Ragazzi è successo un casino...Avevo riavviato dopo che elibagla aveva eliminato i virus,e stavo andando ad hostare il file infosat,quando mi è apparsa una schermata blu,ora vi sto scrivendo dal telefonino,che faccio?

il pc nn funziona? nn si avvia? nemmeno in modalità provvissoria?

la schermata blu ti è apparsa all'improvviso mentre stavi caricando qui il log? quindi il pc inizialmente si era avviato senza problemi, giusto?

Salve ragazzi!
Ho cercato di seguire le procedure... e non solo ho incontrato qualche difficoltà, ma sono arrivato ad un punto di blocco.

Dopo aver fatto la scansione con Elibagla, al riavvio del pc, è continuato ad apparirmi lo stesso Elibagla (è normale?), prima ancora di caricare le icone... ho dato l'ok all'esecuzione dello stesso ma senza poi avviare la scansione.

Il file restituitomi è in allegato.

Poi ho installato Kaspersky.. ma ho avuto problemi nella disinstallazione di nod32 e mi si è riavviato il pc dopo una schermata blu con delle scritte che non sono riuscito a leggere.

Finalmente ho installato Kaspersky ma quando lo apro mi da il solito orrore di avp.exe non è un'applicazione di win32 valida.

Sto messo male... che faccio? :)

Thanks :)

SO in uso?

SO in uso?

Windows XP Home Edition su Asus A6000

Windows XP Home Edition su Asus A6000

Passa direttamente al punto 4) Avenger, ricorda di allegare il log

il pc nn funziona? nn si avvia? nemmeno in modalità provvissoria?

la schermata blu ti è apparsa all'improvviso mentre stavi caricando qui il log? quindi il pc inizialmente si era avviato senza problemi, giusto?

si il pc si avvia,e ogni volta si riapre elibagla,e inoltre mi appare una finestra ke mi chiede un file da craccare(chiede proprio select file to crack,senza che io tocchi niente)poi non so xke,ma dopo un po si spegne, nn so se dipenda dal tempo a dall'operazione in corso,l'ultima volta è apparsa la schermata blu quando stavo uppando il log...Aiutatemi!

Passa direttamente al punto 4) Avenger, ricorda di allegare il log

Grazue mille Chill-Out per il tuo aiuto :)

Le prime due volte che l'ho scompattato non è partito.
Ho eseguito nuovamente il download, scompattato e mi diceva che anche questa non era un'applicazione valida.

Poi, anziché scompattare il file all'interno della sua stessa cartella, l'ho scompattato direttamente sul desktop.
Questa volta è partito.

Ho eseguito la procedura ma alla fine della stessa si sono aperte delle finestre di errore tra cui una "applicazione non riuscita".

Il Pc si avviava nel frattempo in maniera automatica ed all'avvio ha eseguito dei comandi.

Allego il file :)

Altra passata di EliBagla come sempre allega il log

Altra passata di EliBagla come sempre allega il log


Eseguita nuovamente la scansione. Riavviato il pc. Stavo per scrivere ma schermata blu e mi si riavvia nuovamente. :(

Ecco il file allegato :)

si il pc si avvia,e ogni volta si riapre elibagla,e inoltre mi appare una finestra ke mi chiede un file da craccare(chiede proprio select file to crack,senza che io tocchi niente)poi non so xke,ma dopo un po si spegne, nn so se dipenda dal tempo a dall'operazione in corso,l'ultima volta è apparsa la schermata blu quando stavo uppando il log...Aiutatemi!

secondo me c'è ancora qualke crack o programma cracckato nel pc...

la guida sottolinea l'assoluta necessita di eliminare ogni traccia di crack, che è il mezzo attraverso cui si propaga tale worm....

quindi assicurati di aver eliminato ogni cosa, disinstalla programmi cracckati...antivirus, software di ogni genere cracckati....e poi vedi di far partire elibagle in mod provvissoria....nuovamente...e vediamo...

Riesci ad accedere alla modalità provvisoria F8?

Riesci ad accedere alla modalità provvisoria F8?

Si ci riesco, speranze? :D

_______

volevo dire che anche io ho avuto gli stessi problemi di red line


si il pc si avvia,e ogni volta si riapre elibagla,e inoltre mi appare una finestra ke mi chiede un file da craccare(chiede proprio select file to crack,senza che io tocchi niente)poi non so xke,ma dopo un po si spegne, nn so se dipenda dal tempo a dall'operazione in corso,l'ultima volta è apparsa la schermata blu quando stavo uppando il log...?

ma volendo rispondere a murack83pa

secondo me c'è ancora qualke crack o programma cracckato nel pc...

Ho tolto tutto ciò che avevo installato recentemente. Si trattava di un solo crack.
Il resto sono prgrammi che mi porto dietro da un anno.

Fai girare EliBagla da provvisoria

Fai girare EliBagla da provvisoria

Eppur si move :)
Qualcosa è cambiato, ha trovato un file infetto..
procedo come da istruzioni, installando il successivo antivirus?

edit: sono "andato avanti" ma continua a no farmi funzionare Kaspersky, ed ora nemmeno avenger. :( :(

noooo anke io mi sono beccato sto maledetto virus
e sto smadonanndo da 1 giorno intero....

ora siccome anke seguendo la guida ho dei seri problemi volevo chiedervi se, avendo 2 partizioni, posso usarne una per l'appoggio di file(immagini, video e file office) e formattare quella con il SO mandando a cagare il bagle.... oppure me lo ritroverò?

cmq stavo pensando: devo eliminare tutti i programmi in cui ho usato un file cracckato o no? ad esempio se ho un gioco con file no cd, devo disinstallarlo x avere possibilità di togliere il bagle? e se invece ho solo usato un codice di registrazione? devo togliere anke quello?

cm io provo a seguire la guida di inizio pagina ma elibeagle non mi cancella niente... trova solo il file infetto....
poi al riavvio lui riparte automaticamente ma continua a non cancellarmi il file!
dopo 1 secondo si apre il file che vuole crackare qualkosa ma anke se lo kiudo nn riesco ad arire avenger....non è una applicazione valia in w32...

ke posso fare? :muro: :muro:
alla fin fine se posso cavarmela col format sarebbe fantastico, ma ke mi dite? si propaga?

Eppur si move :)
Qualcosa è cambiato, ha trovato un file infetto..
procedo come da istruzioni, installando il successivo antivirus?

edit: sono "andato avanti" ma continua a no farmi funzionare Kaspersky, ed ora nemmeno avenger. :( :(

riprova lo script con avenger ora da noarmale e da provvisoria se necessario
e aggiungici anche queste 2 voci nello script:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

riprova lo script con avenger ora da noarmale e da provvisoria se necessario
e aggiungici anche queste 2 voci nello script:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

Avenger da normale ha girato una volta ed ora non ne vuole più sapere :(

Rettifico: il sistema operativo non si avvia in modalità provvisoria attraverso Ctrl F8

pensavo che l'avvio in modalità provvisioria si potesse dare anche attraverso Start -> Esegui -> msconfig -> Avvio diagnostico

e pensavo che le due cose coincidessero... scusate 2000 per la mia ignoranza :muro: :muro:

Elibagla mi aveva trovato il file attraverso tale sistema.

In Diagnostico comunque Avenger non gira e mi restituisce il famigerato errore
Ctrl F8 mi fa scegliere tra normale e provvisorio ma l'avvio in provvisiorio proprio non va :cry:

P.S. in ogni caso Lancetta le due righe che mi hai postato andavano sotto
"registry values to delete:" giusto? :)

Ennesima variante del Bagle, presumo tu abbia già disattivato il ripristino configurazione sistema se si prima di procedere con altre operazioni pulisci con Ccleaner

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.com/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

chill out ti riferisci a me?

se si proverò...

cmq se formatto salvando i file su una partizione lo elimino il beagle oppure resta? questa cosa è molto importante xkè avevo intenzione di formattare a breve...

chill out ti riferisci a me?

se si proverò...

cmq se formatto salvando i file su una partizione lo elimino il beagle oppure resta? questa cosa è molto importante xkè avevo intenzione di formattare a breve...

No mi riferisco a neo-one, in ogni caso se la tua intenzione è quella di formattare è inutile iniziare lo sbattimento per la rimozione del Bagle non trovi?

Ennesima variante del Bagle, presumo tu abbia già disattivato il ripristino configurazione sistema se si prima di procedere con altre operazioni pulisci con Ccleaner




Sono SICURISSIMO di avrelo disabilitato all'inizio di tutte le operazioni... ma me lo sono ritrovato abilitato! :eek:
L'ho disattivato nuovamente.



ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza



che significa a macchina dedicata?
Come si disabilitano i realtime dei software di sicurezza? :mc:

edit: installato cleaner, lo apro ma la finestra scompare in meno di un secondo. :o

No mi riferisco a neo-one, in ogni caso se la tua intenzione è quella di formattare è inutile iniziare lo sbattimento per la rimozione del Bagle non trovi?

si infatti ti/vi chiedevo se copiando i file ke mi servono su una partizione ke già esiste, e formattando solo la partizione col SO risolvo i problemi del beagle, oppure se prolifera anke nella partizione (ovvio ke i file ke tengo nn sono eseguibili)...

Io ho il seguente problema.
Sicuramente è il Bagle, non so come posso esserne certo, però i sintomi sono quelli:
niente modalità provvisoria, tutti i programmi antivirus, antispam, pulitori, etc, non mi si avviano.
Il problema è che sto cercando di seguire le guide, ma ogni programma che scarico, CCleaner, antivitus, etc non mi si avviano.

Con EliBagla è venuto fuori questo.

Mon Feb 11 16:08:12 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Feb 11 16:08:52 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4454
Nº Total de Ficheros: 90030
Nº de Ficheros Analizados: 7607
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Feb 12 10:50:21 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.98
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Feb 12 10:50:46 2008
EliBagle v10.98 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4353
Nº Total de Ficheros: 90284
Nº de Ficheros Analizados: 7220
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Scusate ma non so come si posta correttamente il file Infosat.txt

è fondamentale che elimini tutti i crack, xchè il bagle si diffonde tramite crack....
...
segui il punto 4) della guida: devi scaricare avenger (kaspersky forse lo rileverà come malware, tu ignoralo,eventualmente lo disattivi momentaneamente) installalo ed utilizzalo secondo indicazioni da guida in prima pagina....

al riavvio , posta il log di avenger

Ecco il post di Avenger.

http://www.fileup.itadib.com/download.php?id=uWvk7Tgk6tXEM3tOR0ja

Che dite? è grave? ;)

Tnx!!!!!!

Ciao a tutti e complimenti per la guida.

Anche io sono stato infettato da bagle , ma seguendo i passi della guida credo di essere riuscito ad eliminarlo , però mi sono rimasti due problemi:

1 - La connessione ad internet adesso mi funziona solo non appena avvio il computer ,mi dura più o meno 5 minuti e poi si blocca, o meglio, mi rimane connesso solo che non riesco più a scaricare le pagine. Non credo si tratti di un problema di linea, adesso sono connesso con il desktop (i problemi li ho sul notebook invece )dalla stessa connessione e mi va alla grande .

2 - Avevo installato zone alarm e ovviamente con bagle mi si era bloccato. Il problema è che adesso dopo avere fatto tutta la provedura non riesco cmq a disinstallarlo . Su installazione applicazioni non risulta più , come se fosse disinstallato, ma invece nel menù avvio c'è e se clicco su unistall mi dice che si tratta di un'pplicazione win32 non valida, cioè il medesimo errore che mi dava quando c'era bagle (dico c'era perchè da tutte le scansioni che ho fatto ora il computer risulta pulito , non mi trova più niente) .
Se vado cartella di zone alarm all'interno di c:/programmi e cerco di eliminare tutto mi dice che è impossibile eliminare perchè il programma è in uso ?!

Non sò sinceramente se i due problemi sono collegati, cosa mi suggerite di fare?

vi allego il log di hijackthis

http://www.zshare.net/download/747243937e1748/

Ecco il post di Avenger.

http://www.fileup.itadib.com/download.php?id=uWvk7Tgk6tXEM3tOR0ja

Che dite? è grave? ;)

Tnx!!!!!!

mi sembra che alcune voci nn siano state eliminate........:what:

fai girare panda antirootkit come da guida, punto 5) e dimmi se elimina qualkosa


@ ascia: devi modificare il tuo post, i log nn vanno incollati

si infatti ti/vi chiedevo se copiando i file ke mi servono su una partizione ke già esiste, e formattando solo la partizione col SO risolvo i problemi del beagle, oppure se prolifera anke nella partizione (ovvio ke i file ke tengo nn sono eseguibili)...

bagle si diffonde tramite crack...quindi sia exe che rar o zip.....fai attenzione a cosa trasporti.......;)

......

allora

1-riguardo internet, vedi qui:
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

2-per zone allarm, un modo semplice e voloce è riavviare in modalità provvissoria e cancellare tutto manualmente (facendo attenzione), xò dopo devi fare una bella pulizia del registro con ccleaner
poi lo reinstalli, anche se te lo sconsiglio.....c sono firewall gratis migliori, come online armor free oppure comodo

3-fixa queste voci in hijackthis:


O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.ex e
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programmi\VMware\VMware Server\vmware-authd.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - Unknown owner - C:\WINDOWS\system32\vmnetdhcp.exe (file missing)
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - Unknown owner - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe (file missing)
O23 - Service: VMware Registration Service (vmserverdWin32) - Unknown owner - C:\Programmi\VMware\VMware Server\vmserverdWin32.exe (file missing)


hai ancora traccia di norton.....vai qui x la completa rimozione.
http://www.hwupgrade.it/forum/showthread.php?t=1630445

NB: è una procedura delicata ;)

mi sembra che alcune voci nn siano state eliminate........:what:

fai girare panda antirootkit come da guida, punto 5) e dimmi se elimina qualkosa


@ ascia: devi modificare il tuo post, i log nn vanno incollati

Ha trovato questo....
http://www.fileup.itadib.com/download.php?id=dyDlRz8l6ihVPvLcK8bO

Ha trovato questo....
http://www.fileup.itadib.com/download.php?id=dyDlRz8l6ihVPvLcK8bO

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river :rolleyes:

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river :rolleyes:

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

Nessun Problema al pc, KIS funziona correttamente, e almeno prima che facessi lo scan con Panda agni tanto mi trovava qualcosina che io prontamente eliminavo o mettevo in quarantena. CC cleaner fatto, ed internet va benissimo.
In pratica nn ho sintomi a parte quello che ogni tanto mi riverla KIS.
Cmq ora provo anche gmer e hijackthis come da tuo consiglio e della guida.

Tnx ancora!!

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river :rolleyes:

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?

esatto socio.....;) :D relativo al kasper...:read: :mano:

che significa a macchina dedicata?
Come si disabilitano i realtime dei software di sicurezza?

diciamo che non è il tuo caso vedi se riesci a farlo girare

diciamo che non è il tuo caso vedi se riesci a farlo girare

:( neanche questa è valida

Sto facendo un altro passaggio di elibagla, l'unica che gira, ma non penso che a questo punto serva a qualcosa :(

:( neanche questa è valida

Sto facendo un altro passaggio di elibagla, l'unica che gira, ma non penso che a questo punto serva a qualcosa :(

Combo prova a rinominarlo (tasto dx del mouse - rinomina) ovviamente devi cancellare il precedente e riscaricarlo.

Scaricato e cancellato più volte:
se semplicemente rinominato dopo il download, continua a non funzionare
se rinominato durante la fase "salva con nome", il file si apre per l'installazione ma appare una schermata blu vuota... niente istruzioni! :(

Intanto allego l'ultima scansione di elibagla :)


P.S. gli utenti che ho in posta elettronica rischiano di ricevere mie email infettate?

P.S. gli utenti che ho in posta elettronica rischiano di ricevere mie email infettate?

No

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script in prima pagina

allega il log

No

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script in prima pagina

allega il log

Stavolta è partito :)

Stavolta è partito :)

Altra passata di EliBagla

secondo me c'è ancora qualke crack o programma cracckato nel pc...

la guida sottolinea l'assoluta necessita di eliminare ogni traccia di crack, che è il mezzo attraverso cui si propaga tale worm....

quindi assicurati di aver eliminato ogni cosa, disinstalla programmi cracckati...antivirus, software di ogni genere cracckati....e poi vedi di far partire elibagle in mod provvissoria....nuovamente...e vediamo...


Ciao murack83pa, più disinstallo programmi e più mi si inpappa il pc, ora sto per l'ennesima volta facendo uno scan elibagla, volevo chiedere se trasporto il file txt in un altra pennetta se corro rischi di trasportarmi virus anche nell'altro pc dal quale scrivo.

Ciao murack83pa, più disinstallo programmi e più mi si inpappa il pc, ora sto per l'ennesima volta facendo uno scan elibagla, volevo chiedere se trasporto il file txt in un altra pennetta se corro rischi di trasportarmi virus anche nell'altro pc dal quale scrivo.

il bagle nn si dovrebbe trasmettere attraverso semplici file di testo.....xò nn trasferire zip, rar o exe........

attendiamo il log di elibagle e vediamo...

il bagle nn si dovrebbe trasmettere attraverso semplici file di testo.....xò nn trasferire zip, rar o exe........

attendiamo il log di elibagle e vediamo...

ecco il link, speriamo in bene...volevo precisare che nelle due ultime scansioni elibagla si è fermata alla cartella 8998 su 27 mila e passa..quindi ho dovuto cliccare salir e salvare il file txt.:mad:


http://www.fileup.itadib.com/download.php?id=a869fessD7RmYg7xGN5t

Altra passata di EliBagla


Fatta. Dopo il riavvio, dopo il caricamento e dopo qualche istante, schermata blu e si è riavviato.

Comunque, ecco il file di testo.

P.S. all'inizio, quando mi sono accorto che qualcosa nn andava, nella paura di perdere tutti i dati (naturalmente non i crak che avevo cancellato) ho messo tutto in una cartella di un hard disk esterno... l'ho contaminato? Non ho toccato più nulla i quella cartella :confused:

Fatta. Dopo il riavvio, dopo il caricamento e dopo qualche istante, schermata blu e si è riavviato.

Comunque, ecco il file di testo.

P.S. all'inizio, quando mi sono accorto che qualcosa nn andava, nella paura di perdere tutti i dati (naturalmente non i crak che avevo cancellato) ho messo tutto in una cartella di un hard disk esterno... l'ho contaminato? Non ho toccato più nulla i quella cartella :confused:

Siamo sempre punto e a capo, fai un scansione online usando IE col Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo

Siamo sempre punto e a capo, fai un scansione online usando IE col Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo

Vi erano varie opzioni da scegliere :es scan aree critiche etc
Ho scelto "my computer"... va molto lento... mi sa che impiegherà l'intera notte

ecco il link, speriamo in bene...volevo precisare che nelle due ultime scansioni elibagla si è fermata alla cartella 8998 su 27 mila e passa..quindi ho dovuto cliccare salir e salvare il file txt.:mad:


http://www.fileup.itadib.com/download.php?id=a869fessD7RmYg7xGN5t

quindi hai interotto le scansioni?

riprova in modalità provvissoria e dimmi se ti si ripresenta questo problema.....

mi puoi ripetere che sistema operativo usi?

ecco il link, speriamo in bene...volevo precisare che nelle due ultime scansioni elibagla si è fermata alla cartella 8998 su 27 mila e passa..quindi ho dovuto cliccare salir e salvare il file txt.:mad:


http://www.fileup.itadib.com/download.php?id=a869fessD7RmYg7xGN5t

ciao. hai già usato avenger?

Siamo sempre punto e a capo, fai un scansione online usando IE col Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo


Appena finito :)

mi sono accorto che non mi carica l'allegato in html
ecco il link
report (http://www.dimino.it/report.html)

credo che quello che ha individuato sia relativo a kasperksy......x il momento nn lo eliminare....chiedo conferma a chill o lancetta o river :rolleyes:

fai una scansione con gmer e hijackthis (li trovi entrambi nella guida) e posta qui i log

hai problemi al pc? kaspersky ti funziona correttamente? hai scaricato e fatto un po di pulizia con ccleaner come da guida? internet ti funziona?
Ho fatto una scan con hijackthis (mi è sembrato un pò veloce...) e mi da questo
http://www.fileup.itadib.com/download.php?id=2uu2p3e3cArHz3fZfT7f

Gmer invece me lo blocca Kis, è normale? che faccio lo disabilito momentaneamente per fare lo scan?

Appena finito :)

mi sono accorto che non mi carica l'allegato in html
ecco il link
report (http://www.dimino.it/report.html)

uppalo qui: http://www.fileup.itadib.com/index.php

uppalo qui: http://www.fileup.itadib.com/index.php

Lo avevo caricato in un mio spazio.. comunque rieccolo :)

http://www.fileup.itadib.com/download.php?id=hmqvs8P4648G5EtxNHxu

Inizia a svuotare queste cartelle piene di Email infette:

C:\Documents and Settings\PC\Desktop\Desktop 2006-dicembre\Dati PC Fisso - Outlook\Outlook Express\2002.dbx
C:\Documents and Settings\PC\Desktop\Desktop 2006-dicembre\Dati PC Fisso - Outlook\Outlook Express\affari.dbx
C:\Documents and Settings\PC\Desktop\Desktop PC fisso\DATI MORENTE\Outlook Express\2002.dbx
C:\Documents and Settings\PC\Desktop\Desktop PC fisso\DATI MORENTE\Outlook Express\affari.dbx
C:\Documents and Settings\PC\Desktop\DesktopGennaio2008\backupposta\Outlook Express\2002.bak
C:\Documents and Settings\PC\Desktop\DesktopGennaio2008\backupposta\Outlook Express\2002.dbx
C:\Documents and Settings\PC\Desktop\DesktopGennaio2008\backupposta\Outlook Express\affari.dbx
C:\Documents and Settings\PC\Desktop\DesktopGennaio2008\backupposta.zip/backupposta/Outlook Express/2002.bak
C:\Documents and Settings\PC\Desktop\DesktopGennaio2008\backupposta.zip/backupposta/Outlook Express/affari.dbx
C:\Documents and Settings\PC\Impostazioni locali\Dati applicazioni\Identities\{986BFCEE-8960-4A54-9174-F3A74440616D}\Microsoft\Outlook Express\2002.bak
C:\Documents and Settings\PC\Impostazioni locali\Dati applicazioni\Identities\{986BFCEE-8960-4A54-9174-F3A74440616D}\Microsoft\Outlook Express\2002.dbx
C:\Documents and Settings\PC\Impostazioni locali\Dati applicazioni\Identities\{986BFCEE-8960-4A54-9174-F3A74440616D}\Microsoft\Outlook Express\affari.dbx

sarei curiosio di sapere cosa te ne fai

Inizia a svuotare queste cartelle piene di Email infette:


sarei curiosio di sapere cosa te ne fai

:D semplicemente la posta di anni... e, per ultimi, i back up di questi giorni perché avevo paura di perdere email importanti!

Comunque quei file, nel corso del tempo, hanno passato il vaglio di diversi antivirus.. si saranno contaminati ora?

edit: ho email importanti lì in mezzo... mi copio tutto a manina

eliminate :)

No malware has been detected. The sections that have been scanned are CLEAN.

Inserisci questo script in Avenger

Files to delete:
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\0JIM8NDD\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\0JIM8NDD\b64_31[2].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\3KBDKDNL\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\3KBDKDNL\b64_2[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\3KBDKDNL\b64_2[2].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\3KBDKDNL\b64_2[3].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\3KBDKDNL\b64_31[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\6N1O5EF4\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\6N1O5EF4\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\6N1O5EF4\b64_31[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\6WHH682Z\b64_2[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\6WHH682Z\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\CAP852WL\b64_2[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\CAP852WL\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\GF51ACYO\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K1DS7UKK\b64_1[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K1DS7UKK\b64_2[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K1DS7UKK\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K8TO80PI\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K8TO80PI\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\K8TO80PI\b64_31[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\LB5W0094\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\LB5W0094\b64_2[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\MG1KYE3H\b64_1[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\MKG8ZDTB\b64_2[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\MKG8ZDTB\b64_2[2].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\MQDB7BY1\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\MQDB7BY1\b64_31[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\RGZMONFY\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\RGZMONFY\b64_1[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\RGZMONFY\b64_2[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\RGZMONFY\b64_2[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\RGZMONFY\b64_31[1].jpg.XXX
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\T9FU1PRE\b64_31[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\XR78ZT6Q\b64_1[1].jpg
C:\Documents and Settings\PC\Impostazioni locali\Temporary Internet Files\Content.IE5\XR78ZT6Q\b64_31[1].jpg
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\avenger\backup.zip
C:\avenger\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\Muestras

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Allega il log
Quale AV usi?

Inserisci questo script in Avenger



Allega il log
Quale AV usi?

Ecco il file.

Uso AVG sempre aggiornato, in questo momento però è tutto disinstallato.

Ecco il file.

Uso AVG sempre aggiornato, in questo momento però è tutto disinstallato.

adesso per scrupolo reinserisci lo script in prima pagina ed alleghi il log

adesso per scrupolo reinserisci lo script in prima pagina ed alleghi il log


ecco qua :)
Continuo con gli altri antivirus?
Li devo riscaricare o vedo se funzionano i file che prima nn partivano? :)

ecco qua :)
Continuo con gli altri antivirus?
Li devo riscaricare o vedo se funzionano i file che prima nn partivano? :)

Gli installer te li riscarichi tutti

Prima pulisci con Cleaner
CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Poi reinstalli AVG e fai una scansione completa del sistema il file lo devi riscaricare ex novo http://www.hwupgrade.it/forum/showthread.php?t=1625201

successivamente porti a termine la Guida ovvere scansione con Panda antirootkit e log di HijackThis

allega i log in un unico post per il controllo, ciao.

.....

mi sai spiegare cosa è questo?
C:\WINDOWS\system32\windowsautomaticupdates.exe

x quanto mi riguarda nulla di buono...e nn è la sola voce che nn mi convince....

il file host è completamente modificato: fai scommesse online?

ma hai fatto una scansione completa con kaspersky aggiornato?

vediamo cosa ne pensano chill o lancetta....:rolleyes:

io sono dell'idea di eliminare tutte le voci del file hosts ed eliminare anche la seguente voce:
O23 - Service: Abpu150p - - (no file)

ed eliminare con avenger questo "windowsautomaticupdates.exe"

poi scansione completa con kaspersky, gmer e nuovo log di hijackthis

che ne dite dottori?

windowsautomaticupdates.exe

a meno che l'utente frequenti la Stanford University :)

a proposito del file Host aspettiamo che ci risponda :)

a meno che l'utente frequenti la Stanford University :)

a proposito del file Host aspettiamo che ci risponda :)

per me è na zozzeria sto windowsupdate.....o quanto meno estranea alla configurazione default del pc...
per il file host penso che sia anche per le scommesse....però vedo anche casinò......:confused: :mbe:

per me è na zozzeria sto windowsupdate.....o quanto meno estranea alla configurazione default del pc...
per il file host penso che sia anche per le scommesse....però vedo anche casinò......:confused: :mbe:

è chiaro non penso frequenti la Stanford University, per il discorso Host aspettiamo che ci dica almeno che cosa non falciare :)

quindi hai interotto le scansioni?

riprova in modalità provvissoria e dimmi se ti si ripresenta questo problema.....

mi puoi ripetere che sistema operativo usi?


Allora ho xp professional sp2, ho fato ripartire elibagla in provvisoria, ma si blocca sempre allo stesso punto, troverai i dettagli nella penultima scansione nel log


@ Bugs Bunny: no niente avenger ancora, dovrei?

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script indicato in prima pagina, dopo aver iserito ed seguito lo script fai girare ancora EliBagla dopodichè alleghi entrambi i log, ciao.

Gli installer te li riscarichi tutti

successivamente porti a termine la Guida ovvere scansione con Panda antirootkit e log di HijackThis

allega i log in un unico post per il controllo, ciao.

Grazie 1000 :D :D
Ora sembra girare tutto...
allego l'ultimo log

Avevo fatto il back up di tutti i documenti in un hard disk esterno...
sarà contaminato? Se cancello la cartella senza aprire alcun eseguibile o documento al suo interno? Come faccio i controlli?
Sicuramente non c'è il crack che aveva dato inizio al tutto :)

@ Bugs Bunny: no niente avenger ancora, dovrei?

sì.

ciao scusate se magari la risposta alle mie domande è già stata data nelle pag precedenti...ma erano troppe da vedere...essendo io nuova...

ad ogni modo penso di avere anke io sto cavolo di bagle...norton, il windows defender, spybot e avast (installato in un secondo momento) non danno segni di vita causa mancanza del file win32 o simili....

premetto ke ho Vista e non ho capito bene dove devo disattivare il ripristino di conf al riavvio :muro: ....intanto ho fatto scansione con eli è questo è il risultato...qualcuno mi può dire come procedere? :confused: azie in anticipo!


Wed Feb 13 17:32:26 2008
EliBagle v10.99 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Wed Feb 13 17:32:37 2008
EliBagle v10.99 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\hp\support\HPSYSDRV.EXE --> Eliminado Bagle.dldr
C:\Program Files\Webroot\Washer\WWDISP.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 15706
Nº Total de Ficheros: 114842
Nº de Ficheros Analizados: 14137
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Andiamo per gradi, riesegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate:

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PC/IMPOST~1/Temp/msohtml1/01/clip_image002.gif

clicca su Fix checked allega nuovo log

clicca su Fix checked allega nuovo log

ecco fatto :)

ecco fatto :)

Ok dovremmo essere a posto, sarebbe opportuno installare *Secunia software Inspector https://psi.secunia.com/ ed aggiorni i software obsoleti quindi vulnerabili tipo Java - Real Player che sinceramente ti consiglio di disinstallare* (*mi riferisco a Real player)

*Secunia PSI analizza le applicazioni installate sul sistema e avvisa nel caso in cui siano necessari aggiornamenti e avvisa nel caso in cui l'applicazione presente sul sistema lamenti una o più vulnerabilità di sicurezza.

Sarebbe inoltre opportuno installare un Firewall software
http://www.hwupgrade.it/forum/showthread.php?t=1181836

un antispyware con la protezione realtime
http://www.hwupgrade.it/forum/showthread.php?t=1246338

sostituire Internet Explorer con un browser alternativo tipo Opera o Firefox

Avevo fatto il back up di tutti i documenti in un hard disk esterno...
sarà contaminato? Se cancello la cartella senza aprire alcun eseguibile o documento al suo interno? Come faccio i controlli?

Inserisci la pendrive o il lettore o l' HD nella porta usb e tieni premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay poi scansioni con AVG e con un tool specifico per il Bagle ovvere EliBagla se no si ricomincia ancora, poi per ulteriore scrupolo visto che hai una cera predilezione a consevare materiale infetto :D ;) scansioni anche online con Kav
Ciao

ciao scusate se magari la risposta alle mie domande è già stata data nelle pag precedenti...ma erano troppe da vedere...essendo io nuova...

ad ogni modo penso di avere anke io sto cavolo di bagle...norton, il windows defender, spybot e avast (installato in un secondo momento) non danno segni di vita causa mancanza del file win32 o simili....

premetto ke ho Vista e non ho capito bene dove devo disattivare il ripristino di conf al riavvio :muro: ....intanto ho fatto scansione con eli è questo è il risultato...qualcuno mi può dire come procedere? :confused: azie in anticipo!

ho trovato la disattivazione del ripristino....ma non mi lascia levare la flag :cry:

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip
ed inserisci lo script indicato in prima pagina, dopo aver iserito ed seguito lo script fai girare ancora EliBagla dopodichè alleghi entrambi i log, ciao.

Allora ho fatto partire avenger con lo script di inizio pagina, poi ho rifatto elibagla, ma finisce sempre alla cartella 8999 su 40 mila...comunque vi allego entrambi i log, inizia a rompere questo virus, ma che mente malata può arrivare a scassare i suddetti a tal punto, me lo vorrei tanto trovare a portata di piede....:muro:

Allora ho fatto partire avenger con lo script di inizio pagina, poi ho rifatto elibagla, ma finisce sempre alla cartella 8999 su 40 mila...comunque vi allego entrambi i log, inizia a rompere questo virus, ma che mente malata può arrivare a scassare i suddetti a tal punto, me lo vorrei tanto trovare a portata di piede....:muro:

Siamo sempre punto e a capo, fai un scansione online usando IE col Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo

Ok dovremmo essere a posto, sarebbe opportuno installare *Secunia software Inspector https://psi.secunia.com/ ed aggiorni i software obsoleti quindi vulnerabili tipo Java - Real Player che sinceramente ti consiglio di disinstallare* (*mi riferisco a Real player)

*Secunia PSI analizza le applicazioni installate sul sistema e avvisa nel caso in cui siano necessari aggiornamenti e avvisa nel caso in cui l'applicazione presente sul sistema lamenti una o più vulnerabilità di sicurezza.
sostituire Internet Explorer con un browser alternativo tipo Opera o Firefox


Installato Secunia ed aggiornato il tutto
real player non mi piace ma in alcuni e per fortuna pochi casi, on line, gira solo quello! :mad:
Firefox lo uso alternativamente o assieme ad explorer ;)

Grazie per i consigli, sei molto gentile :)




Sarebbe inoltre opportuno installare un Firewall software
http://www.hwupgrade.it/forum/showthread.php?t=1181836

un antispyware con la protezione realtime
http://www.hwupgrade.it/forum/showthread.php?t=1246338



Mi sa che la protezione è stata troppa :stordita:
Non riesco a scaricare sul desktop, e tutto mi sembra un pò più lento..
però mi sa che devo semplicemente smanettare un pò con le impostazioni :D

Il problema mi è comparsa la stella di attivazione copia di windows ma su utilità di sistema nn ritrovo la voce, eppure questa copia è originale :mbe:

ma soprattutto mi si apre all'infinito una finestrella che, prima del crack, non compariva:

SmartSound QuickTracks plugin

canceling...

e poi nn trova: C:\DOCUME~1\PC\IMPOST~1\Temp\_is15\

:mbe:



P.S. non conoscevo questo forum e mi avete sorpreso davvero tanto!!!! Complimenti! Ne ho frequentate di community... ma questa ha dell'eccezionale!
:)

Installato Secunia ed aggiornato il tutto
real player non mi piace ma in alcuni e per fortuna pochi casi, on line, gira solo quello! :mad:
Firefox lo uso alternativamente o assieme ad explorer ;)

Grazie per i consigli, sei molto gentile :)





Mi sa che la protezione è stata troppa :stordita:
Non riesco a scaricare sul desktop, e tutto mi sembra un pò più lento..
però mi sa che devo semplicemente smanettare un pò con le impostazioni :D

Il problema mi è comparsa la stella di attivazione copia di windows ma su utilità di sistema nn ritrovo la voce, eppure questa copia è originale :mbe:

ma soprattutto mi si apre all'infinito una finestrella che, prima del crack, non compariva:

SmartSound QuickTracks plugin

canceling...

e poi nn trova: C:\DOCUME~1\PC\IMPOST~1\Temp\_is15\

:mbe:



P.S. non conoscevo questo forum e mi avete sorpreso davvero tanto!!!! Complimenti! Ne ho frequentate di community... ma questa ha dell'eccezionale!
:)

solo per una questione di sicurezza

vai su start->esegui scrivi cmd digita
sc stop drvsyskit
sc delete drvsyskit

poi

sc stop german.exe
sc delete german.exe

rifai lo script in prima pagina di avenger ed alleghi il log
non ti preoccupare se ti dà errori è solo per sicurezza fammi sapere anche i risultati della prima procedura che ti ho postato qualunque siano....

solo per una questione di sicurezza

vai su start->esegui scrivi cmd digita
sc stop drvsyskit
sc delete drvsyskit

poi

sc stop german.exe
sc delete german.exe

rifai lo script in prima pagina di avenger ed alleghi il log
non ti preoccupare se ti dà errori è solo per sicurezza fammi sapere anche i risultati della prima procedura che ti ho postato qualunque siano....

Per i primi mi dice che il servizio specificato non esiste

avenger è in allegato

COMODO oltre a skype mi fa comparire insistentemente, decine di volte a rotazione, e mi chiede i permessi di
- cmd.exe is trying to modify a protected file or directory (penso sia normale x via di avenger)

- CUnist.exe per modificare un registry key (HKLM\SOFTWARE... ops è scomparso


Finestra di SmartSound all'impazzata! :muro:

Per i primi mi dice che il servizio specificato non esiste

avenger è in allegato

COMODO oltre a skype mi fa comparire insistentemente, decine di volte a rotazione, e mi chiede i permessi di
- cmd.exe is trying to modify a protected file or directory (penso sia normale x via di avenger)

- CUnist.exe per modificare un registry key (HKLM\SOFTWARE... ops è scomparso


Finestra di SmartSound all'impazzata! :muro:

hem....dove????:read:
la segnalazione di comodo è per avenger giusta osservazione...
riposta anche hijackthis ......

avenger è in allegato

bene le voci siam sicuri che non ci sono più...;)
vediamo se hijack dà i missing per quel problema....

bene le voci siam sicuri che non ci sono più...;)
vediamo se hijack dà i missing per quel problema....



ahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh :cry: :cry:

Sto scrivendo da un altro pc!!!

Non solo non mi ha fatto avviare hijack, pensavo di avere dato permesso sbagliato a COMODO... ma ora, qualsiasi cosa cerchi di fare mi dice "Impossibile accedere alla periferica, al percorso, al file specificato. E' probabile che non si disponga delle autorizazione necessarie"

Non mi fa nemmeno riavviare, aprire explorer, firefox, antivirus, programmi e tutto il resto! :muro:
Nemmeno esegui -> msconfig!

Sono riuscito spegnerlo tramite tasto... ma all'accensione uguale risultato! :(

bene le voci siam sicuri che non ci sono più...;)
vediamo se hijack dà i missing per quel problema....


:cool:

ahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh :cry: :cry:

Sto scrivendo da un altro pc!!!

Non solo non mi ha fatto avviare hijack, pensavo di avere dato permesso sbagliato a COMODO... ma ora, qualsiasi cosa cerchi di fare mi dice "Impossibile accedere alla periferica, al percorso, al file specificato. E' probabile che non si disponga delle autorizazione necessarie"

Non mi fa nemmeno riavviare, aprire explorer, firefox, antivirus, programmi e tutto il resto! :muro:
Nemmeno esegui -> msconfig!

Sono riuscito spegnerlo tramite tasto... ma all'accensione uguale risultato! :(

ma che combini?

comodo mi ha chiesto i permessi, ed io ho selezionato quello in basso dei tre, il programm non partiva ed ho fatto esci. Ma nessun cambiamento. Prima,al precedente riavvio, avevo fatto una scansione con lo spyware che ha eliminato un pò di file, ma erano cookies. Ed ora questa situazione. Non si apre nemmeno blocco note, solo le immagini e le cartelle.

comodo mi ha chiesto i permessi, ed io ho selezionato quello in basso dei tre, il programm non partiva ed ho fatto esci. Ma nessun cambiamento. Prima,al precedente riavvio, avevo fatto una scansione con lo spyware che ha eliminato un pò di file, ma erano cookies. Ed ora questa situazione. Non si apre nemmeno blocco note, solo le immagini e le cartelle.

Ho letto a ritroso i post ma sinceramente ci ho capito ben poco:

Non riesco a scaricare sul desktop :confused:

Il problema mi è comparsa la stella di attivazione copia di windows ma su utilità di sistema nn ritrovo la voce, eppure questa copia è originale

:mbe:

SmartSound QuickTracks plugin

canceling...

e poi nn trova: C:\DOCUME~1\PC\IMPOST~1\Temp\_is15\

nei log non c'è traccia di questa voce


comodo mi ha chiesto i permessi, ed io ho selezionato quello in basso dei tre

quale?

Impossibile accedere alla periferica, al percorso, al file specificato. E' probabile che non si disponga delle autorizazione necessarie


scusami ma questo è un Pout Pourri indecifrabile, prova a fare un resoconto dettagliato del problema, altra cosa i PC sono in rete guisto? allora allega un log di HijackThis del PC funzionante

Ho letto a ritroso i post ma sinceramente ci ho capito ben poco:

:confused:



Anche io... pensavo si fosse tutto risolto... ed ora mi sembra nuovamente un incubo :(

L'unica cosa che sono riuscito a fare in questo momento è scrivere nuovamente attraverso il mio pc.
Come dicevo: mi si apre la lista dei programmi, le cartelle, ma se cerco di aprire qualsiasi file che richiede l'esecuzione di un programma, che sia word

mi si aprono solo i file jpg attraverso il "Visualizzatore immagini e fax per windows".

Come sono riuscito ad aprire questa finestra?
Dalla stellina in basso a destra che mi apre appunto la finestra di explorer 7 rimandandomi qui
http://www.microsoft.com/genuine/downloads/nonGenuine.aspx?displaylang=it&cCode=ITA&Error=1&PartnerID=101&sGuid=291df763-742d-401d-ad61-da6b2ccdd4c3&submit=1

(noto che è per xp professional, il mio ha la versione home di quando l'ho comprato)

Se apro altre schede in quella finestra riesco a navigare e, sto notando, mi fa pure aprire altre finestre.

Nella barra delle applicazioni non carica nulla (skype antivirus etc) fuorché orario, aggiornamenti di windows che ho scaricato, la famigerata stellina in grigio (uguale a quella nella pagina segnalata) ed i computer di connessione.

________
Ormai sempre presente la finestrella:

"SmartSound QuickTracks plugin

canceling..."

eppure è l'unica cosa che si apre... credo con windows installer

Per ora è ferma una finestra grigia (scusa ma nn posso fare screenshot)
in cui vi è scritto:

"The feauture you are trying to use in on a network resourse that is unavailable.

Click OK to try again, or enter an alternate path to a folder containing the installation package "SmartSound QuickTracks Plugin.msi" in the box below





Use source: C:\DOCUME~1\PC\IMPOST~1\Temp\_is15\ "

Io clicco su Cancel ma la finestra riappare.



Quote:
comodo mi ha chiesto i permessi, ed io ho selezionato quello in basso dei tre

quale?



Sinceramente non mi ricordo, ho visto molte nuove cose e voci in questi giorni, non ho familiarità con il programma, però ho cercato di dargli il permesso ad usare la risorsa. Sorry :(




scusami ma questo è un Pout Pourri indecifrabile, prova a fare un resoconto dettagliato del problema, altra cosa i PC sono in rete guisto? allora allega un log di HijackThis del PC funzionante


I pc sfruttano la stessa connessione, ma non sono collegati tra loro. Il mio coinquilino attualmnete non c'è. Ieri l'ultimo mesaggio l'ho scritto dal cellulare.

L'errore è quello che ho descritto, tabella grigia, percorso del file .exe che ho cercato di eseguire, X bianca su fondo rosso, ed il messaggio riportato "Impossibile accedere alla periferica, al percorso, al file specificato. E' probabile che non si disponga delle autorizazione necessarie"

Questa era la scritta di quando avevo bloccato il download di elibagla, che avevo tolto. Cercavo di scaricarla dul desktop ed ho dato il permesso sbagliato a COMODO. Poi mi ha fatto scaricare nella cartella documenti.
In COMODO cercavo qualcosa che mi facesse vedere i permessi dati e non dati ed eventualmente cambiare i parametri.


Non so se ho fatto casini o è quella finestra SmartSound plugin la causa di tutto? O è la stella per validare la copia di windows? :cry:


P.S. Non funziona isntalla/disinstalla ma riesco ad accedere a C:\Programmi\ e credo possa cancellare file e cartelle... non so se possa essere utile.

Accedi a XP come Amministratore?

Accedi a XP come Amministratore?

si

si

in questo momento l'unica cosa che mi viene in mente è questa, vedi se riesci a creare un altro Account e se presenta gli stessi problemi

in questo momento l'unica cosa che mi viene in mente è questa, vedi se riesci a creare un altro Account e se presenta gli stessi problemi

Non mi fa accedere ad accont utente, così come non mi fa accedere alle altre voci del pannello di controllo.
Mi fa aprire soltanto connessioni di rete

Non mi fa accedere ad accont utente, così come non mi fa accedere alle altre voci del pannello di controllo.
Mi fa aprire soltanto connessioni di rete

Terminata la procedura di rimozione del Bagle avevi riattivato il ripristino configurazione sistema e creato un nuovo punto di ripristino?

Inoltre riesci ad accedere alla modalità provvisoria F8?

Terminata la procedura di rimozione del Bagle avevi riattivato il ripristino configurazione sistema e creato un nuovo punto di ripristino?

Inoltre riesci ad accedere alla modalità provvisoria F8?

Da start non mi fa spegnere o riavviare, ormai agisco tramite tasto. Tenendo premuto F8 durante la fase di accensione e caricamento, non accade assolutamente nulla.

Non avevo ancora riattivato il ripristino e nemmeno mi ci fa accedere ora. :(

Da start non mi fa spegnere o riavviare, ormai agisco tramite tasto. Tenendo premuto F8 durante la fase di accensione e caricamento, non accade assolutamente nulla.

Non avevo ancora riattivato il ripristino e nemmeno mi ci fa accedere ora. :(

Vedi se riesci a fare una scansione online col Kaspersky

Vedi se riesci a fare una scansione online col Kaspersky

Si, ho iniziato la scansione di my computer... suppongo ne avrò per le prosime 12 ore :doh:

Hum....mi sà più di aggiornamento male installato che di malware.....aspettiamo la scansione .........;)

Hum....mi sà più di aggiornamento male installato che di malware.....aspettiamo la scansione .........;)

Stavolta ci h impiegato incredibilmente meno!
Ecco il responso :)

http://www.fileup.itadib.com/download.php?id=qDxYUA4JUpjb5szc7kqy

Stavolta ci h impiegato incredibilmente meno!
Ecco il responso :)

http://www.fileup.itadib.com/download.php?id=qDxYUA4JUpjb5szc7kqy

nel log dà solo le info generiche del pc...poi più nulla....:confused:

nel log dà solo le info generiche del pc...poi più nulla....:confused:

Molti file sembrano bloccati :confused:
Intanto non vedo più la stella nella barra delle applicazioni
non so se sia un buon segno,
oppure, riavviando, perdo pure la funzionalità di internet, l'unica che mi è rimasta.

Tra l'altro il pc mi chiede di riavviare in seguito agli aggiornamenti di windows..

rischio?

Molti file sembrano bloccati :confused:
Intanto non vedo più la stella nella barra delle applicazioni
non so se sia un buon segno,
oppure, riavviando, perdo pure la funzionalità di internet, l'unica che mi è rimasta.

Tra l'altro il pc mi chiede di riavviare in seguito agli aggiornamenti di windows..

rischio?

Direi che è un rischio che si può correre

Direi che è un rischio che si può correre

Tutto immutato.

Credo che i problemi si siano verificati o con gli aggiornamenti di COMODO
o con l'eliminazione dei file trovati da Spyware Terminator.

Ho pensato di avere installato una versione di COMODO non compatibile col mio sistema operativo ma riguardando la pagina

Comodo Firewall Pro 3.0 - Latest and greatest version of this superb firewall

32-bit Setup

Credo che non sia questo il problema.

Il sistema non riconosce più windows come originale e mi blocca il tutto?
E se fossero stati spyware e Firewall che sono andati in conflitto perché li ho aggiornati senza avviare di volta in volta il pc?

Se cancello le corrispettive cartelle da Programmi?

:mc:

Siamo sempre punto e a capo, fai un scansione online usando IE col Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo

Allora ecco la scansione fatta online, hatrovatoben 13 visurs!Al link troverete l'allegato, fate presto prima che mi mangiucchino il computer,avverto già alcuni problemi :(

http://www.fileup.itadib.com/download.php?id=1Qrxq17SCNO1spDLMPGn

per il bagle consiglierei anche spyware doctor con av. provato con esiti positivi.
;)

Allora ecco la scansione fatta online, hatrovatoben 13 visurs!Al link troverete l'allegato, fate presto prima che mi mangiucchino il computer,avverto già alcuni problemi :(

http://www.fileup.itadib.com/download.php?id=1Qrxq17SCNO1spDLMPGn

Il ripristino configurazione sistema deve essere disabilitato

Scarica Avenger da qui http://www.wikifortio.com/630243/AntiBagle.zip ed inserisci questo Script non l'ho messo nel Tag quote per agevolarti

Files to delete:
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[8].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\mxd[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_31[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[8].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[5].jpg

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

inserito questo Script dopo aver riavviato inserisci anche quello indicato in Guida e alleghi entrambi i log

Secondo mè hai pasticciato nelle impostazioni di Comodo, riesci ad accedere all' Uninstall ovvero all'utility di dinstallazione del software stesso?

Il ripristino configurazione sistema deve essere disabilitato

Scarica Avenger da qui http://www.wikifortio.com/630243/AntiBagle.zip ed inserisci questo Script non l'ho messo nel Tag quote per agevolarti

Files to delete:
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\b64_3[8].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AHWR0318\mxd[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_1[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_31[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\K5FUZ0EN\mxd[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_1[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[7].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\VF6VFQ7S\b64_3[8].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_1[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_2[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[5].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\b64_3[6].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[1].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[2].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[3].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[4].jpg
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\XDO85SXA\mxd[5].jpg

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

inserito questo Script dopo aver riavviato inserisci anche quello indicato in Guida e alleghi entrambi i log


Ciao Chill-Out, ho fatto tutto quello che mi hai detto, compreso la disabilitazione del ripristino di sistema, che comunque avevo già fatto prima, e si è riabilitata da sola, mah..ne è venuto fuori questo file txt, che ti allego:)

Forse non mi sono spiegato bene gli Script da inserire sono 2, il primo è quello che ti ho indicato nel post il secondo è quello indicato in Guida devi farli entrambi e postare i log, hai postato il log solo del secondo

Forse non mi sono spiegato bene gli Script da inserire sono 2, il primo è quello che ti ho indicato nel post il secondo è quello indicato in Guida devi farli entrambi e postare i log, hai postato il log solo del secondo

Ah ok, ecco qua l'altro log:

http://www.fileup.itadib.com/download.php?id=e6R9BMGSwDffiZkv9QRe

Salve a tutti. Sono un nuovo utente e credo anche io di avere beccato un bagle. Ho seguito le procedure indicate nella prima pagina e allego il file generato da Elibagla:
http://www.fileup.itadib.com/download.php?id=jErUjTSc28LUDsoVjSoe

Aggiungo che ho dovuto utilizzarlo in modalità normale perchè non mi parte la modalità provvisoria. Ora però provo a far partire kaspersky, ma mi da il solito problema (non è un applicazione di win32 valida). Potete aiutarmi?

Grazie anticipatamente

Ah ok, ecco qua l'altro log:

http://www.fileup.itadib.com/download.php?id=e6R9BMGSwDffiZkv9QRe

Lo Script che ti ho indicato l'hai eseguito 2 volte vero? ma hai postato solo il log della seconda, comunque procedi cosi:

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Reinstalla l'antivirus e fai una scansione completa del sistema

Scansione con Panda Antirootkit (DOWNLOAD) (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link&ltype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Al termine allega un log di HijackThis (DOWNLOAD) (http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download)

Salve a tutti. Sono un nuovo utente e credo anche io di avere beccato un bagle. Ho seguito le procedure indicate nella prima pagina e allego il file generato da Elibagla:
http://www.fileup.itadib.com/download.php?id=jErUjTSc28LUDsoVjSoe

Aggiungo che ho dovuto utilizzarlo in modalità normale perchè non mi parte la modalità provvisoria. Ora però provo a far partire kaspersky, ma mi da il solito problema (non è un applicazione di win32 valida). Potete aiutarmi?

Grazie anticipatamente

Fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo

Lo Script che ti ho indicato l'hai eseguito 2 volte vero? ma hai postato solo il log della seconda, comunque procedi cosi:

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Reinstalla l'antivirus e fai una scansione completa del sistema

Scansione con Panda Antirootkit (DOWNLOAD) (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link&ltype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Al termine allega un log di HijackThis (DOWNLOAD) (http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download)

Si chill-out, l'ho fatto 2 volte, ma non sapevo che la seconda avrebbe cancellato la prima, pensavo aggiungesse dati al file txt..:muro:

comunque ora faccio tutto il procedimento

Fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo


Grazie mille! Provo a farla solo sulla cartella system32 dove dovrebbe esserci il problema o su tutto l'hard disk? Perchè ho visto che è lentissima.

Assolutamente NO devi fare la scansione di tutto il sistema, ovvero:

Scan Target My Computer

usando il database esteso

Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

lo so ci vuole il suo tempo, porta pazienza.

Ok, grazie ancora. Spero di avere notizie in serata!

Ciao a tutti!
Anche io ho il computer affetto da WinNT/Bagle.gen.........ho vista e ho seguito le relative istruzioni in prima pagina (anche se non sono riuscita a trovare come disattivare Ripristino di configurazione di sistema). Ho fatto la scansione con Eligabla in modalità normale e poi anche in modalità provvisoria...ma non mi sembra sia cambiato molto.

Allego il log di Elibagla....

Aspetto istruzioni su cosa fare......GRAZIE!!

Ciao a tutti!
Anche io ho il computer affetto da WinNT/Bagle.gen.........ho vista e ho seguito le relative istruzioni in prima pagina (anche se non sono riuscita a trovare come disattivare Ripristino di configurazione di sistema). Ho fatto la scansione con Eligabla in modalità normale e poi anche in modalità provvisoria...ma non mi sembra sia cambiato molto.

Allego il log di Elibagla....

Aspetto istruzioni su cosa fare......GRAZIE!!

Fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

Si chill-out, l'ho fatto 2 volte, ma non sapevo che la seconda avrebbe cancellato la prima, pensavo aggiungesse dati al file txt..:muro:

comunque ora faccio tutto il procedimento


Allora ecco il resoconto:
-CCleaner mi ha eliminato 867 mb di monnezza
-Come antivirus ho scelto avira antivir, mi ha trovato 13 virus e 72 oggetti infetti, di cui 4 meli ha fatti cancellare manualmente, altri 4 li ha messi in quarantena, e gli altri 64 non so che fine abbiano fatto, spero gli abbia eliminati in automatico, ma nel riepilogo di fine scansione non risultavano:mbe:
-Poi ho eseguito il Panda Antirootkit, e non ha trovato niente, anche in funzione "deph-mode"
-Per finire ho lanciato Hijackthis ed ecco qua il log:

http://www.fileup.itadib.com/download.php?id=8FJ4pqWTGTupAIqD69OO

Allora dottore, mi dica, è grave???

x curiosità, posta cmq il log di avira....

Fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

Scusa, probabilmente ti sembrerò un incapace ma non riesco a far partire la scansione col Kaspersky.

Mi dice che non riesce a caricare il Kaspersky Online Scanner ActiveX control...........dal pannello di controllo ho abbassato tutte le opzioni di protezione, ma non cambia nulla. Come faccio ad abbassare il livello di sicurezza di explorer in modo adeguato?

x curiosità, posta cmq il log di avira....

Ecco a te :D

http://www.fileup.itadib.com/download.php?id=2GoftrLMLoSgUu2JzggW

Comunque per togliermi il pensiero ho rifatto una seconda scansione, e non ha più trovato virus, penso gli abbia cancellati automaticamente..;)

PS:Che mi rimane da fare adesso?

Ecco a te :D

http://www.fileup.itadib.com/download.php?id=2GoftrLMLoSgUu2JzggW

Comunque per togliermi il pensiero ho rifatto una seconda scansione, e non ha più trovato virus, penso gli abbia cancellati automaticamente..;)

PS:Che mi rimane da fare adesso?

Ha semplicemente cancellato il BackUp di Avenger che conteneva l'ospite indesiderato, per il resto direi che siamo OK, sarebbe opportuno comunque aggiornare IE alla versione 7, ed installare un firewall software.
Per tenere aggiornati i software di complemento potresti usare Secunia Software Inspector http://secunia.com/software_inspector/
Il ripristino di configurazione sistema lo puoi riattivare e creare un nuovo punto
Ciao

PS: evitiamo di scaricare crack hai visto il risultato ;)

Scusa, probabilmente ti sembrerò un incapace ma non riesco a far partire la scansione col Kaspersky.

Mi dice che non riesce a caricare il Kaspersky Online Scanner ActiveX control...........dal pannello di controllo ho abbassato tutte le opzioni di protezione, ma non cambia nulla. Come faccio ad abbassare il livello di sicurezza di explorer in modo adeguato?

Da IE - Strumenti - Opzioni Internert - Protezione ed imposti un livello più basso

Ha semplicemente cancellato il BackUp di Avenger che conteneva l'ospite indesiderato, per il resto direi che siamo OK, sarebbe opportuno comunque aggiornare IE alla versione 7, ed installare un firewall software.
Per tenere aggiornati i software di complemento potresti usare Secunia Software Inspector http://secunia.com/software_inspector/
Il ripristino di configurazione sistema lo puoi riattivare e creare un nuovo punto
Ciao

PS: evitiamo di scaricare crack hai visto il risultato ;)

Ok, ringrazio te chill-out e anche murack83pa per tutto il supporto che date a noi buttatori di fumo, ma che in realtà non sapiamo una pippa di informatica :D

Ok, ringrazio te chill-out e anche murack83pa per tutto il supporto che date a noi buttatori di fumo, ma che in realtà non sapiamo una pippa di informatica :D

Nemmeno noi :D

Di nulla felice che tu abbia risolto ;)

Ok, ringrazio te chill-out e anche murack83pa per tutto il supporto che date a noi buttatori di fumo, ma che in realtà non sapiamo una pippa di informatica :D

di nulla :)

Nemmeno noi :D


io sicuramente nn ne so nulla, tu invece..... :mano:

di nulla :)



io sicuramente nn ne so nulla, tu invece..... :mano:

questo non è affatto vero, siamo un Team è il lavoro di squadra è essenziale per il successo ;)

Da IE - Strumenti - Opzioni Internert - Protezione ed imposti un livello più basso

AIUTOOO.....:muro: ho provato a fare di tutto, da IE - Strumenti - Opzioni Interner - Protezione ho abbassato tutti i livelli di protezione, ho anche disattivato la modalità protetta per intenet e per i siti attendibili, tra i quali ho inserito http://www.kaspersky.it.............ma niente, lo scann non parte...continua a dirmi che ho i livelli di protezione medio alti.

Ti informo inoltre, che in qualunque modo io imposti la protezione dalle opzioni internet nella pagina di IE in basso continua ad esserci la segnalazione Modalità protetta:disattivata.

E anche dopo aver eliminato il bagle con eligabla all'avvio del computer continua a comparirmi una finestra di errore di Windows Defender che dice: "Impossibile inizializzare l'applicazione:0×800106ba. Il servizio utilizzato dal programma è stato arrestato a causa di un problema. Per avviare il servizio, riavviare il computer oppure consultare supporto tecnico per informazioni su come avviare un servizio manualmente."

Più di questo non so dirti...........spero che tu o qualcun'altro possiate darmi un consiglio..........

GRAZIE DI TUTTO

Quindi il tuo SO è WIN Vista

Assolutamente NO devi fare la scansione di tutto il sistema, ovvero:

Scan Target My Computer

usando il database esteso

Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

lo so ci vuole il suo tempo, porta pazienza.

Buongiorno Chill-Out.
Dopo 16 ore ho completato la scansione on-line.
Ti allego il report, ci sono un bel pò di cose, spero si possa risolvere senza dover formattare tutto!

http://www.fileup.itadib.com/download.php?id=P2656j879OHNvmwmT6p2

Buongiorno a te, dunque procedi così:

Il ripristino configurazione sistema deve essere disabilitato

Scarica Avenger da qui http://www.wikifortio.com/630243/AntiBagle.zip ed inserisci questo Script

Files to delete:
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\49CH2RCL\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4T6R8DMB\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4T6R8DMB\b64_31[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4XYRGPIF\b64_1[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\AGMPX0YZ\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\AGMPX0YZ\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_31[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\EXGVQ52D\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\EXGVQ52D\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GD6FOTYN\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GNFN205H\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GNFN205H\b64_2[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\QNIJ6LMF\b64_1[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\UDCNEL61\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\Y3OKNLQD\b64_2[1].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\mdelk.exe

dopo aver inserito questo Script e riavviato il sistema inserisci lo Script indicato in Guida (http://www.hwupgrade.it/forum/showpost.php?p=18884140&postcount=1) ed alleghi entrambi i log

Scusa l'ignoranza, ma lo script che mi hai indicato lo salvo su un file di testo e poi lo seleziono da avenger oppure clicco su inserisci manualmente e poi sul semaforo?
Invece lo script della guida è quello in prima pagina, giusto?

Grazie

Scusa l'ignoranza, ma lo script che mi hai indicato lo salvo su un file di testo e poi lo seleziono da avenger oppure clicco su inserisci manualmente e poi sul semaforo?

Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato (fai un copia e incolla) cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Invece lo script della guida è quello in prima pagina, giusto?

si esatto ti ho messo anche il link

Quindi il tuo SO è WIN Vista

Sì ho vista.........lo avevo specificato nel primo messaggio...

Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato (fai un copia e incolla) cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

si esatto ti ho messo anche il link

Ecco i due log che ho ottenuto seguendo le tue indicazioni...speriamo bene!

http://www.fileup.itadib.com/download.php?id=PLqzAxSXuf9Yv0hpzXjD

http://www.fileup.itadib.com/download.php?id=qOELsrDEwZ7KDezpZ6HF

Sì ho vista.........lo avevo specificato nel primo messaggio...

riesci a fare una passata di elibagla in provvisoria ?

riesci a fare una passata di elibagla in provvisoria ?

Sì, ne avevo già fatta una............lo rifaccio e poi ti posto il log..

Sì, ne avevo già fatta una............lo rifaccio e poi ti posto il log..

ecco, ho fatto andare eligabla in modalità provvisoria e allego il risultato......
però per quattro volte è comparso il messaggio di accesso negato per alcune cartelle...

spero che tu mi possa consigliare..........:muro:

ecco, ho fatto andare eligabla in modalità provvisoria e allego il risultato......
però per quattro volte è comparso il messaggio di accesso negato per alcune cartelle...

spero che tu mi possa consigliare..........:muro:

prova a vedere se si reinstalla l'antivirus...dovresti riuscire...:sperem:

prova a vedere se si reinstalla l'antivirus...dovresti riuscire...:sperem:

Fatto, prima avevo avast..........ora ho installato antivir.
Gli ho fatto fare la scansione e mi ha trovato altri 10 file infetti....

Però quando avvio il computer mi compare sempre la finestra di errore di Windows Defender..........e nella finestra di IE risulta sempre modalità protetta: disattivata.

Posso provare a fare qualcos'altro?

Salve a tutti, mi sono iscritto da poco perchè è un emergenza..
Subito dopo il vostro aiuto.. se mi aiuterete mi presento.. vi prego aiutatemi.

Allora adesso vi posto il log di EliBagle.. ora ditemi voi come procedere, grazie infinite !


Sat Feb 16 19:19:01 2008
EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 16 19:21:39 2008
EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 16 19:23:41 2008
EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.00
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 16 19:24:46 2008
EliBagle v11.00 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5608
Nº Total de Ficheros: 82390
Nº de Ficheros Analizados: 13267
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Fatto, prima avevo avast..........ora ho installato antivir.
Gli ho fatto fare la scansione e mi ha trovato altri 10 file infetti....

Però quando avvio il computer mi compare sempre la finestra di errore di Windows Defender..........e nella finestra di IE risulta sempre modalità protetta: disattivata.

Posso provare a fare qualcos'altro?

riguardo win defender e altri tipi di problematiche:
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

...

karim

benvenuto nel forum

x favore modifica il tuo post, in quanto i log nn vanno incollati, in particolare puoi postarli utilizzando una delle seguenti opzioni:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download


riprova a far girare elibagle in modalità provvissoria

che sistema operativo usi?

Fatto, prima avevo avast..........ora ho installato antivir.
Gli ho fatto fare la scansione e mi ha trovato altri 10 file infetti....

Però quando avvio il computer mi compare sempre la finestra di errore di Windows Defender..........e nella finestra di IE risulta sempre modalità protetta: disattivata.

Posso provare a fare qualcos'altro?

bene già è qualcosa considerando che hai vista......fai anche una scansione con bitdefender on line con http://www.bitdefender.com/scan8/ie.html
sperando che ti riesca hai unito quel file reg che c'è in prima pagina per vista?
poi premi contemporaneamente control alt canc si apre il task manager avanzatoavvia gestione attività)..clicca la linguetta in alto servizi poi ancora in basso c'è unn altra voce servizi con lo scudetto windows cliccaci sù e ti si apre la console dei servizi....cerca RPC remote procedure control cliccaci sù e riavvialo e metti tipo di avvio automaticostessa cosa con
BFE (Base Filtering Engine) windows defendere con Windows Firewall non è detto che tutti i servizi siano disabilitati...prova e vediamo che succede.....;)

Eccomi scusatemi..

Allora uso Windows XP Home Edition e adesso vi posto i log allegando.
Ho fatto la scanzione anche in modalità provvisoria... lo vedrete come ultima.

Attendo risposte, grazie mille.

Ecco i due log che ho ottenuto seguendo le tue indicazioni...speriamo bene!

http://www.fileup.itadib.com/download.php?id=PLqzAxSXuf9Yv0hpzXjD

http://www.fileup.itadib.com/download.php?id=qOELsrDEwZ7KDezpZ6HF

Scusa per il ritardo ma sono stato impegnato, c'è qualcosa che non quadra quindi per scrupolo inserisci questo Script in Avenger:

Files to delete:
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\49CH2RCL\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4T6R8DMB\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4T6R8DMB\b64_31[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\4XYRGPIF\b64_1[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\AGMPX0YZ\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\AGMPX0YZ\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\CT0HQZST\b64_31[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\EXGVQ52D\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\EXGVQ52D\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GD6FOTYN\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GNFN205H\b64_2[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\GNFN205H\b64_2[2].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\QNIJ6LMF\b64_1[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\UDCNEL61\b64_31[1].jpg
C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\Y3OKNLQD\b64_2[1].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Antonio\Impostazioni locali\Temp\~DF7E52.tmp
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe

Folders to delete:
C:\WINDOWS\System32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

Dopodichè procedi così:

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Reinstalla l'antivirus, aggiorna le firme e fai una scnasione completa del sistema

Scansione con Panda Antirootkit (DOWNLOAD) (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link&ltype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Al termine allega un log di HijackThis (DOWNLOAD) (http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download)

Riepilogo log da allegare:
Avenger
HijackThis

Chi mi risponde al post che ho scitto su? grazie.

Chi mi risponde al post che ho scitto su? grazie.


Fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

mmm ho disinstallato il mio vecchio antivirus ( avast ) e ho installato la prova gratuita di Kaspersky e sto facendo una scansione... sembra che il bagle non blocchi Kaspersky oppure corretemi se sbaglio, il bagle è stato eliminato... bho aiutatemi

mmm ho disinstallato il mio vecchio antivirus ( avast ) e ho installato la prova gratuita di Kaspersky e sto facendo una scansione... sembra che il bagle non blocchi Kaspersky oppure corretemi se sbaglio, il bagle è stato eliminato... bho aiutatemi

Non completamente, porta a termine la scansione con Kaspersky elimina i malware rilevati, salva ed allega il log.

Ok sto scansionando tutto ciò che posso scansionare con kaspersky.. Appena finirà posterò il log. Intanto grazie per l'aiuto che mi stai dando :)

Ok sto scansionando tutto ciò che posso scansionare con kaspersky

devi fare una scansione completa del sistema

Scusa per il ritardo ma sono stato impegnato, c'è qualcosa che non quadra quindi per scrupolo inserisci questo Script in Avenger:



Dopodichè procedi così:

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Reinstalla l'antivirus, aggiorna le firme e fai una scnasione completa del sistema

Scansione con Panda Antirootkit (DOWNLOAD) (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2239_4-10717196&ontId=2239&lop=link&ltype=dl_dlnow&pid=10717197&mfgId=55967&merId=55967&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2239_4-10717197.html)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Al termine allega un log di HijackThis (DOWNLOAD) (http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download)

Riepilogo log da allegare:
Avenger
HijackThis

Figurati, anche io sono stato impegnato, anzi grazie per l'aiuto che mi stai dando. Ho eseguito lo script con avenger, una cosa che non mi è chiara, con CCleaner devo fare due volte la pulizia??

Figurati, anche io sono stato impegnato, anzi grazie per l'aiuto che mi stai dando. Ho eseguito lo script con avenger, una cosa che non mi è chiara, con CCleaner devo fare due volte la pulizia??

No 1 volta

No 1 volta

Scusami allora non ho capito cosa vuol dire reinstalla l'antivirus, aggiorna le firme e fai la scansione.

Io ho praticamente fatto la pulizia con ccleanere e ora sta analizzando con panda, mi manca un passaggio!

Scusami allora non ho capito cosa vuol dire reinstalla l'antivirus, aggiorna le firme e fai la scansione.

Io ho praticamente fatto la pulizia con ccleanere e ora sta analizzando con panda, mi manca un passaggio!

Proviamo a sintonizzarci, il tuo Antivirus prima che Bagle lo falciasse qual'è?

Proviamo a sintonizzarci, il tuo Antivirus prima che Bagle lo falciasse qual'è?

Ah, ok scusami! Ormai lo avevo completamente cancellato dalla mia mente! Era Antivir, ora lo reinstallo e vedo se parte!

Nel frattempo Panda ha terminato senza aver trovato alcun rootkit, lo rifaccio dopo aver provato con antivir?

Grazie ancora

Ah, ok scusami! Ormai lo avevo completamente cancellato dalla mia mente! Era Antivir, ora lo reinstallo e vedo se parte!

Nel frattempo Panda ha terminato senza aver trovato alcun rootkit, lo rifaccio dopo aver provato con antivir?

Grazie ancora

No, procedi pure con Antivir ;)

No, procedi pure con Antivir ;)

Perfetto! Grazie, sta "scannando", visto che sei così veloce nellle risposte ne approfitto, i virus che dovesse trovare li elimino o li metto in quarantena?

Perfetto! Grazie, sta "scannando", visto che sei così veloce nellle risposte ne approfitto, i virus che dovesse trovare li elimino o li metto in quarantena?

Li passi in quarantena ed alleghi il log che ci diamo un'occhiata per sicurezza, non ti spaventare se trova il Bagle in C:\avenger\backup........ è normale

Li passi in quarantena ed alleghi il log che ci diamo un'occhiata per sicurezza, non ti spaventare se trova il Bagle in C:\avenger\backup........ è normale

avrai capito che sono un pò "impaziente"....quel file l'ho eliminato! Fa nulla? Gli altri li metto in quarantena come mi hai suggerito.

cancella i backup di avenger e di elibagla......;)

cancella i backup di avenger e di elibagla......;)

Ah perfetto, grazie, non volendo ho fatto una cosa giusta!

cancella i backup di avenger e di elibagla......;)

li falcia Avira, purtroppo solo dopo che si è fatto falciare :D

Ah perfetto, grazie, non volendo ho fatto una cosa giusta!

il log di Avenger però lo vorrei vedere :)

il log di Avenger però lo vorrei vedere :)

Eccolo, pensavo li volessi alla fine insieme a quello di hijackthis:

http://www.fileup.itadib.com/download.php?id=DNnDPz2hVhargMihjgIA

Eccolo, pensavo li volessi alla fine insieme a quello di hijackthis:

http://www.fileup.itadib.com/download.php?id=DNnDPz2hVhargMihjgIA

Il log di HJT dopo che Avira ha terminato, ovviamente insieme a quello di Avira

Il log di HJT dopo che Avira ha terminato, ovviamente insieme a quello di Avira

Ecco quello di Avira, ora procedo con l'altro!

http://www.fileup.itadib.com/download.php?id=D7ehMu08LK2QrXDQIRHi

Il log di HJT dopo che Avira ha terminato, ovviamente insieme a quello di Avira

E questo dovrebbe essere l'ultimo??? (si spera!!!!!)
http://www.fileup.itadib.com/download.php?id=YRukiR9YfSl3WtoJfTQz

bene già è qualcosa considerando che hai vista......fai anche una scansione con bitdefender on line con http://www.bitdefender.com/scan8/ie.html
sperando che ti riesca hai unito quel file reg che c'è in prima pagina per vista?
poi premi contemporaneamente control alt canc si apre il task manager avanzatoavvia gestione attività)..clicca la linguetta in alto servizi poi ancora in basso c'è unn altra voce servizi con lo scudetto windows cliccaci sù e ti si apre la console dei servizi....cerca RPC remote procedure control cliccaci sù e riavvialo e metti tipo di avvio automaticostessa cosa con
BFE (Base Filtering Engine) windows defendere con Windows Firewall non è detto che tutti i servizi siano disabilitati...prova e vediamo che succede.....;)

Buongiorno a tutti!!
Ciao Lancetta..........ho provato a fare la scansione con bitdefender ma niente da fare, non parte.
Poi scusa l'ignoranza, ma cosa vuol dire "hai unito quel file reg che c'è in prima pagina per vista?"?

Per il resto ora provo a vedere che succede....

....cerca RPC remote procedure control cliccaci sù e riavvialo e metti tipo di avvio automaticostessa cosa con
BFE (Base Filtering Engine) windows defendere con Windows Firewall non è detto che tutti i servizi siano disabilitati...prova e vediamo che succede.....;)

Allora, ho fatto quello che mi hai suggerito, entrambi i servizi RPC e BFE erano già attivi, inotre ho potuto riavviare solo BFE perchè per RPC l'icona riavvia non era attiva.............quindi ho riavviato il computer..........ma non è cambiato niente......:cry:

4)Scaricare questo file: http://www.zshare.net/download/4997787b160993/
Scompattarlo e avviare il file .reg all'interno.

credo si riferisca a questo :D

Non riesco ad eliminare manualmente le chiavi di registro
impossibile eliminare ..... Errore durante l'eliminazione della chiave.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
ho disattivato ripristino conf di sys
Utilizzo elibagla
riavviato il pc.
Ho vista.
che devo fare?
grazie anticipatamente.

Evviva!!! Forse sono riuscita a risolvere qualcosa..................dai servizi ho riattivato Protezione del Computer e Windows Defender............infatti ora all'avvio non mi compare più nessuna schermata di errore.........:D :D

L'unica cosa che rimane ora è la scritta Modalità protetta:disattivata nella finestra di IE.........anche se la protezione in realtà è attivata e il livello e medio...............cosa dite? Vuol dire che ho ancora qualche problema??

In ogni caso grazie a tutti per l'enorme aiuto che date..........siete fantastici!!!

Buongiorno a tutti!!
Ciao Lancetta..........ho provato a fare la scansione con bitdefender ma niente da fare, non parte.
Poi scusa l'ignoranza, ma cosa vuol dire "hai unito quel file reg che c'è in prima pagina per vista?"?

Per il resto ora provo a vedere che succede....
per il file reg ti ha indicato deneb cosa fare in pratica lo scarichi lo dezippi e ne avrai un file con (importante!) estensione finale .reg clicchi sopra ti chiederà di unirlo al registro tu accetta..poi fammi capire sei andata con internet explorer su bitdefender hai accettato l'active X?
Non riesco ad eliminare manualmente le chiavi di registro
impossibile eliminare ..... Errore durante l'eliminazione della chiave.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
ho disattivato ripristino conf di sys
Utilizzo elibagla
riavviato il pc.
Ho vista.
che devo fare?
grazie anticipatamente.

riesci ad accedere in provvisoria? fai girare elibagla da lì

Evviva!!! Forse sono riuscita a risolvere qualcosa..................dai servizi ho riattivato Protezione del Computer e Windows Defender............infatti ora all'avvio non mi compare più nessuna schermata di errore.........:D :D

L'unica cosa che rimane ora è la scritta Modalità protetta:disattivata nella finestra di IE.........anche se la protezione in realtà è attivata e il livello e medio...............cosa dite? Vuol dire che ho ancora qualche problema??

In ogni caso grazie a tutti per l'enorme aiuto che date..........siete fantastici!!!

lela mi serve comunque la scansione on line di qualcosa che sia kasper o (meglio ancora) bitdefender...cerca di farmela avere...dobbiamo controllare eventuali tracce sul pc ed eliminarle....;) nel frattempo postami un log di hijackthis

E questo dovrebbe essere l'ultimo??? (si spera!!!!!)
http://www.fileup.itadib.com/download.php?id=YRukiR9YfSl3WtoJfTQz

Visto che il socio non c'è (giusto riposo del guerriero:D ) ti rispondo io....;)
allora avira ha trovato solo falsi positivi nella cartella di backup avenger

in hijackthis fixa
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
in avenger immetti
Drivers to unload:
hldrrr.exe
german.exe
drvsyskit

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
allega nuovo log di avenger poi di hijackthis ;)

lela mi serve comunque la scansione on line di qualcosa che sia kasper o (meglio ancora) bitdefender...cerca di farmela avere...dobbiamo controllare eventuali tracce sul pc ed eliminarle....;) nel frattempo postami un log di hijackthis

Ti allego il log di hijackthis..........per quanto riguarda bitdefender con IE ho accettato l'activeX ma non parte la barra della informazioni mi dice che le impostazioni di protezione correnti non consentono di utilizzare i controlli activeX installati sul computer..........e anche se abbasso la protezione continua a dirmi la stessa cosa....

Ti allego il log di hijackthis..........per quanto riguarda bitdefender con IE ho accettato l'activeX ma non parte la barra della informazioni mi dice che le impostazioni di protezione correnti non consentono di utilizzare i controlli activeX installati sul computer..........e anche se abbasso la protezione continua a dirmi la stessa cosa....

allega il log almeno vedo un attimo se riesco a capire dal log se hai qualcosa che possa interferire

scusa......

Ho scaricato il file .reg..........ma quando lo apro mi compare la seguente finestra:

Editor del registro di sistema
Impossibile importare C:\Users\Eleonora\Desktop\SafeBoot.reg : non tutti i dati sono scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi.

Può centrare qualcosa il fatto che io avessi già eliminato manualmente le seguenti chiavi?:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Ho scaricato il file .reg..........ma quando lo apro mi compare la seguente finestra:

Editor del registro di sistema
Impossibile importare C:\Users\Eleonora\Desktop\SafeBoot.reg : non tutti i dati sono scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi.

Può centrare qualcosa il fatto che io avessi già eliminato manualmente le seguenti chiavi?:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
lascialo perdere perchè la modalità provvisoria già funziona.....ecco perchè dice così...;)

dò un occhiata al log ;)

lascialo perdere perchè la modalità provvisoria già funziona.....ecco perchè dice così...;)

dò un occhiata al log ;)

Ok.......sono in attesa....;)

Il log di hijack è pulito...;) in IE controlla strumenti->opzioni internet->protezione se la voce attiva modalità protetta abbia il segno di spunta poi in alto clic sulle 4 icone (internet,intranet,siti attendibili,siti con restrizioni) e vedi se c'è il segno di spunta della modalità protetta...in siti attendibili metti protezione media in siti con restrizioni protezione alta mentre in internet (la prima voce) medio alta chiudi IE riavvii il browser con tasto dx esegui come amministratore e riprovi a fare sta cacchio di scansione on line con bitdefender......:sperem:

Se può servire, ho rifatto la scansione con AntiVir, allego il resoconto....

Se può servire, ho rifatto la scansione con AntiVir, allego il resoconto....

Avira dice che sei pulita :) ci son ancora problemi?

nel frattempo questi sono per te :flower: :D

Sembra non ci siano più problemi..........cmq ora sono riuscita a far partire la scansione con BitDefender!!:)
Appena a finito ti posto il log!!

GRAZIE dei fiori ma soprattutto per tutto il resto!!

Sembra non ci siano più problemi..........cmq ora sono riuscita a far partire la scansione con BitDefender!!:)
Appena a finito ti posto il log!!

GRAZIE dei fiori ma soprattutto per tutto il resto!!

bene..bitdefender oltre che rilevarli li pulisce pure...;)
fammi sapere...:)

Edit: risolto il problema della modalità protetta?

Scusate se ieri non ho dato nessuna notizia perchè ci sono stati tanti problemi.. Allora ricominciamo da capo.. il log di EliBaglA ve l'ho passato.. Ora cosa faccio?

ps: non ho piu un antivirus.. ieri kaspersky mi ha dato problemi

bene..bitdefender oltre che rilevarli li pulisce pure...;)
fammi sapere...:)

Edit: risolto il problema della modalità protetta?

Per quanto riguarda la modalità protetta sulla finestra di IE appare sempre come disattivata..................:rolleyes:

bene..bitdefender oltre che rilevarli li pulisce pure...;)
fammi sapere...:)

Edit: risolto il problema della modalità protetta?

BitDefender non ha rilevato nulla..........:) :)
Ti allego cmq il report

Per quanto riguarda la modalità protetta sulla finestra di IE appare sempre come disattivata..................:rolleyes:

Hum...per caso hai l?UAC disabilitato (quella che continua a domandare sempre se vuoi permettere ogni volta che esegui qualcosa)????

Hum...per caso hai l?UAC disabilitato (quella che continua a domandare sempre se vuoi permettere ogni volta che esegui qualcosa)????

No direi proprio di no.........ma come faccio a controllarlo??

No direi proprio di no.........ma come faccio a controllarlo??

tasto dx su hijack esegui come amministratore vedi se si apre la finestra che chiede se continuare oscurandoti il desktop....;)

tasto dx su hijack esegui come amministratore vedi se si apre la finestra che chiede se continuare oscurandoti il desktop....;)

Ah ecco........sì, quella mi compare sempre........

Chi può aiutarmi?

Un'altra cosa con varie ricerche ho notato che esistono dei software che svolgono la funzione di rimuovere il bagle.. che dite sono affidabili?

Vi prego aiutatemi... ora gli antivirus funzionano però il Centro Sicurezza PC è disattivato.. e magari altri servizi Windows che non so sono disattivati.. aiutatemi

EDIT: Fin'ora i software di rimozione Bagle che ho trovato sono FixBeagle, BagleGui

.....

allora con calma

EDIT:

ho riletto il tuo "percorso", manca il log di kaspersky...dopo questo dobbiamo fare un ulteriore passo, nn è ancora finita la procedura....

quindi aspettiamo il log completo di tutto il sistema di kaspersky

riguardo i problemi di windows, li risolviamo dopo

Ah ecco........sì, quella mi compare sempre........

Bene sembra che sia tutto a posto rimane solo sta cosa della protezione.....
dò un occhiata nel note con svista per capire un pò.....:D

mi sai spiegare cosa è questo?
C:\WINDOWS\system32\windowsautomaticupdates.exe

x quanto mi riguarda nulla di buono...e nn è la sola voce che nn mi convince....

il file host è completamente modificato: fai scommesse online?

ma hai fatto una scansione completa con kaspersky aggiornato?

vediamo cosa ne pensano chill o lancetta....:rolleyes:

io sono dell'idea di eliminare tutte le voci del file hosts ed eliminare anche la seguente voce:


ed eliminare con avenger questo "windowsautomaticupdates.exe"

poi scansione completa con kaspersky, gmer e nuovo log di hijackthis

che ne dite dottori?

Ragazzi...:rolleyes:
grazie infinite per l'aiuto che mi state dando,
ma..... mi sembra di capire che forse è meglio formattare....
nn l'avevo fatto fin'ora per pigrizia, ma a sto punto mi sa che faccio prima.....
grazie ancora siete stati gentilissimi!!!!!

Visto che il socio non c'è (giusto riposo del guerriero:D ) ti rispondo io....;)
allora avira ha trovato solo falsi positivi nella cartella di backup avenger

in hijackthis fixa

in avenger immetti

allega nuovo log di avenger poi di hijackthis ;)

Oltre al socio non c'ero anche io ieri!!

Grazie per i consigli, prima di procedere ti chiedo se devo lasciare disattivato il ripristino di configurazione di sistema.

Oltre al socio non c'ero anche io ieri!!

Grazie per i consigli, prima di procedere ti chiedo se devo lasciare disattivato il ripristino di configurazione di sistema.

il ripristino va attivato solo alla fine della procedura, dopo i controlli necessari

quindi controlla che sia ancora disattivato e lascialo tale

Oltre al socio non c'ero anche io ieri!!

Grazie per i consigli, prima di procedere ti chiedo se devo lasciare disattivato il ripristino di configurazione di sistema.

Per il momento SI, allega gli ultimi due log ovvero Avenger ed HijakThis

Per il momento SI, allega gli ultimi due log ovvero Avenger ed HijakThis

http://www.fileup.itadib.com/download.php?id=zQHmgGf8cbGSkxplEGvK

http://www.fileup.itadib.com/download.php?id=OBy8wPZLghpePGJR05jL


Grazie.

http://www.fileup.itadib.com/download.php?id=zQHmgGf8cbGSkxplEGvK

http://www.fileup.itadib.com/download.php?id=OBy8wPZLghpePGJR05jL


Grazie.

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

queste due voci le hai fixate?

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

queste due voci le hai fixate?

Ops....provvedo!

Scusa, dopo averle fixate, cosa faccio, scan, analyze, fix checked o altro??

Scusa, dopo averle fixate, cosa faccio, scan, analyze, fix checked o altro??

Dopo aver messo il segno di spunta nella casella a sx delle voci indicate clicchi su fix checked, dopodichè alleghi un altro log per il controllo

Dopo aver messo il segno di spunta nella casella a sx delle voci indicate clicchi su fix checked, dopodichè alleghi un altro log per il controllo

Ecco:

http://www.fileup.itadib.com/download.php?id=liJzaGm8nlcc07YulO8d

Ecco:

http://www.fileup.itadib.com/download.php?id=liJzaGm8nlcc07YulO8d

Direi che siamo a posto, dovresti aggiornare IE alla versione 7 meglio sostituirlo con un browser alternativo come Firefox o Opera
Aggiornare i software complementari utilizzado Secunia Software Inspector http://secunia.com/software_inspector/
Disinstallare correttamente il Kaspersky c'è qualche rimasuglio vedi voce in HijackThis
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Infine dare una letta ( anche due :D ) a questo thread http://www.hwupgrade.it/forum/showthread.php?t=1476319 su come proteggere il PC

Direi che siamo a posto, dovresti aggiornare IE alla versione 7 meglio sostituirlo con un browser alternativo come Firefox o Opera
Aggiornare i software complementari utilizzado Secunia Software Inspector http://secunia.com/software_inspector/
Disinstallare correttamente il Kaspersky c'è qualche rimasuglio vedi voce in HijackThis
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Infine dare una letta ( anche due :D ) a questo thread http://www.hwupgrade.it/forum/showthread.php?t=1476319 su come proteggere il PC


Uaho! Non ho mai visto un forum così efficiente e rapido nel risolvere i problemi. Grazie mille per gli aiuti e per i nuovi consigli che mi avete dato! Per voi è un bene o un male se segnalo questo forum ad amici che dovessero eventualmente avere problemi??

Grazie ancora!

Uaho! Non ho mai visto un forum così efficiente e rapido nel risolvere i problemi. Grazie mille per gli aiuti e per i nuovi consigli che mi avete dato!

prego di nulla

Per voi è un bene o un male se segnalo questo forum ad amici che dovessero eventualmente avere problemi??

nessun problema questo è lo spirito del Forum

Ciao buon proseguimento su hwupgrade.it ;)

Uaho! Non ho mai visto un forum così efficiente e rapido nel risolvere i problemi. Grazie mille per gli aiuti e per i nuovi consigli che mi avete dato! Per voi è un bene o un male se segnalo questo forum ad amici che dovessero eventualmente avere problemi??

Grazie ancora!

prego di nulla



nessun problema questo è lo spirito del Forum

Ciao buon proseguimento su hwupgrade.it ;)

Se però arrivassero quà muniti di carta di credito......:asd:
non è che ci offendiamo :asd: :rotfl: :D :asd:
si scherza.....:)

Se però arrivassero quà muniti di carta di credito......:asd:
non è che ci offendiamo :asd: :rotfl: :D :asd:
si scherza.....:)

:D ;)

Se però arrivassero quà muniti di carta di credito......:asd:
non è che ci offendiamo :asd: :rotfl: :D :asd:
si scherza.....:)

si si....si scherza.....come no....:rolleyes:

oltre che provolone (vedere qui) (http://www.hwupgrade.it/forum/showpost.php?p=21130254&postcount=1683) vuoi essere anche il simpaticone del forum....:rotfl: :sbonk: :ops: si skerza, eh? :eek: :ave: :ciapet:

Non riesco ad eliminare manualmente le chiavi di registro
impossibile eliminare ..... Errore durante l'eliminazione della chiave.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
ho disattivato ripristino conf di sys
Utilizzo elibagla
riavviato il pc.
Ho vista.
che devo fare?
grazie anticipatamente.

Come consigliatomi da Lancetta ho fatto partire Elibagla in modalità provvisoria.
Non niente non riesco ad eliminare manualmente le chiavi di registro
Help non vorrei formattare....

Salve a tutti,

essendo alle prese anch'io con questo famigerato virus, chiedo cortesemente se qualcuno può controllarmi i log di Avenger e Elibagla.

Eccoli qui:

Avenger -> http://www.fileup.itadib.com/download.php?id=8V6fucsB2kvuk4Vam1Df

Elibagla -> http://www.fileup.itadib.com/download.php?id=LAq9OxfLPRPSinaPQe20

Ho provato ad avviare HiJackThis ma mi da errore "non è un'applicazione di Win32 valida".

Se riuscite a darmi una mano a risolvere (senza ricorrere alla formattazione) ve ne sarei estremamente grato.

[modificato con log esatto]

Hai postato due volte il log di Avenger

mannaggia, ci sono cascata in pieno :muro:

ecco il log di Hijackthis:

edit

Quelle in grassetto sono voci che non sono riuscita a cancellare con Hijackthis.

Ho provato a pulire le voci di registro incriminate (srosa) ma non ci sono riuscita, nemmeno in modalità provvisoria.

Ho fatto andare il tool anti-rootkit di AVG ma niente.

Ho provato anche con unhackme: niente

Sono alla disperazione.

Avenger su Vista non funziona... :cry:

aiuto :help:

Hai postato due volte il log di Avenger

Hai ragione, chiedo scusa. :doh:

Ecco il log di Elibagla appena rieseguito in modalità provvisoria:

http://www.fileup.itadib.com/download.php?id=LAq9OxfLPRPSinaPQe20

.......

x favore modifica il tuo post: i log nn vanno incollati....credo che puoi capire da sola la ragione ;)

detto questo: hai fatto girare elibagle in modalità provvissoria?

Hai ragione, chiedo scusa. :doh:

Ecco il log di Elibagla appena rieseguito in modalità provvisoria:

http://www.fileup.itadib.com/download.php?id=LAq9OxfLPRPSinaPQe20

Reinstalla il tuo AV, aggiornalo e fai una scansione completa del sistema dopodichè prosegui seguendo i punti indicati in Guida

Ciao ragazzi,

vi leggo da molto ma non ho mai avuto bisogno di postare disperatamente come ora... spero in un vostro aiuto!

Io ho il bagle, i sintomi son tutti quelli
Vi allego lo scan del kit:


aggiungo una info: il .reg per riabilitare la modalità provvisoria non va, mi dice che alcune chaivi sono in uso.
in più ho un paio delle chiavi indicate a pagina 1 nel mio registro, ma anche manualmente con il CANC non posso eliminarle... :(

Ditemi che si può far qualcosa....
Grazie!

Ho letto bene il messaggio ho visto che hai Vista fai una scansione online con BitDefender http://www.bitdefender.com/scan8/ie.html
salva ed allega il log in formato Html nel prossimo post

hai ragione, scusami...

Vista!

se provo a lanciare l'hijackthis mi dice applicazione win32 non valida... me lo sta bloccando!

MDELK.EXE questo è il file che EliBaglA mi trova ma non può rimuovere...

MDELK.EXE questo è il file che EliBaglA mi trova ma non può rimuovere...

http://www.hwupgrade.it/forum/showpost.php?p=21154414&postcount=1720

è partito, ma mi sa che ci metterà secoli... appena finisce posto.
grazie

è partito, ma mi sa che ci metterà secoli... appena finisce posto.
grazie

lo sò ci vuole il suo tempo

mi dice 54 ore.... ed aumenta continuamente....
sto cercando su internet, tanti hanno il problema simile con i miei files...
stavo cercando di usare avenger ma pure quello mi blocca...

mi dice 54 ore.... ed aumenta continuamente....
sto cercando su internet, tanti hanno il problema simile con i miei files...
stavo cercando di usare avenger ma pure quello mi blocca...

Avenger non funziona con WIN Vista

si si....si scherza.....come no....:rolleyes:

oltre che provolone (vedere qui) (http://www.hwupgrade.it/forum/showpost.php?p=21130254&postcount=1683) vuoi essere anche il simpaticone del forum....:rotfl: :sbonk: :ops: si skerza, eh? :eek: :ave: :ciapet:
sono solo l'ultimo dei romantici...:) (disgraziato:D )
Come consigliatomi da Lancetta ho fatto partire Elibagla in modalità provvisoria.
Non niente non riesco ad eliminare manualmente le chiavi di registro
Help non vorrei formattare....
posta sempre il log per favore
MDELK.EXE questo è il file che EliBaglA mi trova ma non può rimuovere...
stessa cosa se postate sempre i log anche in caso di errore è meglio
un altra cosa provato anche in provvisoria e naturalmente da amministratore (tasto dx esegui come admin)????

Socio il log di Kostia e qui: http://www.hwupgrade.it/forum/showpost.php?p=21154340&postcount=1719

Reinstalla il tuo AV, aggiornalo e fai una scansione completa del sistema dopodichè prosegui seguendo i punti indicati in Guida

Può andare bene lo stesso una scansione con Kaspersky Online Virus Scanner?

Può andare bene lo stesso una scansione con Kaspersky Online Virus Scanner?

Fai tu ma prima o poi il tuo AV dovrai reinstallarlo, a proposito qual'è?

Fai tu ma prima o poi il tuo AV dovrai reinstallarlo, a proposito qual'è?

Avevo Avira, ma ho dovuto disinstallarlo perchè quando tentavo di aprirlo mi dava "non è un'applicazione Win32 valida". Per questo ora non so cosa fare... :(

Avevo Avira, ma ho dovuto disinstallarlo perchè quando tentavo di aprirlo mi dava "non è un'applicazione Win32 valida". Per questo ora non so cosa fare... :(

Riscarica l'installer e prova a reinstallarlo

Riscarica l'installer e prova a reinstallarlo


Nel frattempo sono riuscito a far partire HiJackThis; posto qui il log:

http://www.fileup.itadib.com/download.php?id=CRxLUdmNp4idXkcFmp8a

Allega un log di questo tool

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

più un nuovo log di HiackThis

Socio il log di Kostia e qui: http://www.hwupgrade.it/forum/showpost.php?p=21154340&postcount=1719

ma è fatto da provvisoria?

ma è fatto da provvisoria?

se non ho letto male in stò marasma non riesce ad accedere alla provvisoria

sono ricorsa ad una misura drastica perchè ho sbattuto la testa contro il muro a sufficienza: ho ripristinato un backup totale fatto con true image.

Mi dispiace solo di aver perso un bellissimo programma che avevo scaricato con GOTD :cry:

sono ricorsa ad una misura drastica perchè ho sbattuto la testa contro il muro a sufficienza: ho ripristinato un backup totale fatto con true image.

Mi dispiace solo di aver perso un bellissimo programma che avevo scaricato con GOTD :cry:

Purtroppo sto virus è abbastanza bastardo:rolleyes: ...poi dal log che avevi evidenziato non era l'unico problema...c'èra una multinfezione presente sul pc...e vista è molto difficile da curare con bagle....hai fatto sicuramente più in fretta...;)

Allega un log di questo tool

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

più un nuovo log di HiackThis

Ecco il log di ComboFix:

http://www.fileup.itadib.com/download.php?id=MvJJTxMJTTOQ0JKvLXtx

Posto solo il file C:\combofix.txt perchè C:\ComboFix-quarantined-files.txt non ce l'ho.

E poi ecco quello di HiJackThis, eseguito successivamente:

http://www.fileup.itadib.com/download.php?id=ZFqrhDOvm9hgHs6u3sD0

Allega un log di questi tools, perchè oltre al Bagle ai altri macelli

1) Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

1) http://noahdfear.geekstogo.com/FindAWF.exe

Allega un log di questi tools, perchè oltre al Bagle ai altri macelli

1) Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

1) http://noahdfear.geekstogo.com/FindAWF.exe

Ho provato ad avviare SDFix dalla modalità provvisoria come mi hai detto, ma quando premo "Y" alla richiesta si riavvia automaticamente e poi all'avvio non esce alcun messaggio "Finished".
Cosa devo fare?

Salve ho questo problema, dopo la pulizia di tale virus funziona tutto tranne la scheda TV Pinnacle 110i, ho provato a disinstallarla e reinstallarla ma niente, me la installa senza problemi ma in Power Cinema mi dice sempre che manca un sintonizzatore TV che cosa puo essere?
Simon

Vediamo di fare in un altro modo per il momento allegami un log di questo tool


http://noahdfear.geekstogo.com/FindAWF.exe

Vediamo di fare in un altro modo per il momento allegami un log di questo tool


http://noahdfear.geekstogo.com/FindAWF.exe

Ecco il log di FindAWF:

Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=JQgw4NSm7oS0wVIqlcjF)

Ecco il log di FindAWF:

Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=JQgw4NSm7oS0wVIqlcjF)

Il rirpistino configurazione sistema deve essere disabilitato e devi aver fatto pulizia con Ccleaner

1 Scarica questo tool tasto dx del mouse sul link e lo salvi sul DeskTop
http://www.mvps.org/winhelp2002/DelDomains.inf
click dx su DelDomain e scegli installa

2 Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci

O4 - HKCU\..\Run: [msboot.exe] C:\WINDOWS\system32\msboot.exe
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whataboutarabit.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - hxxp://www.nodialup.name/ciuccia.exe

clicca su Fix checked

3 In Avenger inserisci questo Script

Files to move:
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Ahead\InCD\bak\Error.log | C:\Programmi\Ahead\InCD\Error.log
C:\Programmi\Ahead\InCD\bak\InCD.exe | C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Elaborate Bytes\CloneCD\bak\ElbyCheck.exe | C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe | C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Logitech\iTouch\bak\iTouch.exe | C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\ScanSoft\OmniPage15.0\bak\Opware15.exe | C:\Programmi\ScanSoft\OmniPage15.0\Opware15.exe
C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
C:\Programmi\Java\jre1.5.0_04\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\bak\RegistryController.exe | C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\RegistryController.exe

4 Installi Anvir lo aggiorni fai uno scan completo del sistema (vediamo cosa riesce a falciare) salvi ed alleghi il log

5 Vedi se riesci fai girare il tool indicato nel precedente post http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Riepilogo log da allegare

Avira
HijackThis
FindAWF
SDFix

io vorrei sapere cosa ci fate col PC

Raga, non è che potreste gentilmente hostare su qualche sito l'ultima versione di elibagla che dal link che c'è a prima pagina non me lo fa scaricare? Mi da "Page not Found" cliccando sul link in fondo...
Sto sclerando per sto cavolo di bagle, ma se non ho sto elibagla non posso far niente...
Tra l'altro Windows XP non mi vede neanche più il secondo Hard Disk da quando l'ho riavviato, è una cosa normale che fa Bagle normalmente o devo preoccuparmi? Da Ubuntu vedo tutto e riesco anche ad accederci, mah...:mbe:
Grazie a chiunque sappia darmi una mano :D

Ragazzi sono stato infetto ieri sera :muro:

Volevo porvi una domanda....ma elibagla lo elimina o no? non ho capito di tutta la procedura in ql momento il rootkit viene eliminato...

(sto facendo la scansione con kasperksy)

Grazie mille

Ragazzi sono stato infetto ieri sera :muro:

Volevo porvi una domanda....ma elibagla lo elimina o no? non ho capito di tutta la procedura in ql momento il rootkit viene eliminato...

(sto facendo la scansione con kasperksy)

Grazie mille

no, è solo il primo passo, procedi con la guida e ricordati i log che sono estremamente importanti :D

Ma i log li devo postare qui sul forum e voi li controllate? posto l'infosat?

Grazie