PDA

View Full Version : Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione


Pagine : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 [22] 23 24 25 26 27 28 29 30

gigi80
28-09-2008, 18:32
file log beagleD: http://www.fileqube.com/shared/hPkjAMJVq115536
file log elibagla: http://www.fileqube.com/shared/izURcRG115539

gigi80
28-09-2008, 18:48
ecco il log di Malwarebytes' Anti-Malware: http://www.fileqube.com/shared/pouLMuyL115554

..il pc va lento, non mi sembra sia tornato tutto ok anche perche' ho disinstallato i vecchi antivirus e antispyware ma non mi compare la classica icona di windows che mi avverte che il sistema e' esposto a rischi!
ecco il mio task manager, quel lsass.exe non mi convince..
http://www.fileqube.com/shared/BbmleVXz115565

Chill-Out
28-09-2008, 20:30
Finalmente ho ripristinato le connessioni di rete.
Basta andare in MODALITA' PROVVISORIA (dopo aver eseguito il .reg per ripristinare la modalità provvisoria danneggiata da BEAGLE)..
ed andare a DISATTIVARE prima ......e DISINSTALLARE poi......
da Gestione Periferiche le schede ethernet o Wifi interessate...
e RIAVVIARE NORMALMENTE WINDOWS...
A questo punto dovremmo trovare le connessioni in
Risorse di Rete > Proprietà
visto che è Windows a rilevare e reinstallare le periferiche fisicamente presenti.

infatti se disinstalli al riavvio si reinstallano :)

Chill-Out
28-09-2008, 20:36
ecco il log di Malwarebytes' Anti-Malware: http://www.fileqube.com/shared/pouLMuyL115554

..il pc va lento, non mi sembra sia tornato tutto ok anche perche' ho disinstallato i vecchi antivirus e antispyware ma non mi compare la classica icona di windows che mi avverte che il sistema e' esposto a rischi!
ecco il mio task manager, quel lsass.exe non mi convince..
http://www.fileqube.com/shared/BbmleVXz115565

Fai girare nuovamente EliBagla ed allega il log completo, thx.

lsass.exe come SYSTEM è legittimo

nickemme
29-09-2008, 08:46
Ciao
carica in ordine tutti i log richiesti dalla guida del primo post
Ciao,
avevo già seguito la guida in questione, ma CCleaner non parte causa: "...applicazione win32 non valida...".

Nick

wjmat
29-09-2008, 08:51
Ciao,
avevo già seguito la guida in questione, ma CCleaner non parte causa: "...applicazione win32 non valida...".

Nick
probabilmente sei ancora infetto....
ripeti la guida e caricaci i log please ;)

Anthonello
29-09-2008, 11:59
sono affetto da virus beagle su un sistema operativo di una configurazione
che non possiedo piu perchè mi sono venduto la scheda madre e la cpu.
Dentro ho documenti che vorrei recuperare... come posso disinfettarlo
collegandolo su un altro pc???? visto l'antivirus non accede a tutte le cartelle
del mio utente perchè le vede come vuote, i tool scansionano solo C:
e l'unico che lo vede è prevx csi ma per toglierlo vuole la licenza.

COn linux autoavviante vedo tutti i miei documenti, ma siccome sono
tanti e parecchio nidificati scegliere quali salvare e quali no sono 2 balle
che non finiscono piu....visto che swappa da cd di continuo.

wjmat
29-09-2008, 12:07
sono affetto da virus beagle su un sistema operativo di una configurazione
che non possiedo piu perchè mi sono venduto la scheda madre e la cpu.
Dentro ho documenti che vorrei recuperare... come posso disinfettarlo
collegandolo su un altro pc???? visto l'antivirus non accede a tutte le cartelle
del mio utente perchè le vede come vuote, i tool scansionano solo C:
e l'unico che lo vede è prevx csi ma per toglierlo vuole la licenza.

COn linux autoavviante vedo tutti i miei documenti, ma siccome sono
tanti e parecchio nidificati scegliere quali salvare e quali no sono 2 balle
che non finiscono piu....visto che swappa da cd di continuo.
leggi la guida del primo post e carica i log secondo le modalità

gigi80
29-09-2008, 13:32
Fai girare nuovamente EliBagla ed allega il log completo, thx.

lsass.exe come SYSTEM è legittimo
ecco il log di elibagla(col processo hldrrr interrotto precedentemente): http://www.fileqube.com/shared/kotmxP116430
comunque son ancora infetto perche' nella task manager c'è ancora il file hldrrr (modifico su "interrompi processo" ma al riavvio si ripresenta). le istruzioni della guida le ho seguite alla lettera e per numerose volte. ho anche eseguito malware bytes nella modalità provvisoria ma nulla (mi ha cancellato una ventina di file infetti dalla cartella "driver" di windows ma al riavvio sempre hldrrr tra le scatole).

wjmat
29-09-2008, 14:21
ecco il log di elibagla(col processo hldrrr interrotto precedentemente): http://www.fileqube.com/shared/kotmxP116430
comunque son ancora infetto perche' nella task manager c'è ancora il file hldrrr (modifico su "interrompi processo" ma al riavvio si ripresenta). le istruzioni della guida le ho seguite alla lettera e per numerose volte. ho anche eseguito malware bytes nella modalità provvisoria ma nulla (mi ha cancellato una ventina di file infetti dalla cartella "driver" di windows ma al riavvio sempre hldrrr tra le scatole).
già provato elibagla da mod. provvisoria?

Chill-Out
29-09-2008, 14:37
ecco il log di elibagla(col processo hldrrr interrotto precedentemente): http://www.fileqube.com/shared/kotmxP116430
comunque son ancora infetto perche' nella task manager c'è ancora il file hldrrr (modifico su "interrompi processo" ma al riavvio si ripresenta). le istruzioni della guida le ho seguite alla lettera e per numerose volte. ho anche eseguito malware bytes nella modalità provvisoria ma nulla (mi ha cancellato una ventina di file infetti dalla cartella "driver" di windows ma al riavvio sempre hldrrr tra le scatole).

già provato elibagla da mod. provvisoria?

I motivi sono due o non hai disattivato il system restore oppure ha un supporto removibile USB infetto

kekken
29-09-2008, 16:11
salve..ank io mi son preso bagle. Eligabla non riusciva a trovare niente per cui ho utilizzato spybots che ha trovato l'infezione e inseguito malwarebytes e cCleaner come indicato nella guida..poi ho ripristinato le chiavi di registro anche se alcuni dei servizi da voi Indicati non erano proprio presenti nell elenco. Adesso il Wi-fi funziona veramente ma all'avvio mi appare ancora il solito messaggio di errore secondo cui non si riesce ad avviare Windows Defender che infatti non riesco ad aprire nemmeno dal Pannello di Controllo. Inoltre all'avvio continua ad apparire una finestra in cui mi chiede di scegliere il programma con cui aprire giogo.exe...CHE E'???
Come Antivirus utilizzavo Antivir che ho disinstallato dopo la disinfezione(se è stata fatta!!?!)..PS Ho Windows Vista

wjmat
29-09-2008, 16:18
salve..ank io mi son preso bagle. Eligabla non riusciva a trovare niente per cui ho utilizzato spybots che ha trovato l'infezione e inseguito malwarebytes e cCleaner come indicato nella guida..poi ho ripristinato le chiavi di registro anche se alcuni dei servizi da voi Indicati non erano proprio presenti nell elenco. Adesso il Wi-fi funziona veramente ma all'avvio mi appare ancora il solito messaggio di errore secondo cui non si riesce ad avviare Windows Defender che infatti non riesco ad aprire nemmeno dal Pannello di Controllo. Inoltre all'avvio continua ad apparire una finestra in cui mi chiede di scegliere il programma con cui aprire giogo.exe...CHE E'???
Come Antivirus utilizzavo Antivir che ho disinstallato dopo la disinfezione(se è stata fatta!!?!)..PS Ho Windows Vista
Ciao
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla e cancella tutti crack se non lo hai fatto prima
Ripeti le scansioni e allega i nuovi log

kekken
29-09-2008, 16:44
ok..sto facendo nuovamente la scansione con Spybot. Il ripristino era disibilitato e avevo già cancellato gli archivi scaricati dal mulo:Prrr:

wjmat
29-09-2008, 16:45
ok..sto facendo nuovamente la scansione con Spybot. Il ripristinera disibilitato e avrvo già cancellato gli archivi scaricati dal mulo:Prrr:
spybot non te la richiesto nessuno... ;)

kekken
29-09-2008, 16:53
E' il più veloce..uso Malwarebytes?

wjmat
29-09-2008, 16:55
E' il più veloce..uso Malwarebytes?
se non lo usiamo è perchè non serve...
ripeti la guida seguendo l'ordine

kekken
29-09-2008, 16:58
ok..senti ma è normale che elibagla mi dia accesso negato a un bel po di cartelle?

wjmat
29-09-2008, 17:00
ok..senti ma è normale che elibagla mi dia accesso negato a un bel po di cartelle?
dovrebbero essere quelle relative ad altri utenti...

kekken
29-09-2008, 17:06
mah..strano..perchè cè solo il mio account nel pc

wjmat
29-09-2008, 17:29
mah..strano..perchè cè solo il mio account nel pc

quali cartelle danno errore?

kekken
29-09-2008, 17:39
Sono tante..comunque non ha trovato nulla..ora sto facendo la scansione con malwarebytes..ti faccio sapere

Chill-Out
29-09-2008, 17:49
Sono tante..comunque non ha trovato nulla..ora sto facendo la scansione con malwarebytes..ti faccio sapere

Ciao ma se non alleghi i log per noi è diffcile prestare assistenza.

nickemme
29-09-2008, 19:31
probabilmente sei ancora infetto....
ripeti la guida e caricaci i log please ;)
Ecco i Log:

wjmat
29-09-2008, 20:10
Ecco i Log:

procedi con malwarebytes + scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

gigi80
29-09-2008, 21:42
I motivi sono due o non hai disattivato il system restore oppure ha un supporto removibile USB infetto
nessuno dei due. il problema e' che lasciando attivo il processo hldrrr, riavviando per andare in mod. provvisoria, non riesco ad andarci(il pc si riavvia all'infinito. devo premere F5 e rientrare in windows). in mod. provvisoria posso andarci se disattivo il processo hldrrr, solo che poi credo non venga visto dagli antivirus. infatti al riavvio si ripresenta

Ink Riccato
29-09-2008, 23:04
Ultimo tentativo prima di formattare... Da quanto ho potuto capire, bagle l'ho rimosso, ma c'è un danno che proprio non riesco a riparare: dopo 8/10 minuti di connessione a internet il traffico dati, sia in entrata sia in uscita, si azzera. Riavviando la connessione funziona di nuovo, ha i suoi 8/10 minuti di gloria e si è da capo. Per il resto il pc sembra di nuovo a posto: servizi riattivati, online armor e antivir reinstallati e aggiornati, scansioni di mpam e antivir stesso pulite e senza detections. Ah, ovviamente xptcpip non risolve. Boh.
Qua ci sono comunque i log:
http://www.fileqube.com/shared/TKZwfh116811
http://www.fileqube.com/shared/OaAdoj116812
http://www.fileqube.com/shared/ogrPqY116815
In ogni caso, mille grazie!
INK
:muro:

wjmat
30-09-2008, 07:37
Ultimo tentativo prima di formattare... Da quanto ho potuto capire, bagle l'ho rimosso, ma c'è un danno che proprio non riesco a riparare: dopo 8/10 minuti di connessione a internet il traffico dati, sia in entrata sia in uscita, si azzera. Riavviando la connessione funziona di nuovo, ha i suoi 8/10 minuti di gloria e si è da capo. Per il resto il pc sembra di nuovo a posto: servizi riattivati, online armor e antivir reinstallati e aggiornati, scansioni di mpam e antivir stesso pulite e senza detections. Ah, ovviamente xptcpip non risolve. Boh.
Qua ci sono comunque i log:
http://www.fileqube.com/shared/TKZwfh116811
http://www.fileqube.com/shared/OaAdoj116812
http://www.fileqube.com/shared/ogrPqY116815
In ogni caso, mille grazie!
INK
:muro:
con gmer non hai cliccato su scan, secondo me


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O16 - tutte le voci senza riferimenti a microsoft


online armor e antivir li hai configurati come da guide?
nel trattamento che ho in firma ho tutti i riferimenti...
fai una scansione completa con antivir e carica il log
vorremmo vedere anche quello di malwarebytes

queste tracce sono il vecchio firewall?
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

wjmat
30-09-2008, 07:58
nessuno dei due. il problema e' che lasciando attivo il processo hldrrr, riavviando per andare in mod. provvisoria, non riesco ad andarci(il pc si riavvia all'infinito. devo premere F5 e rientrare in windows). in mod. provvisoria posso andarci se disattivo il processo hldrrr, solo che poi credo non venga visto dagli antivirus. infatti al riavvio si ripresenta
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla e cancella tutti crack se non lo hai fatto prima
Ripeti le scansioni e allega i nuovi log
Dopo elibagla:
Scarica OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Lancialo -> Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto nella finestra "Paste List of Files/Folders to be moved"


%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp


clicca su MoveIT
al successivo riavvio carica il log che trovi in C:\_OTMoveIt\MovedFiles

Chill-Out
30-09-2008, 08:16
nessuno dei due. il problema e' che lasciando attivo il processo hldrrr, riavviando per andare in mod. provvisoria, non riesco ad andarci(il pc si riavvia all'infinito. devo premere F5 e rientrare in windows). in mod. provvisoria posso andarci se disattivo il processo hldrrr, solo che poi credo non venga visto dagli antivirus. infatti al riavvio si ripresenta

hldrrr.exe viene eliminato sia da EliBagla che da MBAM quindi come terza ipotesi non hai eliminato i crack che hanno generato l'infezione.

kekken
30-09-2008, 10:59
Ciao ma se non alleghi i log per noi è diffcile prestare assistenza.

Elibagla questa volta non mi ha lasciato nessun log..ho solo quello di malwarbytes.comunque entrambi non hanno trovato nessuna infezione

wjmat
30-09-2008, 11:27
Elibagla questa volta non mi ha lasciato nessun log e quello di malwarbytes non so dove trovarlo..comunque entrambi non hanno trovato nessuna infezione

elibagla lo lascia sempre al solito posto il log...
per l'altro leggi nelle info Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

kekken
30-09-2008, 11:34
elibagla lo lascia sempre al solito posto il log...
per l'altro leggi nelle info Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

ok..I problemi rimasti sono che all avvio mi segnala l'errore per l'apertura di windows defender e mi chiede sempre di aprire n file: giogo.exe..il resto è a posto..posso reinstallare l'antivirus?

Chill-Out
30-09-2008, 11:37
ok..I problemi rimasti sono che all avvio mi segnala l'errore per l'apertura di windows defender e mi chiede sempre di aprire n file: giogo.exe..il resto è a posto..posso reinstallare l'antivirus?

Allega il log di EliBagla

gigi80
30-09-2008, 11:38
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla e cancella tutti crack se non lo hai fatto prima
Ripeti le scansioni e allega i nuovi log
Dopo elibagla:
Scarica OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Lancialo -> Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto nella finestra "Paste List of Files/Folders to be moved"


%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp


clicca su MoveIT
al successivo riavvio carica il log che trovi in C:\_OTMoveIt\MovedFiles
ecco il log.http://www.fileqube.com/shared/JyludDXnT117345
comunque,da ignorante nel settore, credo di aver beccato qualche nuova versone del virus in quanto ieri m'è apparsa una finestra di elibagle che mi diceva di inviare per email (al loro indirizzo di saTinfo) il file c:/muestras/hldrrr.exe

ps.grazie per la disponibilità che dimostrate eh!!! :)

kekken
30-09-2008, 11:44
Allega il log di EliBagla

sto facendo una nuova scansione

wjmat
30-09-2008, 12:07
ecco il log.http://www.fileqube.com/shared/JyludDXnT117345
comunque,da ignorante nel settore, credo di aver beccato qualche nuova versone del virus in quanto ieri m'è apparsa una finestra di elibagle che mi diceva di inviare per email (al loro indirizzo di saTinfo) il file c:/muestras/hldrrr.exe

ps.grazie per la disponibilità che dimostrate eh!!! :)
come sei messo ora?

gigi80
30-09-2008, 12:41
come sei messo ora?
come prima!!!
a dire la verità sto cercando di seguire un'altra guida trovata in rete (scansione online con kaspersky per identificare le false immagini infette dal virus e poi sfruttando avenger (una sua versione modificata ) faccio un copiaincolla e lanciare uno script. solo che kaspersky non parte per problemi con java, ora sto cercando di fare un aggiornamento. tra 3-4 giorni salvo i file di mio interesse e formatto tutto

wjmat
30-09-2008, 13:07
come prima!!!
a dire la verità sto cercando di seguire un'altra guida trovata in rete (scansione online con kaspersky per identificare le false immagini infette dal virus e poi sfruttando avenger (una sua versione modificata ) faccio un copiaincolla e lanciare uno script. solo che kaspersky non parte per problemi con java, ora sto cercando di fare un aggiornamento. tra 3-4 giorni salvo i file di mio interesse e formatto tutto
probabilmente hai davvero una versione nuova...

quella segnalazione di elibagla contiene qualcosa?
c:/muestras/hldrrr.exe
elibagla viene aggiornato molto spesso, verifica se non hanno già appportato cambiamenti per il nuovo bagle, sempre che lo sia...

Chill-Out
30-09-2008, 14:09
probabilmente hai davvero una versione nuova...

quella segnalazione di elibagla contiene qualcosa?
c:/muestras/hldrrr.exe
elibagla viene aggiornato molto spesso, verifica se non hanno già appportato cambiamenti per il nuovo bagle, sempre che lo sia...

No è normale

Por favor, envienos una muestra del fichero
C:\Muestras\hldrrr.exe.........

Ink Riccato
30-09-2008, 15:42
(1)
online armor e antivir li hai configurati come da guide?
prima no, adesso (ossia prima delle scansioni di cui metto qua i log) l'ho fatto.

(2)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
queste tracce sono il vecchio firewall?
sì, prima c'era installato zonealarm (ora tra l'altro ora mi viene negato l'accesso se tento di eliminare la robaccia che mi è rimasta sull'Hd).

(3)
i log richiesti sono nello zip
Grazie ancora.
INK

Chill-Out
30-09-2008, 15:49
(1)
online armor e antivir li hai configurati come da guide?
prima no, adesso (ossia prima delle scansioni di cui metto qua i log) l'ho fatto.

(2)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
queste tracce sono il vecchio firewall?
sì, prima c'era installato zonealarm (ora tra l'altro ora mi viene negato l'accesso se tento di eliminare la robaccia che mi è rimasta sull'Hd).

(3)
i log richiesti sono nello zip
Grazie ancora.
INK

I log non zippati, ma hostati su i server indicati in guida, grazie.

Tonino M
30-09-2008, 16:14
Salve a tutti... Cominciavo a pensare che non avrei mai scritto nel forum, visto che col vostro aiuto ho sempre trovato una soluzione a qualunque problema ;)

Stavolta non è così: penso di essermi beccato il Bagle, anche se forse me ne sono accorto molto presto. Antivirus, Firewall di WinXP, Spybot, HijackThis, CCleaner non si sono mai bloccati: li avevo già installati prima e nessun problema. Mi è venuto il sospetto perchè qualche giorno fa non riuscivo più a visualizzare file e cartelle nascosti... E non avevo più l'opzione nel menu Strumenti > Opzioni cartella...
Ho comunque seguito tutti (o quasi) i passi della guida e in effetti ho trovato qualche schifezza (molte meno di quanto indicato anche in altre guide simili)... Qualcosa come "hldrrr.exe" e chiavi con "SROSA".

Ora sembra tutto a posto: le scansioni fatte con l'AV (Avast), con CCleaner, con Malwarebytes, con GMER, con HiJackThis, ecc... non segnalano (più) nulla di rilevante.

Però TUTTE le cartelle sono in "sola lettura"... Tolgo la spunta, Applica/OK... Sembra a posto (nessun messaggio di errore), ma vado a vedere di nuovo nelle proprietà, la spunta su "sola lettura" è di nuovo lì!

Eseguo il comando attrib -r +s "percorso"... Esegue... Ma la spunta è sempre lì. Stesso discorso per qualunque cartella io abbia provato!

Sapete aiutarmi?

Chill-Out
30-09-2008, 16:29
Salve a tutti... Cominciavo a pensare che non avrei mai scritto nel forum, visto che col vostro aiuto ho sempre trovato una soluzione a qualunque problema ;)

Stavolta non è così: penso di essermi beccato il Bagle, anche se forse me ne sono accorto molto presto. Antivirus, Firewall di WinXP, Spybot, HijackThis, CCleaner non si sono mai bloccati: li avevo già installati prima e nessun problema. Mi è venuto il sospetto perchè qualche giorno fa non riuscivo più a visualizzare file e cartelle nascosti... E non avevo più l'opzione nel menu Strumenti > Opzioni cartella...
Ho comunque seguito tutti (o quasi) i passi della guida e in effetti ho trovato qualche schifezza (molte meno di quanto indicato anche in altre guide simili)... Qualcosa come "hldrrr.exe" e chiavi con "SROSA".

Ora sembra tutto a posto: le scansioni fatte con l'AV (Avast), con CCleaner, con Malwarebytes, con GMER, con HiJackThis, ecc... non segnalano (più) nulla di rilevante.

Però TUTTE le cartelle sono in "sola lettura"... Tolgo la spunta, Applica/OK... Sembra a posto (nessun messaggio di errore), ma vado a vedere di nuovo nelle proprietà, la spunta su "sola lettura" è di nuovo lì!

Eseguo il comando attrib -r +s "percorso"... Esegue... Ma la spunta è sempre lì. Stesso discorso per qualunque cartella io abbia provato!

Sapete aiutarmi?

Potresti allegare i log dei tool indicati in Guida, grazie.

Ink Riccato
30-09-2008, 16:55
Riecco i log:
http://www.fileqube.com/shared/grJqEi117550
http://www.fileqube.com/shared/FuPGhneCK117551
http://www.fileqube.com/shared/vkuhr117552
http://www.fileqube.com/shared/WLBxm117553

Grazie.
INK

Chill-Out
30-09-2008, 17:06
Riecco i log:
http://www.fileqube.com/shared/grJqEi117550
http://www.fileqube.com/shared/FuPGhneCK117551
http://www.fileqube.com/shared/vkuhr117552
http://www.fileqube.com/shared/WLBxm117553

Grazie.
INK

Non vedo EliBagla

Ink Riccato
30-09-2008, 17:15
ecco elibagla:
http://www.fileqube.com/shared/fkXnMo117584

INK

Chill-Out
30-09-2008, 17:17
ecco elibagla:
http://www.fileqube.com/shared/fkXnMo117584

INK

Bene, il tuo problema se non erro è relativo alla visualizzazione dei files e cartelle nascosti?

Ink Riccato
30-09-2008, 17:28
Bene, il tuo problema se non erro è relativo alla visualizzazione dei files e cartelle nascosti?

No, con quello non ho problemi per fortuna. Quello che mi succede è:
dopo 8/10 minuti di connessione a internet il traffico dati, sia in entrata sia in uscita, si azzera. Riavviando la connessione funziona di nuovo, ha i suoi 8/10 minuti di gloria e si è da capo.

Chill-Out
30-09-2008, 17:54
No, con quello non ho problemi per fortuna. Quello che mi succede è:
dopo 8/10 minuti di connessione a internet il traffico dati, sia in entrata sia in uscita, si azzera. Riavviando la connessione funziona di nuovo, ha i suoi 8/10 minuti di gloria e si è da capo.

Scusa ti ho confuso con Tonino :stordita:

Da Start - Esegui - digita cmd

da DOS

sc stop vsmon -> batti invio
sc delete vsmon -> batti invio

exit per uscire da DOS

al termine allega nuovo log di HJT e dimmi se il problema si ripresenta

nickemme
30-09-2008, 17:56
procedi con malwarebytes + scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)
Ecco il logo di Kasperspy removal tool:

wjmat
30-09-2008, 17:59
Ecco il logo di Kasperspy removal tool:
Object Scanned Detected Untreated Deleted
All objects 1591677 8 1 6

perchè non li hai lasciati visibili?

Tonino M
30-09-2008, 18:00
Potresti allegare i log dei tool indicati in Guida, grazie.

Allego tutto (mi pare).

EDIT: oops! Ecco i file:
Bagled.txt (http://wikisend.com/download/590716/Bagled.txt)
CCleaner.txt (http://wikisend.com/download/666234/CCleaner.txt)
GMER.txt (http://wikisend.com/download/607352/GMER.txt)
InfoSat.txt (http://wikisend.com/download/491376/InfoSat.txt)

nickemme
30-09-2008, 18:04
Object Scanned Detected Untreated Deleted
All objects 1591677 8 1 6

perchè non li hai lasciati visibili?
xché lasciandoli visibili mi generava un report da 256 Mb... Mentre una volta cancellati ho ottenuto il report allegato. Ho provato diverse volte generando il report da ogni tab presente (statistics, quarantene, ecc ecc) ma ottenevo sempre un file da 250 Mb

Chill-Out
30-09-2008, 18:08
Allego tutto (mi pare).

Non zippati, grazie.

Tonino M
30-09-2008, 18:09
Non zippati, grazie.

Sì, scusa!
Ho editato ora il post.

Chill-Out
30-09-2008, 18:10
Sì, scusa!
Ho editato ora il post.

Non vedo MBAM

Tonino M
30-09-2008, 18:17
Non vedo MBAM

Ok, lo allego tra poco, appena ha finito.
Per ora posso dirti che in tutte le scansioni precedenti (approfondite) non mi pare abbia mai trovato nulla.

Ink Riccato
30-09-2008, 18:54
Scusa ti ho confuso con Tonino :stordita:

Da Start - Esegui - digita cmd

da DOS

sc stop vsmon -> batti invio
sc delete vsmon -> batti invio

exit per uscire da DOS

al termine allega nuovo log di HJT e dimmi se il problema si ripresenta

Purtroppo il problema si ripresenta. :cry:
Ecco il nuovo log di HJT:
http://www.fileqube.com/shared/aDbiG117689
INK

Chill-Out
30-09-2008, 21:20
Purtroppo il problema si ripresenta. :cry:
Ecco il nuovo log di HJT:
http://www.fileqube.com/shared/aDbiG117689
INK

Esegui HJT e clicca su Do a system scan only e metti il segno di spunta nella casella bianc a sx della sotto indicata voce

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

clicca su Fix cheked

Prova a disabilitare momentaneamente Online Armor e vediamo se il problema si ripresenta.

Ink Riccato
30-09-2008, 21:56
Esegui HJT e clicca su Do a system scan only e metti il segno di spunta nella casella bianc a sx della sotto indicata voce



clicca su Fix cheked

Prova a disabilitare momentaneamente Online Armor e vediamo se il problema si ripresenta.

Niente da fare. Soliti dati che arrivano che è una meraviglia per 10 minuti circa e poi più nulla, di punto in bianco. Ma porc...
INK

Chill-Out
30-09-2008, 22:06
Niente da fare. Soliti dati che arrivano che è una meraviglia per 10 minuti circa e poi più nulla, di punto in bianco. Ma porc...
INK

Strano è questo succede dopo aver contratto il Bagle

Ink Riccato
30-09-2008, 22:22
Strano è questo succede dopo aver contratto il Bagle

Con "questo" intendi dire che di norma togliendo dalle scatole vsmon le cose ritornano alla normalità? Boh. Rifacendo lo scan di HJT, la voce 023 relativa a TrueVector-vsmon mi ricompare ma con quel "(file missing)" alla fine.
INK

Chill-Out
30-09-2008, 22:31
Con "questo" intendi dire che di norma togliendo dalle scatole vsmon le cose ritornano alla normalità? Boh. Rifacendo lo scan di HJT, la voce 023 relativa a TrueVector-vsmon mi ricompare ma con quel "(file missing)" alla fine.
INK

http://www.hwupgrade.it/forum/showpost.php?p=24359853&postcount=5311

ZA non è nuovo a questo genere di pasticci, ma la mia domanda era un'altra i problemi sono iniziati dopo il Bagle?

Ink Riccato
30-09-2008, 23:05
http://www.hwupgrade.it/forum/showpost.php?p=24359853&postcount=5311

ZA non è nuovo a questo genere di pasticci, ma la mia domanda era un'altra i problemi sono iniziati dopo il Bagle?

Sì. Prima tutto filava a meraviglia. Questo bizzarro problema della connessione che si suicida dopo 10 min. è un regalino di Bagle, o di qualche sminchiamento causato da Bagle. Sigh...

INK

wjmat
30-09-2008, 23:17
Sì. Prima tutto filava a meraviglia. Questo bizzarro problema della connessione che si suicida dopo 10 min. è un regalino di Bagle, o di qualche sminchiamento causato da Bagle. Sigh...

INK
hai provato anche a disabilitare online armor?

Ink Riccato
30-09-2008, 23:59
Ok. Ce l'ho fatta. A 'sto punto credo si tratti di un effetto collaterale legato al mondo in cui Bagle va a sminchiare ZA. In ogni caso: bisogna andare a eliminare tutte le tracce (file sys e dll) di zonealarm ovunque esse siano, specie in system32. Per evitare tutti gli accessi negati che mi dava, ho usato Killbox in modalità provvisoria. Fatto quello, mi rifunziona tutto come si deve. Evviva.
E grazie per l'attenzione e l'aiuto che mi avete dato.
INK

wjmat
01-10-2008, 08:27
Ok. Ce l'ho fatta. A 'sto punto credo si tratti di un effetto collaterale legato al mondo in cui Bagle va a sminchiare ZA. In ogni caso: bisogna andare a eliminare tutte le tracce (file sys e dll) di zonealarm ovunque esse siano, specie in system32. Per evitare tutti gli accessi negati che mi dava, ho usato Killbox in modalità provvisoria. Fatto quello, mi rifunziona tutto come si deve. Evviva.
E grazie per l'attenzione e l'aiuto che mi avete dato.
INK
guarda qui se trovi dell'altro ;)
http://forums.zonealarm.com/zonelabs/board/message?board.id=AllowAccess&message.id=103

Tonino M
01-10-2008, 09:51
Non vedo MBAM

Ecco il log di MBAM:
mbam-log-2008-09-30 (19-59-52).txt (http://wikisend.com/download/940130/mbam-log-2008-09-30 (19-59-52).txt)

Anche qui, niente.

Ma... Forse ho veramente tolto il Bagle, che -ripeto- ha fatto molto poco danno nel mio caso, solo che sono rimasti gli effetti (tutte le cartelle in "sola lettura"), no?

Chill-Out
01-10-2008, 10:56
Ecco il log di MBAM:
mbam-log-2008-09-30 (19-59-52).txt (http://wikisend.com/download/940130/mbam-log-2008-09-30 (19-59-52).txt)

Anche qui, niente.

Ma... Forse ho veramente tolto il Bagle, che -ripeto- ha fatto molto poco danno nel mio caso, solo che sono rimasti gli effetti (tutte le cartelle in "sola lettura"), no?

Bene, il tuo problema se non erro è relativo alla visualizzazione dei files e cartelle nascosti?

wjmat
01-10-2008, 11:00
Ecco il log di MBAM:
mbam-log-2008-09-30 (19-59-52).txt (http://wikisend.com/download/940130/mbam-log-2008-09-30 (19-59-52).txt)

Anche qui, niente.

Ma... Forse ho veramente tolto il Bagle, che -ripeto- ha fatto molto poco danno nel mio caso, solo che sono rimasti gli effetti (tutte le cartelle in "sola lettura"), no?

carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log classico di HiJackThis [click per info] (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

Tonino M
01-10-2008, 11:13
Bene, il tuo problema se non erro è relativo alla visualizzazione dei files e cartelle nascosti?

Non proprio... Quello era stato per me il "campanello d'allarme", ma ho risolta anche quello, lanciando un script .reg (se non ricordo male).

Ora però continuo a vedere TUTTE le cartelle, su qualunque disco, come in "sola lettura"... Ho letto in giro e per qualcuno sembra un comportamento normale di Windows XP.

Io però a causa di questo non riesco a far girare degli script PHP perchè non hanno permessi di scrittura nelle cartelle di lavoro.
Per il resto, in effetti, posso fare qualunque cosa: scaricare la posta con Thunderbird (presumo che scriva in cartelle anche queste con la spunta "sola lettura"), creo/modifico/elimino file, ecc...

Ho usato anche il comando ATTRIB, con varie opzioni, ma niente: gli script di PHP non riescono ad accedere alle cartelle.

Aggiungo: sono loggato come utente del gruppo Amministratore

Chill-Out
01-10-2008, 11:32
Non proprio... Quello era stato per me il "campanello d'allarme", ma ho risolta anche quello, lanciando un script .reg (se non ricordo male).

Esatto

Ora però continuo a vedere TUTTE le cartelle, su qualunque disco, come in "sola lettura"... Ho letto in giro e per qualcuno sembra un comportamento normale di Windows XP.

Esatto

Io però a causa di questo non riesco a far girare degli script PHP perchè non hanno permessi di scrittura nelle cartelle di lavoro.
Per il resto, in effetti, posso fare qualunque cosa: scaricare la posta con Thunderbird (presumo che scriva in cartelle anche queste con la spunta "sola lettura"), creo/modifico/elimino file, ecc...

Ho usato anche il comando ATTRIB, con varie opzioni, ma niente: gli script di PHP non riescono ad accedere alle cartelle.

Aggiungo: sono loggato come utente del gruppo Amministratore


Dovresti essere più dettagliato, comunque non sono problemi legati al Bagle.

Tonino M
01-10-2008, 11:52
Dovresti essere più dettagliato, comunque non sono problemi legati al Bagle.

Ok, almeno siamo sicuri che Bagle non c'entra più niente, giusto?
(Se è così, proseguo con il Trattamento di post disinfezione)

Cerco di spiegarmi meglio (o apro un nuovo thread?)
Che tutte le cartelle dei miei dischi avessero una "spunta" (non proprio una spunta, ma la casella "annerita") su "sola lettura", anche prima del Bagle e non me ne ero mai accorto (parlo di Win XP Pro), ci posso stare...
Ora però certi script PHP che eseguo in localhost (webserver WAMP), mi danno errore... Tutti errori che dicono o equivalgono a dire "non posso scrivere nella cartella XXX".

Come sempre, sono andato a controllare la cartella XXX per togliere la spunta di "sola lettura"... Ma l'errore di scrittura si ripete. Infatti quella casella di spunta è di nuovo "annerita" (ripeto: NON proprio "spuntata").

Consigli? ...O vi sto portando off topic?? :(

wjmat
01-10-2008, 11:59
Ok, almeno siamo sicuri che Bagle non c'entra più niente, giusto?
(Se è così, proseguo con il Trattamento di post disinfezione)

Cerco di spiegarmi meglio (o apro un nuovo thread?)
Che tutte le cartelle dei miei dischi avessero una "spunta" (non proprio una spunta, ma la casella "annerita") su "sola lettura", anche prima del Bagle e non me ne ero mai accorto (parlo di Win XP Pro), ci posso stare...
Ora però certi script PHP che eseguo in localhost (webserver WAMP), mi danno errore... Tutti errori che dicono o equivalgono a dire "non posso scrivere nella cartella XXX".

Come sempre, sono andato a controllare la cartella XXX per togliere la spunta di "sola lettura"... Ma l'errore di scrittura si ripete. Infatti quella casella di spunta è di nuovo "annerita" (ripeto: NON proprio "spuntata").

Consigli? ...O vi sto portando off topic?? :(
log di hjt
magari hai qualche restrizione....

Chill-Out
01-10-2008, 12:00
Ok, almeno siamo sicuri che Bagle non c'entra più niente, giusto?
(Se è così, proseguo con il Trattamento di post disinfezione)

Cerco di spiegarmi meglio (o apro un nuovo thread?)
Che tutte le cartelle dei miei dischi avessero una "spunta" (non proprio una spunta, ma la casella "annerita") su "sola lettura", anche prima del Bagle e non me ne ero mai accorto (parlo di Win XP Pro), ci posso stare...
Ora però certi script PHP che eseguo in localhost (webserver WAMP), mi danno errore... Tutti errori che dicono o equivalgono a dire "non posso scrivere nella cartella XXX".

Come sempre, sono andato a controllare la cartella XXX per togliere la spunta di "sola lettura"... Ma l'errore di scrittura si ripete. Infatti quella casella di spunta è di nuovo "annerita" (ripeto: NON proprio "spuntata").

Consigli? ...O vi sto portando off topic?? :(

Il Bagle direi che è stato debellato, per l'altro "problema" qui siamo OT, ti ancipo comunque che col comando ATTRIB si rischia di fare pasticci quindi è possibile che in alcuni programmi vengano mostrati messaggi di errore quando si cerca di salvare file in una cartella

Eventualmente cheidi qui: http://www.hwupgrade.it/forum/forumdisplay.php?f=33

Tonino M
01-10-2008, 12:06
log di hjt
magari hai qualche restrizione....

Ok, aggiungo anche questo: hijackthis.log (http://wikisend.com/download/957854/hijackthis.log)... Ma mi sembra pulito, vero?

wjmat
01-10-2008, 12:10
Ok, aggiungo anche questo: hijackthis.log (http://wikisend.com/download/957854/hijackthis.log)... Ma mi sembra pulito, vero?

La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log
poi comincia a leggerti il trattamento
IE va aggiornato quanto prima

Tonino M
01-10-2008, 12:11
Il Bagle direi che è stato debellato,

Sicuro? Procedo con il trattamento? :)

per l'altro "problema" qui siamo OT, ti ancipo comunque che col comando ATTRIB si rischia di fare pasticci quindi è possibile che in alcuni programmi vengano mostrati messaggi di errore quando si cerca di salvare file in una cartella

Sì, lo so... Infatti ho usato sempre solo l'opzione -r (al massimo insieme a /S)... Non ho mai cambiato (credo) le impostazioni di sistema.

Eventualmente cheidi qui: http://www.hwupgrade.it/forum/forumdisplay.php?f=33

Comunque, va bene, chiedo lì.
Ti ringrazio molto ;)

Tonino M
01-10-2008, 12:17
La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log

Ok, ecco qui il log: hijackthis.log (http://wikisend.com/download/477106/hijackthis.log)

poi comincia a leggerti il trattamento
IE va aggiornato quanto prima

IE non vorrei aggiornarlo... Faccio siti web e mi serve la v.6 per vedere come la vedono gli utenti che hanno ancora questa versione a dir poco pietosa ;)

wjmat
01-10-2008, 13:07
Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [WengoPhoneNG] C:\Programmi\WengoPhone\qtwengophone.exe -b
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O16 - tutte le voci senza riferimenti a microsoft


avast io lo farei fuori al più presto

ie6 puoi tenerlo su un sistema virtualizzato ;)

Tonino M
01-10-2008, 14:07
Carica il nuovo log con la funzione gestisci allegati


Ecco il nuovo log del nuovo HJT: hijackthis.log (http://wikisend.com/download/472754/hijackthis.log)

avast io lo farei fuori al più presto

Come vedrai dal log, l'ho fatto fuori e ho installato Avira AntiVir ;)
Ma... perchè pensi che Avast sia da sostituire? Io l'ho usato per anni e mi è sembrato molto meglio di tanti altri AV.
Anche in Antivir sono attivi provider per P2P, Messaggistica, ecc...?

ie6 puoi tenerlo su un sistema virtualizzato ;)

O ancora meglio (ma laborioso!) posso usare IE6-standalone (http://browsers.evolt.org/?ie/32bit/standalone). Che ne pensi?

wjmat
01-10-2008, 15:07
Ecco il nuovo log del nuovo HJT: hijackthis.log (http://wikisend.com/download/472754/hijackthis.log)



Come vedrai dal log, l'ho fatto fuori e ho installato Avira AntiVir ;)
Ma... perchè pensi che Avast sia da sostituire? Io l'ho usato per anni e mi è sembrato molto meglio di tanti altri AV.
Anche in Antivir sono attivi provider per P2P, Messaggistica, ecc...?



O ancora meglio (ma laborioso!) posso usare IE6-standalone (http://browsers.evolt.org/?ie/32bit/standalone). Che ne pensi?
qui comparative che dimostrano la validità di antivir
http://virusinfo.info/index.php?page=testseng
http://www.av-comparatives.org/

ie6 standalone... puoi provare mentre hai ancora il 6 normale e vedere se sono identici nelle visualizzazioni che ti interessano poi aggioni quello installato

Tonino M
01-10-2008, 15:24
qui comparative che dimostrano la validità di antivir
http://virusinfo.info/index.php?page=testseng
http://www.av-comparatives.org/

Ok, vedo... A questo punto mi tengo Antivir ;-)


ie6 standalone... puoi provare mentre hai ancora il 6 normale e vedere se sono identici nelle visualizzazioni che ti interessano poi aggioni quello installato

Più che altro, dovrò smanettare un po' nel registro per far funzionare i Conditional Comments (tutte le versioni standalone di IE si "credono" l'ultima installata).

Comunque ho aggiornato a IE7... Anche perchè - ora che hanno copiato Firefox - inizia ad essere un browser moderno! :D

Grazie dell'aiuto!

infettato1234
01-10-2008, 21:16
Ciao a tutti,

ho effettuato una prima volta la procedura e tutto sembrava essere andato per il meglio (anche se stranamente ero riuscito a far partire il pc in mod provvisoria).
l'ho riavviato ma il problema non era risolto.
il log che bagled mi aveva dato la prima volta era tipo di sole 3 righe con ora di avvio e ora di fine (e ci aveva messo circa 2 secondi per girare)

adesso che ho provato a rilanciarlo, siccome il 99% della CPU è occupata dal maledetto hldrr.exe, mi da "please wait" ma sembra che non vada niente (in task manager è a cpu = 0).

mi sapreste aiutare? sono disperato!!!

grazie in anticipo,

roberto

Tognothebest
01-10-2008, 22:13
ciao a tutti...un paio di giorni fa, grazie al vostro forum, ho scoperto di essere infetto da bagle...così ho seguito le vostre procedure....dopo la scansione con malwarebytes ho scovato i file tipici del bagle(hldrrr.exe, srosa.sys, ecc...) li ho rimossi, ma al passaggio successivo (pulizia con CCleaner) non riesco nemmeno ad avviare il programma.... potreste aiutarmi...??

Ringraziandovi sin da ora vi allego anke un log di HiJack...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.02.56, on 01/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\VMware\VMware Workstation\vmware-tray.exe
C:\Programmi\VMware\VMware Workstation\hqtray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\IXP001.TMP\ms_cfg.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Setup.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Proprietario\Desktop\Tools-Anti-Bagle-nuovo\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.arianna.it/perie/hometestie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vmware-tray] C:\Programmi\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programmi\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\RarSFX0\8agle.cmd"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [System] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\IXP001.TMP\ms_cfg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165421571671
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{337EAE84-2D9B-4B09-9A88-69CE5C4AFEBC}: NameServer = 85.37.17.6 85.38.28.89
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: zoneclim32 - C:\WINDOWS\SYSTEM32\zoneclim32.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programmi\File comuni\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programmi\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programmi\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 15951 bytes


grazie mille

wjmat
01-10-2008, 22:48
ciao a tutti...un paio di giorni fa, grazie al vostro forum, ho scoperto di essere infetto da bagle...così ho seguito le vostre procedure....dopo la scansione con malwarebytes ho scovato i file tipici del bagle(hldrrr.exe, srosa.sys, ecc...) li ho rimossi, ma al passaggio successivo (pulizia con CCleaner) non riesco nemmeno ad avviare il programma.... potreste aiutarmi...??

Ringraziandovi sin da ora vi allego anke un log di HiJack...



grazie mille
carica tutti i log richiesti secondo le modalità
ccleaner va reinstallato se già lo avevi

Chill-Out
02-10-2008, 08:55
Ciao a tutti,

ho effettuato una prima volta la procedura e tutto sembrava essere andato per il meglio (anche se stranamente ero riuscito a far partire il pc in mod provvisoria).
l'ho riavviato ma il problema non era risolto.
il log che bagled mi aveva dato la prima volta era tipo di sole 3 righe con ora di avvio e ora di fine (e ci aveva messo circa 2 secondi per girare)

adesso che ho provato a rilanciarlo, siccome il 99% della CPU è occupata dal maledetto hldrr.exe, mi da "please wait" ma sembra che non vada niente (in task manager è a cpu = 0).

mi sapreste aiutare? sono disperato!!!

grazie in anticipo,

roberto

Segui passo passo la Guida in prima pagina allegando i log secondo le modalità indicate, thx.

Tonino M
02-10-2008, 09:14
Ok, vedo... A questo punto mi tengo Antivir ;-)

Scusate se torno a chiedere aiuto...
Come mi avete consigliato, ora sto usando Antivir, che - oltre ad aver trovato l'archivo da cui probabilmente è "nato" Bagle - continua ora a segnalami come virus anche il tool spagnolo che ho scaricato seguendo la guida: bagled.exe.

Dice di aver trovato: APPL/NirCmd.E.2.B ...ma se cerco informazioni, il loro DB non ne ha.

E' solo un falso positivo? Elimino?

wjmat
02-10-2008, 09:18
Scusate se torno a chiedere aiuto...
Come mi avete consigliato, ora sto usando Antivir, che - oltre ad aver trovato l'archivo da cui probabilmente è "nato" Bagle - continua ora a segnalami come virus anche il tool spagnolo che ho scaricato seguendo la guida: bagled.exe.

Dice di aver trovato: APPL/NirCmd.E.2.B ...ma se cerco informazioni, il loro DB non ne ha.

E' solo un falso positivo? Elimino?
dovrebbe essere un falso
cancellalo pure che non te ne fai più nulla

anche in futuro, se non sei sicuro, fai controllare i file su www.virustotal.com e su http://virscan.org/

infettato1234
02-10-2008, 09:24
Segui passo passo la Guida in prima pagina allegando i log secondo le modalità indicate, thx.

Ciao Chill-Out,

grazie mille per la risposta.
Seguendo di nuovo passo passo la guida sembrerebbe che il problema sia stato eliminato.
il mio unico dubbio è che, da quando ho preso il virus, all'avvio mi si apre una finestra del tipo esplora risorse intitolata "Select Files to Crack".
sebrerebbe che il virus viene "debellato" dalla procedura ma, ad ogi riavvio, si riproponga.
avete qualche consiglio?

grazie in anticipo,

Roberto

Chill-Out
02-10-2008, 09:29
Ciao Chill-Out,

grazie mille per la risposta.
Seguendo di nuovo passo passo la guida sembrerebbe che il problema sia stato eliminato.
il mio unico dubbio è che, da quando ho preso il virus, all'avvio mi si apre una finestra del tipo esplora risorse intitolata .
sebrerebbe che il virus viene "debellato" dalla procedura ma, ad ogi riavvio, si riproponga.
avete qualche consiglio?

grazie in anticipo,

Roberto

Ti ripeto abbiamo bisogno di vedere i log, se no tiriamo ad indovinare, se appare la finestra "Select Files to Crack" il virus non è stato completamente debellato, quindi disattiva ripristino configurazione sistema - elimina i crack che hanno generato l'infezione - non collegare supporti removibili USB - ripeti la procedura ed allega i log :)

Tonino M
02-10-2008, 09:54
Sto perdendo un sacco di tempo per il lavoro... Ma quante cose sto imparando! ;)

dovrebbe essere un falso
cancellalo pure che non te ne fai più nulla

Ho sbagliato la domanda... Di sicuro lo elimino, ma dato che lo ho eseguito durante la "terapia" e non è apparso che una finestra di command per pochi istanti, volevo essere sicuro che non fosse una nuova schifezza.


anche in futuro, se non sei sicuro, fai controllare i file su www.virustotal.com e su http://virscan.org/

In effetti dagli scanner online sembra più un falso positivo: oltre Antivir pochissimi altri lo segnalano come sospetto.

Secondo VirScan: 8% Scanner(3/37) found malware!
Secondo VirusTotal: 6/36 (16.67%)

La domanda completa è: lo elimino allegramente o lo elimino preoccupandomi un po'? Ovvero: mi tocca riavviare l'intero arsenale di software che secondo il "trattamento post disinfezione" ho tenuto installato?

Grazie ancora

Chill-Out
02-10-2008, 09:55
Sto perdendo un sacco di tempo per il lavoro... Ma quante cose sto imparando! ;)



Ho sbagliato la domanda... Di sicuro lo elimino, ma dato che lo ho eseguito durante la "terapia" e non è apparso che una finestra di command per pochi istanti, volevo essere sicuro che non fosse una nuova schifezza.



In effetti dagli scanner online sembra più un falso positivo: oltre Antivir pochissimi altri lo segnalano come sospetto.

Secondo VirScan: 8% Scanner(3/37) found malware!
Secondo VirusTotal: 6/36 (16.67%)

La domanda completa è: lo elimino allegramente o lo elimino preoccupandomi un po'? Ovvero: mi tocca riavviare l'intero arsenale di software che secondo il "trattamento post disinfezione" ho tenuto installato?

Grazie ancora

Lo passi in quarantena allegramente :)

Tonino M
02-10-2008, 10:02
Lo passi in quarantena allegramente :)

Ok, fatto. L'importante era farlo allegramente! :)

Grazie di nuovo. Spero di non scocciare più (qui, almeno!) :cincin:

Chill-Out
02-10-2008, 10:06
Ok, fatto. L'importante era farlo allegramente! :)

Grazie di nuovo. Spero di non scocciare più (qui, almeno!) :cincin:

Ciao e buon proseguimento su HWU preferibilmente non in questa sezione ;)

LuckyLuk3
02-10-2008, 10:56
Ciao a tutti!

Ho cercato una soluzione al problema che affligge me (e la mia macchina) da ieri e sono capitato in questa sezione...
hldrrr.exe e flec006.exe...Mi stanno togliendo sonno e salute :muro:

Ho provato tutti i passi di questa guida ma niente...
...La scansione con Malwarebytes ad un certo punto si blocca (Non Risponde), CCleaner non s'avvia, e qualunque altro software consigliato in questa sezione mi viene segnalato come "applicazione non valida di win32" e non s'avvia...Perfino Hijackthis ed Avast :(

Sono riuscito ad avviare solo Beagled ed Elibagla...Vi posto i log...anche se per quanto riguarda il secondo (Elibagla) ho i miei dubbi che abbia funzionato perfettamente...non ho nemmeno il tempo di spuntare la casella indicata nella guida che viene buttato giù...mah...
Vi allego il logs di Beagled ed Elibagla:
http://wikisend.com/download/603212/Bagled.txt
http://wikisend.com/download/523378/InfoSat.txt


Ah dimenticavo:

AIUTO. :help: :cry:

Chill-Out
02-10-2008, 11:13
Ciao a tutti!

Ho cercato una soluzione al problema che affligge me (e la mia macchina) da ieri e sono capitato in questa sezione...
hldrrr.exe e flec006.exe...Mi stanno togliendo sonno e salute :muro:

Ho provato tutti i passi di questa guida ma niente...
...La scansione con Malwarebytes ad un certo punto si blocca (Non Risponde), CCleaner non s'avvia, e qualunque altro software consigliato in questa sezione mi viene segnalato come "applicazione non valida di win32" e non s'avvia...
Sono riuscito ad avviare solo Beagled ed Elibagla...Vi posto i log...anche se per quanto riguarda il secondo (Elibagla) ho i miei dubbi che abbia funzionato perfettamente...non ho nemmeno il tempo di spuntare la casella indicata nella guida che viene buttato giù...mah...
Vi allego il logs di Bagled ed Elibagla:
http://wikisend.com/download/603212/Bagled.txt
http://wikisend.com/download/523378/InfoSat.txt


Ah dimenticavo:

AIUTO. :help: :cry:

NB: disattiva ripristino configurazione sistema - elimina tutti i crack che hanno generato l'infezione - non collegare supporti removibili USB

scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
C:\DOCUMENTS AND SETTINGS\ROBERTO\DATI APPLICAZIONI\M\FLEC006.EXE
C:\DOCUMENTS AND SETTINGS\ROBERTO\DATI APPLICAZIONI\M\LIST.OCT


clicca su MoveIT
se ti viene chiesto di riavviare NON RIAVVIARE e procedi con un altra scansione con EliBagla, al termine riavvia ed allega entrabi i log, il log di OTMoveIT2 lo trovi in C:\_OTMoveIt\MovedFiles

LuckyLuk3
02-10-2008, 11:35
Innanzitutto grazie infinite per l'interesse al mio problema e per la risposta Chill-Out, ho seguito le tue istruzioni ed allego i logs:

http://wikisend.com/download/808416/InfoSat.txt
http://wikisend.com/download/942342/10022008_122551.log

P.S.
L'archivio contenente la (presunta) crack l'ho cancellato non appena ho aperto l'archivio stesso...Era palesemente trojanizzato, cosa strana è che s'è propagato ugualmente nonostante non l'abbia nemmeno avviato e tantomeno estratto dall'archivio...Devo essere rimasto un pò indietro rispetto alle moderne tecnologie :D (rido per non piangere :cry: )

Chill-Out
02-10-2008, 11:38
Innanzitutto grazie infinite per l'interesse al mio problema e per la risposta Chill-Out, ho seguito le tue istruzioni ed allego i logs:

http://wikisend.com/download/808416/InfoSat.txt
http://wikisend.com/download/942342/10022008_122551.log

P.S.
L'archivio contenente la (presunta) crack l'ho cancellato non appena ho aperto l'archivio stesso...Era palesemente trojanizzato, cosa strana è che s'è propagato ugualmente nonostante non l'abbia nemmeno avviato e tantomeno estratto dall'archivio...Devo essere rimasto un pò indietro rispetto alle moderne tecnologie :D (rido per non piangere :cry: )

Sicuro di aver seguito alla lettere le mie istruzioni perchè EliBagla sembra che non abbia scansionato nulla

LuckyLuk3
02-10-2008, 11:46
Sicuro di aver seguito alla lettere le mie istruzioni perchè EliBagla sembra che non abbia scansionato nulla

Sì, gli unici due dubbi sono:

1-per "spuntare" la casella "Elimina Ficheros Automaticamente" s'intende togliere il baffo oppure lasciarlo? (io l'ho lasciato)
2-Devo chiudere la connessione ad Internet durante queste operazioni?

Per il resto ho fatto tutto alla lettera... :muro: :(

Chill-Out
02-10-2008, 11:49
Sì, gli unici due dubbi sono:

1-per "spuntare" la casella "Elimina Ficheros Automaticamente" s'intende togliere il baffo oppure lasciarlo? (io l'ho lasciato)
2-Devo chiudere la connessione ad Internet durante queste operazioni?

Per il resto ho fatto tutto alla lettera... :muro: :(

1 Si intende lasciarlo ovvero mettere il baffo, tu che hai fatto?

2 Si è sempre meglio

3 Ripeti la scansione con EliBagla dopo averlo riscaricato ed allega il log

LuckyLuk3
02-10-2008, 12:24
1 Si intende lasciarlo ovvero mettere il baffo, tu che hai fatto?

2 Si è sempre meglio

3 Ripeti la scansione con EliBagla dopo averlo riscaricato ed allega il log

L'avevo lasciato il baffo...Poi mi sono scollegato da Internet...Riscaricato EliBagla dalla prima pagina di questa guida...Effettuata nuova scansione ma il risultato è sempre identico, dunque è anche inutile che ti riallego il log...Solo in apertura mi dice
"Detectado Gusano Bagle. Reinicie para completar la Limpieza" ma poi, come tu stesso hai visto, non scansiona un bel nulla.

Che faccio?:muro:

wjmat
02-10-2008, 13:47
L'avevo lasciato il baffo...Poi mi sono scollegato da Internet...Riscaricato EliBagla dalla prima pagina di questa guida...Effettuata nuova scansione ma il risultato è sempre identico, dunque è anche inutile che ti riallego il log...Solo in apertura mi dice
"Detectado Gusano Bagle. Reinicie para completar la Limpieza" ma poi, come tu stesso hai visto, non scansiona un bel nulla.

Che faccio?:muro:
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla tutti i programmi crackati e cancella tutte le crack se non lo hai fatto prima
Riscarica tutti i tool, rifai le scansioni (da modalità provvisoria se va) e allega i nuovi log

LuckyLuk3
02-10-2008, 14:49
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla tutti i programmi crackati e cancella tutte le crack se non lo hai fatto prima
Riscarica tutti i tool, rifai le scansioni (da modalità provvisoria se va) e allega i nuovi log

"Tutte le crack" intendi anche quelle che ho scaricato anni fa e che ho in condivisione? Lo chiedo perchè quella da cui proveniva il virus l'ho già cancellata, dunque se possibile eviterei volentieri di buttare quelle "buone"...Quanto ai programmi crackati sono così tanti che faccio prima a piallare il disco fisso...L'unica cosa che ho in originale è l'OS (lol).

wjmat
02-10-2008, 14:51
"Tutte le crack" intendi anche quelle che ho scaricato anni fa e che ho in condivisione? Lo chiedo perchè quella da cui proveniva il virus l'ho già cancellata, dunque se possibile eviterei volentieri di buttare quelle "buone"...Quanto ai programmi crackati sono così tanti che faccio prima a piallare il disco fisso...L'unica cosa che ho in originale è l'OS (lol).
tutte le ultime di sicuro....

gigi80
02-10-2008, 18:54
ciao a tutti, rieccomi pulito e disinfettato!! (ho formattato tutto!!):)
scrivo questo post per ringraziare gli utenti che mi hanno dato tutti i consigli!! grazie raga'!!;)
me lo consigliate un buon antivirus da installare? magari di quelli che non necessitano di licenza?
scusate l'OT, a presto! (spero su altre sezioni!!)

wjmat
02-10-2008, 19:05
ciao a tutti, rieccomi pulito e disinfettato!! (ho formattato tutto!!):)
scrivo questo post per ringraziare gli utenti che mi hanno dato tutti i consigli!! grazie raga'!!;)
me lo consigliate un buon antivirus da installare? magari di quelli che non necessitano di licenza?
scusate l'OT, a presto! (spero su altre sezioni!!)
ciao
nel trattamento che ho in firma trovi come mettere al sicuro il pc

gigi80
02-10-2008, 19:19
ciao
nel trattamento che ho in firma trovi come mettere al sicuro il pc
gentilissimo,grazie!
grazie anche per la pazienza che hai avuto nell'aiutarmi nei giorni scorsi!!;)

wjmat
02-10-2008, 19:21
gentilissimo,grazie!
grazie anche per la pazienza che hai avuto nell'aiutarmi nei giorni scorsi!!;)
di nulla
non ho capito perchè sei sparito e gliel'hai data vinta... ;)

gigi80
02-10-2008, 19:31
di nulla
non ho capito perchè sei sparito e gliel'hai data vinta... ;)
diciamo che sono una mezza sega col pc, avevo fatto casini cancellando manualmente cartelle importanti (di java!!) e quindi non riuscivo a fare le scansioni on-line. cercavo di cancellare e reinstallare java ma non ci riuscivo.. dato che la tentazione di far volare il pc giu' per il quinto piano era forte,l'ho affidato nelle mani di mio fratello (un po' + esperto di me) e gli ho chiesto di formattarmelo! per lavoro poi ho avuto poco tempo per stare davanti al pc!
il lato positivo e' che ho conosciuto questo forum, leggero' le vostre discussioni per imparare qualcosina in piu' sul pc!

furettone
02-10-2008, 23:41
mi hanno indicato di postare i log qui...io vado


http://www.fileqube.com/shared/XsPEhxrv120421

http://www.fileqube.com/shared/oSSSRwrF120422

http://www.fileqube.com/shared/ranKlcGIY120423

http://www.fileqube.com/shared/nvHbQkv120424

http://www.fileqube.com/shared/EWyHASWCR120427

http://www.fileqube.com/shared/SlsSoHqm120428

ho seguito la guida
altri log non li ho cmq se riuscite date un'occhiata
grazie mille
scusate se ci sono errori ma sono un novello
ho fatto il possibile....

Chill-Out
02-10-2008, 23:49
mi hanno indicato di postare i log qui...io vado


http://www.fileqube.com/shared/XsPEhxrv120421

http://www.fileqube.com/shared/oSSSRwrF120422

http://www.fileqube.com/shared/ranKlcGIY120423

http://www.fileqube.com/shared/nvHbQkv120424

ho seguito la guida
altri log non li ho cmq se riuscite date un'occhiata
grazie mille
scusate se ci sono errori ma sono un novllo

Non ti ho detto di postare i log che avevi già prodotto, ma di seguire passo passo la guida in prima pagina. Presta attenzione dal log di MBAM si evince che al termine della scansione non hai eliminato i malware rilevati, quindi terminata la scansione elimina i files infetti.

tmviet
03-10-2008, 08:16
grazie ragazzi.
Mercoledi ero da un mio vicino che aveva questo virus rilevato da AVG 8 sembrerebbe risolto .
Oggi inserendo la chiavetta di memoria da 8 GB che avevo inserito nel pc infetto del mio amico per installargli avg 8 , mi sono accorto che non c'è più l'autorun cioè devo andare su F: e selezionare proprietà eppoi autorun se no non si apre ed in più Norton antivirus qui in ditta mi dice che ha rilevato ed eliminato il virus, come ripristino l'autorun sulla chiavetta :confused:
http://thumbnails10.imagebam.com/1476/03117414751808.gif (http://www.imagebam.com/image/03117414751808)
Free Image Hosting by ImageBam.com (http://www.imagebam.com)

Chill-Out
03-10-2008, 08:35
grazie ragazzi.
Mercoledi ero da un mio vicino che aveva questo virus rilevato da AVG 8 sembrerebbe risolto .
Oggi inserendo la chiavetta di memoria da 8 GB che avevo inserito nel pc infetto del mio amico per installargli avg 8 , mi sono accorto che non c'è più l'autorun cioè devo andare su F: e selezionare proprietà eppoi autorun se no non si apre ed in più Norton antivirus qui in ditta mi dice che ha rilevato ed eliminato il virus, come ripristino l'autorun sulla chiavetta :confused:
http://thumbnails10.imagebam.com/1476/03117414751808.gif (http://www.imagebam.com/image/03117414751808)
Free Image Hosting by ImageBam.com (http://www.imagebam.com)

Ciao il 3D dove postare la tua richiesta di aiuto è questo http://www.hwupgrade.it/forum/showthread.php?t=1599603 dalla descrizione che hai dato sembra che anche tu ti sia infettato, io farei gli opportuni controlli.

PS: per riparare l'autoplay http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en

furettone
03-10-2008, 14:07
Non ti ho detto di postare i log che avevi già prodotto, ma di seguire passo passo la guida in prima pagina. Presta attenzione dal log di MBAM si evince che al termine della scansione non hai eliminato i malware rilevati, quindi terminata la scansione elimina i files infetti.

su questi altri log che mi dite?
aiuto grazie
ora mi compare anche la schermata (all'avvio di windows xp) di cmd.exe e poi scompare..
che fare?
grazie

Chill-Out
03-10-2008, 14:14
su questi altri log che mi dite?
aiuto grazie
ora mi compare anche la schermata (all'avvio di windows xp) di cmd.exe e poi scompare..
che fare?
grazie

Ti dico che sei infetto, se non non ti avrei consigliato di seguire questa Guida

furettone
03-10-2008, 14:23
Ti dico che sei infetto, se non non ti avrei consigliato di seguire questa Guida

ti ringrazio ma ho eseguito tutte le procedue ed ho eliminato(forse )quasi tutto

ora sto rifacendo malwarebytes
poi che mi consigli di fare?
la guida l'ho seguita
grazie

Chill-Out
03-10-2008, 14:25
ti ringrazio ma ho eseguito tutte le procedue ed ho eliminato(forse )quasi tutto

ora sto rifacendo malwarebytes
poi che mi consigli di fare?
la guida l'ho seguita
grazie

Se gentilmente mi alleghi i log.

furettone
03-10-2008, 14:31
Se gentilmente mi alleghi i log.


sono quelli nel post un po' piu' sopra
grazie gli altri non li ho messi perchè cancellavo le cose infette in automatico(forse l'ho fatto solo con ccleaner)
grazie

Chill-Out
03-10-2008, 14:34
sono quelli nel post un po' piu' sopra
grazie gli altri non li ho messi perchè cancellavo le cose infette in automatico(forse l'ho fatto solo con ccleaner)
grazie

I log che devi produrre sono indicati in Guida prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1562611
ovvero:

Bagled
EliBagla
MBAM

aiutami ad aiutarti, thx.

furettone
03-10-2008, 14:44
I log che devi produrre sono indicati in Guida prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1562611
ovvero:

Bagled
EliBagla
MBAM

aiutami ad aiutarti, thx.

allora vediamo se sono questi

http://www.fileqube.com/shared/zQLZKKJzj121070

http://www.fileqube.com/shared/HKLQGPi121072

http://www.fileqube.com/shared/ZlaXO121073 ( di quest'ultimo sto rifacendo il nuovo ma non mi sempre dia infezioni (il nuovo) invece questo dava due infezioni e non sono risucito a toglierle perchè non so da dove si eliminano)
grazie

Chill-Out
03-10-2008, 14:49
allora vediamo se sono questi

http://www.fileqube.com/shared/zQLZKKJzj121070

http://www.fileqube.com/shared/HKLQGPi121072

http://www.fileqube.com/shared/ZlaXO121073 ( di quest'ultimo sto rifacendo il nuovo ma non mi sempre dia infezioni (il nuovo) invece questo dava due infezioni e non sono risucito a toglierle perchè non so da dove si eliminano)
grazie

Terminata la scansione con MBAM seleziona tute le voci classificate come infette e cliccca su Rimuovi elementi selezionati

attendo il log

NB: il ripristino configurazione sistema deve essere disattivato - devi cancellare tutti i crack che hanno generato l'infezione - non collegare suppurti removibili USB

furettone
03-10-2008, 14:58
Terminata la scansione con MBAM seleziona tute le voci classificate come infette e cliccca su Rimuovi elementi selezionati

attendo il log

NB: il ripristino configurazione sistema deve essere disattivato - devi cancellare tutti i crack che hanno generato l'infezione - non collegare suppurti removibili USB

ok grazie
l'altro giorno forse qunado era infetto mi sono detto formatto
quindi ho inserita una pend drive usb per prendermi quello che mi servivano
(di hjatchis hai visto sopra cose devo cancellare(post precedente ancora piu' su).????
che dici è infetta?si è infettata?

grazie

furettone
03-10-2008, 15:01
ok grazie
l'altro giorno forse qunado era infetto mi sono detto formatto
quindi ho inserita una pend drive usb per prendermi quello che mi servivano
(di hjatchis hai visto sopra cose devo cancellare(post precedente ancora piu' su).????
che dici è infetta?si è infettata?

grazie

http://www.fileqube.com/shared/bbtccwGQZ121109

ecco mbam
grazie mille sei gentilissimo

niente infezioni li avro' cancellati quindi

Chill-Out
03-10-2008, 15:05
http://www.fileqube.com/shared/bbtccwGQZ121109

ecco mbam
grazie mille sei gentilissimo

niente infezioni li avro' cancellati quindi

Sembrerebbe, adesso nuovo giro di Elibagla, mi raccomando allega il log

furettone
03-10-2008, 15:10
ok grazie
l'altro giorno forse qunado era infetto mi sono detto formatto
quindi ho inserita una pend drive usb per prendermi quello che mi servivano
(di hjatchis hai visto sopra cose devo cancellare(post precedente ancora piu' su).????
che dici è infetta?si è infettata?

grazie

di cio' che mi dici?

come mai nod32 che avevo installato non lo vedo piu' ?
pero' al cenrto sicurezza mi dice che è attivo?
mi dici di attivare avira?tu che dici?

a pc non connesso ?
grazie

Chill-Out
03-10-2008, 15:16
di cio' che mi dici?

come mai nod32 che avevo installato non lo vedo piu' ?
pero' al cenrto sicurezza mi dice che è attivo?
mi dici di attivare avira?tu che dici?

a pc non connesso ?
grazie

Una cosa per volta, allega il nuovo log di EliBagla

Dimmi se il tuo Nod32 è regolarmente licenziato

furettone
03-10-2008, 15:17
http://www.fileqube.com/shared/RsmtKq121141

ecco comunque mi dice intatto senza infezioni
il pc ora va piu' veloce senza porblemi(molto ma molto piu' veloce entra nelle pagine )
insomma sembra che l'ho ripulito un po'
devo spuntare disativa ripristino di sistema(cioè la spunta la posso togliere ora?penso se ne sia andata automaticamenate)
il nod no
ciao

furettone
03-10-2008, 15:24
poi un'altra cosa si apre questa schermata di cmd.exe
all'avvio di windows ma un secondo e si chiude
che fare?

Chill-Out
03-10-2008, 15:35
http://www.fileqube.com/shared/RsmtKq121141

ecco comunque mi dice intatto senza infezioni
il pc ora va piu' veloce senza porblemi(molto ma molto piu' veloce entra nelle pagine )
insomma sembra che l'ho ripulito un po'
devo spuntare disativa ripristino di sistema(cioè la spunta la posso togliere ora?penso se ne sia andata automaticamenate)
il nod no
ciao

Da chè non volevi allegare i log ora mi stai uccidendo di domande :D , dal momento che Nod32 è farlocco lo disinstalli in favore di Avira Antivir Free configuralo come da Guida, aggiornalo e fai una scansione completa del sistema http://www.hwupgrade.it/forum/showthread.php?t=1514684

allega il log

furettone
03-10-2008, 15:40
Da chè non volevi allegare i log ora mi stai uccidendo di domande :D , dal momento che Nod32 è farlocco lo disinstalli in favore di Avira Antivir Free configuralo come da Guida, aggiornalo e fai una scansione completa del sistema http://www.hwupgrade.it/forum/showthread.php?t=1514684

allega il log

mi dai il link per averlo in italiano free ovviamente?
alla scansione mi ha già dato TR/Dialer.efj come trojan e già messo in quarantena
la scansione sta continuando poi ti posto il log ovviamente.

grazie

Chill-Out
03-10-2008, 15:43
mi dai il link per averlo in italiano free ovviamente?
grazie

Free è solo in English, segui la guida che ti ho linkato è assolutamente semplice, su forza e coraggio.

furettone
03-10-2008, 15:51
ma bene il free in inglese o mi devo trovare il premium da mettere tu che dici?
il nod32 lo elimino da installazioni applicazioni e basta?

wjmat
03-10-2008, 16:04
ma bene il free in inglese o mi devo trovare il premium da mettere tu che dici?
il nod32 lo elimino da installazioni applicazioni e basta?

va bene il free inglese.... il trovare il premium te lo scordi ;) o la compri o tieni il free
per il nod disinstallalo normalmente

furettone
03-10-2008, 17:04
Da chè non volevi allegare i log ora mi stai uccidendo di domande :D , dal momento che Nod32 è farlocco lo disinstalli in favore di Avira Antivir Free configuralo come da Guida, aggiornalo e fai una scansione completa del sistema http://www.hwupgrade.it/forum/showthread.php?t=1514684

allega il log


ti allego il log di avira

http://www.fileqube.com/shared/JSKbKuz121378

ciao grazie per oggi
per la schermata di cmd.exe?ora ho riavviato il pc e mi è uscita la schermata utlit configurazione di sistema e c'è la spunta su avio selettivo con elabora il file.ini .bot. carica servizi di sistema tutti spuntati...
che devo spuntare avvio normale:carica tutti i driver di perifierica e servizi
???
grazie e scusa

grazie

Chill-Out
03-10-2008, 21:03
ti allego il log di avira

http://www.fileqube.com/shared/JSKbKuz121378

ciao grazie per oggi
per la schermata di cmd.exe?ora ho riavviato il pc e mi è uscita la schermata utlit configurazione di sistema e c'è la spunta su avio selettivo con elabora il file.ini .bot. carica servizi di sistema tutti spuntati...
che devo spuntare avvio normale:carica tutti i driver di perifierica e servizi
???
grazie e scusa

grazie

Per fortuna che mi ero raccomandato di disabilitare il ripristino configurazione sistema, così rischiamo di vanifcare l'intera procedura di dinsfezione

C:\System Volume Information\_restore{685CBF9D-E23F-4996-A891-AC31A0855BCB}\RP3\A0003217.exe
[DETECTION] Is the TR/Dialer.efj Trojan
[NOTE] A backup was created as '49164057.qua' ( QUARANTINE )
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] A backup was created as '4b24eff0.qua' ( QUARANTINE )

Procedi così, disabilita momentaneamente il RelaTime di Anvir poi non conoscendo quale versione di Thunderbird stai utilizzando i comandi per la cancellazione della Local Folder possono essere:

File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

oppure

File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato

al termine ripeti la scansione completa del sistema con Antivir ed allega il log

Poi per quanto rigurada questi problemi

per la schermata di cmd.exe?ora ho riavviato il pc e mi è uscita la schermata utlit configurazione di sistema e c'è la spunta su avio selettivo con elabora il file.ini .bot. carica servizi di sistema tutti spuntati...
che devo spuntare avvio normale:carica tutti i driver di perifierica e servizi

devi essere il più dettagliato possibile, perchè io capisca, io sono qui è tu sei lì quindi posso capire i sontomi e prescrivere l'eventuale cura :D solo dalla tua descrizione del problema.

Ciao

furettone
03-10-2008, 23:04
Per fortuna che mi ero raccomandato di disabilitare il ripristino configurazione sistema, così rischiamo di vanifcare l'intera procedura di dinsfezione





Procedi così, disabilita momentaneamente il RelaTime di Anvir poi non conoscendo quale versione di Thunderbird stai utilizzando i comandi per la cancellazione della Local Folder possono essere:

File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

oppure

File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato

al termine ripeti la scansione completa del sistema con Antivir ed allega il log

Poi per quanto rigurada questi problemi



devi essere il più dettagliato possibile, perchè io capisca, io sono qui è tu sei lì quindi posso capire i sontomi e prescrivere l'eventuale cura :D solo dalla tua descrizione del problema.

Ciao



quindi di default la spunta va messa su "disattiva ripristino configurazione di sistema"????
grazie mille per le altre cose
grazie

Chill-Out
03-10-2008, 23:19
quindi di default la spunta va messa su "disattiva ripristino configurazione di sistema"????
grazie mille per le altre cose
grazie

Si dopo lo riattiviamo

furettone
03-10-2008, 23:24
Si dopo lo riattiviamo


ok quindi possso mettere la spunta... ho fatto tutto il lavoro il pc è spedito..

rimetto la spunta e la lascio per sempre?

grazie mille

Chill-Out
03-10-2008, 23:42
ok quindi possso mettere la spunta... ho fatto tutto il lavoro il pc è spedito..

rimetto la spunta e la lascio per sempre?

grazie mille

La spunta la devi mettere per disattivarlo, quindi metti la spunta e scansiuona aspetto sempre il log di Avira

furettone
04-10-2008, 09:36
La spunta la devi mettere per disattivarlo, quindi metti la spunta e scansiuona aspetto sempre il log di Avira


ho eseguito tutto quello che mi hai detto (anche per la mail)

ti allego il log di avira

http://www.fileqube.com/shared/TTTAENr122208


le infezioni ( i malware trovati li cancello vero?)
grazie

wjmat
04-10-2008, 09:42
quarantena tutto

thunderbird è ancora infetto

disattiva momentaneamente il realtime di antivir
lancia thunderbird
cancella tutte le mail infettel
svuota il cestino
File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato
Riattiva il realtime di antivir

Chill-Out
04-10-2008, 09:43
ho eseguito tutto quello che mi hai detto (anche per la mail)

ti allego il log di avira

http://www.fileqube.com/shared/TTTAENr122208


le infezioni ( i malware trovati li cancello vero?)
grazie

1 I malware rilevati vanno messi sempre in quarantena

2 Questo passaggio non l'hai fatto

Procedi così, disabilita momentaneamente il RealTime di Anvir poi non conoscendo quale versione di Thunderbird stai utilizzando i comandi per la cancellazione della Local Folder possono essere:

File --> Non in linea --> Impostazioni 'fuori linea' --> Spazio su disco

oppure

File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato

al termine ripeti la scansione completa del sistema con Antivir ed allega il log


quindi fallo e ripeti la scansione, vorrei inoltre sapere cosa combini con quel PC

furettone
04-10-2008, 09:55
quarantena tutto

thunderbird è ancora infetto

disattiva momentaneamente il realtime di antivir
lancia thunderbird
cancella tutte le mail infettel
svuota il cestino
File -> Non in linea -> Lavora scollegato -> No
dopodichè click destro sulla cartella con le mail in arrivo e selezioni compatta e attendi
File -> Non in linea -> Togli la spunta a Lavora scollegato
Riattiva il realtime di antivir


fatto pero' mail di intesa bancoposta e paypal non ne avevo
cmq ho fatto come mi hai detto tu
ora che fare?mi consigli di eliminare thunderbird(mi arrivano degli spam che vanno direttmante in posta indesiderata non so se sono totalmente controllati)
tu che mi consigli di fare?
ciao

furettone
04-10-2008, 09:57
1 I malware rilevati vanno messi sempre in quaranten

2 Questo passaggio non l'hai fatto



quindi fallo e ripeti la scansione, vorrei inoltre sapere cosa combini con quel PC

ciao da dove li metto in quarantena(li' mi dice che posso cancellarli, mi indichi come?)
si prima l'avevo fatto ora l'ho rifatto cmq
su thunderbird mi arrivano molti spam che vanno in indesiderata
con il pc niente di che giuro
siti normali

Chill-Out
04-10-2008, 09:57
fatto pero' mail di intesa bancoposta e paypal non ne avevo
cmq ho fatto come mi hai detto tu
ora che fare?mi consigli di eliminare thunderbird(mi arrivano degli spam che vanno direttmante in posta indesiderata non so se sono totalmente controllati)
tu che mi consigli di fare?
ciao

http://www.hwupgrade.it/forum/showpost.php?p=24413834&postcount=5395 :read:

furettone
04-10-2008, 10:00
http://www.hwupgrade.it/forum/showpost.php?p=24413834&postcount=5395 :read:


ok rifaccio scansione

è partita e mi ha ritrovato già gli stessi malware di prima...quindi?

50 minuti e finisce

Chill-Out
04-10-2008, 10:07
ok rifaccio scansione

è partita e mi ha ritrovato già gli stessi malware di prima...quindi?

50 minuti e finisce

Vuol dire che non hai fatto ciò che ti è stato indicato :rolleyes:

furettone
04-10-2008, 10:09
Vuol dire che non hai fatto ciò che ti è stato indicato :rolleyes:

è impossibile
allora il real time non è antivir guard?mi dice antivir guard atcivated deactivate e io ho premuto deactivate
giusto?
guarda ho fatto tutto perchè dici di no
?
poi ho fatto tutto con thunderbird alla lettera proprio

Chill-Out
04-10-2008, 10:15
è impossibile
allora il real time non è antivir guard?mi dice antivir guard atcivated deactivate e io ho premuto deactivate
giusto?
guarda ho fatto tutto perchè dici di no
?
poi ho fatto tutto con thunderbird alla lettera proprio

Avira lo spegni cliccando col tasto dx del mouse sull'ombrellino vicino all'orologio, ti dico che non hai fatto i passaggi suddetti perchè Antivir rileva sempre i soliti problemi, tutto qui.

furettone
04-10-2008, 10:22
Avira lo spegni cliccando col tasto dx del mouse sull'ombrellino vicino all'orologio, ti dico che non hai fatto i passaggi suddetti perchè Antivir rileva sempre i soliti problemi, tutto qui.


ok riprovo
grazie e scusa se ti sto facendo perdere tempo

furettone
04-10-2008, 10:29
ok riprovo
grazie e scusa se ti sto facendo perdere tempo

niente tutto fatto ma rileva le stesse infezioni
mi sento stupido

furettone
04-10-2008, 10:35
niente tutto fatto ma rileva le stesse infezioni
mi sento stupido

tra mezz'ora ti posto il log e controlli tu se non ti disturbo
grazie

Chill-Out
04-10-2008, 10:52
ok riprovo
grazie e scusa se ti sto facendo perdere tempo

niente tutto fatto ma rileva le stesse infezioni
mi sento stupido

tra mezz'ora ti posto il log e controlli tu se non ti disturbo
grazie

Non stiamo perdendo tempo stiamo cercando di risolvere i problemi e non c'è motivo di sentirsi stupido a volte non riesce tutto e subito al primo tentativo ;)

furettone
04-10-2008, 11:18
Non stiamo perdendo tempo stiamo cercando di risolvere i problemi e non c'è motivo di sentirsi stupido a volte non riesce tutto e subito al primo tentativo ;)

eccolo ma forse non è cambiato nulla

http://www.fileqube.com/shared/cOHYuXLbk122299

wjmat
04-10-2008, 11:32
hai cancellato le mail?
hai svutato il cestino?
hai fatto quell'operazione con thunder?


fai 2 scansioni complete con
A-Squared http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

Chill-Out
04-10-2008, 11:39
eccolo ma forse non è cambiato nulla

http://www.fileqube.com/shared/cOHYuXLbk122299

hai cancellato le mail?
hai svutato il cestino?
hai fatto quell'operazione con thunder?


fai 2 scansioni complete con
A-Squared http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

successivamente facciamo una scansione online con Bitdefender che dovrebbe risolvere il problema http://www.bitdefender.com/scan8/ie.html

furettone
04-10-2008, 11:42
successivamente facciamo una scansione online con Bitdefender che dovrebbe risolvere il problema http://www.bitdefender.com/scan8/ie.html

ok grazie a tutti e due
faccio 2 scansioni complete con asquared e malwarebytes e poi bitfender

a dopo

chiara.beddy
04-10-2008, 11:45
Ragazzi non riesco ad eliminare Bagle...ho seguito passo passo tutte le istruzioni ma il worm rimane ed ho riscontrato che:

- antivirus, firewall e modalità provvisoria continuano a non funzionare
- ad ogni avvio mi si riattiva il ripristino di configurazione di sistema
- anche la chiavetta usb su cui carico i file mi si infetta con un file chiamato nideiect.com
- non posso più visualizzare i file nascosti, ed è scomparsa anche la voce in gestione cartelle
- inoltre dopo aver fatto il reboot con BagleD, al riavvio mi da questo messaggio che suppongo sia un errore. ha come intestazione Thermida. il mess è il seguente : "an internal exception occured (Adress: 0x5287ef)"

a questo punto ho rifatto tutti i passaggi ridisattivando ad ogni riavvio il ripristino di configurazione di sistema ma nada.

allego i file log di Malwarebytes delle ULTIME SCANSIONI. ah, dimenticavo, BagleD mi ha creato anche un file in c: nella cartella Muestras.


sapete aiutarmi?

chiara.beddy
04-10-2008, 11:46
.....e qui c'è il file di Elibagle

wjmat
04-10-2008, 12:51
.....e qui c'è il file di Elibagle

Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla tutti i programmi crackati e cancella tutte le crack se non lo hai fatto prima
Non inserire chiavette USB o dischi esterni per il momento
Riscarica tutti i tool, rifai le scansioni (da modalità provvisoria se va) e allega i nuovi log

chiara.beddy
04-10-2008, 13:03
il ripristino viene riattivato dal virus ad ogni riavvio. i file crackati li ho cancellati.
La modalità provvisoria purtroppo non funziona, e per ora scaricavo i file da questo pc per poi trasferirli a quello infetto con la chiavetta, ma se tu mi dici di non utilizzarla, posso connettermi alla rete anche con il pc infetto?

wjmat
04-10-2008, 13:46
quando la colleghi al pc sano tieni premuto shift (tra ctrl e maiusc) per evitare complicazioni anche all'altro pc...

riscarica tutto
leggi nel bigino che ho in firma come aggiornare mbam su un pc senza internet, altrimenti scansioni senza firme aggiornate

sniperspa
04-10-2008, 13:57
Non ci credo!son riuscito a far riandare internet!:cry: :gluglu: :ronf:

Ora posso aggiornare antivirus &co e vedere se è rimasto qualche residuo del virus...per ora sembra l'abbia sistemato :)

Il problema non è stato tanto togliere il virus(grazie a bagled e elibagla) ma quanto sistemare i casini che mi aveva combinato nel pc,in particolare non riuscivo più a connettermi a internet(con il 56k) e mi compariva sempre un "errore 720" quando tentavo di connettermi!
Seguendo una guida online sono però riuscito a sistemare il tutto dopo qualche tentativo! :winner:

A qualcuno di voi è capitata la stessa cosa?Il tool in prima pagina per risolvere i problemi di connesione è relativo all'errore 720?

wjmat
04-10-2008, 14:00
Non ci credo!son riuscito a far riandare internet!:cry: :gluglu: :ronf:

Ora posso aggiornare antivirus &co e vedere se è rimasto qualche residuo del virus...per ora sembra l'abbia sistemato :)

Il problema non è stato tanto togliere il virus(grazie a bagled e elibagla) ma quanto sistemare i casini che mi aveva combinato nel pc,in particolare non riuscivo più a connettermi a internet(con il 56k) e mi compariva sempre un "errore 720" quando tentavo di connettermi!
Seguendo una guida online sono però riuscito a sistemare il tutto dopo qualche tentativo! :winner:

A qualcuno di voi è capitata la stessa cosa?
se ci carichi qualche log
e magari il link risolutivo per i 56kb nel caso ci capitasse qualcuno...

chiara.beddy
04-10-2008, 14:05
quando la colleghi al pc sano tieni premuto shift (tra ctrl e maiusc) per evitare complicazioni anche all'altro pc...

riscarica tutto
leggi nel bigino che ho in firma come aggiornare mbam su un pc senza internet, altrimenti scansioni senza firme aggiornate

ho riscaricato tutto e stavolta elibagla mi ritrova il virus pero' poi al riavvio è di nuovo come prima, ripristino configurazione di sistema riattivato, persino elibagla non funziona più (inizia la scansione poi il programma si interrompe) e non riesco a completare nemmeno l'installazione dell'anti malware. che devo fare? intanto ricarico sulla chiavetta mbam con l'aggiornamento, come spieghi nel bigino..

tmviet
04-10-2008, 15:43
Ciao il 3D dove postare la tua richiesta di aiuto è questo http://www.hwupgrade.it/forum/showthread.php?t=1599603 dalla descrizione che hai dato sembra che anche tu ti sia infettato, io farei gli opportuni controlli.

PS: per riparare l'autoplay http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en
Grazie Chill-Out ma ho trovato un metodo diverso, ho eliminato un virus dalla chiavetta grazie al file AntiKnight che ho trovato facendo una ricerca su google.
Ora quando inserisco la chiavetta mi si apre direttamente e vedo il contenuto della chiavetta

tmviet
04-10-2008, 15:49
l'ho trovato e lo posto AntiKnight che a me ha risolto, con la chiavetta inserita nel pc, sia ndeject.com che bagle
http://rapidshare.com/files/150864788/Antiknight.zip.html

E' in spagnolo ma è davvero facile da capire dopo lettura e c'è un solo tasto da schiacciare :D

chiara.beddy
04-10-2008, 16:40
il mio problema invece non è risolto....
da quello che ho capito il file hldrrr.exe non si cancella.
il programma dice che lo cancella nel reboot...ma in realtà rimane.
ecco il log di elibagle.

chiara.beddy
04-10-2008, 16:40
e questo invece è il log di mbam

sniperspa
04-10-2008, 16:55
se ci carichi qualche log
e magari il link risolutivo per i 56kb nel caso ci capitasse qualcuno...

Appena ho il pc sotto mano vedo se posso postare i log...sempre che ce ne siano di utili,visto che ho fatto un pò di confusione nell'uso dei tool...
Cmq sia posso essere d'aiuto dandovi il link della guida che ho seguito per sistemare la connessione di rete...

chiara.beddy
04-10-2008, 16:56
grazie.
io intanto continuo il mio tentativo di eliminazione!

furettone
04-10-2008, 17:05
successivamente facciamo una scansione online con Bitdefender che dovrebbe risolvere il problema http://www.bitdefender.com/scan8/ie.html

tutto eseguito anche bitdifender (3 ore e mezza di lavoro)

allego i log

http://www.fileqube.com/shared/ruILl122823

http://www.fileqube.com/shared/SAVQBIgvr122830

http://www.fileqube.com/shared/ooagAMFeG122832


grazie

nickemme
04-10-2008, 20:37
Ciao a tutti,

qualche giorno fa, con il vostro aiuto, ho eliminato tutte le tracce del bagle, ma ora se avvio firefox (o IE) dopo qualche minuto non mi si caricano più le pagine, e lìunica soluzione è riavviare il pc. una volta fatto, siamo da capo: pochi minuti, ed internet non va più.
Ho notato che ad ogni avvio di internet (firefox o IE), lanciando ccelaner vengono scovati 40 / 50 mb di files da cancellare...
Qualche suggerimento?

Grazie

Chill-Out
04-10-2008, 20:50
tutto eseguito anche bitdifender (3 ore e mezza di lavoro)

allego i log

http://www.fileqube.com/shared/ruILl122823

http://www.fileqube.com/shared/SAVQBIgvr122830

http://www.fileqube.com/shared/ooagAMFeG122832


grazie

Ok quando hai tempo una scansione completa con Avira :)

Ciao

sniperspa
05-10-2008, 13:45
Dunque qui ho solo il log di elibagle perchè quello di bagled è vuoto(forse avrò provato ad usarlo quando avevo già pulito tutto e l'avevo già usato precedentemente)

Questo invece è il link della guida che ho usato per reinstallare i wan miniport,che nel mio caso si è reso necessario visto che con il modem 56k non riuscivo più a connettermi(e a quanto pare non è un problema che affligge solo il dialup ma ank internet key)

Volevo ank chiedere se qualcuno sa cosa devo fare con i file che mi ha creato elibagla in c:???:stordita:

Chill-Out
05-10-2008, 14:20
Dunque qui ho solo il log di elibagle perchè quello di bagled è vuoto(forse avrò provato ad usarlo quando avevo già pulito tutto e l'avevo già usato precedentemente)

Questo invece è il link della guida che ho usato per reinstallare i wan miniport,che nel mio caso si è reso necessario visto che con il modem 56k non riuscivo più a connettermi(e a quanto pare non è un problema che affligge solo il dialup ma ank internet key)

Volevo ank chiedere se qualcuno sa cosa devo fare con i file che mi ha creato elibagla in c:???:stordita:

Il log di EliBagla è pulito ma non vedo il log di MBAM

sniperspa
05-10-2008, 14:35
Il log di EliBagla è pulito ma non vedo il log di MBAM

Giusto non ci avevo pensato...dunque con mbam avevo giusto effettuato una scansione rapida,dopo bagled e elibagla,dal momento che non potevo aggiornarlo

Ora appena posso star connesso per un pò aggiorno ank quello e faccio una scansione completa e se trovo qualcosa relativo a bagla posto un nuovo log...

Chill-Out
05-10-2008, 14:39
Giusto non ci avevo pensato...dunque con mbam avevo giusto effettuato una scansione rapida,dopo bagled e elibagla,dal momento che non potevo aggiornarlo

Ora appena posso star connesso per un pò aggiorno ank quello e faccio una scansione completa e se trovo qualcosa relativo a bagla posto un nuovo log...

aggiornalo e provvedi necessariamente a fare una scansione completa

sniperspa
05-10-2008, 14:43
aggiornalo e provvedi necessariamente a fare una scansione completa

Cmq sia dopo la scansione rapida avevo effettuato ank un paio di scansioni complete ma sempre senza aggiornamento appunto...e non aveva trovato nulla in quelle occasioni....
Appena riesco provvedo cmq!;)

Sika
05-10-2008, 16:45
Aiutatemi per favore...
ho provato a seguire la procedura in prima pagina ma sono già ferma al punto 3 (w. Vista) perchè elibagle non funziona... una volta scaricato clicco "esegui", non appare nulla dove posso spuntare la casella indicato ma anzi appare il messaggio "envienos una muestra del fichero etc.." e si chiude.

ha senso andare avanti con gli altri download? cosa posso fare?
ciao e grazie

Chill-Out
05-10-2008, 16:50
Aiutatemi per favore...
ho provato a seguire la procedura in prima pagina ma sono già ferma al punto 3 (w. Vista) perchè elibagle non funziona... una volta scaricato clicco "esegui", non appare nulla dove posso spuntare la casella indicato ma anzi appare il messaggio "envienos una muestra del fichero etc.." e si chiude.

ha senso andare avanti con gli altri download? cosa posso fare?
ciao e grazie

NB: disattiva rirpristino configurazione sistema e cancella tutti i crack che hanno generato l'infezione

Fai la scansione completa con MBAM dopodichè riscarisca EliBagla e scansiona, mi raccomando allega i log

Sika
05-10-2008, 20:02
Fai la scansione completa con MBAM dopodichè riscarisca EliBagla e scansiona, mi raccomando allega i log

mbam ha trovato 17 file infetti che ho eliminato.
elibagle quindi è partito, ma non ha avuto accesso a diverse cartelle.
allego il file.

ora procedo con il cleaner??

Chill-Out
05-10-2008, 20:08
mbam ha trovato 17 file infetti che ho eliminato.
elibagle quindi è partito, ma non ha avuto accesso a diverse cartelle.
allego il file.

ora procedo con il cleaner??

Il log di MBAM per cortesia, nel frattempo dimmi qual'era il tuo AV prima dell'infezione

Sika
05-10-2008, 20:16
l'antivirus "era" avast, il log di mbam temo di non sapere come recuperarlo...

Sika
05-10-2008, 20:20
come non detto... eccolo qua

però è quello eseguito prima dell elibagle, dovrei farlo di nuovo?

Chill-Out
05-10-2008, 20:26
come non detto... eccolo qua

però è quello eseguito prima dell elibagle, dovrei farlo di nuovo?

Sarebbe opportuno disinstallare Avast in favore di Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

Dopo aver disinstallato Avast fai girare anche questo tool http://files.avast.com/files/eng/aswclear.exe, configura Avira come da Guida linkata, aggiornalo e provvedi con una scansione completa, ricorda di allegare il log.

Sika
05-10-2008, 21:55
Dopo aver disinstallato Avast fai girare anche questo tool http://files.avast.com/files/eng/aswclear.exe, configura Avira come da Guida linkata, aggiornalo e provvedi con una scansione completa, ricorda di allegare il log.

ho fatto tutto ed ecco il log di avir:
http://www.fileup.itadib.com/download.php?id=EiGJToBrywzyuB4y4frV

furettone
05-10-2008, 22:12
Ok quando hai tempo una scansione completa con Avira :)

Ciao

ancora gli stesi malware identici chill
che faccio ora?
ho provato tutto?

wjmat
06-10-2008, 07:26
ancora gli stesi malware identici chill
che faccio ora?
ho provato tutto?
carica l'ultimo log

tmviet
06-10-2008, 08:02
non so se possa esservi da'iuto, ma ad un mi amico il virus bagle e ndeject.com contiuava a permanere sia su chiavetat che su pc allora installando AVG 8 free , aggiornandolo e facendogli afre scansione completa li ha eliminati dove invece avast manco si riusciva ad eliminarlo, provate con AVG 8 :D

sniperspa
06-10-2008, 09:13
non so se possa esservi da'iuto, ma ad un mi amico il virus bagle e ndeject.com contiuava a permanere sia su chiavetat che su pc allora installando AVG 8 free , aggiornandolo e facendogli afre scansione completa li ha eliminati dove invece avast manco si riusciva ad eliminarlo, provate con AVG 8 :D

Avast deve fare parecchio schifo visto k per togliere i file infetti dalla chiavetta ho semplicemente visualizzato i file nascosti e di sistema e eliminato l'eseguibile e l'autorun...

Cmq ieri ho tentato una scansione con mbam aggiornato però non sono riuscita a portarla a termine dal momento che di tanto in tanto appariva un messaggio di errore e per riprendere la scansione dovevo premere ok...e dal momento che non sono stato davanti al pc tutto il tempo,la cosa è andata x le lunghe...a voi sono mai comparsi errori con MBAM?

furettone
06-10-2008, 09:32
carica l'ultimo log

ecco il log..qualcuno mi dicie che sono falsi positivi è possibile?
cmq


http://www.fileqube.com/shared/ZfuDHD125989



grazie

wjmat
06-10-2008, 09:42
ecco il log..qualcuno mi dicie che sono falsi positivi è possibile?
cmq


http://www.fileqube.com/shared/ZfuDHD125989



grazie

ma le mail infette le hai cancellate?
hai svuotato tutti i cestini di thunder?
hai compattato le cartelle con antivir disabilitato?

furettone
06-10-2008, 09:45
ma le mail infette le hai cancellate?
hai svuotato tutti i cestini di thunder?
hai compattato le cartelle con antivir disabilitato?


si
si
si

furettone
06-10-2008, 10:00
si
si
si


caspita ci stavano due mail di bancoposta(infette) nascoste
ho rifatto tutto il processo
ora posto di nuovo un'altro log
(erano una in posta inviata..chi mai l'ha inviata??? e una oin bozze..grazie )


alal fine dopo aver eliminato tutti i virus la spunta su "disatiiva ripristino config di sistema" ci deve stare o no?

wjmat
06-10-2008, 10:07
caspita ci stavano due mail di bancoposta(infette) nascoste
ho rifatto tutto il processo
ora posto di nuovo un'altro log
(erano una in posta inviata..chi mai l'ha inviata??? e una oin bozze..grazie )


alal fine dopo aver eliminato tutti i virus la spunta su "disatiiva ripristino config di sistema" ci deve stare o no?
per ora scansiona solo la cartella
C:\Documents and Settings\Administrator\Dati applicazioni\Thunderbird\Profiles\

furettone
06-10-2008, 10:33
per ora scansiona solo la cartella
C:\Documents and Settings\Administrator\Dati applicazioni\Thunderbird\Profiles\


sto facendo una scansione completa
cmq posso dire che quelli di thunderbird li ha eliminati
è rimasto solo TR/Dialer.efj
lo puoi vedere dal log che ti alleghero' tra 2 minuti

quello come lo elimino?
forse l'ho eliminato entrando in una cartella era un.exe e forse l'ho eliminato con avira pero' non ho la certezza( entrando in questa cartella avira me lo ha sgnalato e cliccnando 2 volte su delete forse l'ho eliminato questo .exe non risulta piu' presente nella cartella intendo)

furettone
06-10-2008, 10:42
ecco l'ultimo log


http://www.fileqube.com/shared/EWyLfCb126020


guarda quello che ho scritto su

grazie mille per la pazienza

wjmat
06-10-2008, 10:45
ecco l'ultimo log


http://www.fileqube.com/shared/EWyLfCb126020


guarda quello che ho scritto su

grazie mille per la pazienza

se sono in quarantena sei ok

furettone
06-10-2008, 10:50
se sono in quarantena sei ok


allora sto facendo ennesimo log

posso dire grazie a chill e a te

PC ripulito
ecco il log
http://www.fileqube.com/shared/XSQeF126072


Grazie mille
grande forum

Dark_Emperor
06-10-2008, 18:47
Salve, ho anchio problemi con questo fastidiosissimo virus.
All'avvio (dopo aver tolto il ripristino automatico) faccio le seguenti cose:
(premetto di avere Avast)

1-elimino il processo hldrrr.exe dal task manager
2-faccio partire BagleD che mi apre una finestra dos che dice "Attendere..." per poi chiudersi
3-elimino i crack e i serial
4-installo elibagla che non trova niente
5-installo Malwarebytes che mi trova diversa robaccia (tra cui le famose cartelle DWNLD o quel che era)
6-uso CCleaner nel modo da voi indicato
7-riattivo i servizi disattivati
8-installo Antivir e gli faccio fare la scannerizzazione approfondita di tutti i file

Notifico che avast, in 3 diversi riavvii (in cui si ripetevano i primi 3 punti) Avast ha segnalato ad ogni avvio (ed eliminato) rispettivamente hldrrr.exe, srosa.sys e infine il beagle

Pensate che possa andare bene, cosa devo fare in caso non ci sia riuscito ad eliminarlo?

furettone
06-10-2008, 20:23
allora sto facendo ennesimo log

posso dire grazie a chill e a te

PC ripulito
ecco il log
http://www.fileqube.com/shared/XSQeF126072


Grazie mille
grande forum

ora che ho completato tutto posso togliere la spunta su "disattiva ripristino di config di sistema " o no?
grazie

R_I_C_K_Y
06-10-2008, 21:37
carica l'ultimo log

Oggi mentre ho scaricato la patch di rbr 1.02 mi è andato in crash il pc appena lo aperta, poi quando si è riacceso mi si è ralentato di botto e adesso vi scrivo per miracolo, ho visto tutta la guida ho scaricato i programmi però, NON ME LI APRE!!! anzi me li apre ma quando faccio la scansione si spegne lo schermo e diventa una pagina blu con windows è stato arrestato.

se mi date una mano..... :D BY RICKY!

Adesso navigo senza antivirus perchè me lo ha disattivato!!!

R_I_C_K_Y
06-10-2008, 21:58
ccleaner nn lo apre nemmeno!!:muro:

wjmat
06-10-2008, 23:17
ccleaner nn lo apre nemmeno!!:muro:
ciao
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla tutti i programmi crackati e cancella tutte le crack se non lo hai fatto prima
Non inserire chiavette USB o dischi esterni per il momento
Riscarica tutti i tool, rifai le scansioni (da modalità provvisoria se va) e allega i log


Se non dovessi riuscire prova con il rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812)
Poi se la situazione migliora vediamo come procedere

R_I_C_K_Y
06-10-2008, 23:35
è tutto disattivato ma non va

wjmat
07-10-2008, 07:07
è tutto disattivato ma non va

prova con il cd

Chill-Out
07-10-2008, 08:12
ora che ho completato tutto posso togliere la spunta su "disattiva ripristino di config di sistema " o no?
grazie

Si, leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

avida
07-10-2008, 17:00
da un precedente post: EDIT
(mi scuso se non è la sezione adata dove postare i log ma ho internet che va a singuiozzo
Ho seguito alla lettrera ogni fase ma il prblema rimane
InfoSat.txt (http://wikisend.com/download/470008/InfoSat.txt)
autostart.txt (http://wikisend.com/download/607222/autostart.txt)
rookit.txt (http://wikisend.com/download/582734/rookit.txt)
avenger.txt (http://wikisend.com/download/567282/avenger.txt)

ciao,
ho un serio problema con un bagle.
all'avvio del sistema, i vari antivirus e firewall hanno smesso di funzionare.
Ho utilizzato i vari removal ma nessuno di loro mi risolve la situazione.
Come ovvia conseguenza c'è poi l'impossibilità di avviare in mod provvisoria.
Incollo qui i log di GMER.

Se potete darmi una mano ad impostare AVENGER per la corretta disinfezione.

Shogo175R
07-10-2008, 17:03
Malwarebytes' Anti-Malware 1.28
Versione del database: 1240
Windows 6.0.6001 Service Pack 1

07/10/2008 17.46.46
mbam-log-2008-10-07 (17-46-36).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 51095
Tempo trascorso: 3 minute(s), 38 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 2
File infetti: 8

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> Files: 496 -> No action taken.
C:\Users\AKITO\AppData\Roaming\m (Trojan.Agent) -> No action taken.

File infetti:
C:\Users\AKITO\AppData\Roaming\m\data.oct (Trojan.Agent) -> No action taken.
C:\Users\AKITO\AppData\Roaming\m\list.oct (Trojan.Agent) -> No action taken.
C:\Users\AKITO\AppData\Roaming\m\srvlist.oct (Trojan.Agent) -> No action taken.
C:\Windows\System32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\Windows\System32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Users\AKITO\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\hldrrr.exe (Rootkit.Agent) -> No action taken.
C:\Windows\System32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.






Non mi fa fare scansioni con nessuno dei programmi elencati, erò posso entrare in modalità rovvisoria

wjmat
07-10-2008, 17:06
da un precedente post: EDIT
(mi scuso se non è la sezione adata dove postare i log ma ho internet che va a singuiozzo
Ho seguito alla lettrera ogni fase ma il prblema rimane
InfoSat.txt (http://wikisend.com/download/470008/InfoSat.txt)
autostart.txt (http://wikisend.com/download/607222/autostart.txt)
rookit.txt (http://wikisend.com/download/582734/rookit.txt)
avenger.txt (http://wikisend.com/download/567282/avenger.txt)

ciao,
ho un serio problema con un bagle.
all'avvio del sistema, i vari antivirus e firewall hanno smesso di funzionare.
Ho utilizzato i vari removal ma nessuno di loro mi risolve la situazione.
Come ovvia conseguenza c'è poi l'impossibilità di avviare in mod provvisoria.
Incollo qui i log di GMER.

Se potete darmi una mano ad impostare AVENGER per la corretta disinfezione.
ciao
non vedo tutti i log richiesti dalla guida del primo post

wjmat
07-10-2008, 17:07
Malwarebytes' Anti-Malware 1.28
Versione del database: 1240
Windows 6.0.6001 Service Pack 1

07/10/2008 17.46.46
mbam-log-2008-10-07 (17-46-36).txt


Non mi fa fare scansioni con nessuno dei programmi elencati, erò posso entrare in modalità rovvisoria
mi sembra di averti linkato le modalità per pubblicare i log... ;)
riscarica i tool
entra in provvisoria e riprova
poi alleghi i log correttamente

avida
07-10-2008, 17:11
ciao
non vedo tutti i log richiesti dalla guida del primo post

ciao,
il bagled non me lo fa partire... si apre la schermata DOS e dopo si ferma.
Ho provato a scaricarlo per l'ennesima volta ma niente.

questo è ciò che si legge sul suo log
Bagle_Remover.exe
Date: 07/10/2008
Time: 18.01.04,56

wjmat
07-10-2008, 17:20
ciao,
il bagled non me lo fa partire... si apre la schermata DOS e dopo si ferma.
Ho provato a scaricarlo per l'ennesima volta ma niente.

questo è ciò che si legge sul suo log
Bagle_Remover.exe
Date: 07/10/2008
Time: 18.01.04,56
è giusto così ;)

Chill-Out
07-10-2008, 17:25
Elimina i valori infetti rilevati da MBAM se no non se ne esce più

Shogo175R
07-10-2008, 18:17
65840

non riesco ad avvarlo l'altro... neanche in modalità provvisoria

Chill-Out
07-10-2008, 18:21
65840

non riesco ad avvarlo l'altro... neanche in modalità provvisoria

Hai fatto la scansione rapida invece devi fare la completa al termine della scansione devi selezionare i malware rilevati ed eliminarli

Esempio:
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

No action taken voul dire che non hai eliminato nulla

venom91kr
07-10-2008, 18:52
Salve, ho anche io questo problema, ho seguito i passaggi fino alla scansione con Malwarebytes.
Come scritto sulla guida, ho avviato CCleaner ma non si avvia più dopo aver fatto la scansione :cry: che devo fare?

Qui ci sono i log

http://wikisend.com/download/855654/Bagled.txt
http://wikisend.com/download/948322/InfoSat.txt

È normale che ci sia scritto solo quello?

wjmat
07-10-2008, 19:05
Salve, ho anche io questo problema, ho seguito i passaggi fino alla scansione con Malwarebytes.
Come scritto sulla guida, ho avviato CCleaner ma non si avvia più dopo aver fatto la scansione :cry: che devo fare?

Qui ci sono i log

http://wikisend.com/download/855654/Bagled.txt
http://wikisend.com/download/948322/InfoSat.txt

È normale che ci sia scritto solo quello?
ciao
manca il log di malwarebytes

ccleaner va reinstallato

venom91kr
07-10-2008, 19:11
ciao
manca il log di malwarebytes

ccleaner va reinstallato

Non lo trovo il log, rifaccio la scansione?

Avevo già provveduto a reinstallare CCleaner ma non va cmq...

wjmat
07-10-2008, 19:20
Non lo trovo il log, rifaccio la scansione?

Avevo già provveduto a reinstallare CCleaner ma non va cmq...
il log di elibagla mi sembra un pò corto, rifammi una scansione

per mbam leggi nel bigino che ho in firma dove recuperarlo
se non è scan completo e non hai rimosso la roba rifai la scansione

venom91kr
07-10-2008, 19:26
Ora dovrebbe esserci tutto
http://wikisend.com/download/937528/InfoSat.txt
http://wikisend.com/download/590716/mbam-log-2008-10-07 (19-05-59).txt

wjmat
07-10-2008, 19:35
Ora dovrebbe esserci tutto
http://wikisend.com/download/937528/InfoSat.txt
http://wikisend.com/download/590716/mbam-log-2008-10-07 (19-05-59).txt

giro di controllo con elibagla da mod. provvisoria

venom91kr
07-10-2008, 19:49
Non entra in provvisoria, anzi, durante il boot mi dice qualcosa del tipo "Premi ESC per non avviare asddsa.sys"

Inoltre le prestazioni del pc sembrano quelle di un win95 0 RAM e 10Hz di cpu -.-"

Shogo175R
07-10-2008, 20:07
fatto un altro log... me li ha levati dovrebbe essere pulito ora..

wjmat
07-10-2008, 20:31
fatto un altro log... me li ha levati dovrebbe essere pulito ora..

procedi con malwarebytes

sniperspa
07-10-2008, 20:36
Non entra in provvisoria, anzi, durante il boot mi dice qualcosa del tipo "Premi ESC per non avviare asddsa.sys"

Inoltre le prestazioni del pc sembrano quelle di un win95 0 RAM e 10Hz di cpu -.-"

Sono i normali sintomi del virus che è presente anima e corpo...

wjmat
07-10-2008, 20:38
Non entra in provvisoria, anzi, durante il boot mi dice qualcosa del tipo "Premi ESC per non avviare asddsa.sys"

Inoltre le prestazioni del pc sembrano quelle di un win95 0 RAM e 10Hz di cpu -.-"
Assicurati che il ripristino configurazione di sistema sia ancora disattivato, capita che venga riattivato dal virus
Disinstalla tutti i programmi crackati e cancella tutte le crack se non lo hai fatto prima
Non inserire chiavette USB o dischi esterni per il momento
Riscarica tutti i tool, rifai le scansioni (da modalità provvisoria se va) e allega i nuovi log

venom91kr
07-10-2008, 20:44
edit

venom91kr
07-10-2008, 20:45
Disinstalla tutti i programmi crackati e cancella tutte le crack

Praticamente dovrei disinstallare tutto... games compresi?

Dark_Emperor
07-10-2008, 20:46
Scusate, non è che potreste rispondere al mio quesito di una pagina fa? :(

wjmat
07-10-2008, 20:53
Salve, ho anchio problemi con questo fastidiosissimo virus.
All'avvio (dopo aver tolto il ripristino automatico) faccio le seguenti cose:
(premetto di avere Avast)

1-elimino il processo hldrrr.exe dal task manager
2-faccio partire BagleD che mi apre una finestra dos che dice "Attendere..." per poi chiudersi
3-elimino i crack e i serial
4-installo elibagla che non trova niente
5-installo Malwarebytes che mi trova diversa robaccia (tra cui le famose cartelle DWNLD o quel che era)
6-uso CCleaner nel modo da voi indicato
7-riattivo i servizi disattivati
8-installo Antivir e gli faccio fare la scannerizzazione approfondita di tutti i file

Notifico che avast, in 3 diversi riavvii (in cui si ripetevano i primi 3 punti) Avast ha segnalato ad ogni avvio (ed eliminato) rispettivamente hldrrr.exe, srosa.sys e infine il beagle

Pensate che possa andare bene, cosa devo fare in caso non ci sia riuscito ad eliminarlo?
ciao
mi era sfuggito il post
carica tutti i log per verifica

Dark_Emperor
07-10-2008, 21:02
Beagled ha fatto questo log:

Bagle_Remover.exe
Date: 06/10/2008
Time: 17.53.27,73
---------------------------------------------------------------
Il programma spagnolo ha fatto:


Mon Oct 06 17:38:00 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Oct 06 17:38:36 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12002
Nº Total de Ficheros: 173823
Nº de Ficheros Analizados: 17478
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Oct 06 17:53:39 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Oct 06 17:53:41 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7093
Nº Total de Ficheros: 125614
Nº de Ficheros Analizados: 5723
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Mon Oct 06 17:59:06 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12001
Nº Total de Ficheros: 173849
Nº de Ficheros Analizados: 17477
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Oct 06 18:06:15 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 111
Nº Total de Ficheros: 4870
Nº de Ficheros Analizados: 144
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.



--------------------------------------------------------------------
Ecco, questo è il risultato di Malware Bytes

Malwarebytes' Anti-Malware 1.28
Versione del database: 1234
Windows 5.1.2600 Service Pack 3

06/10/2008 19.14.48
mbam-log-2008-10-06 (19-14-48).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 209167
Tempo trascorso: 1 hour(s), 6 minute(s), 14 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 19

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Sound (Backdoor.Bot) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\Copia 100\Copia40G\Program Files\mIRC\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Copia 40\Program Files\mIRC\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dark Diamond\Documenti\Nuova cartella\Nuova cartella\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Programmi\AdunanzA\LinkCreator.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\101687.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\103281.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\139937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\148500.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\154140.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\155984.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\190703.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\190718.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\225843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\236031.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\365625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM438e5644.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM438e5644.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

------------------------------------------------------------------------

Ecco tutto.

venom91kr
07-10-2008, 21:57
Ho riscaricato tutti i tool, rifatto le scansioni ed ecco i log
http://wikisend.com/download/898466/Bagled.txt
http://wikisend.com/download/616354/InfoSat.txt
http://wikisend.com/download/909728/mbam-log-2008-10-07 (22-51-40).txt

CCleaner ancora non si avvia e la mod. provvisoria non va...

Sika
07-10-2008, 22:10
ho fatto tutto ed ecco il log di avir:
http://www.fileup.itadib.com/download.php?id=EiGJToBrywzyuB4y4frV

ho completato tutto anche con il punto 6, e ora rifunziona anche il wirelesss... posso considerarmi a posto?

ciao e grazie

Chill-Out
07-10-2008, 22:30
I log vanno allegati non copiati ed incollati, ti invito ad editare il tuo post, grazie per la collaborazione.

Chill-Out
07-10-2008, 22:33
Ho riscaricato tutti i tool, rifatto le scansioni ed ecco i log
http://wikisend.com/download/898466/Bagled.txt
http://wikisend.com/download/616354/InfoSat.txt
http://wikisend.com/download/909728/mbam-log-2008-10-07 (22-51-40).txt

CCleaner ancora non si avvia e la mod. provvisoria non va...

NB: rirpristino configurazione sistema disattivato - elimina tutti e dico tutti i crack che hanno generato l'infezione - non collegare chiavette usb

Ripeti la scansione completa con MBAM e Elibagla, ricorda di allegare entrambi i log, ciao.

Dark_Emperor
07-10-2008, 22:54
So di fare gravemente la figura dello scemo, ma non credo di non esserne in grado, avevo provato ad allegarli ma non mi permette di mettere più di un file, per questo li avevo scritti. Come posso fare?

Chill-Out
07-10-2008, 23:14
So di fare gravemente la figura dello scemo, ma non credo di non esserne in grado, avevo provato ad allegarli ma non mi permette di mettere più di un file, per questo li avevo scritti. Come posso fare?

utilizza http://fileqube.com/ carica i log uno per volta copia ed incolla i link nel prossimo post

Dark_Emperor
07-10-2008, 23:23
Eccoli

Bagled http://www.fileqube.com/shared/ASWOHT127690

Programma spagnolo del primo post http://www.fileqube.com/shared/eMYcduIm127692

Malware Bytes http://www.fileqube.com/shared/laOSxevrG127693

Chill-Out
07-10-2008, 23:29
Eccoli

Bagled http://www.fileqube.com/shared/ASWOHT127690

Programma spagnolo del primo post http://www.fileqube.com/shared/eMYcduIm127692

Malware Bytes http://www.fileqube.com/shared/laOSxevrG127693

Dimmi se hai già reinstallato l'AV se si quale

Dark_Emperor
07-10-2008, 23:33
Avevo AntiVir che è stato killato dal Bagle, tuttavia continuava ad esistere l'AVGuard che continuava a segnalarmi una infinità di virus.

Ho installato poi avast e scansionato, e infine i 3 programmi mostrati.

Finito tutto poichè antivir non ha mostrato segni di danneggiamento, ho reinstalalto solo Antivir

Chill-Out
07-10-2008, 23:36
Avevo AntiVir che è stato killato dal Bagle, tuttavia continuava ad esistere l'AVGuard che continuava a segnalarmi una infinità di virus.

Ho installato poi avast e scansionato, e infine i 3 programmi mostrati.

Disinstalla Avast - disinstalla Antivir - fai pulizia con CCleaner - reinstalla Antivir (devi riscaricare l'installer) - configuralo come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

aggiornalo, fai una scansione completa ed allega il log

Dark_Emperor
07-10-2008, 23:37
La pulizia con CCleaner la feci dopo aver disinstallato Antivir, dopo lo reinstallai, conta qualcosa?

Chill-Out
07-10-2008, 23:39
La pulizia con CCleaner la feci dopo aver disinstallato Antivir, dopo lo reinstallai, conta qualcosa?

non ti seguo cosa vuoi dire, comunque di pulizie con Ccleaner ne puoi fare quante ne vuoi

Dark_Emperor
07-10-2008, 23:42
NUlla, scusa, cmq dopo aver fatto la scansione con Antivir posso reinstallare Avast?

Chill-Out
07-10-2008, 23:45
NUlla, scusa, cmq dopo aver fatto la scansione con Antivir posso reinstallare Avast?

scusa avevi Antivir che forse è il miglior Av in circolazione e vuoi installare Avast, lascia perdere.

Dark_Emperor
08-10-2008, 00:02
Sto scannerizzando con AV, unica cosa ho controllato in configurazione, e non trovo il pulsante Scan Memory, non so perchè, è appena aggiornato, non so che dire.