in quarantena come procedo?

Perfetto. Ho riavviato e adesso il wi-fi funziona. Per il thunderbird non ho capito cosa fare. Io ho fatto così
Disattivato antivir
Aperto thunderbird e messo "lavora scollegato"
ho compattato posta in arrivo
ho tolto lavora scollegato
ho riattivato antivir
Adesso che si fa?
Con il files in quarantena come procedo?

Thunderbird
File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

Thunderbird
File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

Queste indicazioni con corrispondono al mio thunderbird
su file ho non in linea
ma le impostazioni fuori linea e spazio su disco dove li trovo??

Queste indicazioni con corrispondono al mio thunderbird
su file ho non in linea
ma le impostazioni fuori linea e spazio su disco dove li trovo??

allora dimmi che parametri hai forse File --> Non in linea --> File --> Compatta le cartelle

in questo momento non ho Thunder sotto mano quindi vado a memoria

con thunder 2.0
sotto file File -> Non in linea c'è Lavora scollegato

esatto

FAccio la procedura nuovamente allora, disattivando antivir?

esatto

FAccio la procedura nuovamente allora, disattivando antivir?

Si :)

Si :)

Fatto. Ho riattivato l'antivirus. Ora che si fà. COn i files in quarantena?

Fatto. Ho riattivato l'antivirus. Ora che si fà. COn i files in quarantena?

Adesso rifai una scansione completa con Avira ed alleghi il log

Ecco il nuovo log. Trova ancora qualcosa AVSCAN-20080917-180904-CA7634E3.LOG (http://wikisend.com/download/540438/AVSCAN-20080917-180904-CA7634E3.LOG).
Cosa faccio?

C:\123\nircmd.com
[DETECTION] Contains recognition pattern of the APPL/NirCmd.E.2.B application
[NOTE] The file was deleted!
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.71
[DETECTION] Is the TR/Dldr.Bagle.abk Trojan
[NOTE] The file was deleted!
C:\Program Files\KONAMI\Pro Evolution Soccer 2008\settings.exe
[DETECTION] Contains HEUR/Malware suspicious code
[NOTE] The detection was classified as suspicious.
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
[WARNING] The file could not be deleted!
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] The file was moved to '4051dff2.qua'!
C:\Windows\System32\drivers\sptd.sys
[WARNING] The file could not be opened!


carica un log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)


Fai controllare su www.virustotal.com e su http://virscan.org/
C:\Program Files\KONAMI\Pro Evolution Soccer 2008\settings.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Ecco qui.
gmer.log (http://wikisend.com/download/573716/gmer.log)

HO scoperto che la cartella di nod32 è rimasta con i relativi files dentro ma io avevo già disinstallato tutto. Come posso cancellarla? Manualmente non me la fa cancellare.

Ok risolto.
Attendo risposta di gmer

fai controllare quel file che ti ho segnalato su quei 2 siti
nod32 l'hai rimosso correttamente?

Aggiorno un post vecchio (http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441) sul ripristino di alcuni servizi modificati da bagle


Solo una volta eliminata l'infezione e giunto a questo punto della guida procedi in questo modo:


clicca su start -> esegui -> digita services.msc (invio) per aprire la scheda dei servizi
clicca su Nome sopra la lista dei servizi in modo da averli ordinati alfabeticamente, se non lo sono già
cerca i servizi che elencherò più sotto e su ognuno di loro
click destro -> proprietà -> tipo di avvio imposta automatico -> clicca su applica
clicca su avvia e poi su OK
una volta reimpostati tutti segui più in basso per ripristinare manualmente Zero configuration reti senza fili, se ti interessa il wireless, altrimenti riavvia il pc



Elenco servizi da rimettere in avvio automatico se non lo sono già:

Aggiornamenti automatici
Avvisi
Centro sicurezza P.C.
Connessioni di rete
Zero Configuration reti senza fili
Windows Firewall/ Condivisione connessione Internet (ICS)



Per ripristinare Zero configuration reti senza fili bisogna ripristinare due chiavi nel registro di sistema relative ai servizi Ndisuio e RPC.
Si possono sistemare manualmente con regedit ma viene più comodo creare un file .reg contenente le stringhe da ripristinare, che andrà poi ad aggiungersi al registro di sistema in automatico.

Di seguito elencherò un codice per Win XP ed uno per Win Vista, devi copiare tutto il contenuto del codice, relativo al tuo sistema operativo, nel blocco note e fare salva, invece di file di testo seleziona tutti i file, e chiamalo fix.reg oppure salvalo normalmente in txt e poi cambia l'estensione in .reg
A questo punto click destro su fix.reg e aggiungi.
Riavvia il pc per rendere effettive le modifiche

codice per Win XP
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004


codice per Win Vista
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\SessionInformation]
"ProgramCount"=dword:00000004



Bagle potrebbe aver corrotto altri files e stringhe di registro legati a:

Account Utente
Cerca (Ricerca guidata)
Internet Explorer 7
Windows Media Player
ed altri


In questo caso riferirsi a questo articolo Microsoft
http://support.microsoft.com/kb/831430/it

fai controllare quel file che ti ho segnalato su quei 2 siti
nod32 l'hai rimosso correttamente?

Nod32 risolto. Adesso posto i risultati del file. da notare che per farlo scansionare ho dovuto toglierlo dalla quarantena perche nella cartella non era visibile e poi disattivare l'antivirus xkè altrimenti me lo segnalava sempre.

http://www.virustotal.com/it/analisis/b209eb247d422280f537effafe729fb8

http://virscan.org/report/458068bfdd5cf8ea5ea846055c81abf5.html


In realtà questo file serve per impostare i tasti del joystick. Come mai lo riconosce come virus?

Ho messo le info accanto ad ogni servizio qui sotto.




Elenco servizi da rimettere in avvio automatico se non lo sono già:

Aggiornamenti automatici -----> non è presente in lista
Avvisi ----> presente la voce "Avvisi e registri di prestazioni" in automatico ed avviata
Centro sicurezza P.C. -----> ok
Connessioni di rete -----> ok
Zero Configuration reti senza fili ------> non è presente in lista ma ho già modificato il registro
Windows Firewall---->ok
Condivisione connessione Internet (ICS) ----> lo faccio partire e mi dice che "......si è avviato quindi si è arrestato. Alcuni servizi si arrestano automaticamente se non sono utilizzati da altri servizi o programmi"

Bagle potrebbe aver corrotto altri files e stringhe di registro legati a:

Account Utente
Cerca (Ricerca guidata)
Internet Explorer 7
Windows Media Player
ed altri


In questo caso riferirsi a questo articolo Microsoft
http://support.microsoft.com/kb/831430/it

Fatto anche questo. Adesso?

segui il trattamento post disinfezione per mettere al sicuro il pc

Quindi si può dire che ho finito quasi....Sto installando Comodo firewall. Con gli oggetti in quarantena che si fa?

Quindi si può dire che ho finito quasi....Sto installando Comodo firewall. Con gli oggetti in quarantena che si fa?

Pare a me o sei fissato con la quarantena :D comunque gli oggetti in quarantena non possono nuocere, quindi eiliminali per sicurezza solo dopo un uso massivo del Pc

No no :) :) non sono fissato. Volevo solo sapere come comportarmi:D :D . Grazie ancora

No no :) :) non sono fissato. Volevo solo sapere come comportarmi:D :D . Grazie ancora

Prego di nulla, mi raccomando segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 inoltre presta attenzione a cosa scarichi da Emule

Prego di nulla, mi raccomando segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 inoltre presta attenzione a cosa scarichi da Emule

La sto ancora seguendo. Ho finito di installare Comodo. Ha trovato qualcosa e l'ho già cancellata. Adesso riavvio, lo setto e poi continuo con la procedura. Vi farò sapere in ogni caso quando avrò completato tutto.

Wed Sep 17 15:43:19 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Wed Sep 17 16:01:43 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Sep 17 16:02:08 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7208
Nº Total de Ficheros: 83223
Nº de Ficheros Analizados: 15172
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Sep 17 16:14:58 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Sep 17 16:15:02 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3617
Nº Total de Ficheros: 34701
Nº de Ficheros Analizados: 2260
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Thu Sep 18 15:10:16 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Sep 18 15:10:34 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Sep 18 15:10:38 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Thu Sep 18 15:10:48 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Sep 18 15:10:52 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Thu Sep 18 15:11:14 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.72
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Thu Sep 18 15:13:32 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Sep 18 15:13:34 2008
EliBagle v11.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7251
Nº Total de Ficheros: 84809
Nº de Ficheros Analizados: 15341
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Leggi la guida in prima pagina dove è spiegato come allegare i log

a sozi
sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
e allegando qualche informazione... ;)

In bocca al lupo Sozi!!! :D :D :D

In bocca al lupo Sozi!!! :D :D :D
che ti ridi tu....
non mi sembra tu sia stato molto.... corto(maltese)....:D :D :D

Hai ragione....Gli ho anticipato quello che gli spetta....Io ci ho "lavorato" due giorni

Hai ragione....Gli ho anticipato quello che gli spetta....Io ci ho "lavorato" due giorni
e non solo tu.... :D

oooops....ho parlato troppo presto. Avir mi ha trovato di nuovo il virus hldrrr.exe in c:\\system volume information\systemrestore\frstaging\windows\system32\drivers
Che faccio. Intanto l'ho messo in quarantena. Credo sia la cartella di punto di ripristino, vero?

Già infatti... non dovevi disabilitarlo?

oooops....ho parlato troppo presto. Avir mi ha trovato di nuovo il virus hldrrr.exe in c:\\system volume information\systemrestore\frstaging\windows\system32\drivers
Che faccio. Intanto l'ho messo in quarantena. Credo sia la cartella di punto di ripristino, vero?
io non ne voglio più sapere nulla mi spiace... :D :D

i bookmakers davano 1:1 che l'avresti messo in quarantena :rotfl:

disabilita il ripr. su tutti i dischi
cancella tutte la cazzate che stai scaricando, che hai scaricato e quelle che pensavi di scaricare....
nuova scansione con elibagla e completa con antivir

Che faccio? Non capisco perchè lo trova ancora dopo migliaia di scansioni!!
Che faccio? Aiutatemi vi prego. Ho paura di riprenderlo.

Già infatti... non dovevi disabilitarlo?

Ce l'hai con me? Non ho capito a cosa ti riferisci :confused: :confused: :confused:

Non l'ho con te ma la guida diceva che per prima cosa andava disabilitato il ripristino di sistema

L'ho fatto. Ne sono sicurissimo

disabilita il ripr. su tutti i dischi
cancella tutte la cazzate che stai scaricando, che hai scaricato e quelle che pensavi di scaricare....
nuova scansione con elibagla e completa con antivir

Che faccio? Non capisco perchè lo trova ancora dopo migliaia di scansioni!!
Che faccio? Aiutatemi vi prego. Ho paura di riprenderlo.

Dimentica Emule :O

Ok, ragazzi per il momento tutto sembra rientrato nella normalità, a parte l'avvio e l'arresto del pc un pò più lento rispetto a prima dovuto ai programmi messi in avvio (COMODO,Updatestar,ecc.). Comunque meglio così, almeno i rischi sono minori. Mi sembrava comunque doveroso ringraziarvi tutti, in particolar modo a Wjmat per l'assistenza offerta nei due miei giorni di inferno. Grazie davvero di cuore a tutti.
;) ;) ;) :) :)
A presto.......spero di no :D :D :D :D
Ciao

Aggiorno un post vecchio (http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441) sul ripristino di alcuni servizi modificati da bagle


added ;)

Ragazzi sono infetto...PocaPutt......:muro:
Allego il log bagled ed il log infosat
bagled Bagled.txt (http://wikisend.com/download/951034/Bagled.txt)

Infosat InfoSat.txt (http://wikisend.com/download/515880/InfoSat.txt)
nel frattempo continuo con la procedura che ho trovato all'inizio del post

Aiutatemi PLEASE
Garzie in anticipo

Ragazzi sono infetto...PocaPutt......:muro:
Allego il log bagled ed il log infosat
bagled Bagled.txt (http://wikisend.com/download/951034/Bagled.txt)

Infosat InfoSat.txt (http://wikisend.com/download/515880/InfoSat.txt)
nel frattempo continuo con la procedura che ho trovato all'inizio del post

Aiutatemi PLEASE
Garzie in anticipo

NB: ripristino configurazione sistema disattivato

Procedi con il Punto 4 della Guida, poi ancora Punto 3 ed allega entrambi i log, ciao.

http://wikisend.com/download/566150/InfoSat.txt

Bagled.txt (http://wikisend.com/download/577776/Bagled.txt)

hofatto tuttoquello che dite
NIENTEn

nn ci riesco

Quandoapro elibagle mi dice "por favore envieros a copia de c:/muestras/hdlrr.exe to virus@satinfo.es

poi si chiude. lo aprouna seconda volta e mi dice: virus detectado : gusado bagle ...etc etc

http://wikisend.com/download/566150/InfoSat.txt

Bagled.txt (http://wikisend.com/download/577776/Bagled.txt)

hofatto tuttoquello che dite
NIENTEn

nn ci riesco

Quandoapro elibagle mi dice "por favore envieros a copia de c:/muestras/hdlrr.exe to virus@satinfo.es

poi si chiude. lo aprouna seconda volta e mi dice: virus detectado : gusado bagle ...etc etc

NB: rirpristino configurazione disattivato

Punto 4 della Guida al termine nuovo giro di EliBagla ed alleghi entrambi i log

PS: non stai usando la versione aggiornata di EliBagla riscaricalo da qui http://www.zonavirus.com/datos/descargas/95/elibagla.asp

spunta la voce Disattiva ripristino configurazione di sistema?:D
ok fra 5 minuti allego i log

spunta la voce Disattiva ripristino configurazione di sistema?:D
ok fra 5 minuti allego i log

Leggi il post precedente ho editato

:D ok ho installato la nuova versione.
pero' per farlo partire...(mi si chiude automaticamente) devo fare ctrl alt canc e chiudere HDLRR.exe.

ora posto il log?

l'altro file quello bagle.d nnmi parte nemmeno..

:D ok ho installato la nuova versione.
pero' per farlo partire...(mi si chiude automaticamente) devo fare ctrl alt canc e chiudere HDLRR.exe.

ora posto il log?

l'altro file quello bagle.d nnmi parte nemmeno..

Devi prima far girare MBAM vedi Punto 4 della Guida

salve a tutti... ho letto con attenzione i vostri post e soprattutto ho letto e seguito passo passo la guida all'inizio del post. il risultato? nulla :cry: ogni volta che riparte il pc nel task manager ccompare il tanto odiato hldrrr.exe. adesso ho installato anche il superantispyware, che per lo meno lo rileva e lo blocca, ma è sempre lì sembra sia indistruttibile... potete darmi ulteriori consigli? grazie mille

salve a tutti... ho letto con attenzione i vostri post e soprattutto ho letto e seguito passo passo la guida all'inizio del post. il risultato? nulla :cry: ogni volta che riparte il pc nel task manager ccompare il tanto odiato hldrrr.exe. adesso ho installato anche il superantispyware, che per lo meno lo rileva e lo blocca, ma è sempre lì sembra sia indistruttibile... potete darmi ulteriori consigli? grazie mille

Seguire la Guida in prima pagina passo passo ed allegare i log per il controllo

Seguire la Guida in prima pagina passo passo ed allegare i log per il controllo

ecco il primo allegato

Seguire la Guida in prima pagina passo passo ed allegare i log per il controllo

ecco il secondo. grazie mille

ecco il secondo. grazie mille

Attendo il log di MBAM ovvero Punto 4

edit

Attendo il log di MBAM ovvero Punto 4

eccolo, in realtà sono due perchè l'ho fatto girare 2 volte

Attendo il log di MBAM ovvero Punto 4

ecco il secondo

ecco il secondo

procedi pure

procedi pure

mi consigli un'altra scansione?

se vuoi con elibagla
poi procedi con ccleaner

ecco il secondo

Impossibile che MBAM abbia scansionato il PC in 6 minuti e solo 25046 elementi secondo mè hai smanettato nei settaggi, quindi apri MBAM -> Impostazione e metti il segna di spunta su tutti gli 8 campi e ripeti la scansione completa

se vuoi con elibagla
poi procedi con ccleaner

ok provo subito e ti dò riscontro

ok provo subito e ti dò riscontro

http://www.hwupgrade.it/forum/showpost.php?p=24299057&postcount=5204 :read:

http://www.hwupgrade.it/forum/showpost.php?p=24299057&postcount=5204 :read:

ho appena lanciato la scansione completa con gli 8 flag del tab impostazioni attivi. appena finisce ti invio nuovamente il log.

ho appena lanciato la scansione completa con gli 8 flag del tab impostazioni attivi. appena finisce ti invio nuovamente il log.

TI ALLEGO IL FILE DELL'ULTIMA SCANSIONE.

TI ALLEGO IL FILE DELL'ULTIMA SCANSIONE.

non hai eliminato le cose trovate, oppure non hai caricato il log corretto...

non hai eliminato le cose trovate, oppure non hai caricato il log corretto...

HO SALVATO IL LOG E POI HO ELEMINATO I 3 FILE CHE HA TROVATO

ok, ora rifai elibagla per sicurezza

ok, ora rifai elibagla per sicurezza


ok lanciato. ti invio il log appena ha finito?

ok lanciato. ti invio il log appena ha finito?

Se fosse possibile anche il log di MBAM

ok lanciato. ti invio il log appena ha finito?

ecco il log

Se fosse possibile anche il log di MBAM

ho salvato il log e poi cancellato i 3 file trovati

ecco il log

ho salvato il log e poi cancellato i 3 file trovati

Mi fido, dimmi qual'era il tuo AV prima dell'infezione

Mi fido, dimmi qual'era il tuo AV prima dell'infezione

Symantec.AntiVirus.Corporate.Edition.v10.1.7000.7. ho provato a riavviare e nulla nel task manager continua a comparire il file hldrrr.exe. :cry: non sò davvero più cosa fare.

cosa mi consigli?

Symantec.AntiVirus.Corporate.Edition.v10.1.7000.7. ho provato a riavviare e nulla nel task manager continua a comparire il file hldrrr.exe. :cry: non sò davvero più cosa fare.

cosa mi consigli?
cancella tutti i crack e verifica che sia disattivato il ripristino conf. di sist
poi ricomincia con la guida

Symantec.AntiVirus.Corporate.Edition.v10.1.7000.7. mi puzza di copia incolla da un file d'installazione scaricato.... e che hai provato a reinstallare... ma magari mi sbaglio...

Symantec.AntiVirus.Corporate.Edition.v10.1.7000.7. ho provato a riavviare e nulla nel task manager continua a comparire il file hldrrr.exe. :cry: non sò davvero più cosa fare.

cosa mi consigli?

Quello che ti ha consigliato wj ossia eliminare tutti i crack ed eventuali file sospestti scaricati che hanno generato l'infezione se no stiamo qui per sempre, inoltre Symantec è regolarmente licenziato?

se non fosse regolarmente licenziato e non fosse un pc per attività commerciale (ovvero pc aziendale) si potrebbe sostituirlo con altri antivirus più efficaci e free..

se non fosse regolarmente licenziato e non fosse un pc per attività commerciale (ovvero pc aziendale) si potrebbe sostituirlo con altri antivirus più efficaci e free..

infatti trovo strano che Symantec.AntiVirus.Corporate sia su un PC uso domestico

ragazzi, ho ripristinato il portatile con la funzione di recovery di hp quindi non c'è più nè emule nè i crack scaricati, purtroppo il problema sembra persistere. ho installato superantispyware e adesso mi accingo a ricominciare la guida da capo e vi allego i log.
come antivirus buono e free quale mi consigliate? così provvedo subito a scaricarlo sempre che questo brutto virus me lo faccia installare.

grazie per il vostro prezioso aiuto

p.s. adesso il file che mi blocca il superantispyware è il FLEC006.exe

ragazzi, ho ripristinato il portatile con la funzione di recovery di hp quindi non c'è più nè emule nè i crack scaricati, purtroppo il problema sembra persistere. ho installato superantispyware e adesso mi accingo a ricominciare la guida da capo e vi allego i log.
come antivirus buono e free quale mi consigliate? così provvedo subito a scaricarlo sempre che questo brutto virus me lo faccia installare.

grazie per il vostro prezioso aiuto

p.s. adesso il file che mi blocca il superantispyware è il FLEC006.exe

Se hai ripristinato il Pc col recovery di Hp tanti saluti anche al Bagle non è che hai utilizzato un supporto removibile USB dopo il ripristino

Se hai ripristinato il Pc col recovery di Hp tanti saluti anche al Bagle non è che hai utilizzato un supporto removibile USB dopo il ripristino

si :muro: ho salvato sulla chiavetta alcuni dei sw che consigliate nella guida e delle applicazioni web che stò sviluppando.

infatti sulla chiavetta (che ora ho staccato dal pc) compare e scompare un file nie????.com (scusate ma non ricordo esattamente il nome) :cry:

come ti dicevo stò eseguendo di nuovo la guida e approfitto per incollare i primi due log pronti.

:::::: Bagled.txt ::::::

Bagle_Remover.exe
Date: 27/09/2008
Time: 15.55.02,64

:::::::::::::::::::::::::

::::: InfoSat.txt :::::

Sat Sep 27 12:13:32 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.76
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ALICETUTTOINCLUSO\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sat Sep 27 16:02:59 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"

Sat Sep 27 16:03:05 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Qoobox\Quarantine\C\WINDOWS\system32\MDELK.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
C:\WINDOWS\system32\drivers\downld\1092953.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\1108062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1136890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1158359.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\207625.EXE --> Eliminado Bagle

Nº Total de Directorios: 2917
Nº Total de Ficheros: 30057
Nº de Ficheros Analizados: 8110
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados: 8

Tombola :rolleyes:

lo sai che i log non si copiare ed incollare ma allegare

Tombola :rolleyes:

lo sai che i log non si copiare ed incollare ma allegare

scusa :( , per la tombola :rolleyes: immaginavo non appena mi hai chiesto se avevo utilizzato una periferica usb.

ti allego il log. adesso stò passando i cc cleaner, ma l'anti spyware mi continua a segnalare la presenza e il blocco dei malefici files :(

magari quello che stò per dire è una scemata, dimmi tu... ma se mi scaricassi in locale tutti i files (magari presi anche dalla chiavetta) che mi servono x il pc e lo ripristino di nuovo con il sw di hp. il sw di backup di hp mi permette prima di spianare tutto di scegliere eventuali files che voglio salvare.

che mi dici? certo che poi dovrò riplire in qualche modo la chiavetta...

cmq aspetto un tuo consiglio su come procedere.

grazie

scusa :( , per la tombola :rolleyes: immaginavo non appena mi hai chiesto se avevo utilizzato una periferica usb.

ti allego il log. adesso stò passando i cc cleaner, ma l'anti spyware mi continua a segnalare la presenza e il blocco dei malefici files :(

magari quello che stò per dire è una scemata, dimmi tu... ma se mi scaricassi in locale tutti i files (magari presi anche dalla chiavetta) che mi servono x il pc e lo ripristino di nuovo con il sw di hp. il sw di backup di hp mi permette prima di spianare tutto di scegliere eventuali files che voglio salvare.

che mi dici? certo che poi dovrò riplire in qualche modo la chiavetta...

cmq aspetto un tuo consiglio su come procedere.

grazie



stò eseguendo una nuova scansione per vedere se ha rimosso sul serio i files infetti.... intanto cerco di scaricare e installare un ativirus... antivir?

scusa :( , per la tombola :rolleyes: immaginavo non appena mi hai chiesto se avevo utilizzato una periferica usb.

ti allego il log. adesso stò passando i cc cleaner, ma l'anti spyware mi continua a segnalare la presenza e il blocco dei malefici files :(

magari quello che stò per dire è una scemata, dimmi tu... ma se mi scaricassi in locale tutti i files (magari presi anche dalla chiavetta) che mi servono x il pc e lo ripristino di nuovo con il sw di hp. il sw di backup di hp mi permette prima di spianare tutto di scegliere eventuali files che voglio salvare.

che mi dici? certo che poi dovrò riplire in qualche modo la chiavetta...

cmq aspetto un tuo consiglio su come procedere.

grazie


La chiavetta te la devi purtroppo scordare, ogni volta che la inserisci ti infetti, adesso fai girare prima Bagled e poi ancora Elibagla, ricorda di allegare i log.

Edit: ok prima termina l'ulteriore scansione con MBAM

La chiavetta te la devi purtroppo scordare, ogni volta che la inserisci ti infetti, adesso fai girare prima Bagled e poi ancora Elibagla, ricorda di allegare i log.

Edit: ok prima termina l'ulteriore scansione con MBAM

ecco il primo log

ecco il primo log

ecco il secondo, e adesso parto con altra scansione di MBAM

ecco il secondo, e adesso parto con altra scansione di MBAM

ecco l'ellegato di MBAM... non vorrei parlare troppo presto, ma sembra che i files malefici siano stati debellati...

grazie infinite adesso procedo ad installare antivir

ecco l'ellegato di MBAM... non vorrei parlare troppo presto, ma sembra che i files malefici siano stati debellati...

grazie infinite adesso procedo ad installare antivir

Dal momento che hai ripristinato il Pc dovresti avere la versione trial del Norton, giusto?

Dal momento che hai ripristinato il Pc dovresti avere la versione trial del Norton, giusto?

giusto ma l'ho disinstallato e stò procedendo ad installare e aggiornare ANTIVIR... pensi vada bene?

giusto ma l'ho disinstallato e stò procedendo ad installare e aggiornare ANTIVIR... pensi vada bene?

Hai provveduto a disinstallarlo correttamente facendo girare anche il Removal Tool http://service1.symantec.com/support/inter/tsgeninfointl.nsf/it_docid/20050407160511924

Antivir free và benissimo leggi la Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Hai provveduto a disinstallarlo correttamente facendo girare anche il Removal Tool http://service1.symantec.com/support/inter/tsgeninfointl.nsf/it_docid/20050407160511924

Antivir free và benissimo leggi la Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

si tutto disinstallato e installato antivir.

confermo che è tutto ok adesso

grazie infinite, una sola domanda. come posso vedere se anche altre chiavette sono infette?

si tutto disinstallato e installato antivir.

confermo che è tutto ok adesso

grazie infinite, una sola domanda. come posso vedere se anche altre chiavette sono infette?

Prego innazitutto sare opportuno dal momento che hai ripristinato che scaricassi la marea di aggiornamenti disponibili, successivamente leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 ci sono utili indicazioni su come aumentare la sicurezza del PC

Per puilire i supporti removibili devi disabilitare l'autoplay per evitare di infettarti il metodo più veloce è il seguente: inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay

una volta inserita la chiavetta con le modalità sopra indicate e bene scansionarla con tutti i software di sicurezza di cui si dispone

Prego innazitutto sare opportuno dal momento che hai ripristinato che scaricassi la marea di aggiornamenti disponibili, successivamente leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 ci sono utili indicazioni su come aumentare la sicurezza del PC

Per puilire i supporti removibili devi disabilitare l'autoplay per evitare di infettarti il metodo più veloce è il seguente: inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay

una volta inserita la chiavetta con le modalità sopra indicate e bene scansionarla con tutti i software di sicurezza di cui si dispone

grazie mille... stò provvedendo a scansionare la chiavetta come indicato...

ciao ragazzi,
ho seguito alla lettera tutti i passi indicati e il virus è stato rimosso... il pc va molto meglio... il processo HLDRRR.exe è scomparso... MA...

Non riesco più a vedere le connessioni di rete
- Ethernet
- Wifi
dopo aver fatto Risorse di Rete > proprietà....
premesso che le periferiche sono installate e perfettamente funzionanti come scritto nel DEVICE MANAGER...

Sapere darmi una dritta ?

Grazie 1000

ciao ragazzi,
ho seguito alla lettera tutti i passi indicati e il virus è stato rimosso... il pc va molto meglio... il processo HLDRRR.exe è scomparso... MA...

Non riesco più a vedere le connessioni di rete
- Ethernet
- Wifi
dopo aver fatto Risorse di Rete > proprietà....
premesso che le periferiche sono installate e perfettamente funzionanti come scritto nel DEVICE MANAGER...

Sapere darmi una dritta ?

Grazie 1000

http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

Avevo già seguito quelle indicazioni...

Ma sono proprio le connessioni che mancano:
- Connessione LAN Broadcom NetExtreme
- ecc..

Ciao a tutti,

ho seri problemi con il bagle; ho seguito tutte le procedure previste (beagled, elibagla, avenger, ecc) più le scansioni online di eset, bitdefender e kaspersky), ma ad operazioni terminate continuo a non poter installare alcun antivirus (...applicazione win32 non valida...) oltre a non poter far girare i vari combofix, cccleaner e hijack, sempre per il problema dell'applicazione win32 non valida.
In allegato i report.
Che posso fare?
Grazie a tutti!

Nick

Avevo già seguito quelle indicazioni...

Ma sono proprio le connessioni che mancano:
- Connessione LAN Broadcom NetExtreme
- ecc..

Finalmente ho ripristinato le connessioni di rete.
Basta andare in MODALITA' PROVVISORIA (dopo aver eseguito il .reg per ripristinare la modalità provvisoria danneggiata da BEAGLE)..
ed andare a DISATTIVARE prima ......e DISINSTALLARE poi......
da Gestione Periferiche le schede ethernet o Wifi interessate...
e RIAVVIARE NORMALMENTE WINDOWS...
A questo punto dovremmo trovare le connessioni in
Risorse di Rete > Proprietà
visto che è Windows a rilevare e reinstallare le periferiche fisicamente presenti.

Ciao a tutti,

ho seri problemi con il bagle; ho seguito tutte le procedure previste (beagled, elibagla, avenger, ecc) più le scansioni online di eset, bitdefender e kaspersky), ma ad operazioni terminate continuo a non poter installare alcun antivirus (...applicazione win32 non valida...) oltre a non poter far girare i vari combofix, cccleaner e hijack, sempre per il problema dell'applicazione win32 non valida.
In allegato i report.
Che posso fare?
Grazie a tutti!

Nick
Ciao
carica in ordine tutti i log richiesti dalla guida del primo post

ciao a tutti, credo di avere il pc infetto da questo virus in quanto,dopo il download di un file da emule, il pc si e' riavviato da solo e da quel momento ne' nod32, ne' spybot S&D, ne' CCcleaner funzionano. ho seguito le vostr istruzioni. ecco il log di bagled. il problema è che non riesco a far partire elibagla(ho scaricato il programma spagnolo ma non appena clicco sull'icona dopo un attimo la finestra di elibagla si chiude da sola. dato che non son molto esperto di pc spero che mi aiutiate a risolvere questo fastidiosissimo problema!
grazie e saluti!

scusate,aggiungo un altro txt che mi e' comparso in c:
ciao!

scusate,aggiungo un altro txt che mi e' comparso in c:
ciao!
prova a rifare elibagla da modalità provvisoria

prova a rifare elibagla da modalità provvisoria

grazie1000, ha trovato e cancellato 5 files.
ho proseguito nella procedura solo che ora rimane attivo come processo il file hldrr.exe (che super anti spyware blocca). mi sa che devo rifare la procedura vero?

grazie1000, ha trovato e cancellato 5 files.
ho proseguito nella procedura solo che ora rimane attivo come processo il file hldrr.exe (che super anti spyware blocca). mi sa che devo rifare la procedura vero?
verifica che sia sempre disattivato il ripristino
cancellla crack vari
e ricomincia allegandoci i log

verifica che sia sempre disattivato il ripristino
cancellla crack vari
e ricomincia allegandoci i log
ok,grazie.
come mi comporto con super anti spyware? lascio che blocchi hldrrr?

ok,grazie.
come mi comporto con super anti spyware? lascio che blocchi hldrrr?
super antispyware non ci serve... limitati ad usare i programmi consigliati ;)

super antispyware non ci serve... limitati ad usare i programmi consigliati ;)

ok,gentilissimo, 1000 grazie!:)
non appena termino la procedura posto i log!