PDA

View Full Version : Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione


Pagine : 1 2 3 4 5 [6] 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

BloodFearless
02-02-2008, 01:52
Ciao a tutti! :)

Scusate se irrompo così nelle vostre vite, ma mi sono appena beccato sto dannatissimo Baggle...

Il problema fondamentale è però che io NON CAPISCO UN' H DI COMPUTER... ma proprio zero eh! :mc:

Quindi sto tentando con tutta la buona volontà di seguire la guida in prima pagina... ma abbiate pazienza, mi sono arenato al primo passaggio...

Ho scaricato ELIBAGLA e gli ho fatto scansire C: F: e A:
In ognuno di essi ha trovato un baggle ma, nonostante sia spuntata la casellina, non me li elimina! :eek: :cry:

Inoltre vorrei capire una cosa... c'è spesso scritto "postare i log"... ma in pratica significa che devo postare qui ogni resoconto così che voi possiate aiutarmi? Altrimenti non ho capito cosa si intenda con quella frase!

Tra le altre cose avevo appena provato (pensando fosse AVG a non funzionare) ad installare AVIRA ANTIVIRUS
Quando però ho provato ad installare KASPERSKY mi ha detto che sono incompatibili e di rimuoverlo. L' ho rimosso, ho provato a reinstallare KS ma me lo chiede ancora. Sono andato a vedere in "installazione e applicazioni" e c'è effettivamente una voce "Avira Antivirus Personalclassic" ma se provo a rimuoverla mi da errore "cannot load master resource file"

Scusate la "gniuranteria" :Prrr:

Grazie in anticipo! ;)


P.S. Non mi partono neanche Avenger e Rootkit!!!! :eek:
Oddio cosa faccio???? Non me ne libererò maiiii! sigh! :cry:

luigi2702
02-02-2008, 11:39
Salve ho seguito tutte le voste istruzioni per eliminare il bagle.....alal fine dopo un paio di scansioni di sicurezza ho eliminato il virus ( con kasper on line ) Ora ho un problema realtivo ai servizi.....XP non mi fa piu' fare l'update!!!Mi compare sempre l'avviso in giallo in basso a destra che dice di efettuare l'update Dopo aver effettuato l'operazione mi avverte : I seguenti aggiornamenti non sono stati installati Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569) Poi chiudo e ricomincia; ho aperto tutte le porte del firewall sygate relative a windows ( almeno quello che conosco ....- ce ne sarebbero forse altre - h comunque aperto tra le altre quella realtiva ai servizi....) ; ho effettuato la'ertura manuale di tutti i servizi che erano stati attaccati dal bagle e in particolare quello dell'aggiornamento automatico del registro ( messo in automatico ) NOn so se qualcuno ha avuto il mio stesso problema.....qualcuno ha qualche idea????ho provato a fare l'update anche dal sito windows ( ovviamente ho xp con regolare licenza ) ma non me lo fa fare.....o meglio ripete sempre lo stesso procedimento e i due update non si installano....attendo lumi da qualche genio dell'informatica ....

murack83pa
02-02-2008, 12:37
Salve ho seguito tutte le voste istruzioni per eliminare il bagle.....alal fine dopo un paio di scansioni di sicurezza ho eliminato il virus ( con kasper on line ) Ora ho un problema realtivo ai servizi.....XP non mi fa piu' fare l'update!!!Mi compare sempre l'avviso in giallo in basso a destra che dice di efettuare l'update Dopo aver effettuato l'operazione mi avverte : I seguenti aggiornamenti non sono stati installati Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569) Poi chiudo e ricomincia; ho aperto tutte le porte del firewall sygate relative a windows ( almeno quello che conosco ....- ce ne sarebbero forse altre - h comunque aperto tra le altre quella realtiva ai servizi....) ; ho effettuato la'ertura manuale di tutti i servizi che erano stati attaccati dal bagle e in particolare quello dell'aggiornamento automatico del registro ( messo in automatico ) NOn so se qualcuno ha avuto il mio stesso problema.....qualcuno ha qualche idea????ho provato a fare l'update anche dal sito windows ( ovviamente ho xp con regolare licenza ) ma non me lo fa fare.....o meglio ripete sempre lo stesso procedimento e i due update non si installano....attendo lumi da qualche genio dell'informatica ....


so che al 99 % la scansione online con kaspersky nn elimina nulla, a meno che tu nn ti sia scaricato e quindi installato la versione trial....

Silveraine
02-02-2008, 14:10
Salve a tutti, mi sono appena iscritta al Forum, e sto cercando di seguire la guida iniziale per sconfiggere il Bagle.
Sistema operativo XP Home.
AVG free disattivato e reso inutilizzabile.
Vari antitrojan non partono (applicazione W32 non valida....)
Allora, ho disattivato il ripristino di sistema.
Ho fatto partire elibagle, ne ha trovati cinque e ne ha rimossi 3.
Allego il log di una seconda scansione fatta dove ne risultano solo i due che resistono :





http://www.fileup.itadib.com/downloa...3oqKcXuPmdLHzu


-------------------------------------------------------------

Da una verifica manuale, anche selezionando "mostra file di sistema nascosti"

Wintems.exe
neanche srosa.sys

non sono visibili

hdrrr.exe si vede


Nella finestra del programma elibagle pero' risultavano due files :
Hldrrr.exe > Bagle dldr
e
Mdelk.exe > Bagle

Quest'ultimo è visibile nel system 32.



Ho provato ad entrare in modalita' provvisoria anche se non sono una esperta, ma mi si apre una finestra che indica soltanto :
Select boot device
ed elenca floppy e sigle degli HD (ne ho tre e non so quale sia C e del Masterizzatore del lettore.
Penso quindi di non poter accedere al safeboot.....

Ho completamente disistallato avg - ormai inutile.
Come prossimo passo cosa faccio ?
Istallo Karpesky ?

Riusciro' ad installarlo, o il bagle me lo impedira' ?
Attendo fiduciosa una risposta.... e incrocio pure le dita, non vorrei dover formattare !

Grazie !

murack83pa
02-02-2008, 14:18
ciao Silveraine,

benvenuta nel forum

io purtroppo nn sono esperto nella rimozione del bagle, quindi devi avere un po di pasienza...:)

ti posso comunque consigliare questo:
rifai girare nuovamente elibagle e posta il log,

x quanto riguarda avenger,scaricalo da qui:
http://www.wikifortio.com/630243/AntiBagle.zip
ma attendi ulteriori istruzioni prima di utilizzarlo

ivano_82
02-02-2008, 15:02
date un'occhiata a questo log:

http://www.fileup.itadib.com/download.php?id=53DugHsfXIVqahRIdhQo


grazie!

Danger
02-02-2008, 15:59
Sto facendo la scansione con GMER e mi indica 2 processi in rosso (C:\Windows\system32\drivers\hldrrr.exe e C:\Programmmi\Windos Live Toolbar\drivers\msn_sl. exe) non funzionando nè Onlie Armor nè CCleaner tra gli altri, vuol dire che sono infetto?
Prima di mettermi a seguire tutta la procedura del primo post di questa discussione vorrei essere sicuro:doh:

murack83pa
02-02-2008, 16:01
Sto facendo la scansione con GMER e mi indica 2 processi in rosso (C:\Windows\system32\drivers\hldrrr.exe e C:\Programmmi\Windos Live Toolbar\drivers\msn_sl. exe) non funzionando nè Onlie Armor nè CCleaner tra gli altri, vuol dire che sono infetto?
Prima di mettermi a seguire tutta la procedura del primo post di questa discussione vorrei essere sicuro:doh:

il primo è sicuramente bagle

i sintomi sono quelli

quindi segui la guida in prima pagina

buon lavoro

murack83pa
02-02-2008, 16:02
date un'occhiata a questo log:

http://www.fileup.itadib.com/download.php?id=53DugHsfXIVqahRIdhQo


grazie!

fai un altro giro con elibagle, in modalità provvissoria

murack83pa
02-02-2008, 16:05
....

all'antivirus c pensiamo dopo, anche se hai fatto un po di pasticci...

ti funziona la modalità provvissoria?

rifai girare elibagle in mod prov e posta qui il log,

se nn c riesci in mod prov, rifai la scansione in modalità normale

Luckylox
02-02-2008, 17:41
date un'occhiata al mio ultimo post sopra?

è una scheda cronologica dello sviluppo del mio problema con bagle.


guardate i log, magari sono riuscito a risolvere...

...hijack this non ne vuole sapere, mi si interrompe in 2 punti, posto comunque il suio file di log

l'errore che mi da' è il seguente:


-----------------------------------------------------------------------
An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 6.00.1904
MSIE version: 7.0.6000.16386
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
-------------------------------------------------


thanks!

ingemar
02-02-2008, 18:07
avenger:
http://www.fileup.itadib.com/download.php?id=h1d50IHVBHqAtrZbA6SI

elibagla:
http://www.fileup.itadib.com/download.php?id=kGEwm64VwvukhXoDsYmP

ma siccome ogni tanto sono spuntati degli errori, non riesco a capire se il problema è risolto oppure no.

nel frattempo ho installato antivir e disinstallato ramsaverpro (che ospitava bagla).

grazie in anticipo (e anche grazie per il megasbattimento che vi siete sparati per il tutorial).

ivano_82
02-02-2008, 18:44
ho rimandato in modalità provvisoria Elibagle ma non ha trovato niente. questo è il log:
http://www.fileup.itadib.com/download.php?id=siaZ5nksuTcOSvB209ZF

sono riuscito anche a far partire dopo vari tentativi hijackthis:
http://www.fileup.itadib.com/download.php?id=BeFyCLZxHImUfCKVWBat

e Gmer:
http://www.fileup.itadib.com/download.php?id=aS4mVYZyZkYqt8Mvr95M

il problema sussiste ancora: non fa partire alcuni antivirus come nod, non funziona windows defender, windows firewall e windows update. considerate che ho Vista.

che devo fare?

DarioWap
02-02-2008, 19:08
Ache io ho avuto a che fare con questo maledetto virus...
l' ho preso perchè mi si è disattivato il norton...
ora mi sembra che ho risolto il problema grazie alla vostra procedura...l' unica cosa che non va forse è che se vado in pannello di controllo/centro di sicurezza del pc mi dice che attualmente il servizio non è disponibile, mi dice che il servizio non è stato avviato o è stato arrestato.

vi posto il mio log che ho fatto con HijackThis

http://dariowap.altervista.org/hijackthis.log

che dite posso stare tranquillo?

ingemar
02-02-2008, 19:46
che dite posso stare tranquillo?

se usi Norton, NO!

Danger
02-02-2008, 20:40
Finalmente EliBagla -stranamente partito in modalità provvisoria- ha tolto 6 "ficheros". Il problema è che non riesco a far partire Kaspersky neanche in modalità provvisoria. Al momento mi va solo GMER e SuperAnti: che posso fa?:doh: :help:

lancetta
02-02-2008, 20:48
Finalmente EliBagla -stranamente partito in modalità provvisoria- ha tolto 6 "ficheros". Il problema è che non riesco a far partire Kaspersky neanche in modalità provvisoria. Al momento mi va solo GMER e SuperAnti: che posso fa?:doh: :help:

fai ancora un altro paio di passate con elibagla poi vedi se riesci a passare allo script con avenger ;)

DarioWap
02-02-2008, 21:09
Ache io ho avuto a che fare con questo maledetto virus...
l' ho preso perchè mi si è disattivato il norton...
ora mi sembra che ho risolto il problema grazie alla vostra procedura...l' unica cosa che non va forse è che se vado in pannello di controllo/centro di sicurezza del pc mi dice che attualmente il servizio non è disponibile, mi dice che il servizio non è stato avviato o è stato arrestato.

vi posto il mio log che ho fatto con HijackThis

http://dariowap.altervista.org/hijackthis.log

che dite posso stare tranquillo?

ok problema risolto ho riattivato il centro di sicurezza del pc, per chi avesse lo stesso problema vada quì http://support.microsoft.com/kb/919291/it

ivano_82
02-02-2008, 23:48
credo di aver risolto il problema (almeno il grosso). ho seguito le vostre istruzioni e sono riuscito a far funzionare nod32 che mi ha individuato e cancellato una decina di win32/bagle. l'unica cosa è che adesso non riesco a disabilitare il controllo dell'account utente (in Vista). nella gestione dell'account la spunta all'opzione non c'è, ma la protezione rimane. se provo a spuntare la casella e esco, se rivado la spunta non c'è più.
cosa può essere?

alainprost
03-02-2008, 00:17
Quanto dico vale per XP
Ho risolto usando eibagle e reanimator.
dopo ho usato ccleaner e installato antivir free che ha subito fatto il suo lavoro (moooooolto lentamente).
Dopo ho lanciato spyboot, avg rootkit, avg antispyware, tweaknow regcleaner, a-squared e spyware terminator. Tra uno e l'altro sempre cccleaner usando anche la risoluzione dei problemi. Ognuno ha trovato qualcosa.
Infine riprovando a lanciare tutti e non trovando niente ho disinstallato antivir free ed installato kaspersky che ha rimesso tutto al proprio posto.
Dimenticavo, dopo aver usato eibagle e reanimator ho scaricato un safeboot non contaminato ed ho lanciato esegui msconfig, dove ho chiesto il riavvio con safeboot (ora pulito). solo così sono riuscito ad andare in modalità provvisoria.
Alcuni programmmi ho dovuto reinstallarli (tipo avg e spyboot) per poterli far funzionare.
Per qualsiasi domanda fate pure.

franknaples
03-02-2008, 00:46
Ciao a tutti.

Mi sono beccato questo stramaledetto virus e sto seguendo passo passo la vostra procedura. Al momento sto facendo la scansione con Kaspersky e ho da farvi alcune domande:

1. tutti questi file infetti che Kaspersky mi sta rilevando, devo isolarli?
2. una volta finita la procedura, posso riattivare il sistema di ripristino?
3. sempre dopo finita la procedura, se reinstallo Windows sopra l'installazione attuale, riottengo il centro di sicurezza e tutte le altre cose danneggiate/eliminate?

Grazie in anticipo.

Danger
03-02-2008, 10:32
Dunque, nonostante i ripetuti passaggi di EliBagle anche in modalità provvisoria ancora non riesco ad avviare nè Avenger, ne Hijack nè Kaspersky per entrambi mi compare sempre sempre la scritta che non sono applicazioni valide di Win32... Miracolosamente si è avviato CCleaner, Antivir e SuperAnti e ad ogni scansione ho eliminato quello che mi veniva indicato dai 3 programmi ma temo che qualcosa del virus ci sia sempre nel mio sistema se no Hijack e gli altri girebbero tranquillamente...:help: :help: Idem il caro vecchio Centro Sicurezza di XP...
Posto l'ultimo txt di Elibagle

Bugs Bunny
03-02-2008, 12:26
servono un log di avenger e uno di kaspersky online scanner

Nuz
03-02-2008, 12:44
Ciao Bugs, visto che alcuni che beccano questo virus hanno avuto problemi ad accedere a Windows, che nè dici se nella guida si aggiungesse un cd bootable di recovery.
Io propongo Avira AntiVir Rescue System (http://www.avira.com/en/support/support_downloads.html), sono solo 45 Mb (pochi in confronto a ubcd4win) e basta semplicemente masterizzare l'iso per fare una scansione con antivir.

http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe

Danger
03-02-2008, 13:40
servono un log di avenger e uno di kaspersky online scanner
Non riesco ad accedere ad Avenger, provo la scansione con kaspersky online: incrocio le dita...

franknaples
03-02-2008, 16:24
Sono riuscito a togliere il virus, consiglio anche una passata di Spybot Search & Destroy per risolvere il problema del centro sicurezza. Ora che succede se riattivo le impostazioni di ripristino?

Bugs Bunny
03-02-2008, 17:55
servono un log di avenger e uno di kaspersky online scanner

volevo dire gmer....

Danger
03-02-2008, 19:18
Ecco i due log. Kaspersky Scan mi segnala i file infetti ma come posso risistemarli se il suo "fratello" Antivirus non mi parte?:help: :confused: :muro:

murack83pa
03-02-2008, 19:28
Ecco i due log. Kaspersky Scan mi segnala i file infetti ma come posso risistemarli se il suo "fratello" Antivirus non mi parte?:help: :confused: :muro:

fai la scansione online con bitdefender:
http://www.bitdefender.com/scan8/ie.html

e posta qui il log di gmer e vedi se escono righe rosse

murack83pa
03-02-2008, 19:48
.....

ciao,

hai Vista? se hai vista, avenger nn puo girare

riguardo hijackthis, fixa queste voci:


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MediaFace Integration] C:\Program Files\Fellowes\MediaFACE 4.2\SetHook.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\ProgramData\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWri te.exe /run
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [FFTI] C:\Users\Lorenzo\AppData\Roaming\Mozilla\Firefox\Profiles\fypyfioj.default\exten sions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Users\Lorenzo\AppData\Roaming\Mozilla\Firefox\Profiles/fypyfioj.de fault\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
O4 - Startup: C6 Messenger.lnk = C:\Program Files\C6 Messenger\c6Messenger.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)


dopo aver fixato queste voci,con tutte le applicazioni chiuse, riavvia il pc

fai una scansione online con bitdefender:
http://www.bitdefender.com/scan8/ie.html

se nn gira con vista vedi:
http://www.pandasoftware.com/activescan/activescan/ascan_2.asp

ovvero con:
http://www.nanoscan.com/as/index/
fai la scansione completa

poi posta un nuovo log di hijackthis

PS: devi cancellare tutti i crack che hai nel pc....sono quelli che ospitano il bagle...cancella anche i programmi installati cracckata

Danger
03-02-2008, 20:15
Ecco anche GMER

Sakuraji
03-02-2008, 20:16
Anche io sono infettato

ho eseguito ELIBAGLA e il txt è il seguente:


Sun Feb 03 21:01:28 2008
EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Sun Feb 03 21:01:33 2008
EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 6178
Nº Total de Ficheros: 71959
Nº de Ficheros Analizados: 11425
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0



Come mi devo comportere ora?

Grazie 1000

Danger
03-02-2008, 20:23
e posta qui il log di gmer e vedi se escono righe rosse
Niente righe rosse in gmer:muro:

Chill-Out
03-02-2008, 20:32
I log non vanno copiati ed incolati ma vanno hostati qui http://www.fileup.itadib.com/index.php
che SO hai?

Sakuraji
03-02-2008, 20:51
Il mio sistema operativo è windows Xp sp2

Ho provato ad installare kaspersky ma quando lo avvio mi esce una schermata
che mi dice che non è un'applicazione win32 valida.

Alla fine della scansione di elibagla mi rileva questo file infetto
MDELK.EXE -> Bagle
che però non riesco ad eliminare

Per postare il file su fileUp che indirizzo di e-mail del destinatario devo mettre?

Grazie

Chill-Out
03-02-2008, 20:56
Il mio sistema operativo è windows Xp sp2

Inserisci in Avenger lo script indicato in Guida

Per postare il file su fileUp che indirizzo di e-mail del destinatario devo mettre?

nessuno devi solo indicare il link dovre prelevare il log

Sakuraji
03-02-2008, 21:05
Niente da fare è più impegnativa di quello che pensassi.

Ho scaricato avenger ma non mi parte.
Si blocca quando ci clikko sopra.

Grazie

Chill-Out
03-02-2008, 21:07
Niente da fare è più impegnativa di quello che pensassi.

Ho scaricato avenger ma non mi parte.
Si blocca quando ci clikko sopra.

Grazie

Ok, scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip

Sakuraji
03-02-2008, 21:25
Ok fatto tutto

Ho avviato avenger incollato il file ed avviato.
Al riavvio ho postato il file

poi ho lanciato panda Antirootkit

Passato cleaner

poi eseguito hijackthis
e questo è il txt:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.20.11, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Directory temporanea 1 per AntiBagle.zip\MegaLab_copia_hijack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {802709F9-7FAF-4E81-9E92-C458CD8A1504} - C:\WINDOWS\system32\advpackd.dll (file missing)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo R265 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE /FU "C:\WINDOWS\TEMP\E_S8C.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Yahoo! Widgets.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {38AC73DF-F9EF-4530-AD58-BD993761EF85} (TurboUploader Pixbuster) - http://www.pixbuster.com/printinglab/cab/TurboUploader_Pixbuster.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180011479716
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.12print.it/cab/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1436EA5F-31B8-4C34-A70F-A9C6404121A1}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{1436EA5F-31B8-4C34-A70F-A9C6404121A1}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{1436EA5F-31B8-4C34-A70F-A9C6404121A1}: NameServer = 192.168.0.254
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: HL-Server (HLServer) - Aladdin Knowledge Systems Germany - C:\WINDOWS\system32\HLS32SVC.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8575 bytes


Come mai però se avvio kaspersky che avevo installato in precedenza ma che non riuscivo ad avviare non si avvia comunque?

Danger
03-02-2008, 21:26
Grazie al link di Chill Out ho potuto rimettere in funzione Hijack.
Mentre Bitdefender fa la sua brava scansione (ma elimina di default i file infetti?) allego il log di Hijack per avere spiegazioni...

Chill-Out
03-02-2008, 21:32
Come ti ho già detto i log non vanno copiati ed incollati, se non conformi alle Regole di Sezione non possiamo prestare assistenza quindi ti deve necessariamente uniformare

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Chill-Out
03-02-2008, 21:38
Si BitDefender elimina di default i file infetti, certo che hai un bel macello, terminata la scansione con BitDefender riallega un log di HJT

Sakuraji
03-02-2008, 21:41
Scusa.

In allegato il file.

Ho provato a riavviare il sistema ma niente

Ho rilanciato elibagla e non viene + rilevato, ma i software antivirus non partono lo stesso


file elibagle: http://www.fileup.itadib.com/download.php?id=BklX6EyIxMsixfEwxt9C

File avenger: http://www.fileup.itadib.com/download.php?id=Ej3di33kDnOOOs5Ix3Te


e file hijackthis : http://www.fileup.itadib.com/download.php?id=3b44kHDqI6cDcKkKmVGr


Mi sapresti indicare un buon antivirur e un antispyware.

Grazie

Chill-Out
03-02-2008, 21:43
Ravvia il Pc in modalità provvisoria F8 e fai girare ancora EliBagla

Apri il notepad, e copia/incolla questo codice

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-

poi salva il file col nome di fix.reg in C:\

Poi inserisci in Avenger questo Script

Files to delete:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

Programs to launch on reboot:
C:\fix.reg

Sakuraji
03-02-2008, 21:48
Niente da fare in modalità provvisoria non ne vuole sapere di partire. va in schermata blu.

Grazie

Danger
03-02-2008, 21:51
certo che hai un bel macello
:cry: :cry: E' bello sentirsi dire certe cose:cry: :muro:
Appena Bit ha finito -tra 2-3 ore- posterò un altro log: chissà cosa esce fuori?

Chill-Out
03-02-2008, 21:52
:cry: :cry: E' bello sentirsi dire certe cose:cry: :muro:
Appena Bit ha finito -tra 2-3 ore- posterò un altro log: chissà cosa esce fuori?

su forza e coraggio che vediamo di rimediare ;)

Chill-Out
03-02-2008, 21:55
Niente da fare in modalità provvisoria non ne vuole sapere di partire. va in schermata blu.

Grazie


leggi il mio post #1294 http://www.hwupgrade.it/forum/showpost.php?p=20906510&postcount=1294
ho aggiunto alcune istruzioni

sparklehorse
03-02-2008, 21:59
Non ho avuto problemi con gli aggiornamenti antivirus,ho solo qualche anomalia con la connessione internet principalmente...ogni tanto si blocca dal tutto la connessione altre non mi apre pagine normalissime come google o yahoo,sto facendo una scansione con Dr.web che mi ha trovato e pulito questo file :win32.hllm.beagle.45142, significa che ero anch'io infetto con bagle o non centra nulla? nel caso posso stare tranquillo avendo pulito quel file trovato infetto o devo fare tutta la procedure di disinfezione per bagle?
Thanks

Sakuraji
03-02-2008, 22:02
Fatto ma non funza ancora.

Questo è il log:
http://www.fileup.itadib.com/download.php?id=6yKefCvJviVATHEeGWow

Grazie

Chill-Out
03-02-2008, 22:06
Fatto ma non funza ancora.

Questo è il log:
http://www.fileup.itadib.com/download.php?id=6yKefCvJviVATHEeGWow

Grazie

l'ultima variante del Bagle è rognosa rienserisci lo script in Avenger quello indicato in prima pagina poi di nuovo questo

Files to delete:

C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

poi un'altra passata di EliBagla, allega i log

Sakuraji
03-02-2008, 22:24
Ok rifatto tutto.

Primo script avenger
http://www.fileup.itadib.com/download.php?id=J5wGYbcNcyRsryGgVNsq

Secondo:
http://www.fileup.itadib.com/download.php?id=3eX4ezkBPKdenUj6okXz

Poi ho lanciato elibagla e una cosa strana che mi ha dato è quella che vedi in foto:
http://www.fileup.itadib.com/download.php?id=LwKGwpYoF14AQzq44vtT

Poi infine il file di log di elibagla
http://www.fileup.itadib.com/download.php?id=2sXBrIYyhdPhRsaz417J



Sembra tutto OK
Cosa posso fare? Formattare?

Chill-Out
03-02-2008, 22:32
Sembra tutto OK
Cosa posso fare? Formattare?

cosa vuol dire?

Sakuraji
03-02-2008, 22:36
Nel senso che non rileva + file infetti ma i programmi antivirus non vanno lo stesso

Chill-Out
03-02-2008, 22:41
Nel senso che non rileva + file infetti ma i programmi antivirus non vanno lo stesso

Hai provato a reinstallare l'antivirus? che errore ti dà?

Danger
03-02-2008, 22:54
Come richiesto da Chill-Out posto un nuovo log di HJT dopo aver passato il BitDefender (allego anche il suo log).
Purtroppo Kaspersky Antivirus è ancora fuoriuso:mbe:

Chill-Out
03-02-2008, 22:58
Purtroppo Kaspersky Antivirus è ancora fuoriuso

ma se vedo installato Antivir

murack83pa
03-02-2008, 23:05
Come richiesto da Chill-Out posto un nuovo log di HJT dopo aver passato il BitDefender (allego anche il suo log).
Purtroppo Kaspersky Antivirus è ancora fuoriuso:mbe:

ciao

intanto fixa queste voci.


O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)


poi c'è da pulire il file host....giusto chill?

Danger
03-02-2008, 23:05
Esatto ho Antivir. Ma ho installato Kaspersky per seguire la guida del primo post di questa discussione...:confused:

murack83pa
03-02-2008, 23:08
Esatto ho Antivir. Ma ho installato Kaspersky per seguire la guida del primo post di questa discussione...:confused:

ma ti riferischi al trial antivirus di kaspersky, oppure al tool antispyware della kaspersky: xchè vedo che hai quest'ultimo installato e mi sembra anche funzionante, no?

se ti riferisci al trial antivirus di kaspersky, al momento disinstallalo completamente e fai una pulizia di registro con ccleaner:
DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Chill-Out
03-02-2008, 23:08
Esatto ho Antivir. Ma ho installato Kaspersky per seguire la guida del primo post di questa discussione...:confused:

L' importante è avere Antivir in Run poi Kaspersky lo eliminiamo

Chill-Out
03-02-2008, 23:10
poi c'è da pulire il file host....giusto chill?

non solo

adesso fai pulizia con Ccleaner come indicato da murack83pa, mi raccomando il system restore deve rimanere disabilitato

Danger
03-02-2008, 23:13
Dunque ho fixato le 6 voci indicatemi da Murack. Per quanto riguarda Kaspersky ho la trial version dell'antivirus. Antivir è attivo compare nella barra dell'applicazioni la sua icona e anche nel Task Manager mi dà attivo il processo AV Guard...

Chill-Out
03-02-2008, 23:18
Dunque ho fixato le 6 voci indicatemi da Murack. Per quanto riguarda Kaspersky ho la trial version dell'antivirus. Antivir è attivo compare nella barra dell'applicazioni la sua icona e anche nel Task Manager mi dà attivo il processo AV Guard...

lo sò te l'ho detto che è in Run

Chill-Out
03-02-2008, 23:30
1) Fixa le seguenti voci:

O1 - Hosts: 65.75.216.6 www.winmx.com err.winmx.com
O1 - Hosts: 65.75.216.6 cache0.winmx.com test3201.winmx.com test3206.winmx.com
O1 - Hosts: 65.75.216.7 cache1.winmx.com test3202.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.229.238 cache2.winmx.com test3203.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 cache3.winmx.com test3204.winmx.com
O1 - Hosts: 205.238.40.2 cache4.winmx.com test3205.winmx.com
O1 - Hosts: 65.75.216.6 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 65.75.216.6 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 65.75.216.7 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.229.238 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O1 - Hosts: 65.75.216.6 winmx-com.winmxgroup.com winmx-com-v30.winmxgroup.com
O1 - Hosts: 205.238.40.54 winmx-com.winmxgroup.com winmx-com-v30.winmxgroup.com
O1 - Hosts: 65.75.216.6 test0.winmxgroup.net test5.winmxgroup.net
O1 - Hosts: 65.75.216.7 test1.winmxgroup.net test6.winmxgroup.net
O1 - Hosts: 82.43.229.238 test2.winmxgroup.net
O1 - Hosts: 205.238.40.1 test3.winmxgroup.net
O1 - Hosts: 205.238.40.2 test4.winmxgroup.net
O1 - Hosts: 65.75.216.6 cache0.winmxgroup.com cache5.winmxgroup.com cache0.winmxgroup.net cache5.winmxgroup.net cache10.winmxgroup.net cache15.winmxgroup.net
O1 - Hosts: 65.75.216.7 cache1.winmxgroup.com cache6.winmxgroup.com cache1.winmxgroup.net cache6.winmxgroup.net cache11.winmxgroup.net cache16.winmxgroup.net
O1 - Hosts: 82.43.229.238 cache2.winmxgroup.com cache7.winmxgroup.com cache2.winmxgroup.net cache7.winmxgroup.net cache12.winmxgroup.net cache17.winmxgroup.net
O1 - Hosts: 205.238.40.1 cache3.winmxgroup.com cache8.winmxgroup.com cache3.winmxgroup.net cache8.winmxgroup.net cache13.winmxgroup.net cache18.winmxgroup.net
O1 - Hosts: 205.238.40.2 cache4.winmxgroup.com cache9.winmxgroup.com cache4.winmxgroup.net cache9.winmxgroup.net cache14.winmxgroup.net cache19.winmxgroup.net
O2 - BHO: (no name) - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no file)
O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

2) Poi Start - Esegui - digita:
sc stop Microsoft authenticate service - clicca su OK
sc delete Microsoft authenticate service - clicca su OK


3) In Avenger inserisci questo script

Files to delete:

C:\WINDOWS\system32\msasvc.exe

4) Scarica SDFix e salvalo sul Desktop http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Posta anche un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Riepilogo log da allegare:
Avenger
SDFix
FindAWF
Nuovo log HJT

Danger
03-02-2008, 23:37
Grazie Chill-Out:) Sto facendo la pulizia con Ccleaner dopo aver fatto la "riparazione" del registro con CC e domani mi metterò dietro alla tua procedura, che mi sembra bella lunga.
;) Thanks

Chill-Out
03-02-2008, 23:39
OK te l'avevo detto che avevi un bel macello ;)

Luckylox
04-02-2008, 01:53
date un'occhiata al mio ultimo post sopra?

è una scheda cronologica dello sviluppo del mio problema con bagle.


guardate i log, magari sono riuscito a risolvere...

...hijack this non ne vuole sapere, mi si interrompe in 2 punti, posto comunque il suio file di log

l'errore che mi da' è il seguente:


-----------------------------------------------------------------------
An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 6.00.1904
MSIE version: 7.0.6000.16386
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
-------------------------------------------------


thanks!


ragazzi... mi avete dato una mano fino ad un certo punto e poi siete spariti...

....MI SENTO ABBANDONATO IN UNA VALLE DI LACRIME.........

HELP:cry:

Sakuraji
04-02-2008, 06:14
Per Chill-Out

Perfetto ora anche l'antivirus va dopo averlo reinstallato.

Sei stato veramente molto disponibile e di aiuto. Grazie 1000.

Un'ultima cosa che volevo sapere era se mi potevi dare un consiglio su un buon antivirus, visto che avevo installato AVG ma il virus me lo sono beccato in pieno. E poi è meglio avere un antispyware a parte o esiste un unico prodotto.

Di nuovo grazie.

Chill-Out
04-02-2008, 07:53
Per Chill-Out

Perfetto ora anche l'antivirus va dopo averlo reinstallato.

Sei stato veramente molto disponibile e di aiuto. Grazie 1000.

Un'ultima cosa che volevo sapere era se mi potevi dare un consiglio su un buon antivirus, visto che avevo installato AVG ma il virus me lo sono beccato in pieno. E poi è meglio avere un antispyware a parte o esiste un unico prodotto.

Di nuovo grazie.

Posta un log di HijackThis che facciamo un'ultimo controllo, per quanto riguarda l'antivirus in ambito free ti consiglio Antivir al quale puoi affiancargli SpywareTerminator
http://www.hwupgrade.it/forum/showthread.php?t=1514684
http://www.hwupgrade.it/forum/showthread.php?t=1246338

murack83pa
04-02-2008, 08:58
ragazzi... mi avete dato una mano fino ad un certo punto e poi siete spariti...

....MI SENTO ABBANDONATO IN UNA VALLE DI LACRIME.........

HELP:cry:

ciao

io ti ho dato delle inidicazioni ieri...

vedi se riesci a fixare le voci che ti ho indicato qui di seguito e a fare una scansione online:
http://www.hwupgrade.it/forum/showpost.php?p=20904768&postcount=1280

posta un nuovo log di hijackthis e il report della scansione online

una precisazione su hijackthis: poichè hai vista, forse devi fare girare HIJACKTHIS come amministratore o cmq qualkosa del genere...credo che sia x questo che ti da problemi

hai detto che avenger nn sei riuscito a farlo girare, giusto?
se hai vista , nn lo puoi utilizzare....

fe2946de
04-02-2008, 09:03
ciao ho seguito la guida fino alla scansione cn elibagle,poi il virus mi ha bloccato kaspersky e ccleaner dicendo che nn sono applicazioni valide di win32.

ecco il log di elibagle:http://www.fileup.itadib.com/download.php?id=pnTxxEQTZwvLuQZrNDjY

cosa faccio ora che nn riesco ad attivare quei due programmi?

murack83pa
04-02-2008, 09:07
ciao ho seguito la guida fino alla scansione cn elibagle,poi il virus mi ha bloccato kaspersky e ccleaner dicendo che nn sono applicazioni valide di win32.

ecco il log di elibagle:http://www.fileup.itadib.com/download.php?id=pnTxxEQTZwvLuQZrNDjY

cosa faccio ora che nn riesco ad attivare quei due programmi?

ciao,

rifai girare elibagle in modalità provvissoria e posta qui il log

PS: c serve anche sapere che windows hai, grazie

david82
04-02-2008, 09:07
è normale?

credo di aver tolto il virus (elibagla ha eliminato i files, non è più tra i processi, gmer non segna niente di rosso, sono riuscito a reinstallare antivirus e firewall) ma...
quando ero ancora infetto avevo provato ad aprire avenger e hijackthis che avevo già sul computer, ma non li apriva. adesso continua a non aprirmeli, ma solo i files "vecchi". infatti li ho scaricati di nuovo e questi vengono aperti tranquillamente... è normale?

le uniche cose sospette di hijackthis sono:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs:


edit: ho provato ad aprire adesso spybot, anche questo non funziona... devo reinstallare tutti i programmi di sicurezza, vero....? tutti gli altri per ora sembrano funzionare...

murack83pa
04-02-2008, 09:11
è normale?

credo di aver tolto il virus (elibagla ha eliminato i files, non è più tra i processi, gmer non segna niente di rosso, sono riuscito a reinstallare antivirus e firewall) ma...
quando ero ancora infetto avevo provato ad aprire avenger e hijackthis che avevo già sul computer, ma non li apriva. adesso continua a non aprirmeli, ma solo i files "vecchi". infatti li ho scaricati di nuovo e questi vengono aperti tranquillamente... è normale?

le uniche cose sospette di hijackthis sono:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs:


che windows hai?
in Vista avenger nn gira, riguardo hijackthis forse lo devi fare girare con i privilegi di amministratore o qualkosa del genere

sicuro di aver eseguito tutta la guida?

ccleaner ti funziona?

hai fatto girare panda antirootkit? e la scansione online?

se posti i log delle scansioni, noi c possiamo fare una idea sulla tua situazione...

anche il log di una scansione col tuo antivirus e vediamo...

david82
04-02-2008, 09:19
che windows hai?
in Vista avenger nn gira, riguardo hijackthis forse lo devi fare girare con i privilegi di amministratore o qualkosa del genere

sicuro di aver eseguito tutta la guida?

ccleaner ti funziona?

hai fatto girare panda antirootkit? e la scansione online?

se posti i log delle scansioni, noi c possiamo fare una idea sulla tua situazione...

anche il log di una scansione col tuo antivirus e vediamo...

xp.
no ma avenger e hijackthis funzionano se scaricati di nuovo. immagino che quelli "vecchi" siano stati modificati dal virus... o no?
io mi aspettavo che tolto il virus ricominciassero a funzionare.

infatti ho appena visto, in proprietà del file, l'ultima modifica è di oggi, quindi è normale....
ccleaner non l'ho usato, cosa dovrebbe cancellare? file o registro?

murack83pa
04-02-2008, 09:38
xp.
no ma avenger e hijackthis funzionano se scaricati di nuovo. immagino che quelli "vecchi" siano stati modificati dal virus... o no?
io mi aspettavo che tolto il virus ricominciassero a funzionare.

infatti ho appena visto, in proprietà del file, l'ultima modifica è di oggi, quindi è normale....
ccleaner non l'ho usato, cosa dovrebbe cancellare? file o registro?


disinstalla hijackthis vecchio: clicca su "open the misc tools section" e poi clicca in basso nell'elenco(nn si vede all'inizio, scorri giu) su "Uninstall Hijackthis

riguardo avenger, cancella tutta la cartella, anche il file zip di backup, che sono ancora infetti...

alla fine di ciò fai una scansione completa col tuo antivirus (quale hai?)

ccleaner fa un po di pulizia di file inutile del pc e fa anche un po di pulizia, nn molto invasiva e x questo affidabile, del registro:
Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

david82
04-02-2008, 09:40
dal log di avenger:

Could not open file ....... for deletion
Deletion of file ........ failed!

Could not process line:
.........
Status: 0xc000003a


cosa significa?
tutti gli altri sono
"file ..... not found
deletion ..... failed"


da hijackthis:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs:
posso cancellarli?

murack83pa
04-02-2008, 09:43
una domanda: hai seguito la guida?
hai postato qui i log dei programmi richiesti?
oppure hai provato a fare tutto da solo?

i log nn vanno postati cosi.......leggiti bene la prima pagina....modifica il tuo post, cancellando il log di avenger e inserendolo secondo quanto specificato nella guida

nn avendo chiaro il tuo percorso, nn posso aiutarti.....

david82
04-02-2008, 09:47
una domanda: hai seguito la guida?
hai postato qui i log dei programmi richiesti?
oppure hai provato a fare tutto da solo?

i log nn vanno postati cosi.......leggiti bene la prima pagina....modifica il tuo post, cancellando il log di avenger e inserendolo secondo quanto specificato nella guida

nn avendo chiaro il tuo percorso, nn posso aiutarti.....

questi sono i primi log che ho postato.
tutto il resto è "a posto", pensavo fosse inutile farvi controllare tutto quanto, gli unici dubbi che ho sono quelli...

murack83pa
04-02-2008, 09:53
questi sono i primi log che ho postato.
tutto il resto è "a posto", pensavo fosse inutile farvi controllare tutto quanto, gli unici dubbi che ho sono quelli...

rifai girare elibagle in modalità provvissoria e posta qui il log secondo le regole di sezione...


modifica anche il tuo post precendente: se nn lo fai, nn ti possiamo dare assistenza

grazie della collaborazione

fe2946de
04-02-2008, 10:41
visto che sono un incapace,potresti dirmi come metto il pc in modalità provvisoria? cmq ho un XP

murack83pa
04-02-2008, 10:49
visto che sono un incapace,potresti dirmi come metto il pc in modalità provvisoria? cmq ho un XP

riavvia il pc, e prima che si carichi windows premi ripetutamente f8....

franknaples
04-02-2008, 11:15
Ora che ho tolto il virus, che succede se riattivo l'impostazione del ripristino?

murack83pa
04-02-2008, 11:39
Ora che ho tolto il virus, che succede se riattivo l'impostazione del ripristino?

sicuro di aver eliminato bagle?
e i log della guida richiesti?
li hai già postati?

fe2946de
04-02-2008, 13:11
ho fatto girare elibagle in modalità provvisoria
ecco il log:http://www.fileup.itadib.com/download.php?id=kfOJt8pNReeD19m0wSEv

attendo vostre indicazioni.grazie mille per l'aiuto che mi state dando.ho windows XP

murack83pa
04-02-2008, 13:14
ho fatto girare elibagle in modalità provvisoria
ecco il log:http://www.fileup.itadib.com/download.php?id=kfOJt8pNReeD19m0wSEv

attendo vostre indicazioni.grazie mille per l'aiuto che mi state dando.ho windows XP

rifai girare nuovamente elibagle in modalità provvissoria

e poi posta il log

franknaples
04-02-2008, 13:29
sicuro di aver eliminato bagle?
e i log della guida richiesti?
li hai già postati?
Purtroppo per sbaglio ho fatto 2 volte la scansione con The Avenger e quindi il vecchio log è stato sostituito, perciò c'è scritto che non trova nessun file, perché li ha già eliminati in precedenza. Idem per quello in spagnolo. Questo perché prima della vostra guida mi era già stato consigliato di usare questi programmi, però comunque seguendo il vostro procedimento gli antivirus hanno ripreso a funzionare tutti (ho dovuto reinstallarli), la modalità provvisoria funziona e con Spybot ho risolto anche il problema del centro sicurezza. In ogni caso, li posto comunque per un ulteriore controllo da voi esperti.

murack83pa
04-02-2008, 13:47
....

ok

posta un log di gmer:
DOWNLOAD (http://www.majorgeeks.com/downloadget.php?id=5198&file=13&evp=3f18075291813a665b2a25536a70b307)

una volta scompattato in una sua cartella, avvialo, controlla che tutte le caselle a destra siano spuntate,e clicca su scan
disattiva prima spybot e nn fare nulla durante la scansione
a fine scansione, clicca sul pulsante copy e incolli il log cosi copiato in un file notepad e lo alleghi qui
specifica se c sono voci in rosso

posta anche un log di hijackthis,come spiegato in prima pagina

franknaples
04-02-2008, 14:36
ok

posta un log di gmer:
DOWNLOAD (http://www.majorgeeks.com/downloadget.php?id=5198&file=13&evp=3f18075291813a665b2a25536a70b307)

una volta scompattato in una sua cartella, avvialo, controlla che tutte le caselle a destra siano spuntate,e clicca su scan
disattiva prima spybot e nn fare nulla durante la scansione
a fine scansione, clicca sul pulsante copy e incolli il log cosi copiato in un file notepad e lo alleghi qui
specifica se c sono voci in rosso

posta anche un log di hijackthis,come spiegato in prima pagina

Ok. Allora, con GMER delle voci in rosso ci sono, tutte le Library
, però sono tutti file che conosco... Mentre con HiJackThis è tutto classificato come sicuro.

Non riesco ad uppare il log di Gmer, ti metto qui solo le voci in rosso...

---- Processes - GMER 1.0.14 ----

Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [216] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe [256] 0x00C80000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\ATI Technologies\ATI.ACE\cli.exe [356] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [544] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe [920] 0x00AC0000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\ATI Technologies\ATI.ACE\cli.exe [952] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Alice ti aiuta\bin\mpbtn.exe [1048] 0x00A20000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1432] 0x10000000
Library C:\WINDOWS\system32\klogon.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1432] 0x01250000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [1488] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [1488] 0x00BB0000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1720] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1920] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1920] 0x016C0000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1964] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2348] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2348] 0x00F30000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2348] 0x019A0000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\WINDOWS\ehome\ehtray.exe [2728] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE [2984] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE [2984] 0x05990000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe [2992] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe [3056] 0x10000000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Nero\Nero 7\InCD\InCD.exe [3068] 0x01440000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe [3096] 0x00E50000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe [3096] 0x00EA0000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [3392] 0x00C40000
Library C:\Programmi\Kaspersky (*** hidden *** ) @ C:\Programmi\Messenger\msmsgs.exe [3528] 0x00E00000

---- Registry - GMER 1.0.14 ----

Ciarli
04-02-2008, 15:02
Apri HJT e fixa:



Se non lo conosci fixa anche questo:



Poi scarica Fixwareout (http://downloads.subratam.org/Fixwareout.exe)

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. Si apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.


Poi ancora scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:



Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt e un nuovo log di HiJackThis.

P.S. Per i log di HiJackThis c'è un thread apposito.

Nuz, ho fatto come mi hai consigiato e quindi posto gli ultimi due log creati da HJT e avenger.
Ancora grazie e complimenti per serietà con la quale vi dedicate a noi "disperati" e bisognosi. ;-)

Danger
04-02-2008, 15:11
Ho seguito la procedura indicatami da Chill-Out (HJT, Avenger, SDFix, FindAWF e nuovo log di HJT). Allego i vari log all'interno del file .zip. Sappiatemi dire...:stordita:

Nuz
04-02-2008, 15:20
Nuz, ho fatto come mi hai consigiato e quindi posto gli ultimi due log creati da HJT e avenger.
Ancora grazie e complimenti per serietà con la quale vi dedicate a noi "disperati" e bisognosi. ;-)

Aggiorna Internet Explorer alla versione 7, Adobe Acrobat alla versione 8.1 e Java alla versione 1.6.0.0_4.

P.S. Non ho mai sentito parlare di Trojan Remover, non sembra essere un "falso", comunque ti consiglio di passare a software ben noti: AVG Antispyware, A-Squared free e Superantispyware.

Chill-Out
04-02-2008, 15:27
Ho seguito la procedura indicatami da Chill-Out (HJT, Avenger, SDFix, FindAWF e nuovo log di HJT). Allego i vari log all'interno del file .zip. Sappiatemi dire...:stordita:

allega i log in formato .txt, no ZIP, grazie.

Danger
04-02-2008, 15:29
Ecco i primi 3 log

Danger
04-02-2008, 15:30
E questo è l'ultimo;)

Chill-Out
04-02-2008, 15:37
Questo l'hai fatto o te lo sei dimenticato

2) Poi Start - Esegui - digita:
sc stop Microsoft authenticate service - clicca su OK
sc delete Microsoft authenticate service - clicca su OK

Danger
04-02-2008, 15:41
Questo l'hai fatto o te lo sei dimenticato

2) Poi Start - Esegui - digita:
sc stop Microsoft authenticate service - clicca su OK
sc delete Microsoft authenticate service - clicca su OK
Fatto ;) Ho dimenticato di scriverlo, ma l'ho fatto:muro:

Chill-Out
04-02-2008, 15:43
F
Fatto ;) Ho dimenticato di scriverlo, ma l'ho fatto:muro:

uhm...ti credo sulla parola, c'è ancora qualcosa che non và allegami un log di Gmer http://www.gmer.net/gmer.zip

Danger
04-02-2008, 15:49
Ecco il log di gmer. Che ci sia qualcosa ancora che non va l'aveo notato dal messaggio di errore che compare all'avvio quando carico SuperAnti

Chill-Out
04-02-2008, 16:06
Fai così:

Start - Esegui - digita cmd e scrivi
sc stop MsaSvc - INVIO
sc delete MsaSvc - INVIO

Il log di Gmer è incompleto rifallo come da immagine clicca su copy e copi ed incolli il log nel bllocco note e lo alleghi

http://www.megalab.it/immagini/articoli/gmer_/gmer_1_.jpg

che errore ti dà SuperAntispyware

Danger
04-02-2008, 17:29
Ti allego un log completo di Gmer più l'errore che compare all'avvio del sistema dopo che carica SuperAnti:mbe:

Chill-Out
04-02-2008, 17:35
Hai fatto questo:

Start - Esegui - digita cmd e scrivi
sc stop MsaSvc - INVIO
sc delete MsaSvc - INVIO

Poi in Avenger

Files to delete:

C:\DOCUME~1\Andrea\IMPOST~1\Temp\catchme.sys

SuperAntispyware e da disinstallare e reinstallare temo

Nuovo log di HJT e log di Avenger

Danger
04-02-2008, 18:26
Ho eseguito le due stringhe in Esegui e poi lo script in Avanger ed ecco i log.
Problema risolto con SuperAnti rinstallandolo;)

sparklehorse
04-02-2008, 19:58
come faccio a sapere se sono infetto da bagle? ho qualche anomalia al pc ed in particolare mi e' successo un paio di volte che l'AVG antivirus non si aggiornassa automaticamente anche se poi' e' bastato lanciare l'update automaticamente per farlo andare a posto.Ho fatto una scansione con Symantec Norton Security Check on-line e non mi ha trovato nulla... dite che posso stare tranquillo?

murack83pa
04-02-2008, 20:09
come faccio a sapere se sono infetto da bagle? ho qualche anomalia al pc ed in particolare mi e' successo un paio di volte che l'AVG antivirus non si aggiornassa automaticamente anche se poi' e' bastato lanciare l'update automaticamente per farlo andare a posto.Ho fatto una scansione con Symantec Norton Security Check on-line e non mi ha trovato nulla... dite che posso stare tranquillo?

hai già postato tutti i log richiesti?

qualkuno ti ha detto che eri pulito?

una cosa: se devi fare uno scan online, nn fare quello di norton....c sono dei migliori(quasi tutti).....kaspersky,bitdefender,panda,eset...ecc.ecc.

Bugs Bunny
04-02-2008, 20:36
come faccio a sapere se sono infetto da bagle? ho qualche anomalia al pc ed in particolare mi e' successo un paio di volte che l'AVG antivirus non si aggiornassa automaticamente anche se poi' e' bastato lanciare l'update automaticamente per farlo andare a posto.Ho fatto una scansione con Symantec Norton Security Check on-line e non mi ha trovato nulla... dite che posso stare tranquillo?

leggessi bene la guida magari... i sintomi sono descritti all'inizio.

Ribadisco: leggete e seguite TUTTA la guida. Molti si fermano ad elibagla. sappiate che da solo non serve a nulla.

Chill-Out
04-02-2008, 20:43
Ho eseguito le due stringhe in Esegui e poi lo script in Avanger ed ecco i log.
Problema risolto con SuperAnti rinstallandolo;)

Log di Gmer per favore

Luckylox
04-02-2008, 21:03
ciao

io ti ho dato delle inidicazioni ieri...

vedi se riesci a fixare le voci che ti ho indicato qui di seguito e a fare una scansione online:
http://www.hwupgrade.it/forum/showpost.php?p=20904768&postcount=1280

posta un nuovo log di hijackthis e il report della scansione online

una precisazione su hijackthis: poichè hai vista, forse devi fare girare HIJACKTHIS come amministratore o cmq qualkosa del genere...credo che sia x questo che ti da problemi

hai detto che avenger nn sei riuscito a farlo girare, giusto?
se hai vista , nn lo puoi utilizzare....


Dunque...grazie;)

Alla fine sono riuscito a fare la scansione kaspersky online come consigliatomi all'inizio della guida facendo partire explorer da amministratore...

....stessa cosa per ciò che riguarda gli errori di HiJackThis....esegui come amministratore e nessun problema.

Ho fixato tutto ciò che mi hai detto di fixare.

Manca qualche crack di 'prova' scaricata da cancellare, e lo faro' non appena mi dite come muovermi.

Allego i log della scansione online di kaspersky e di HiJackThis come illustrato.



Grazie mille, davvero.

-----LOG KASPERSKY ONLINE-----
http://www.fileup.itadib.com/download.php?id=ROoRsm17MRX5b0yNXVXs

----LOG HIJACKTHIS-------

sparklehorse
04-02-2008, 21:04
hai già postato tutti i log richiesti?

qualkuno ti ha detto che eri pulito?

una cosa: se devi fare uno scan online, nn fare quello di norton....c sono dei migliori(quasi tutti).....kaspersky,bitdefender,panda,eset...ecc.ecc.

Non ho completato ancora tutte le scansioni... sono entrato in questa discussione perche facendo una scansione con Dr.web mi ha trovato e pulito questo file chiamato:win32.hllm.beagle.45142 da li ho avuto il sospetto di essere infetto da bagle,cmq Ad-Squared e Prevx CSI e la scansione online di Symantec Norton Security non mi hanno trovato nulla di anomalo,ho problemi ad fare le scansioni online perche con vista molte non sono compatibili... cmq ora mi mancano Gmer e ESET ADS Revealer..... se passo queste forse potro' considerarmi sano... forse...

Danger
04-02-2008, 21:20
Ecco il file con il log: http://rapidshare.de/files/38491859/Gmer2217.txt.html

Chill-Out
04-02-2008, 21:28
Ecco il file con il log: http://rapidshare.de/files/38491859/Gmer2217.txt.html

ti dispiace hostarlo qui: http://www.fileup.itadib.com

Danger
04-02-2008, 21:46
Ecco il link no problema: http://www.fileup.itadib.com/download.php?id=OgMsAHMkCJoX3WwGeslr

Chill-Out
04-02-2008, 21:55
Ecco il link no problema: http://www.fileup.itadib.com/download.php?id=OgMsAHMkCJoX3WwGeslr

Dovremmo essere finalmente OK, riscontri problemi.

ivano_82
04-02-2008, 22:08
forse ce l'ho fatta. potreste solo dare un'occhiata a questi log:

hijackthis: http://www.fileup.itadib.com/download.php?id=kgGAzTy1UjenYlHebJgN

kaspersky:
http://www.fileup.itadib.com/download.php?id=rIZ3JqMiEjvdyHR6hLgW

bitdefender:
http://www.fileup.itadib.com/download.php?id=wqC3uk6TlpEemRvyyk56

Danger
04-02-2008, 22:27
Dovremmo essere finalmente OK, riscontri problemi.
Mi sembra tutto Ok, l'unica cosa è che ieri sera mi si è bloccato la pulizia di Cclean con questo report.
Credi che dovrei rifarlo? Per il resto mi pare tutto OK...
Basta Antivir o è meglio che tenga installato anche l'AVG?:confused:
Intanto grazie Chill-Out non so davvero che dire: mitico!
:ave: :winner:

murack83pa
04-02-2008, 22:31
edit

ivano_82
04-02-2008, 22:36
e a me che dici?

Chill-Out
04-02-2008, 22:41
Mi sembra tutto Ok, l'unica cosa è che ieri sera mi si è bloccato la pulizia di Cclean con questo report.
Credi che dovrei rifarlo? Per il resto mi pare tutto OK...
Basta Antivir o è meglio che tenga installato anche l'AVG?:confused:
Intanto grazie Chill-Out non so davvero che dire: mitico!
:ave: :winner:

Rifai pulizia con Ccleaner, dopodichè installi https://psi.secunia.com/ ed aggiorni i software obsoleti quindi vulnerabili tipo Java ed Acrobat.

Antivir và benissimo, ho visto che come firewall usi Online Armor ottimo, tieni anche AVG come antispyware e A-squared e Superantispyware per le scansioni schedulate
Sarebbe opportuno utilizzare un browser alternativo ad IE ed andare di Account Limitato....ho scritto un pò di fretta se qualcosa non ti è chiaro chiedi pure

roger73
04-02-2008, 23:12
Il Log di Elibagle e' piu' in basso.
Cordialmente ringrazio.

Chill-Out
04-02-2008, 23:21
Errori persistenti: Widows Defender non si avvia
Cliccando su programmi: (null) non e' un'applicazione di win32 valida

Cordialmente ringrazio.

Roger73 i log non vanno zippati ma allegati in formato .txt (testo) oltre ad HijackThis servono il log di Elibgla e Avenger devi semplicemente seguire passo passo la guida in prima pagina

murack83pa
05-02-2008, 00:00
....

hai fatto una scansione completa con avira?

posta qui il report

prima, fixa queste voci:

O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

posta un nuovo log di hijackthis

fai anche una scansione con gmer(tutte le caselle a destre devono essere selezionate) e posta qui il log (pulsante save)

che problemi presenti?

roger73
05-02-2008, 00:00
Problemi: Widows Defender non si avvia
Cliccando su programmi: (null) non e' un'applicazione di win32 valida

Cordialmente ringrazio.

CronoX
05-02-2008, 01:55
wow c'era anche un thread qui...vabbè fa niente...ho risolto comunque....però mi è rimasto il problema che non riesco ad avviare gli antivirus che avevo...perchè?!ma è vero che questo virus ruba password e varie?!

murack83pa
05-02-2008, 08:32
wow c'era anche un thread qui...vabbè fa niente...ho risolto comunque....però mi è rimasto il problema che non riesco ad avviare gli antivirus che avevo...perchè?!ma è vero che questo virus ruba password e varie?!

ciao

segui la guida che trovi in prima pagina

il ripristino deve essere disattivato, fai girare elibagle in modalità provvissoria e posta qui il log e attendi ulteriori istruzioni

specifica quale sistema operativo hai

Ciarli
05-02-2008, 09:44
Da qualche giorno ho eseguito il procedimento da voi indicato e ho risolto il problema di Bagle, ma ora dopo la pulizia i browser (Firefox e IE) sembrano non funzionare piu bene. Il problema è che molto spesso (8 su 10) non carica le pagine e mi dà "indirizzo non trovato" (anche tipo con google o yahoo). Ora, assicuratomi che la connessione funziona perchè comq i vari programmi o la posta o altro li scarico e li invio, non saprei cosa possa essere a creare questo blocco di traffico. Ho installato Kaspersky come antivirus (suggeritomi da voi) e prevede una protezione anche per le pagine web, ho provato a disattivarla, ma senza risultati. Ah ! dimenticvo, ieri notte ho pure provato a scaricare e reinstallare il browser nuovo ma senza risultati degni di nota.
Che potrebbe essere?

fe2946de
05-02-2008, 09:48
ecco il link della seconda scansione in modalità provvisoria di elibagle:
http://www.fileup.itadib.com/download.php?id=tr4oQOCfn4iIigivI9Ng

mf.mizzau
05-02-2008, 10:48
ciao forse ho contratto anch'io il virus bagle. da un giorno all'altro l'icona in basso a dx di avg è sparita. se clicco sul collegamento sul desktop o cerco di aprire qualunque cartella avg si chiude subito. se la rinomino allora riesco aprirla ma non posso aprire nessun file. non riesco ad aprire task manager. non riesco a disinstallare o ad installare nuovamente avg. se apro internet e cerco una pagina con avg o kaspersky me la chiude.
elibagla non ha trovato niente. gmer dice i possibile eseguire la scansione file c:/winnt/system32/config/system è in uso. poi sembra non trovare niente. ieri sera quando l'ho rilanciato ha trovato qualcosa di rosso ma quando ho detto ok fai lo scan ha chiuso la finestra. non so cos'altro fare o verificare. qualcuno mi aiuta per favore?
grazie ciao.
ripristino configurazione di sistema in windows 2000 non c'è.
elibagla non trova niente
la trial di kaspersky non posso installarla perchè me la chiude subito.
non posso fare la scansione on line con kaspersky perchè mi chiude subito le pagine internet relative ad antivirus(pr esempio relativea ad avg, a kaspersky, anche virustotal.com)
qualcuno mi aiuta se si può?
p.s.
gmer ogni tanto non trova niente di rosso. alla terza volta che lo lancio mi dice in rosso che c'è un processo hidden 8100 se voglio fare lo scan, e se clicco su si dopo poco viene chiuso.

Chill-Out
05-02-2008, 11:20
Problemi: Widows Defender non si avvia
Cliccando su programmi: (null) non e' un'applicazione di win32 valida

Cordialmente ringrazio.

Riallega il log di HijackThis dov'è finito? Grazie.

walterluca1
05-02-2008, 11:42
ciao, penso di aver trovato il bagle piu' jajaja di tutti.
Ho vista ed è la 3 volta che mi capita un bagle, ma mai con vista dove avenger e altri programmi non vanno.

il bagle mi ha tolto gli antivirus, windows defender e si mangia la memoria della c.

una novità, gli activix per le scansioni online non vanno

come posso fare con vista elibagla non elimina il bagle ma lo aveva trovato

hijackthis http://www.fileup.itadib.com/download.php?id=0mOznjIa2ka24TGFmd4M

roger73
05-02-2008, 12:16
Riallega il log di HijackThis dov'è finito? Grazie.

Problemi: Widows Defender non si avvia
Cliccando su programmi: (null) non e' un'applicazione di win32 valida

Cordialmente ringrazio.

Luckylox
05-02-2008, 12:25
hai fatto una scansione completa con avira?

posta qui il report

prima, fixa queste voci:



posta un nuovo log di hijackthis

fai anche una scansione con gmer(tutte le caselle a destre devono essere selezionate) e posta qui il log (pulsante save)

che problemi presenti?


Dunque...

Scansione fatta con AVIRa, ecco il report...

Fixate le voci indicate su HJT, di seguito il log

Stessa cosa per i risultati di gmer

Ascolta, la scansione online Kaspersrky che ti ho sottoposto prima mi dava la presenza di 5 virus...gli hai dato un'occhiata? come mi muovo per quelli?



In fondo ho fatto davvero tutto....come ti sembrano i log?...

---PROBLEMI PERSISTENTI---
Windows defender non gira

Difficoltà residue ad installare alcuni programmi di sicurezza (l'ultimo un tool di kaspersky lab)


LOG AVIRA
http://www.fileup.itadib.com/download.php?id=axJ42S2KimBpCRihjtMM

LOG GMER
http://www.fileup.itadib.com/download.php?id=FZsbvTlMLweu0w8P9Rko

murack83pa
05-02-2008, 12:47
nn c siamo capiti:

devi cancellare tutti i crack che hai nel pc!

avira ne ha rilevati una decina e alcuni nn li puo rimuovere...bagle si annida in questi crack

se nn cancelli quei crack, è inutile continuare

cancella quei crack, dopodichè rifai girare elibagle in mod provv e fai lo scan online cosi come indicato qui:
http://www.hwupgrade.it/forum/showpost.php?p=18910926&postcount=2

fixa questa voce in hijackthis e posta un nuovo log:
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\Windows\is-3TLS7.exe" /REG

walterluca1
05-02-2008, 12:54
ciao murak, abbiamo la stessa eta :-)

ho anche io vista e ho cancellatto quel cacchio di keygen che mi messo il bagle del *********.

ho scritto un post sulla pagina prima e sto facendo la scan online con bitdefender

ho fatto girare elibagle in modalità provvissoria e ora mi da 0 bagle.

ficataaaaaaaaaaaa la scansione online sta eliminando i virus nella catella sitem32

walterluca1
05-02-2008, 13:05
scansione bitdefeder cartella sistem32 con 3 virus http://www.fileup.itadib.com/download.php?id=yOslfC0F0RCQXR2qpZVa

murack83pa
05-02-2008, 13:24
scansione bitdefeder cartella sistem32 con 3 virus http://www.fileup.itadib.com/download.php?id=yOslfC0F0RCQXR2qpZVa

ciao

ho visto il tuo precedente log di hijackthis:

1-hijackthis lo devi fare girare in una sua cartella creata appositamente, e poi che c fa hijackthis nella cartella incominig di emule?

NB: dovete cancellare tutti crack,patch,keygen che avete nel pc

2-fixa questa voce:

O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - Unknown owner - C:\Windows\system32\pr2ah4nc.exe (file missing)


3-disinstalla avast e installati il trial di kaspersky come indicato dalla guida, e fai una scansione completa del sistema

NB: dopo aver disinstallato avast,riavvia il pc e fai un po di pulizia del sistema e del registro con CCLEANER:
DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

dopodichè puoi installare kaspersky, fai la scansione e posta il log

Danger
05-02-2008, 14:38
Rifai pulizia con Ccleaner, dopodichè installi https://psi.secunia.com/ ed aggiorni i software obsoleti quindi vulnerabili tipo Java ed Acrobat.
Sarebbe opportuno utilizzare un browser alternativo ad IE ed andare di Account Limitato....ho scritto un pò di fretta se qualcosa non ti è chiaro chiedi pure
Solo due cose: a che serve psi.secunia e cosa significa ad di Account Limitato? Per quanto riguarda il server mi sono sempre trovato bene con IE... ma è così insicuro?

Chill-Out
05-02-2008, 14:41
Problemi: Widows Defender non si avvia
Cliccando su programmi: (null) non e' un'applicazione di win32 valida

Cordialmente ringrazio.

Il ripristino configurazione sistema è stato disabilitato?

Hai fatto pulizia con Ccleaner e ralitiva passata con Panda Antirootkit?

Esegui HijackThis - clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://italian.eazel.com/index.php?rvs=hompag
O2 - BHO: XBTP06575 Class - {B814DEE4-49A2-4958-B204-F3B17279B663} - C:\PROGRA~1\GOLD-F~1\GOLD-F~1.DLL (file missing)
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\svchost.exe 1
O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing)

clicca su Fix cheked

Ho visto che hai reinstallato l'Antivirus ed in Run ovvero funzionante per quanto riguarda Windows Defender lo devi disintallare e reinstallare http://support.microsoft.com/kb/931849/it

Rialllega nuovo log di HijackThis scaricandolo da qui: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

roger73
05-02-2008, 15:07
Il ripristino configurazione sistema è stato disabilitato?

Hai fatto pulizia con Ccleaner e ralitiva passata con Panda Antirootkit?

Esegui HijackThis - clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://italian.eazel.com/index.php?rvs=hompag
O2 - BHO: XBTP06575 Class - {B814DEE4-49A2-4958-B204-F3B17279B663} - C:\PROGRA~1\GOLD-F~1\GOLD-F~1.DLL (file missing)
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\svchost.exe 1
O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing)

clicca su Fix cheked

Ho visto che hai reinstallato l'Antivirus ed in Run ovvero funzionante per quanto riguarda Windows Defender lo devi disintallare e reinstallare http://support.microsoft.com/kb/931849/it

Rialllega nuovo log di HijackThis scaricandolo da qui: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Alle tue domande: si.
Windows Defender oK
ringraziando...

Chill-Out
05-02-2008, 15:12
Solo due cose: a che serve psi.secunia e cosa significa ad di Account Limitato? Per quanto riguarda il server mi sono sempre trovato bene con IE... ma è così insicuro?

Secunia PSI analizza le applicazioni installate sul sistema e avvisa nel caso in cui siano necessari aggiornamenti e avvisa nel caso in cui l'applicazione presente sul sistema lamenti una o più vulnerabilità di sicurezza.

Quando parlo di IE mi riferisco al browser Internet Explorer ribattezzato Internet Exploder in quanto in termini di sicurezza è un groviera ti consiglio vivamente di utilizzare browser alternativo tipo Firefox o Opera

Se navighi utilizzando l'Account Ammistatore che ha pieni previlegi sul sistema ogni malware ha la strada libera verso la conquista del pc, mentre se utilizzi l'Account Limitato questo non può accedere al sistema per assenza di privilegi quindi fornisce maggiore protezione nell'eventualità contrai un'infezione
Start - Pannello di controllo - Account Utente

Chill-Out
05-02-2008, 15:17
Alle tue domande: si.
Windows Defender oK
ringraziando...

Dovresti essere OK, devi aggiornare Acrobat la tua versione è obsoleta quindi vulnerabile, inoltre ti consiglio di dare un'occhiata qui http://www.hwupgrade.it/forum/showthread.php?t=1476319
su come implementare il tuo parco software di sicurezza ad esempio non vedo un firewall software installato

Ciao

roger73
05-02-2008, 15:26
Dovresti essere OK, devi aggiornare Acrobat la tua versione è obsoleta quindi vulnerabile, inoltre ti consiglio di dare un'occhiata qui http://www.hwupgrade.it/forum/showthread.php?t=1476319
su come implementare il tuo parco software di sicurezza ad esempio non vedo un firewall software installato

Ciao

Tutto ok tranne una cosa, quando vado per aprire hijackthis_199 nella sua cartella nel desktop, mi dice che non e' un'applicazione win32 valida. Per la versione 2.0.2 (ultima scaricata) ok
Come firewall non va bene quello di windows sp2?

murack83pa
05-02-2008, 15:28
Quando parlo di IE mi riferisco al browser Internet Explorer ribattezzato Internet Exploder in quanto in termini di sicurezza è un groviera ti consiglio vivamente di utilizzare browser alternativo tipo Firefox o Opera


:asd: :sbonk:

Chill-Out
05-02-2008, 15:37
Tutto ok tranne una cosa, quando vado per aprire hijackthis_199 nella sua cartella nel desktop, mi dice che non e' un'applicazione win32 valida.

ma se hai postato il log pochi istanti fà

Come firewall non va bene quello di windows sp2?


lo si può definire in tanti modi tranne che firewall

roger73
05-02-2008, 16:00
ma se hai postato il log pochi istanti fà



lo si può definire in tanti modi tranne che firewall


La versione hijackthis 2.0.2 (ultima scaricata) indicatami da te nel thread va oK.

Per la versione 199 l'ho fatta partire dal zip. Estratto mi dava quell'errore (applicazione win32 non valida) boh...

Per il firewall ho installato Comodo.

Ringraziando

Danger
05-02-2008, 16:38
Secunia PSI analizza le applicazioni installate sul sistema e avvisa nel caso in cui siano necessari aggiornamenti e avvisa nel caso in cui l'applicazione presente sul sistema lamenti una o più vulnerabilità di sicurezza.

Quando parlo di IE mi riferisco al browser Internet Explorer ribattezzato Internet Exploder in quanto in termini di sicurezza è un groviera ti consiglio vivamente di utilizzare browser alternativo tipo Firefox o Opera

Se navighi utilizzando l'Account Ammistatore che ha pieni previlegi sul sistema ogni malware ha la strada libera verso la conquista del pc, mentre se utilizzi l'Account Limitato questo non può accedere al sistema per assenza di privilegi quindi fornisce maggiore protezione nell'eventualità contrai un'infezione
Start - Pannello di controllo - Account Utente
Sono riuscito ad effettuare con successo la scansione con CCleaner, e ho fatto la scansione con Secunia PSI. L'unica segnalazione che mi resta è quella per Sun Java JRE 1.5.x / 5.x (Requires uninstall) ma anche scaricando l'aggiornamento dal sito mi resta indicata come Insicure, che posso fare?
Intanto come da te suggeritomi ho modificato il mio account da Amministratore a quello Limitato.
Grazie ancora 1000 volte per tutto l'aiuto in questi giorni, Chiil-Out #1!;)

Chill-Out
05-02-2008, 16:44
Intanto come da te suggeritomi ho modificato il mio account da Amministratore a quello Limitato.

nel senso che hai creato un'altro Account senza previlegi ovvero Account Limitato ?

Aggiorna Java da qui: http://www.java.com/it/download/installed.jsp

Chill-Out
05-02-2008, 16:47
Per la versione 199 l'ho fatta partire dal zip. Estratto mi dava quell'errore (applicazione win32 non valida) boh...

hai scompattato il file compresso giusto? All'interno della cartella creata trovi l'eseguibile da lanciare

roger73
05-02-2008, 17:09
hai scompattato il file compresso giusto? All'interno della cartella creata trovi l'eseguibile da lanciare

Tutto oK
Prima Nod32, Windows Defender, Firewall windows

Adesso Avira Antivir, Windows Defender, Comodo Firewall
Come la vedi?

Per questi virus qua' che ho preso, che programma ci vuole?

Grazie ciao

Chill-Out
05-02-2008, 17:15
Adesso Avira Antivir, Windows Defender, Comodo Firewall
Come la vedi?

meglio di prima, leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1476319

Per questi virus qua' che ho preso, che programma ci vuole?

difficile rispondere a questa domanda, considera che il miglior antivirus è il tuo Cervello

Grazie ciao

Prego

Danger
05-02-2008, 19:02
nel senso che hai creato un'altro Account senza previlegi ovvero Account Limitato ?[/url]
No, ho modificato il mio account mettendo l'accesso limitato e ne ho creato uno nuovo come Amministratore.

Luckylox
05-02-2008, 20:11
nn c siamo capiti:

devi cancellare tutti i crack che hai nel pc!

avira ne ha rilevati una decina e alcuni nn li puo rimuovere...bagle si annida in questi crack

se nn cancelli quei crack, è inutile continuare

cancella quei crack, dopodichè rifai girare elibagle in mod provv e fai lo scan online cosi come indicato qui:
http://www.hwupgrade.it/forum/showpost.php?p=18910926&postcount=2

fixa questa voce in hijackthis e posta un nuovo log:

Dunque...fatto.

Ho eliminato i crack presenti.

Ho fatto girare EliBagla in modalità provvisoria

su C: non trova nulla

su D: stesso problema di sempre: l'app crasha e si chiude da sola, senza alcun messaggio: semplicemente, ad un certo punto, sparisce.

Ho rifatto una scansione online con Kaspersky: mi ha trovato un po di oggetti bloccati, nessuno di questi è una crack, ma in compenso mi ha trovato un virus; di seguito il log.

...che devo fare con 'sto C:\Windows\System32\drivers\down\166171.exe Infected: Trojan.Win32.Pakes.bwy skipped??:mbe:

Allego anche log Di HiJackThis aggiornato.


Aspetto istruzioni...

...grazie duemila...


----log Kaspersky online-----

http://www.fileup.itadib.com/download.php?id=RvV05VEPxdOU7IuhU2eL


------log HiJackThis-------

CronoX
05-02-2008, 20:35
ciao

segui la guida che trovi in prima pagina

il ripristino deve essere disattivato, fai girare elibagle in modalità provvissoria e posta qui il log e attendi ulteriori istruzioni

specifica quale sistema operativo hai

ho risolto...ho reinstallato zone alarm e company ed ora va tutto....

mimmonet
06-02-2008, 13:38
Ho fatto una scansione con Elibagla, la scansione è etata fatta in modalità normale (veisto che in Mod. Provvisoria non mi parte).
Vhiedo ora un disperato aiuto sul dafarsi.

http://www.fileup.itadib.com/download.php?id=IB1r91OkiqW3PEeI5bqF

Ringrazio anticipatamente tutti!!!!

Ciarli
06-02-2008, 13:44
Da qualche giorno ho eseguito il procedimento da voi indicato e ho risolto il problema di Bagle, ma ora dopo la pulizia i browser (Firefox e IE) sembrano non funzionare piu bene. Il problema è che molto spesso (8 su 10) non carica le pagine e mi dà "indirizzo non trovato" (anche tipo con google o yahoo). Ora, assicuratomi che la connessione funziona perchè comq i vari programmi o la posta o altro li scarico e li invio, non saprei cosa possa essere a creare questo blocco di traffico. Ho installato Kaspersky come antivirus (suggeritomi da voi) e prevede una protezione anche per le pagine web, ho provato a disattivarla, ma senza risultati. Ah ! dimenticvo, ieri notte ho pure provato a scaricare e reinstallare il browser nuovo ma senza risultati degni di nota.
Che potrebbe essere?

Mi sembra doveroso postare un messaggio per comunicare che ho risolto il problema disinstallando Kaspersky e sostituendolo con panda.
Evidentemente non sono stato capace di setterlo correttamente o mi andava in conflitto e non ho capito con cosa.

Bye bye alla prossima.

fe2946de
06-02-2008, 13:50
ho fatto la seconda scansione con elibagle in modalità provvisoria ecco il link del log: http://www.fileup.itadib.com/download.php?id=2GAfX2wrEFMRgafRaUAl

ora,ditemi voi cosa fare...

murack83pa
06-02-2008, 13:58
ho fatto la seconda scansione con elibagle in modalità provvisoria ecco il link del log: http://www.fileup.itadib.com/download.php?id=2GAfX2wrEFMRgafRaUAl

ora,ditemi voi cosa fare...

è fondamentale che elimini tutti i crack,ok?e che il ripristino sia disattivato.. ;)

ora, passa al punto successivo della guida:

se hai ancora l'antivirus installato, disinstallalo (riavvia il pc e vedi se ti funziona ccleaner x fare un po d pulizia) e installi il trial di kaspersky cosi come indicato in guida,e gli fai fare la scansione completa e posta qui il report

fermati qui e vediamo ;)

murack83pa
06-02-2008, 14:06
....


facciamo cosi, disinstalla avira e installati kaspersky e vediamo cosa trova, e posta qui il log:

riavvia il pc dopo aver disinstallato avira, e fai anche una pulizia con ccleaner, è molto importante

poi scaricati gmer e fai la scansione completa:
DOWNLOAD (http://www.majorgeeks.com/downloadget.php?id=5198&file=13&evp=3f18075291813a665b2a25536a70b307)

posta qui il log a fine scansione, verifica prima di farla che tutte le caselle a destra siano selezionate

riporta eventuali voci in rosso

poi nuovo log di hijackthis

murack83pa
06-02-2008, 14:09
Ho fatto una scansione con Elibagla, la scansione è etata fatta in modalità normale (veisto che in Mod. Provvisoria non mi parte).
Vhiedo ora un disperato aiuto sul dafarsi.

http://www.fileup.itadib.com/download.php?id=IB1r91OkiqW3PEeI5bqF

Ringrazio anticipatamente tutti!!!!

ciao, che windows hai?

riprova a far girare in mod provv elibagle

Luckylox
06-02-2008, 17:56
facciamo cosi, disinstalla avira e installati kaspersky e vediamo cosa trova, e posta qui il log:




Installo Kaspersky Antivirus o Internet Security?

murack83pa
06-02-2008, 17:58
Installo Kaspersky Antivirus o Internet Security?

antivirus... c'è il link nella guida in prima pagina

mimmonet
06-02-2008, 19:20
ciao, che windows hai?

riprova a far girare in mod provv elibagle

Ciao,
ho Windows xp,
ho provato ha fare la scansione con EliBaglA in modalità provvisoria, ed è già qualcosa cisto che prima nn ci entrava neanche,

ecco il log
http://www.fileup.itadib.com/download.php?id=a7yUg9QJzFTiwZzwVb6K

Non ci capisco nulla, ma mi sembra che siano stati eliminati tutti giusto?

sapete dirmi se sono apposto o devo ancora fare qualche altra procedura per essere di nuovo al sicuro?

Grazie ancora a tutti!!!

murack83pa
06-02-2008, 19:42
sei a buon punto

ora installa il trial di kaspersky e fai una scansione completa

facci sapare se trova qualkosa o meno, posta il report

se hai ancora "installato" ma nn funzionante il tuo antivirus, disinstallalo, fai pure una pulizia con ccleaner, riavviando il pc prima di installare kaspersky ;)

dopo aver completato questo punto, ultimiamo la procedura con avenger...

Chill-Out
06-02-2008, 20:46
Inserisci in Avenger lo script indicato in prima pagina

fe2946de
06-02-2008, 21:29
esiste un modo per individuare con certezza i crack?

murack83pa
06-02-2008, 22:11
esiste un modo per individuare con certezza i crack?

beh... tu lo dovresti sapere

solitamente si scaricano da emule, molto spesso sono in archivi winzip o winrar, ma nn sempre....

Angelus88
06-02-2008, 22:46
Vorrei ringraziare lancetta, riverside, chill-out, lucas84, juninho85, bugs bunny e xcdegasp perché grazie a questa guida sono riuscito ad eliminare questo maledetto virus dal pc di mio cugino!! Grazie :)

Luckylox
07-02-2008, 04:21
facciamo cosi, disinstalla avira e installati kaspersky e vediamo cosa trova, e posta qui il log:

riavvia il pc dopo aver disinstallato avira, e fai anche una pulizia con ccleaner, è molto importante

poi scaricati gmer e fai la scansione completa:
DOWNLOAD (http://www.majorgeeks.com/downloadget.php?id=5198&file=13&evp=3f18075291813a665b2a25536a70b307)

posta qui il log a fine scansione, verifica prima di farla che tutte le caselle a destra siano selezionate

riporta eventuali voci in rosso

poi nuovo log di hijackthis

Dunque...punto della situazione:

Ho disinstallato Avira, passata di CCleaner, riavviato ed installato Kaspersky.

Kaspersky aggiornato ed ho fatto una scansione completa, di cui di seguito, riporto il log

Mi ha trovato un virus, un trojan, i dettagli sono dentro, in ogni caso lo ha eliminato (sembra) correttamente.

GMER NON VA.

Eseguito da amministratore ad un certo punto mi da un Blue Screen ed il pc si riavvia da solo.

Ho provato un paio di volte, intermezzate da CCleaner, ma niente.

BlueScreen e reboot.

In ultimo ho fatto una nuova scansione con HiJackThis che riporto...


....sappiatemi dire...

....mi sembra di essere in un tunnel.:muro:

...e grazie sempre per la preziosa collaborazione.


-----LOG KASPERSKY ANTIVIRUS------
http://fileup.itadib.com/download.php?id=BtLP7uYVQgY2i0Yq4vSf


---LOG HIJACKTHIS-----

esteban77
07-02-2008, 15:30
Salve a tutti, sono stato infettato anch'io (probabilmente un crack scaricato da Emule).

I problemi riscontrati sono:
-non funziona piu il wireless
-non funziona piu l'antivirus (NOD32)
-all'avvio di Windows mi arriva un messaggio di errore relativo a Windows Defender.

Ho Vista.
Ho disinstallato NOD32, ho seguito la guida: scaricato il tool elibagla: prima mi ha trovato un file infetto su D: (il disco su cui scarico da Emule) ed l'ho cestinato e D è risultato pulito. Poi ha trovato un file infetto su C: e dopo vari tentativi di scansione/riavvio c'era sempre. Allora sono entrato in modalità provvisoria con rete e ne ha trovati 11 su C:, li ha rimossi e al riavvio in modalità normale non ne ha piu trovati.
Ora sto facendo fare la scansione con il trial di Kaspersky.
Non mi sono potuto leggere le 71 pagine ma ad altri è successo il problema con il wireless? Se si, poi hanno risolto o hanno dovuto formattare?
Grazie!

murack83pa
07-02-2008, 15:47
...

kaspersky ha eliminato un trojan, bene

gmer nn funziona, e questo è strano....credevo nn avesse problemi in Vista

c sono programmi che nn ti funzionano?

l'antivirus ti funziona? riesci ad entrare in modalità provvissoria? internet ti da problemi? hai strani rallentamenti?

fixa queste voci:


O16 - DPF: {0EC4C9E3-EC6A-11CF-8E3B-444553540000} (WaveTab Control) - file:///G:/setup/RiffLick.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab


in alternativa a gmer, utilizza panda antirootkit e vedi se ti parte e se ti elimina qualke cosa (è presente nella guida)

sempre riguardo gmer, nn so se è la stessa cosa, ma prova ad avviarlo in modalità provvissoria e riporta eventuali voci in rosse e il log

Luckylox
07-02-2008, 16:22
kaspersky ha eliminato un trojan, bene

gmer nn funziona, e questo è strano....credevo nn avesse problemi in Vista

c sono programmi che nn ti funzionano?

l'antivirus ti funziona? riesci ad entrare in modalità provvissoria? internet ti da problemi? hai strani rallentamenti?

fixa queste voci:



in alternativa a gmer, utilizza panda antirootkit e vedi se ti parte e se ti elimina qualke cosa (è presente nella guida)

sempre riguardo gmer, nn so se è la stessa cosa, ma prova ad avviarlo in modalità provvissoria e riporta eventuali voci in rosse e il log


Dunque, ho fixato le voci indicate...

Problemi strani: L'estensione Plus per messenger non ne vuol sapere... l'ho reinstallata piu' volte, ma l'applicazione nn parte.

Ho dei rallentamenti in rete, questo si.

A volte difficoltà ad entrare in pagine internet, a volte fa fatica anche a trovare la pagina di google.

la modalità provvisoria parte, sia con supporto di rete, che senza.



.....:mc:

Luckylox
07-02-2008, 16:26
UPDATE...

...panda antirootkit non gira sotto Vista...:mad:

EDIT....non funziona il modulo di ricerca google all'interno di firefox.

Qualsiasi cosa cerchi, non riesce a trovare la pagina.

esteban77
07-02-2008, 16:39
Salve a tutti, sono stato infettato anch'io (probabilmente un crack scaricato da Emule).

I problemi riscontrati sono:
-non funziona piu il wireless
-non funziona piu l'antivirus (NOD32)
-all'avvio di Windows mi arriva un messaggio di errore relativo a Windows Defender.

Ho Vista.
Ho disinstallato NOD32, ho seguito la guida: scaricato il tool elibagla: prima mi ha trovato un file infetto su D: (il disco su cui scarico da Emule) ed l'ho cestinato e D è risultato pulito. Poi ha trovato un file infetto su C: e dopo vari tentativi di scansione/riavvio c'era sempre. Allora sono entrato in modalità provvisoria con rete e ne ha trovati 11 su C:, li ha rimossi e al riavvio in modalità normale non ne ha piu trovati.
Ora sto facendo fare la scansione con il trial di Kaspersky.
Non mi sono potuto leggere le 71 pagine ma ad altri è successo il problema con il wireless? Se si, poi hanno risolto o hanno dovuto formattare?
Grazie!

Kaspersky ha scansionato ed ha trovato 31 file infetti tra Trojan e Bagle: li ho eliminati tutti ma la scheda wireless continua a non essere "vista" dal sistema, ho già provato anche a reinstallare il driver.
Cosa mi consigliate prima di procedere al format?
Grazie!

murack83pa
07-02-2008, 16:52
...

prova questo antirootkit:
scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

fai anche una scansione con PREVX CSI : DOWNLOAD (http://info.prevx.com/download.asp?grab=prevxcsi)

a fine scansione, limitati solo a salvare il log e lo posti qui

gmer hai provato in modalità provvissoria?

murack83pa
07-02-2008, 16:53
Kaspersky ha scansionato ed ha trovato 31 file infetti tra Trojan e Bagle: li ho eliminati tutti ma la scheda wireless continua a non essere "vista" dal sistema, ho già provato anche a reinstallare il driver.
Cosa mi consigliate prima di procedere al format?
Grazie!

rifai girare elibagle in modalità provvissoria e posta il log qui

che sistema operativo hai?

esteban77
07-02-2008, 17:04
rifai girare elibagle in modalità provvissoria e posta il log qui

che sistema operativo hai?

Ho Vista Home Premium 32 bit.
Fatto girare Elibagle in modalità provvisoria: nessun file infetto trovato (dovrei aver debellato bagle con questo tool+Kaspersky), a questo punto non penso sia inutile postare il log.

La wireless è sempre ko (è andata ko quando ho preso bagle). Consigli?
Grazie.

murack83pa
07-02-2008, 17:13
Ho Vista Home Premium 32 bit.
Fatto girare Elibagle in modalità provvisoria: nessun file infetto trovato (dovrei aver debellato bagle con questo tool+Kaspersky), a questo punto non penso sia inutile postare il log.

La wireless è sempre ko (è andata ko quando ho preso bagle). Consigli?
Grazie.

ok,

in guida è elencata questo possibile effetto negativo...

scaricati questo:
http://www.xp-smoker.com/downloads/xptcprep.exe

vedi se cosi si risolve

sempre in guida, è indicato GMER, fallo girare e posta qui il log

esteban77
07-02-2008, 17:13
ok,

in guida è elencata questo possibile effetto negativo...

scaricati questo:
http://www.xp-smoker.com/downloads/xptcprep.exe

vedi se cosi si risolve

sempre in guida, è indicato GMER, fallo girare e posta qui il log

Scarico il tool xp anche se ho vista?

murack83pa
07-02-2008, 17:17
Scarico il tool xp anche se ho vista?

beh....sinceramente nn saprei cosa consigliarti di altro, visto che hai già provato a reinstallare i driver

xò prima, fai girare gmer e vediamo se c'è qualke kosa

Luckylox
07-02-2008, 17:24
prova questo antirootkit:
scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

fai anche una scansione con PREVX CSI : DOWNLOAD (http://info.prevx.com/download.asp?grab=prevxcsi)

a fine scansione, limitati solo a salvare il log e lo posti qui

gmer hai provato in modalità provvissoria?

Ok, gmer è andato in modalità provvisoria..


....dagli un'occhiata.;)

http://fileup.itadib.com/download.php?id=wO7fCRpFeFBp6dQJwJQI

murack83pa
07-02-2008, 17:43
Ok, gmer è andato in modalità provvisoria..


....dagli un'occhiata.;)

http://fileup.itadib.com/download.php?id=wO7fCRpFeFBp6dQJwJQI

prova trend micro booster e posta il log

fai anche la scansione con prevx csi

mentre fai queste scansioni, nn fare nulla, e tieni le applicazioni chiuse

Luckylox
07-02-2008, 19:11
prova trend micro booster e posta il log

fai anche la scansione con prevx csi

mentre fai queste scansioni, nn fare nulla, e tieni le applicazioni chiuse

Okay....
ecco i log

---LOG PREVX CSI---
http://fileup.itadib.com/download.php?id=bO1VZr3S1ufjpojlAngX

----LOG TRMB-----

gianrolando
07-02-2008, 19:50
Salve a tutti,
sono un infettato da WinNT/Bagle.gen su WinXP Professional.

Avevo già provato l'utilità di rimozione malware della Microsoft, ma senza successo: positivo, però, almeno ho ottenuto il nome del mio virus... un (piccolo) plauso a zio Bill...

Ho verificato con gmer quanto da voi postato, in effetti avevo in rosso proprio il file hlidr.exe. Ho disattivato, quindi, il ripristino ed ho fatto la scansione con elibagla. Sono, poi, riuscito ad attivare modalità provvisioria ed ho ripetuto la scansione con il tool spagnolo. Dal log sembra che abbia risolto il problema... dategli un'occhiata (http://www.fileup.itadib.com/download.php?id=oSbzRZj8B1EmMBF4yOY3) (ci sono sia le scansioni in modalità standard che il provvisoria che successive in cui il virus sembra non esserci più) fatemi sapere...
A prima vista mi sembra di aver risolto il problema, anzi, ho già fatto la scansione con Kaspersky... il vero problema è che non riesco ad utillizzare internet, poiché non si avvia l'utilità Zero Configuration di reti senza fili. Via cavo non ho ancora provato... dovrebbe funzionare?

Vi ringrazio anticipatamente per la risposta,
Gian.

murack83pa
07-02-2008, 19:58
Okay....
ecco i log

---LOG PREVX CSI---
http://fileup.itadib.com/download.php?id=bO1VZr3S1ufjpojlAngX

----LOG TRMB-----

certo che il nuovo log di prevx è illegibile....a me nn sembra abbia rilevato qualkosa, confermi?

il log di booster è pulito

i problemi li hai solo con firefox?

gli altri programmi ti funzionano?

disinstalla firefox e reinstallalo

altri problemi?

esteban77
07-02-2008, 20:14
Salve a tutti,
sono un infettato da WinNT/Bagle.gen su WinXP Professional.

Avevo già provato l'utilità di rimozione malware della Microsoft, ma senza successo: positivo, però, almeno ho ottenuto il nome del mio virus... un (piccolo) plauso a zio Bill...

Ho verificato con gmer quanto da voi postato, in effetti avevo in rosso proprio il file hlidr.exe. Ho disattivato, quindi, il ripristino ed ho fatto la scansione con elibagla. Sono, poi, riuscito ad attivare modalità provvisioria ed ho ripetuto la scansione con il tool spagnolo. Dal log sembra che abbia risolto il problema... dategli un'occhiata (http://www.fileup.itadib.com/download.php?id=oSbzRZj8B1EmMBF4yOY3) (ci sono sia le scansioni in modalità standard che il provvisoria che successive in cui il virus sembra non esserci più) fatemi sapere...
A prima vista mi sembra di aver risolto il problema, anzi, ho già fatto la scansione con Kaspersky... il vero problema è che non riesco ad utillizzare internet, poiché non si avvia l'utilità Zero Configuration di reti senza fili. Via cavo non ho ancora provato... dovrebbe funzionare?

Vi ringrazio anticipatamente per la risposta,
Gian.

Ho avuto il tuo stesso problema: virus debellato ma internet va solo via cavo di rete: il sistema non "vede"piu la scheda wireless, risulta disabilitata anche se non lo è.

Luckylox
07-02-2008, 22:07
certo che il nuovo log di prevx è illegibile....a me nn sembra abbia rilevato qualkosa, confermi?

il log di booster è pulito

i problemi li hai solo con firefox?

gli altri programmi ti funzionano?

disinstalla firefox e reinstallalo

altri problemi?

Si, infatti, entrambe le utility non rilevano nulla.

Ascolta, invece, windows defender non funge piu...

Cosi come il msg plus (mi da un avviso all'avvio di messenger: msgrplus.dll bad image, o roba simile)

L'ho disinstallato piu volte, ma nulla, il problema persiste.

Un'altro problema sta nel fatto che win mi tratta come un'idiota.

SuperAntySpyware all'avvio mi chiede OGNI SACROSANTA VOLTA l'autorizzazione, cosi come accade pure per far funzionare in pratica QUALSIASI programma.

...che faccio, lo prendo a frustate cosi da fargli capire chi è il padrone o posso cambiargli qualche fastidiosa impostazione?

murack83pa
07-02-2008, 22:14
....

windows defender lo devi disinstallare e poi reinstallare

riguardo messenger nn so..

riguardo windows Svista..osp...volevo dire Vista, c'è poco da dire: è un grande pacco....

la mia ragazza l'ha e l'ho odiato subito.....

disinstallare e passare ad xp, no?

sarebbe la migliore soluzione ai tuoi attuali problemi, anche x quanto riguarda l'infezione....

Luckylox
07-02-2008, 22:29
windows defender lo devi disinstallare e poi reinstallare

riguardo messenger nn so..

riguardo windows Svista..osp...volevo dire Vista, c'è poco da dire: è un grande pacco....

la mia ragazza l'ha e l'ho odiato subito.....

disinstallare e passare ad xp, no?

sarebbe la migliore soluzione ai tuoi attuali problemi, anche x quanto riguarda l'infezione....

Dici che l'infezione persiste?

Se Bill Gates sapesse che lavoro in audio sotto Vista, probabilmente in tutta onestà mi farebbe una statua di diamanti davanti all'entrata principale della Microsoft: questo sistema operativo è già di per sè un'infezione.

Altro discorso....vorrei saltare la procedura di genuine verification del sito microsoft...non so perché....ma non mi fido...:fagiano:

Per ciò che riguarda defender...Hai qualche modo per disinstallarlo? perché da programmi e funzionalità non appare la voce per toglierlo...

....che cancro sto vista...

...ma se mettessi XP professional corporate?

a che cosa è riferito corporate?

murack83pa
07-02-2008, 22:50
...


faresti benissssimo a mettere xp :D

x disinstallare defender in vista, qui c'è un articolo che lo spiega, prova:
http://blogs.dotnethell.it/arsenico/Vista-come-disinstallare-Windows-Defender__10312.aspx

esteban77
08-02-2008, 09:54
Salve a tutti,
sono un infettato da WinNT/Bagle.gen su WinXP Professional.

Avevo già provato l'utilità di rimozione malware della Microsoft, ma senza successo: positivo, però, almeno ho ottenuto il nome del mio virus... un (piccolo) plauso a zio Bill...

Ho verificato con gmer quanto da voi postato, in effetti avevo in rosso proprio il file hlidr.exe. Ho disattivato, quindi, il ripristino ed ho fatto la scansione con elibagla. Sono, poi, riuscito ad attivare modalità provvisioria ed ho ripetuto la scansione con il tool spagnolo. Dal log sembra che abbia risolto il problema... dategli un'occhiata (http://www.fileup.itadib.com/download.php?id=oSbzRZj8B1EmMBF4yOY3) (ci sono sia le scansioni in modalità standard che il provvisoria che successive in cui il virus sembra non esserci più) fatemi sapere...
A prima vista mi sembra di aver risolto il problema, anzi, ho già fatto la scansione con Kaspersky... il vero problema è che non riesco ad utillizzare internet, poiché non si avvia l'utilità Zero Configuration di reti senza fili. Via cavo non ho ancora provato... dovrebbe funzionare?

Vi ringrazio anticipatamente per la risposta,
Gian.

Finalmente ho risolto anche il problema del wireless che non trovava piu le reti, seguendo le indicazioni trovate qui

http://www.megalab.it/articoli.php?id=948&pagina=4

Riverside
08-02-2008, 11:04
DA AGGIUNGERE ALLA GUIDA (se interessati):


RISOLUZIONE PROBLEMI RISCONTRATI SUCCESSIVAMENTE ALLA RIMOZIONE DEL VIRUS

**********

● RIATTIVAZIONE DEI SERVIZI TERMINATI

accedere alla lista Servizi, quindi:
● Start
● Esegui
● nella finestra di dialogo digitare SERVICES.MSC e OK
a questo punto, si devono abilitare tutti i Servizi che risultano disabilitati
● Avvisi
● Centro sicurezza P.C.
● Aggiornamenti automatici
● Connessioni di rete
● Zero Configuration reti senza fili
● Windows Firewall/ Condivisione connessione Internet (ICS)
per avviare un servizio, tasto destro del mouse su:
● Proprietà
● Automatico
● Ok
● Avvia
● Ok
al termine si suggerisce di riavviare il sistema

**********

● RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI

per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
● NDISUIO
● RPC
si procede in questa maniera:
● aprite il blocco note di windows
● copiate ed incollate il testo in rosso

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004

● salvate, sul desktop, il file creato, con il nome registro.reg (mi raccomando, l’estensione: .REG e non .TXT) e lo eseguite:
● due click sul file registro.reg
● confermate le due successive richieste
per fare in modo che le modifiche apportate abbiano effetto, è necessario riavviare il computer

**********

RISOLUZIONE ALTRI PROBLEMI RISCONTRATI, CHE RIGUARDANO

● Internet Explorer 7
● Windows Media Player
● Cerca (Ricerca guidata)
● Account Utente
● ed altri

fare riferimento a quanto riportato nell’articolo 831430 del 21 febbraio del Supporto Tecnico Microsoft: clicca qui per l’articolo (http://support.microsoft.com/kb/831430/it)

Luckylox
08-02-2008, 13:19
[QUOTE=murack83pa;20978619].../[QUOTE]

Mi sa che il mio problema non si è ancora risolto...

...mozilla aveva degli errori...

...l'ho disinstallato e reinstallato, ma... adesso quando si lancia l'appliazione va in CRASH direttamente e senza passare dal via.

Ho provato a eliminare manualmente tutte le cartelle relative a mozilla, profili & co. per fare una clean uninstall...

..ma nulla.

L'erorre che mi da è "Firefox - Bad image: C:\Program Files\Mozilla firefox\js3250.dll is either not designed to run on Windows or it contains errors.

:muro: :muro: :muro: :muro: :muro: :muro: :muro:

Maxi62
08-02-2008, 15:49
come da titolo.. avast non parte più e l'ho dovuto togliere, se installo qualsiasi altro antivirus quando lo lancio mi dice che l'applicazione non è win32, spyware doctor mi rileva i 2 virus mi dice di far ipartire il pc per eliminarli ma non li elimina. allego i vari log e scansione online:

http://www.fileup.itadib.com/downloa...N9GbdyGJubM1EF


http://www.fileup.itadib.com/downloa...X5cnGUqELM7l7R


http://www.fileup.itadib.com/downloa...q9XbUkWzkcCQll

http://www.fileup.itadib.com/downloa...TzfkBH5ZwvxGmF

la soluzione sarebbe di formattare e mettere xp vero? :muro:

Chill-Out
08-02-2008, 15:56
I links ai log non sono corretti

Maxi62
08-02-2008, 16:19
ci riprovo:

http://www.fileup.itadib.com/download.php?id=JLUf0mN9GbdyGJubM1EF
http://www.fileup.itadib.com/download.php?id=d47EaIX5cnGUqELM7l7R
http://www.fileup.itadib.com/download.php?id=wzs6URq9XbUkWzkcCQll
http://www.fileup.itadib.com/download.php?id=c1ezvlTzfkBH5ZwvxGmF

murack83pa
08-02-2008, 17:09
.....

l'unico problema, se ho cpt bene, è firefox?

utilizza la versione precedente di prevx csi, che a noi risulta di piu facile comprensione e vediamo cosa trova:
Scarica PREVX CSI (richiede l’installazione)
DOWNLOAD (http://in.solit.us/archives/download/126992)

Una volta installato, lancialo:
● esegui una scansione
al termine della scansione, clicca su:
● Options
● Save Log
allega il log che verrà rilasciato

NB: puo essere che ti dirà di scaricare l'ultima versione, digli di no

a fine scansione se rileva qualkosa ti chiederà di scaricare il trial, fregatene:a noi c serve solo il log

riguardo gmer, x scrupolo....hai provato di nuovo se ti gira in modalità normale?

ho controllato ora il link in guida e nn funziona, scaricalo da qui gmer:
http://www.gmer.net/gmer.zip

altrimenti prova catchme, appartiene alla stessa famaglia di gmer e vediamo se gira e cosa trova:
http://www.gmer.net/catchme.php

estrailo in una sua cartella, a fine lavoro creerà automaticamente un log nella stessa cartella, se trova qualkosa posta qui il log, altrimenti nn è necessarrio

oramai mi sono imputato su sta cosa di gmer :mad: :D
e vorrei capirci di piu

x il resto nn mi pare che hai altri problemi, giusto?

Luckylox
08-02-2008, 18:03
x il resto nn mi pare che hai altri problemi, giusto?

..............
...........
.............
......mi sa di avere fatto un danno GROSSO.:muro:

e mi viene da piangere...:muro:


...ho letto sul forum ufficiale di Mozilla che avrei dovuto eliminare completamente il programma per l'errore(successo anche ad altri)...

...avrei dovuto eliminare anche le relative chiavi di registro e cosi ho fatto... con un programma MALEDETTO...tale regseeker...

...ho riavviato... e le uniche icone che mi da adesso sulla barra delle applicazioni sono l'altoparlante suono ed i computerini delle risorse di rete...

...nessuna autorizzazione ad eseguire alcun eseguibile...pare che non abbia l'autorizzazione....sul mio pc....

... per internet explorer... la stessa cosa...

...riesco ad accedervi soltanto cliccando sul 'mondo' delle risorse di rete e... non riesco a cercare nulla su google perche non funziona il tasto 'cerca'...:doh:

ho provato dal regseeker in modalità provvisoria a ripristinare le chiavi ma... mi da un errore di lettura...

....sono rovinato...


...mi sento un po OT.... che faccio, apro un altro thread?


....sono in una gigantesca e desolata valle di lacrime...

...la mia unica lancia di salvataggio è la modalità provvisoria, dalla quale riesco a scrivervi....mi sento dentro il LEM di Apollo 13.

...non posso fare nemmeno un ripristino configurazione di sistema, perchè se vi ricordate, l'abbiamo disattivata per il bagle...



....non so cosa fare, a parte aggrapparmi tristemente al mio amato tasto F8....




:help:

fe2946de
08-02-2008, 18:03
ho controllato e nn dovrei avere più nessun crack,ho disinstallato l'antivirus che avevo che però era già stato disattivato dal bagle,ho riavviato il computer ma ccleaner non gira...
in più mi appare una finestra di prevx csi che mi dice che ha trovato dei file infetti,però x eliminarli bisogna inserire la key license che io nn ho.
ditemi voi cosa fare...

CronoX
08-02-2008, 18:23
cavolo ma a quanto pare la mia versione del virus non era la più bastarda...meno male

murack83pa
08-02-2008, 19:13
....

calma

allora x prima cosa, puoi sempre ripristinare windows, cioè fare una nuova installazione, senza formattare nulla
inserisci il cd di windows e reinstallare......credo si possa fare con vista,no?

ma come è successo?

io ti avevo consigliato solo ccleaner.....

vedi se si puo ripristinare windows....poi ti toccherà reinstallare tutti i programmi,forse.....

murack83pa
08-02-2008, 19:18
....

mi sembra di averti detto, come dice la guida, di installare la trial di kaspersky e fare la scansione, postando qui il report....:rolleyes:

ti funziona kaspersky?hai fatto la scansione?il log?

chi ti ha detto di installare prevx csi? :mbe:
.....nn devi inserire alcuna key, è solo un tool di rilevamento.....a che c sei, cmq, posta qui il log e vediamo cosa ha trovato

Luckylox
08-02-2008, 20:17
calma

allora x prima cosa, puoi sempre ripristinare windows, cioè fare una nuova installazione, senza formattare nulla
inserisci il cd di windows e reinstallare......credo si possa fare con vista,no?

ma come è successo?

io ti avevo consigliato solo ccleaner.....

vedi se si puo ripristinare windows....poi ti toccherà reinstallare tutti i programmi,forse.....

si, lo so che mi avevi consigliato solo ccleaner... l'errore è mio.

Dannato forum mozilla.

Ascolta, dal cd di vista non riesco a fare un system restore.

O meglio...non trova errori nella configurazione di startup.

non ci sarebbe una maniera di analizzare il registro e vedere se c'è qualcosa di storto?

Preso dall'abitudine ho fatto girare per l'ennesima volta elibagla in modalita provvisoria seguito da un simpaticissimo gmer.... ma né l'uno nè l'altro hanno riscontrato problemi....


....quasi quasi ci speravo...:muro:

murack83pa
08-02-2008, 20:29
....

io nn conosco vista....mi dispiace

chiedi nella sezione di Vista:
http://www.hwupgrade.it/forum/forumdisplay.php?f=127

lancetta
08-02-2008, 20:32
si, lo so che mi avevi consigliato solo ccleaner... l'errore è mio.

Dannato forum mozilla.

Ascolta, dal cd di vista non riesco a fare un system restore.

O meglio...non trova errori nella configurazione di startup.

non ci sarebbe una maniera di analizzare il registro e vedere se c'è qualcosa di storto?

Preso dall'abitudine ho fatto girare per l'ennesima volta elibagla in modalita provvisoria seguito da un simpaticissimo gmer.... ma né l'uno nè l'altro hanno riscontrato problemi....


....quasi quasi ci speravo...:muro:

provato....ultima configurazione sicuramente funzionante?
oppure con vista ci sono anche backup automatici (quelli cha salva in D se hai un note) che sono differenti dal ripristino...dovrebbe chiamarsi configurazione stato e back up....

Maxi62
08-02-2008, 20:43
ci riprovo:

http://www.fileup.itadib.com/download.php?id=JLUf0mN9GbdyGJubM1EF
http://www.fileup.itadib.com/download.php?id=d47EaIX5cnGUqELM7l7R
http://www.fileup.itadib.com/download.php?id=wzs6URq9XbUkWzkcCQll
http://www.fileup.itadib.com/download.php?id=c1ezvlTzfkBH5ZwvxGmF

help

Chill-Out
08-02-2008, 20:49
help

Allega anche il log di EliBagla

Riverside
08-02-2008, 21:36
.......... mi sa di avere fatto un danno GROSSO ......... ho letto sul forum ufficiale di Mozilla che avrei dovuto eliminare completamente il programma per l'errore (successo anche ad altri)
Questo accade per due ragioni:
1) poca voglia di leggere prima di fare le cose (http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441)
Mi appare evidente che se Beagle crea tutti quei problemi ai software legati al sistema operativo ne crea, anche, a quelli sviluppati da terze parti;
2) mancanza di pazienza e di voglia di documentarsi, prima di mettere le manine dove non si deve.

Comunque, quando hai attivato Vista avrebbe dovuto, anche, chiederti di eseguire un passaggio fondamentale: quello di creare una copia del S.O. (di norma vengono richiesti 8 CD oppure 2 DVD-R).
Se hai avuto (e lo spero per te) l'accortezza di fare quella copia, puoi, tranquillamente reinstallare il sistema operativo.
In fase di installazione verrà, prima di ogni altra cosa, eseguita la formattazione, pertanto perderai tutti i programmi installati e tutto il resto: visto che hai ancora la possibilità di accedere in modalità provvisoria, quindi, cerca, prima di ogni altra cosa, di salvare tutto ciò che puoi salvare.

gianrolando
08-02-2008, 21:36
Abbiate bontà... mi rendo conto che i richiedenti assistenza sono molto, ma mi avete saltato... vorrei sapere anchi'io cosa fare: sono solo alla fase ELIBAGLA...
grazie!!!

il log è qui http://www.fileup.itadib.com/download.php?id=oSbzRZj8B1EmMBF4yOY3

Salve a tutti,
sono un infettato da WinNT/Bagle.gen su WinXP Professional.

Avevo già provato l'utilità di rimozione malware della Microsoft, ma senza successo: positivo, però, almeno ho ottenuto il nome del mio virus... un (piccolo) plauso a zio Bill...

Ho verificato con gmer quanto da voi postato, in effetti avevo in rosso proprio il file hlidr.exe. Ho disattivato, quindi, il ripristino ed ho fatto la scansione con elibagla. Sono, poi, riuscito ad attivare modalità provvisioria ed ho ripetuto la scansione con il tool spagnolo. Dal log sembra che abbia risolto il problema... dategli un'occhiata (http://www.fileup.itadib.com/download.php?id=oSbzRZj8B1EmMBF4yOY3) (ci sono sia le scansioni in modalità standard che il provvisoria che successive in cui il virus sembra non esserci più) fatemi sapere...
A prima vista mi sembra di aver risolto il problema, anzi, ho già fatto la scansione con Kaspersky... il vero problema è che non riesco ad utillizzare internet, poiché non si avvia l'utilità Zero Configuration di reti senza fili. Via cavo non ho ancora provato... dovrebbe funzionare?

Vi ringrazio anticipatamente per la risposta,
Gian.

Chill-Out
08-02-2008, 21:38
SO in uso?

Luckylox
08-02-2008, 22:08
allora, lo so.

Il prurito alle mani è stato mio, unito all'imprudenza.

Mea Culpa.

Adesso... Vista non lo ho installato io. Perciò non credo di possedere alcun dvd di ripristino....anzi....non lo posseggo.

Dove si trova questo configurazione stato e back up?

Ho provato ultima configurazione funzionante dal menu di boot, ma nulla di fatto.

Ho provato anche A digitare un comando da dos come indicatomi in QUESTO (http://www.hwupgrade.it/forum/showthread.php?p=20993975#post20993975)thread per riacquisire i diritti di amministratore, ma nulla...


...:muro:

lancetta
08-02-2008, 22:19
allora, lo so.

Il prurito alle mani è stato mio, unito all'imprudenza.

Mea Culpa.

Adesso... Vista non lo ho installato io. Perciò non credo di possedere alcun dvd di ripristino....anzi....non lo posseggo.

Dove si trova questo configurazione stato e back up?

Ho provato ultima configurazione funzionante dal menu di boot, ma nulla di fatto.

Ho provato anche A digitare un comando da dos come indicatomi in QUESTO (http://www.hwupgrade.it/forum/showthread.php?p=20993975#post20993975)thread per riacquisire i diritti di amministratore, ma nulla...


...:muro:

allora..il pc è un note? (credo di no se o ben compreso) se lo è c'è la funzione (informati prima) di formattazione automatica....con F2 o altro pulsante al boot in riavvio....

start->tutti i programmi->accessori->utilità di sistema-> li dovrebbe esserci i back up...

Luckylox
08-02-2008, 23:23
:rolleyes: allora..il pc è un note? (credo di no se o ben compreso) se lo è c'è la funzione (informati prima) di formattazione automatica....con F2 o altro pulsante al boot in riavvio....

start->tutti i programmi->accessori->utilità di sistema-> li dovrebbe esserci i back up...


uhm...

...ho disattivato il ripristino configurazione di sistema all'inizio della procedura di rimozione del bagle...

fra l'altro mi dice che in safe mode non è supportata...e non posso accedervi dalla modalità normale perchè... non ho le autorizzazioni.
:rolleyes:


....che posso fare per analizzare sto registro?

famarinu
09-02-2008, 06:21
Ciao!
premetto che o windows vista e che ho eseguito la scansione con Elibagla. Vi posto il file di log e aspetto vostre istruzioni come scritto nella guida di questo forum,
grazie

gianrolando
09-02-2008, 08:22
Salve a tutti,
sono un infettato da WinNT/Bagle.gen su WinXP Professional.
Questo è il terzo post che invio... spero che qualcuno si ricordi di rispondermi... per piacere...

Avevo già provato l'utilità di rimozione malware della Microsoft, ma senza successo: positivo, però, almeno ho ottenuto il nome del mio virus... un (piccolo) plauso a zio Bill...

Ho verificato con gmer quanto da voi postato, in effetti avevo in rosso proprio il file hlidr.exe. Ho disattivato, quindi, il ripristino ed ho fatto la scansione con elibagla. Sono, poi, riuscito ad attivare modalità provvisioria ed ho ripetuto la scansione con il tool spagnolo. Dal log sembra che abbia risolto il problema... dategli un'occhiata (lo allego; ci sono sia le scansioni in modalità standard che il provvisoria che successive in cui il virus sembra non esserci più) fatemi sapere...
A prima vista mi sembra di aver risolto il problema, anzi, ho già fatto la scansione con Kaspersky... il vero problema ra che non riuscivo ad utillizzare internet, poiché non si avvia l'utilità Zero Configuration di reti senza fili; ora ho risolto con la II parte della guida e va ok...

Ho anche già fatto il passaggio con avenger, di cui posto il log.

Vi ringrazio anticipatamente per la risposta,
Gian.

Maxi62
09-02-2008, 09:11
Allega anche il log di EliBagla

eccolo qui, oggi però non mi ga segnalato niente Elibagla

murack83pa
09-02-2008, 09:16
Ciao!
premetto che o windows vista e che ho eseguito la scansione con Elibagla. Vi posto il file di log e aspetto vostre istruzioni come scritto nella guida di questo forum,
grazie

ciao

fai girare elibagle in modalità provvissoria e posta il log

famarinu
09-02-2008, 09:28
Ho fatto la scansione con Elibagla in modalita' provvisoria e il log postato e' il risultato.
Ora che faccio?

murack83pa
09-02-2008, 09:31
Ho fatto la scansione con Elibagla in modalita' provvisoria e il log postato e' il risultato.
Ora che faccio?

dov è il log?

famarinu
09-02-2008, 09:38
E' allegato al mio messaggio di questa mattina delle ore 7:21, messaggio numero 1763, visto?

famarinu
09-02-2008, 09:38
ops... messaggio 1463:)

murack83pa
09-02-2008, 09:43
ops... messaggio 1463:)

si, l'avevo visto...ti avevo chiesto di rifare girare nuovamente elibagle in modalità provvissoria e posta qui il nuovo log

grazie

famarinu
09-02-2008, 09:55
Ah ok... scusa!!!:(
Ho fatto riandare edibagla, o meglio quando ho riavviato il pc ha fatto la scansione in automatico e non mi ha dato nessun file infetto. Il log della seconda scansione e' in fondo a quello che ho postato prima.

murack83pa
09-02-2008, 10:20
Ah ok... scusa!!!:(
Ho fatto riandare edibagla, o meglio quando ho riavviato il pc ha fatto la scansione in automatico e non mi ha dato nessun file infetto. Il log della seconda scansione e' in fondo a quello che ho postato prima.

ma dove? :confused:

è ancora quello di prima......:muro:

riavvia il pc in modalità provvissoria e fai una nuova scansione con elibagle e posta il nuovo log in un nuovo post

nn si puo perdere 2 ore x una cosa cosi banale....

c ved piu tardi

kirk96
09-02-2008, 12:18
Nel caso si abbiano problemi con questo script,sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il nome utente



Scusa, forse è meglio precisare che a %UserProfile% si sostituisca il percorso completo con il nome utente (quindi ad es. C:\Documents and settings\nomeutente)

Bugs Bunny
09-02-2008, 20:36
si hai ragione...

micky92
10-02-2008, 11:40
Ciao a tutti. sono un utente di win vista e credo di essere infetto da 1 worm di nome bagle.Ho letto la vostra guida per rimuoverlo e vi chiedo:Come mai ad 1 certo punto elibagla mi crasha?POsso provare ad usare il ipristino configurazione di sistema per tornare indietro e far sparire il virus?

micky92
10-02-2008, 12:34
credo di essere affetto da 1 worm di nome bagle.Ho fattto la scansione con elibagla e qsto è il risultato: Sun Feb 10 13:19:01 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Sun Feb 10 13:19:05 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

murack83pa
10-02-2008, 12:43
segui la guida in prima pagina

rifai girare elibagle in modalità provvissoria e posta qui il nuovo log

i log nn vanno incollati, le modalità di pubblicazione dei log sono indicate in prima pagina

se leggi bene la guida, il tuo problema si risolverà presto, altrimenti fra una settimana c ritroveremo sempre al solito punto.....:rolleyes:
buon lavoro :)

micky92
10-02-2008, 12:53
In prima pagina c'è scritto solo ke dv postare il log di elibagla. Cosa dv Fare?

murack83pa
10-02-2008, 13:00
rifai girare di nuovo elibagle in modalità provvissoria, cioè:

avvia windows in mod provv (premendo f8 ripetutamente prima che win si avvii) e fai girare elibagle, lo lasci lavorare, poi alla fine produrrà il log e tu lo posti qui e attendi istruzioni

ciao

micky92
10-02-2008, 13:08
qsto è il post

murack83pa
10-02-2008, 13:15
qsto è il post

ma una domanda: chi ti ha detto che eri infetto da bagle?

che problemi ti da il pc?

micky92
10-02-2008, 13:23
non mi parte + nod32.ho provato a disinstallatro e installarlo di nuovo ma niente.poiccleaner si apre e dopo 1 secondo si kiude.internet explorer ogni tanto crasha o si blocca.cmq xkè me lo kiedi?

murack83pa
10-02-2008, 13:29
non mi parte + nod32.ho provato a disinstallatro e installarlo di nuovo ma niente.poiccleaner si apre e dopo 1 secondo si kiude.internet explorer ogni tanto crasha o si blocca.cmq xkè me lo kiedi?

hai detto che elibagle ti ha crashato....ha continuato a farlo?

ti ha dato problemi ora in modalità provvissoria?

micky92
10-02-2008, 13:32
mi crashava in modalità normale.però in modalità provvisoria va tt bene.mi sto riferendo a elibagla.riguardo internet explorer ora non crasha +.Credi k l'abbia eliminati il virus?

Bugs Bunny
10-02-2008, 14:53
ho aggiunto un passaggio nella procedura di eliminazione con vista (passaggio 3) seguilo.(è sperimentale)

micky92
10-02-2008, 16:14
NOn funziona e nn so proprio cosa fare. avanger non funziona su vista,nn c'è qlk altro programma tipo avanger k elimina i file?

lancetta
10-02-2008, 16:56
NOn funziona e nn so proprio cosa fare. avanger non funziona su vista,nn c'è qlk altro programma tipo avanger k elimina i file?

infatti i passagi indicati nella terza voce della guida in prima pagina .....li devi fare a mano....:stordita:
in basso a dx sull'icona clicca sù e scrivi regedit dai l'ok all'UAC e da li scorrendo nella struttura ad albero sulla sinistra cerchi le voci indicate ci clicchi su col dx ed elimini....

micky92
10-02-2008, 16:58
Ho provato cn qlla procedura ma nn le elimina le chiavi di registro.alcune non esistono nemmeno

murack83pa
10-02-2008, 17:07
Ho provato cn qlla procedura ma nn le elimina le chiavi di registro.alcune non esistono nemmeno

come ho detto prima, io dubbi che sia bagle...a meno che nn sia una nuovisssima versione invisibile pure ad elibagle....:confused:

lancetta
10-02-2008, 17:11
Socio..che dirti...
micki ci dici quali voci hai trovato nel registro?

murack83pa
10-02-2008, 17:32
Socio..che dirti...
micki ci dici quali voci hai trovato nel registro?

niente, era un mio modo, un po brusco, x esprimere la mia confusione :confused:

micky92
10-02-2008, 17:59
Prima ero riuscito a fare partire noid32 e facendo la scansione sl della cartella windows aveva trovato il bagle.in particolare aveva trovato alcuni file infetti presenti nella cartella system32/driver/down/e qui vi sono tanti numeri

micky92
10-02-2008, 21:00
elibagla mentre sta facendo la scansione ad 1 certo punto crasha.Cosa posso fare?

murack83pa
10-02-2008, 22:19
elibagla mentre sta facendo la scansione ad 1 certo punto crasha.Cosa posso fare?

lancetta ti aveva chiesto quali voci c'erano nel registro.....credo che abbia fatto la muffa il povero lancetta :p

dopo aver risposto a questa domanda, nella guida è indicato un programma: GMER

fallo girare e posta qui il log.....e vediamo un po di capirci qualkosa....

BloodFearless
11-02-2008, 00:01
all'antivirus c pensiamo dopo, anche se hai fatto un po di pasticci...

ti funziona la modalità provvissoria?

rifai girare elibagle in mod prov e posta qui il log,

se nn c riesci in mod prov, rifai la scansione in modalità normale

Ne ho fatti molti di pasticci credo :D

Cmq la modalità provvisoria si richiama con f8 al riavvio?

murack83pa
11-02-2008, 09:11
....

certo che hai fatto un po di casini.....sono stato mezz'ora a cercare il tuo primo post....

allora, la mod provv si attiva riavviando il pc e premendo ripetutamente f8 prima che win si avii....

mi puoi ricordare che win hai?

cmq fai girare elibagle in mod provv e poi posta qui il log e attendi istruzioni....

magari vedi di farlo girare entro stasera, altrimenti diventa difficile aiutarti se rispondi dopo una settimana....:rolleyes:

mimmonet
11-02-2008, 12:57
sei a buon punto

ora installa il trial di kaspersky e fai una scansione completa

facci sapare se trova qualkosa o meno, posta il report

se hai ancora "installato" ma nn funzionante il tuo antivirus, disinstallalo, fai pure una pulizia con ccleaner, riavviando il pc prima di installare kaspersky ;)

dopo aver completato questo punto, ultimiamo la procedura con avenger...

Ok,
ho fatto la scansione con KIS posto solo un estratto del il log (tutto pesava oltre 200 MB) la parte che parla dei virus trovati.

http://www.fileup.itadib.com/download.php?id=V6WEG3Mj3aVvIq5GT1UE

ora?

Avenger?
a cosa dovrebbe servire?

Tnx!!!!!

murack83pa
11-02-2008, 13:50
...

è fondamentale che elimini tutti i crack, xchè il bagle si diffonde tramite crack....

hai win xp, giusto?

segui il punto 4) della guida: devi scaricare avenger (kaspersky forse lo rileverà come malware, tu ignoralo,eventualmente lo disattivi momentaneamente) installalo ed utilizzalo secondo indicazioni da guida in prima pagina....

al riavvio , posta il log di avenger

..::Redline::..
11-02-2008, 15:24
Ragazzi è successo un casino...Avevo riavviato dopo che elibagla aveva eliminato i virus,e stavo andando ad hostare il file infosat,quando mi è apparsa una schermata blu,ora vi sto scrivendo dal telefonino,che faccio?