Ma i log li devo postare qui sul forum e voi li controllate? posto l'infosat?

Grazie

certo, qui sul forum :D, nel primo messaggio di questa discussione, oltre alla guida, c'è anche scritta la modalità di pubblicazione dei log :)

per evitare dispersioni, posta tutti i log assieme (hostali separatamente, quindi non zipparli, ne modificarli, o incollarli con word o cose del genere ^^) una volta che hai terminato di seguire la guida:D

Scusa ma non riesco a vedere le modalità di cui tu parli...

In pratica io finisco la procedura...e dp ke ho fatto anke hijackthis mi pare di capire ke devo postare qui sul forum i vari file di log! giusto? Ma quali e come li devo postare?

Grazie dell'aiuto

ciao!
sono alle prese con gli ultimi controlli per debellare il malefico, spero di non essere incappata in errori...
Vi lascio il link del log di HijackThi...
http://www.fileup.itadib.com/download.php?id=lhUzPWpRpbaXykUfkXeu

...davvero grazie....
;)

Scusa ma non riesco a vedere le modalità di cui tu parli...

In pratica io finisco la procedura...e dp ke ho fatto anke hijackthis mi pare di capire ke devo postare qui sul forum i vari file di log! giusto? Ma quali e come li devo postare?

Grazie dell'aiuto

allora facciamo cosi, con ordine e in modo chiaro, anche se la guida è spiegata veramente bene...cmq:

1- fermati e aspetta un attimo

2- disattiva il ripristino configurazione sistema, controlla se lo è disattivato, successivamente potrebbe accedere che di colpo x magia si riattivi, quindi controllalo ad ogni riavvio del pc e a fine scansione dei programmi indicati

3-cancella tuttti, ma proprio tutti i crack che hai nel pc e che tieni conservati in cd o hard-disk removibili.....dappertutto. è attraverso i crack che bagle si distribuisce

4-il log di elibagle? nn mi sembra che ancora tu l'abbia postato.....

5-attendiamo il log di elibagle, l'hai fatto girare in modalità provvissoria?

6-hai installato kaspersky? gli stai facendo fare la scansione? alla fine poi posta il report

attendiamo tue news

Grazie mille dell'attenzione...

Ho fatto scansione con elibagla sia normalmente che in mod provvisoria e sto ultimando la scansione con kaspersky!

Posto i log delle due scansioni con elibagla?



:muro: il ripristino conf sistema si è riattivato da solo! ed ora lo ho disattivato nuovamente! devo ricominciare daccapo la scan con kaspersky? sono al 73% e gira da quasi 2 ore e mezza!!!!? :muro:

Grazie mille dell'attenzione...

Ho fatto scansione con elibagla sia normalmente che in mod provvisoria e sto ultimando la scansione con kaspersky!

Posto i log delle due scansioni con elibagla?



:muro: il ripristino conf sistema si è riattivato da solo! ed ora lo ho disattivato nuovamente! devo ricominciare daccapo la scan con kaspersky? sono al 73% e gira da quasi 2 ore e mezza!!!!? :muro:

no, posta i duelog di elibagle(specificando qaule prima e quale dopo, in mod normale o provv) e lascia lavorare kaspersky in pace, posta il report dopo

Ecco i rapporti...Attendo vostre notizie prima di proseguire nella procedura...Grazie Mille A Tutti


Resto in attesa dello script da inserire in avenger...

Qualcuno mi aiuta?

Qualcuno mi aiuta?

calma.....qui nessuno viene pagato x dare assistenza 24 su 24

ora io devo mangiare

a dopo

ciao

Non pensavo assolutamente a nulla del genere...e nn era mia intenzione rendermi insistente


Mi sono sempre prodigato a ringraziare ki dedicava parte del suo tempo ad aiutarmi a risolvere qualche problema...


Probabilmente c'è stato un malinteso ma non mi pare il caso di alzare i toni :doh:

In ogni caso qualcora ci fosse stato errore da parte mia mi scuso cn tutti...

Ecco i rapporti...Attendo vostre notizie prima di proseguire nella procedura...Grazie Mille A Tutti


Resto in attesa dello script da inserire in avenger...

che sistema operativo usi?

se è win xp, passa ad avenger inserendo lo script in guida e posta qui il log di avenger

un'altra cosa: confermi che tutto ciò che ha individuato kaspersky è stato eliminato?

uso xp...scusami ma nn vedo lo script da inserire sulla guida vedo script indicato ma nn capisco dv sia..(forse xk nn so nemmeno cm è fatto unp script)

i 5 file trovati da kaspersky li ho fatti eliminare! c'è un modo x controllare se ciò è avvenuto?


Dai report postati cm valuti la situazione? è Grave?:D

Grazie

....


no, nn mi sembra grave, tutt'altro

segui queste istruzioni dirattamente dalla guida ;)

4)Usare avenger: http://www.zshare.net/download/78195176ae5106/
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento.
Nella nuova finestra, incollare lo script che viene indicato (tutto quello inserito nei quote)

Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hIdrrr.exe
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe


cliccare sul pulsante "Done", cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.

Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Ecco...

Ecco...

scarica panda e dimmi se elimina qualkosa

Non ha trovato nulla di nulla

Ecco!

http://www.fileup.itadib.com/download.php?id=vAZkBUyCIMBqcwQ9HwvQ

A me sembra apposto...

Attendo indicazioni..

Ecco!

http://www.fileup.itadib.com/download.php?id=vAZkBUyCIMBqcwQ9HwvQ

A me sembra apposto...

Attendo indicazioni..

x me sembri pulito

fai una passata con ccleaner cosi come indicato in guida

fai un'ultima scansione di controllo con gmer, è presente in guida e posta il log

Ecco il log...

-

Ecco il log...

http://www.fileup.itadib.com/download.php?id=zKpOyiZP1cMgRJjTPLrE

x me sei pulito

problemi?

che antivirus avevi prima? se hai installato il trial, e nn lo vuoi comprare, disinstalla kaspersky utilizzando ccleaner e riavviando il pc, e installati avira antivir classic, un ottimo antivirus free ;)

Ti ringrazio moltissimo x quanto ti sei prestato alla causa :D


Pensavo di rimettere avast ke già avevo prima?la professional...me lo consigli?



Un problemino minimo minimo ci sarebbe...nn mi ricerca più le reti wireless ma resto comunque connesso in wireless...mi da un mess di errore...se hai qualche consiglio da darmi ti ringrazio ancora, altrimenti più tardi proverò a trovare una soluzione...

Grazieeeeee :D ;)

x problemi vari di rete e nn solo, guarda qui:
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

avast lo lascerei perdere, men che meno la versione a pagamento :rolleyes:


installati avira, che risulta essere il migliore antivirus free in circolazione, e che se la cava molto bene in confronto ai 2 migliori antivirus del momento, kaspersky e nod ;)

Ti ringrazio molto...ora vedo di risolvere allora ;)

Ciao a tutti..sono infetta da bagle -.-

Ho fatto un scan con elibagle e poi un altro con a-squared free che hanno trovato un po' di schifezze varie.
Hijack non mi funziona (ho vista, c'entra qualcosa?)

Elibagle non riesce ad eliminarmi i files infetti da bagle più importanti.
Prima in modalità normale non riusciva nemmeno a partirmi, dopo la scansione (durata ben 1.20 h -.-) con a squared ci riesce.

Non sono inoltre riuscita a trovare l'opzione che attiva\disattiva pur avendo schiacciato "Risorse del computer - proprietà".

[...]

http://www.fileup.itadib.com/download.php?id=bRglGvJAnbEiduXsXiK2 Log di Kaspersky
http://www.fileup.itadib.com/download.php?id=tZrEtdJOVRHN2bAVeyXD Log di Elibagle
http://www.fileup.itadib.com/download.php?id=DTRE9uzLtmoMc73LLtom Log di A-squared

Ringrazio chiunque mi sappia aiutare fin da ora :help:

Ps: grazie per il benvenuto Murack, e scusate per i log

@ Sirio3a:

benvenuta nel forum

x favore modifica il tuo post: i log nn vanno incollati, xchè riesce difficile l'analisi

quindi vai alla fine del tuo post, clicca su modifica,poi avanzate, cancella tutti i log che hai incollato

ecco le modalità di pubblicazione dei log:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download

attendiamo la tua modifica x potere esaminare meglio i tuoi log

ciao e grazie della collaborazione

Fatto :) grazie.

Fatto :) grazie.

prova se riesci a far girare in modalità provvissoria elibagle e fai una scansione

posta il report...

x hijackthis, lo devi eseguire come admin.....cliccaci col pulsante destro e scegli questa opzione

Salve,
prima di tutto ringrazio per questa utile e dettagliata guida.
sono affetta da Bagle.
Ho seguito alla lettera l'intera procedura, nel senso che ho fatto la scansione (all'inizio gmer non partiva ma io ho utilizzato lo stesso Elebagla che ha trovato effettivamente Bagle), ho scaricato tutto ciò che indicavate di scaricare etc...
Il mio problema è questo:
sto cercando di utilizzare Kaspersky il quale, per prima cosa mi chiede di essere attivato (Ok) e poi di essere aggiornato. Ecco io non riesco a fare nessuna delle due cose perchè, pur avendo la connessione a internet attiva, il programma mi dice che c'è un "errore di connessione alla sorgente aggiornamenti".

Premetto ho scoperto che probabilmente ero stata infettata da Bagle perchè il sintomo più grave (credo) che ho riscontrato è stato la disattivazione (irrimediabile) del Firewall del mio McAfee Security Center che tuttora persiste.
Sto cercando di disattivarlo tutto ma non riesco.

Grazie a tutti

che sistema operativo hai?

Non Funziona più internet
1)Usa questo tool: http://www.xp-smoker.com/downloads/xptcprep.exe
2) Segui queste istruzioni: http://www.hwupgrade.it/forum/showpo...postcount=1441

Introdotta la risoluzione dei problemi relativi alla connessione,la riattivazione dei servizi come punto obbligatorio nelle guide. Proporrei di togliere panda antirootkit dal procedimento di xp... che ne dite?

che sistema operativo hai?

Windows Xp


Non Funziona più internet
1)Usa questo tool:
http://www.xp-smoker.com/downloads/xptcprep.exe

Ho già provato, prima di scrivere ho provato a farcela da sola con le vostre istruzioni.
Adesso ho di nuovo provato ma non cambia nulla.
Questo è il file di log di elibagla http://www.fileup.itadib.com/download.php?id=dFGJeuYO1ol816dkotk5
Sul sito di Kaspersky ho trovato le istruzioni per fare l'aggiornamento manuale e sono riuscita il problema è che se non attivo il programma non consente l'aggiornamento e l'attivazione non funziona perchè mi dice:
"Server di attivazione non disponibile.
Controllare la connessione a Internet e ritentare di attivare l'applicazione..."

Io ho controllato e ricontrollato più e più volte, ho utilizzato xptcprep.exe, ho riavviato il pc, etc... ma niente, tutto funziona, posso navigare, scaricare la posta, scaricare manualmente i pacchetti di aggiornamento, etc... ma NON attivare Kaspersky.

Se salto il punto 3 della guida e passo agli altri cosa succede?


2) Segui queste istruzioni: http://www.hwupgrade.it/forum/showpo...postcount=1441

Il link non è buono, la pagina non è più disponibile o link è errato.

Grazie

Salve ragazzi. Purtroppo anche io ho beccato questo virus e da lunedì non mi da pace.
Ho seguito la vostra guida all'inizio del topic e anche altre su altri siti, scaricando tutto lo scaricabile (o quasi) in fatto di antivirus e tool per identificarlo e rimuoverlo. Il problema è che la maggior parte del programmi da voi suggeriti non si aprono, o non si installano!! La risposta all'avvio di programmi come avenger, gmer, hijackthis, bitdefender, kav, avg ecc è sempre la stessa: "...non è un'applicazione di Win32 valida".
Elibagla mi aveva dato un po' di speranza con la sua ultima versione 11.04, trovando ed eliminando i file mdelk.exe e hdlrrr.exe, ma in realtà dopo il riavvio erano ancora lì. Il virus l'ho beccato aprendo un file che pensavo essere una crack preso da emule; ad ogni riavvio mi si apre una schermata che mi chiede di scegliere il file da crackare e se clicco su chiudi o annulla dopo circa 5 min il pc si riavvia, a seguito di 1/2 secondo di schermata blu (se invece lascio la schermata aperta non succede "nulla"). Superantispyware mi blocca ogni volta il file wintems.exe, anche se questo ogni ora mi scarica da internet 6,53KB di roba più una 70ina di KB ad ogni avvio di windows (dati presi da NetLimiter).
Oltre a non funzionare più gli antivirus, altri effetti del virus che ho riscontrato sono problemi con istant shield e quindi con l'nstallazione di programmi e l'impossibilità di leggere i cd/dvd ("impossibile leggere da disco: disco danneggiato o in formato non compatibile con windows").

Altri casini al momento non mi vengono in mente :D
Quindi......un aiutino?? Grazie!!!!

l'unico log che sono riuscito a recuperare è quello di una scansione online con bitdefender. Elibagla non mi lascia log dopo le scansioni, forse perchè tenta di salvarli in C: mentre io ho l'HD in I:
Grazie ancora in anticipo!

P.S. Ho XP

Windows Xp



Ho già provato, prima di scrivere ho provato a farcela da sola con le vostre istruzioni.
Adesso ho di nuovo provato ma non cambia nulla.
Questo è il file di log di elibagla http://www.fileup.itadib.com/download.php?id=dFGJeuYO1ol816dkotk5
Sul sito di Kaspersky ho trovato le istruzioni per fare l'aggiornamento manuale e sono riuscita il problema è che se non attivo il programma non consente l'aggiornamento e l'attivazione non funziona perchè mi dice:
"Server di attivazione non disponibile.
Controllare la connessione a Internet e ritentare di attivare l'applicazione..."

Io ho controllato e ricontrollato più e più volte, ho utilizzato xptcprep.exe, ho riavviato il pc, etc... ma niente, tutto funziona, posso navigare, scaricare la posta, scaricare manualmente i pacchetti di aggiornamento, etc... ma NON attivare Kaspersky.

Se salto il punto 3 della guida e passo agli altri cosa succede?



Il link non è buono, la pagina non è più disponibile o link è errato.

Grazie

Inserisci in Aveger lo Script indicato in guida ed allega il log

Salve ragazzi. Purtroppo anche io ho beccato questo virus e da lunedì non mi da pace.
Ho seguito la vostra guida all'inizio del topic e anche altre su altri siti, scaricando tutto lo scaricabile (o quasi) in fatto di antivirus e tool per identificarlo e rimuoverlo. Il problema è che la maggior parte del programmi da voi suggeriti non si aprono, o non si installano!! La risposta all'avvio di programmi come avenger, gmer, hijackthis, bitdefender, kav, avg ecc è sempre la stessa: "...non è un'applicazione di Win32 valida".
Elibagla mi aveva dato un po' di speranza con la sua ultima versione 11.04, trovando ed eliminando i file mdelk.exe e hdlrrr.exe, ma in realtà dopo il riavvio erano ancora lì. Il virus l'ho beccato aprendo un file che pensavo essere una crack preso da emule; ad ogni riavvio mi si apre una schermata che mi chiede di scegliere il file da crackare e se clicco su chiudi o annulla dopo circa 5 min il pc si riavvia, a seguito di 1/2 secondo di schermata blu (se invece lascio la schermata aperta non succede "nulla"). Superantispyware mi blocca ogni volta il file wintems.exe, anche se questo ogni ora mi scarica da internet 6,53KB di roba più una 70ina di KB ad ogni avvio di windows (dati presi da NetLimiter).
Oltre a non funzionare più gli antivirus, altri effetti del virus che ho riscontrato sono problemi con istant shield e quindi con l'nstallazione di programmi e l'impossibilità di leggere i cd/dvd ("impossibile leggere da disco: disco danneggiato o in formato non compatibile con windows").

Altri casini al momento non mi vengono in mente :D
Quindi......un aiutino?? Grazie!!!!

l'unico log che sono riuscito a recuperare è quello di una scansione online con bitdefender. Elibagla non mi lascia log dopo le scansioni, forse perchè tenta di salvarli in C: mentre io ho l'HD in I:
Grazie ancora in anticipo!

P.S. Ho XP

Fai girare Elibagla ed allega il log, dopodichè vediamo il da farsi

Inserisci in Aveger lo Script indicato in guida ed allega il log


Sono riuscita a far girare Kaspersky "semiaggiornato" (nel senso che dei due pacchetti di aggiornamento ne ha accettato solo uno, per l'altro serviva l'attivazione che non ho ottenuto).
Sono andata avanti con la procedura e con avenger ho ottenuto il seguente file
http://www.fileup.itadib.com/download.php?id=Phss8Qohj4zadVu5giPY

Sono riuscita a far girare Kaspersky "semiaggiornato" (nel senso che dei due pacchetti di aggiornamento ne ha accettato solo uno, per l'altro serviva l'attivazione che non ho ottenuto).
Sono andata avanti con la procedura e con avenger ho ottenuto il seguente file
http://www.fileup.itadib.com/download.php?id=Phss8Qohj4zadVu5giPY

Fammi capire Kav è installato, funzionante con le difeinizioni aggiornate

Fammi capire Kav è installato, funzionante con le difeinizioni aggiornate

Si, in pratica il programma mi chiede di essere attivato e mi dà 4 possibilità.
io scelgo sempre quella dei 30 giorni ma la risposta è sempre la stessa.

Sul sito del programma ho trovato il modo di fare l'aggiornamento manuale, scaricando i pacchetti (av-i386&ids-cumul.zip e av-i386-cumul.zip), decomprimendoli e impostando il programma in modo che si aggiornasse da una cartella del pc anzichè dalla rete.
Il problema è che, non essendo attivato si è fatto aggiornare solo con un pacchetto (av-i386-cumul.zip mi pare) e ora mi impedisce di aggiornarlo se non lo attivo (cosa che non riesco a fare).
Quindi io l'ho fatto girare così "semiaggiornato".

Al termine di tutta la procedura ottengo questo file di log: http://www.fileup.itadib.com/download.php?id=cNfeW4pppQlBGk4g4bjw

Si, in pratica il programma mi chiede di essere attivato e mi dà 4 possibilità.
io scelgo sempre quella dei 30 giorni ma la risposta è sempre la stessa.

Sul sito del programma ho trovato il modo di fare l'aggiornamento manuale, scaricando i pacchetti (av-i386&ids-cumul.zip e av-i386-cumul.zip), decomprimendoli e impostando il programma in modo che si aggiornasse da una cartella del pc anzichè dalla rete.
Il problema è che, non essendo attivato si è fatto aggiornare solo con un pacchetto (av-i386-cumul.zip mi pare) e ora mi impedisce di aggiornarlo se non lo attivo (cosa che non riesco a fare).
Quindi io l'ho fatto girare così "semiaggiornato".

Al termine di tutta la procedura ottengo questo file di log: http://www.fileup.itadib.com/download.php?id=cNfeW4pppQlBGk4g4bjw

Facciamo così disinstalla Kav è inutile fare una scansione con un software non aggiornato, pulita con Ccleaner, reinstalla il tuo AV dovrebbe essere McAfee dopodichè scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

prova se riesci a far girare in modalità provvissoria elibagle e fai una scansione

posta il report...

x hijackthis, lo devi eseguire come admin.....cliccaci col pulsante destro e scegli questa opzione

***

Rifatta (per la 3a volta -.-) la scansione con Elibagle, dopo la prima che ho già postato, non trova nulla. Mentre Hijack anche dopo che gli dò il consenso ad aprirsi non parte perchè "non è una applicazione win32 valida" -.-

***

Rifatta (per la 3a volta -.-) la scansione con Elibagle, dopo la prima che ho già postato, non trova nulla. Mentre Hijack anche dopo che gli dò il consenso ad aprirsi non parte perchè "non è una applicazione win32 valida" -.-

segui attentamente e con calma queste istruzioni:
http://www.hwupgrade.it/forum/showpost.php?p=18910926&postcount=2

fammi sapere

ciao

Ciao Ragazzi,
purtroppo mi sono beccata anche io il malefico virus...Mi potete aiutare? Ho seguito alla lettera la vostra (bella) guida alla rimozione e sono arrivata al termine...Se vi allego il link al responso della scansione di hijackthis, mi potete dire se va tutto bene? Cosa eventualmente devo ancora eliminare?
Grazie!:)
...speranzosa...Canos

http://www.fileup.itadib.com/downloa...pRpbaXykUfkXeu

Ciao Ragazzi,
purtroppo mi sono beccata anche io il malefico virus...Mi potete aiutare? Ho seguito alla lettera la vostra (bella) guida alla rimozione e sono arrivata al termine...Se vi allego il link al responso della scansione di hijackthis, mi potete dire se va tutto bene? Cosa eventualmente devo ancora eliminare?
Grazie!:)
...speranzosa...Canos

http://www.fileup.itadib.com/downloa...pRpbaXykUfkXeu

link tagliato :D (non funziona ci sono dei puntini in mezzo)

oooops....scusate...
un attimo che rifaccio perchè era un link di qualche giorno fa...:stordita:
rilancio il programma...
:)

...ecco...

http://www.fileup.itadib.com/download.php?id=qFxwyekn2gHMZlhkdWBw

questa voce non so cosa sia e non riesco a trovare niente a riguardo sul web

O20 - Winlogon Notify: perfnet32 - C:\WINDOWS\SYSTEM32\perfnet32.dll

aspetta il consiglio di utenti piu esperti prima di fixarla

intanto fai un giro qui: www.secunia.com e controlla se hai progammi da aggiornare (sicuramente Java)

ok, intanto ti ringrazio molto ;)

segui attentamente e con calma queste istruzioni:
http://www.hwupgrade.it/forum/showpost.php?p=18910926&postcount=2

fammi sapere

ciao

Ciao :)

Sono (finalmente) riuscita a trovare come si disattiva configurazione di sistema da Vista.. Elibagla tutto come sempre, ho scaricato SafeBoot ma non riesce ad unirlo al registro di sistema perchè "non tutti i files sono scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi."

Non so se è importante: ho avviato Safeboot da Desktop.

Scusate per il disturbo :( questo coso dannato mi fa impazzire.

Ciao :)

Sono (finalmente) riuscita a trovare come si disattiva configurazione di sistema da Vista.. Elibagla tutto come sempre, ho scaricato SafeBoot ma non riesce ad unirlo al registro di sistema perchè "non tutti i files sono scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi."

Non so se è importante: ho avviato Safeboot da Desktop.

Scusate per il disturbo :( questo coso dannato mi fa impazzire.

ok, hai fatto il passaggio 4) ?

hai cercato ed eliminato esattamente quelle chiavi di registro rigorosamente in modalitò provvissoria?

dopo aver cercato ed eventualmente eliminato quelle chiavi di registro, sempre in mod provvissoria fai girare un ultima volta elibagle, e posti il log

dopodicchè segui le istruzioni del passaggio successivo, il punto 6)

dopo aver fatto ciò, scansione online con kaspersky e posta il report

Fai girare Elibagla ed allega il log, dopodichè vediamo il da farsi

Come ho detto, Elibagla dopo la scansione ed eventuale riavvio non mi lascia alcun log. La causa, penso, sta nel fatto che tenta di salvare il log in C:, mentre io ho l'HD in I:
C'è un modo per risolvere questo problema?

Windows Xp

Il link non è buono, la pagina non è più disponibile o link è errato.

Grazie

http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

Facciamo così disinstalla Kav è inutile fare una scansione con un software non aggiornato, pulita con Ccleaner, reinstalla il tuo AV dovrebbe essere McAfee dopodichè scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

Fatto, qui c'è il report http://www.fileup.itadib.com/download.php?id=iHvdDOm59rVM0Zt5snYq
mi dice che il mio Computer è infetto, solo che nel report ho letto che quelli che ha trovato non sono virus.

Ho pensato di provare a reinstallate Kav e stavolta si è attivato!
Quindi provo di nuovo dal punto 3.

Fatto, qui c'è il report http://www.fileup.itadib.com/download.php?id=iHvdDOm59rVM0Zt5snYq
mi dice che il mio Computer è infetto, solo che nel report ho letto che quelli che ha trovato non sono virus.

Ho pensato di provare a reinstallate Kav e stavolta si è attivato!
Quindi provo di nuovo dal punto 3.

Disinstalla AskTBar e cancella questo C:\Documents and Settings\Elena\Desktop\FILMI\Elisa\Nero-8.1.1.4_ita_trial.exe/Toolbar.exe
per il resto non mi sembra ci siano altri problemi a questo punto passa direttamente ai punti 7 - 8 - 9 ed allega i log richiesti per il controllo

Disinstalla AskTBar e cancella questo C:\Documents and Settings\Elena\Desktop\FILMI\Elisa\Nero-8.1.1.4_ita_trial.exe/Toolbar.exe
per il resto non mi sembra ci siano altri problemi a questo punto passa direttamente ai punti 7 - 8 - 9 ed allega i log richiesti per il controllo

Fatto!
Log file di HijackThis http://www.fileup.itadib.com/download.php?id=07yE7x9pFANPvrFoCPTF

Spero di essere a posto adesso

Fixa questa voce

O23 - Service: McAfee Application Installer Cleanup (0220281203678478) (0220281203678478mcinstcleanup) - Unknown owner - C:\DOCUME~1\Elena\IMPOST~1\Temp\022028~1.EXE (file missing)

per il resto mi sembra ok, come và il PC?

Fixa questa voce

O23 - Service: McAfee Application Installer Cleanup (0220281203678478) (0220281203678478mcinstcleanup) - Unknown owner - C:\DOCUME~1\Elena\IMPOST~1\Temp\022028~1.EXE (file missing)

perdona l'ignoranza, cosa vuol dire fixa la voce?

per il resto mi sembra ok, come và il PC?

Il pc va bene adesso, l'unica cosa è che le ultime volte ci ha messo molto a caricare Windows prima di essere completamente operativo, ma può darsi che dalla prox volta non sia più così.

Allego il log della scansione fatta con kaspersky online proprio ora, nel caso possa servire....
http://www.fileup.itadib.com/download.php?id=pR3ZwFxDB4nfNsuWXh31

Allego il log della scansione fatta con kaspersky online proprio ora, nel caso possa servire....
http://www.fileup.itadib.com/download.php?id=pR3ZwFxDB4nfNsuWXh31

Inserisci in Avenger lo Script indicato in Guida ed allega il log

Inserisci in Avenger lo Script indicato in Guida ed allega il log

e qui si ritorna al problema di fondo: avenger e altri tool simini non funzionano. "applicazione di win32 non valida".
esiste un metodo alterantivo? ho provato con il programma di rimozione beagle della Symantec ma non lo trova neanche :mc:

Hai fatto girare Elibagla?

e qui si ritorna al problema di fondo: avenger e altri tool simini non funzionano. "applicazione di win32 non valida".
esiste un metodo alterantivo? ho provato con il programma di rimozione beagle della Symantec ma non lo trova neanche :mc:

Ok, scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip

Ok, Averange scaricato da quel link funzia. allego log

Ok, Averange scaricato da quel link funzia. allego log

Prosegui coi punti 7 - 8 - 9 allega i log di HJT per il controllo

Prosegui coi punti 7 - 8 - 9 allega i log di HJT per il controllo

Eccolo. A occhio mi sembra vada tutto bene ora: i dvd si leggono, gli antivirus si installano ecc
confermate? :D
http://www.fileup.itadib.com/download.php?id=7UxiXkbULKp0m0gmgTxJ

Ciao, ecco il link del file INFOSAT:

http://www.fileup.itadib.com/download.php?id=GwYzWLWzcYIuA0djuSva

Grazie

Eccolo. A occhio mi sembra vada tutto bene ora: i dvd si leggono, gli antivirus si installano ecc
confermate? :D
http://www.fileup.itadib.com/download.php?id=7UxiXkbULKp0m0gmgTxJ

Log pulito, disinstalla correttamente Kav http://forum.kaspersky.com/index.php?showtopic=46926 e fixa questa voce:

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - I:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe (file missing)

Ciao, ecco il link del file INFOSAT:

http://www.fileup.itadib.com/download.php?id=GwYzWLWzcYIuA0djuSva

Grazie

SO in uso?

Ok, tutto a posto. Grazie dell'aiuto gente.
Ciao:D

Anche io sono stato infettato dal Bagle ed utilizzo Vista Ultimate con NOD32 che si è disattivato.
1) disattivato Ripristino di sistema
2) scansione con Elibagla: vi allego il file InfoSat.txt
Vado avanti con il terzo passo, a dopo e grazie :)
3) Errore nell'unione del file di registro scaricato: ...non tutti i dati sono stati scritti correttamente su registro. Alcune chiavi sono utilizzate dal sistema o da altri processi. In Modalità provvisoria poi non mi fa eliminare le chiavi Legacy_SROSA per errore di scrittura...
Come vado avanti???

sslve mi sono appena accorto di aver beccato questo virus.... ma devo seguire tutta quella procedura presente nel primo post? :eek:

sslve mi sono appena accorto di aver beccato questo virus.... ma devo seguire tutta quella procedura presente nel primo post? :eek:

si, se vuoi risolvere......nessuno obbliga nessuno ;)

si, se vuoi risolvere......nessuno obbliga nessuno ;)

speravo solo in una procedura + rapida :mbe:

Windows Xp Professional SP2

Volevo chiedere anche se formattando elimino il problema o corro il rischio che il virus abbia infettato anche qualche altro HD?
Grazie

Provato, non funge.

Chiavi sempre lì, fresche ed ineliminabili... :D :muro:


E' veramente un mistero.
;)

Io ci sono riuscito ;)
Allora:
Regedit
Cerchi la chiave
Click con il destro
Autorizzazioni
Avanzate
Controllo
Togli includi voci di controllo ereditabili
OK

Avanzate
Proprietario
Altri Utenti o Gruppi
Everyone
Ok
Ok

Avanzate
Everyone
Modifica
Controllo Completo
Ok

Stessa cosa la fai sulle chiavi sottostanti (in questo caso su 0000)

Poi elimini

Ciao

Ciao a tutti! :D
Dunque ho riscontrato nel mio portatile la presenza del virus Bagle, coi soliti sintomi (modalità provvisoria out, cpu molto occupata, antivirus al camposanto).
Gironzolando tra i vari forum ho trovato diverse soluzioni, tra cui l'uso di elibagla (che non ha portato a praticamente niente).
Successivamente ho provato con avenger, mi spiego:
-ho fatto una scansione delle cartelle critiche (windows e temp) online con kaspersky
-scansione con gmer x i soliti rootkit
-messo tutto quello che era sospetto nello script di avenger e avviato.

allego i vari log dei programmi, ma la situazione è che file come srosa.sys o hdlrr non riesce a cancellarmeli.
difatti rifacendo lo scan con gmer dopo il riavvio di avenger mi dice subito di aver trovato il rootkit hdlrrr, esattamente come prima.
detta cosi sembra una cosa sbrigativa, ma è una settimana che ci sto sbattendo la testa :muro:
c'è qualche anima pia che avrebbe voglia di darmi un po di assistenza? ve ne sarei moooooolto grato :D

ps: volevo cmq ringraziare tutti coloro che collaborano in questo forum che, anche indirettamente mi hanno permesso di risolvere davvero molti problemi quando il tecnico di turno continuava ad insistere a riformattare!!!

buona giornata a tutti!

log di avenger: http://www.fileup.itadib.com/download.php?id=qZ9hhfVcjBRQGEc5T1R9

log di gmer: http://www.fileup.itadib.com/download.php?id=TbL32WgWvUSsJb92pH4T

report di kaspersky online: http://www.fileup.itadib.com/download.php?id=Ru1KpUolISYR1bcjuRxu

script avenger: http://www.fileup.itadib.com/download.php?id=KQ4MzxuzEu2aCQDVZLHR

VI POSTO IL LOG DI ELIBAGLA:

CON ELIBAGLE MI TROVA IL VIRUS (NELLA GOOGLE TOOLBAR) MA.... POSSO FARE 100000 VOLTE LA SCANSIONE....E NON LO ELIMINA MAI!!!

CON AVANGER MI DA ERRORE E POSSO PREMERE OK SOLO UNA VOLTA E POI SI CHIUDE PROGRAMMA!!

PER TUTTI GLI ALTRI ANTI-VIRUS APPENA LI INSTALLO MI SI SPEGNE IL COMPUTER SENZA CONCLUDERE L'INSTALLAZIONE!!!

KE POSSO FARE??
SONO IN CRISSIIIIIII
E X DI PIU'...NEMMENO TANTO ESPERTA DI PC!!!

MI POTETE AIUTARE??? GRAZIE MILLE.
VALENTINA

vale c'è una versione di avenger che è immune dal solito problema degli antivirus che non si aprono...prova con questa, ti posto il link
dentro c'è anche hijackthis, sempre con la modifica

spero sia utile:D

http://www.fileup.itadib.com/download.php?id=oEk4XFJrWi9uLsMBFne8

Anche io sono stato infettato dal Bagle ed utilizzo Vista Ultimate con NOD32 che si è disattivato.
1) disattivato Ripristino di sistema
2) scansione con Elibagla: vi allego il file InfoSat.txt
Vado avanti con il terzo passo, a dopo e grazie :)
3) Errore nell'unione del file di registro scaricato: ...non tutti i dati sono stati scritti correttamente su registro. Alcune chiavi sono utilizzate dal sistema o da altri processi. In Modalità provvisoria poi non mi fa eliminare le chiavi Legacy_SROSA per errore di scrittura...
Come vado avanti???

Scansiona il Pc con questo tool anti rootkit http://www.gmer.net/gmer.zip elimina tutte le voci rosse segnalate con il tasto dx del mouse, dopodichè nuovo giro di EliBagla possibilmente da modalità provvisoria.

Windows Xp Professional SP2

Volevo chiedere anche se formattando elimino il problema o corro il rischio che il virus abbia infettato anche qualche altro HD?
Grazie

Teoricamente no ma io sono qui e tu sei li, decidi tu il da farsi.

Lo Script da inserire in Avenger è quello indicato in prima pagina, inoltre sarebbe stato opportuno fare una scansione online col Kav di tutto il sistema

grazie x avermi risposto:D
comunque, lo script della prima pagina l'ho già provato, senza miglioramenti. come ti dicevo infatti, qualsiasi cosa faccia, al riavvio vedo con gmer che il rootkit è ancora li.

x lo scan di kaspersky è vero, mea culpa, ho provato a farlo x tutta stanotte ma era arrivato solo al 26%.
se c'è proprio bisogno di farlo su tutto il sistema lo spedisco tra doma e lunedi, però il virus puo effettivamente attivarsi, fare qualcosa da cartelle che non sono di sistema?

grazie x avermi risposto:D
comunque, lo script della prima pagina l'ho già provato, senza miglioramenti. come ti dicevo infatti, qualsiasi cosa faccia, al riavvio vedo con gmer che il rootkit è ancora li.

x lo scan di kaspersky è vero, mea culpa, ho provato a farlo x tutta stanotte ma era arrivato solo al 26%.
se c'è proprio bisogno di farlo su tutto il sistema lo spedisco tra doma e lunedi, però il virus puo effettivamente attivarsi

a questo punto sarebbe opportuno

fare qualcosa da cartelle che non sono di sistema?

si

Scansiona il Pc con questo tool anti rootkit http://www.gmer.net/gmer.zip elimina tutte le voci rosse segnalate con il tasto dx del mouse, dopodichè nuovo giro di EliBagla possibilmente da modalità provvisoria.

Avviato gmer, mi elenca tante voci, ma nessuna in rosso, poi in modalità provvisoria ho avviato dinuovo EliBagla e mi ha trovato un file con il Bagle che ha eliminato. Ti allego il nuovo log. completo.
Da modalità provvisoria continuo a non poter eliminare le chiavi di registro elencate in primo POST.
Grazie ancora per la disponibilità.

Avviato gmer, mi elenca tante voci, ma nessuna in rosso, poi in modalità provvisoria ho avviato dinuovo EliBagla e mi ha trovato un file con il Bagle che ha eliminato. Ti allego il nuovo log. completo.
Da modalità provvisoria continuo a non poter eliminare le chiavi di registro elencate in primo POST.
Grazie ancora per la disponibilità.

Allegami un log di Gmer

Allegami un log di Gmer
Ecoolo :) Grazie

Ecoolo :) Grazie

Hostalo qui in formato .txt http://www.fileup.itadib.com

Hostalo qui in formato .txt http://www.fileup.itadib.com

Ti segno il link:
http://www.fileup.itadib.com/download.php?id=nhLbPCRBnv3N39TZM7AH
:)

Ti segno il link:
http://www.fileup.itadib.com/download.php?id=nhLbPCRBnv3N39TZM7AH
:)

Fai una scansione online con Eset http://www.eset.com/threat-center/cac.php
salva il report ed allegalo

Devi usere Internet Explorer

Fai una scansione online con Eset http://www.eset.com/threat-center/cac.php
salva il report ed allegalo

Devi usere Internet Explorer

Non riesco ad installare l'ActiveX anche se abbasso o disattivo la protezione.
Mi dice che le impostazioni di protezione correnti non consentono ai siti web di utilizzare i controlli ActiveX installati nel computer...
Nel frattempo ho riabilitato Centro scurezza PC, Windows Firewall e Windows Defender che dopo una scansione di 40 minuti non trova software dannosi.

Non riesco ad installare l'ActiveX anche se abbasso o disattivo la protezione.
Mi dice che le impostazioni di protezione correnti non consentono ai siti web di utilizzare i controlli ActiveX installati nel computer...
Nel frattempo ho riabilitato Centro scurezza PC, Windows Firewall e Windows Defender che dopo una scansione di 40 minuti non trova software dannosi.

disabilitare la modalità protetta

disabilitare la modalità protetta

Ho disabilitato la modalità protetta e riavviato Explorer ma non ne vuole sapere di andare :cry:

Ti segno il link:
http://www.fileup.itadib.com/download.php?id=nhLbPCRBnv3N39TZM7AH
:)

sospetto:

System32\Drivers\ae80f5c1.SYS

sospetto:

System32\Drivers\ae80f5c1.SYS

Quindi come mi consigli di procedere?

guarda la data di creazione del file

guarda la data di creazione del file

Ho cercato il file in tutto il computer anche mostrando i file nascosti e quelli protetti e di sistema, ricerca anche con "Effective file search" ma non trova niente.

Ho cercato il file in tutto il computer anche mostrando i file nascosti e quelli protetti e di sistema, ricerca anche con "Effective file search" ma non trova niente.

Avvia IE come Amministratore ovvere tasto dx del mouse Esegui come Amministatrore ovviamente devi consentire l'installazione del Controllo Active X

Ci sono caduto anch'io, il rapporto di elibagla è qui (http://www.fileup.itadib.com/download.php?id=OnrUF1ue5g4W6KOpqNa1).

EDIT: ho cambiato il link del log, ho riavviato e sono stati rimossi altri file.

http://www.fileup.itadib.com/downloa...DpJlDLDGbD1nga
questo è il mio log...

Ho provato a seguire il procedimento ma oltre a Elibagla non vado poichè kaspersky non me lo apre dicendo un errore... avenger lo stesso

http://www.fileup.itadib.com/download.php?id=JuFMciLtULe4ffxiD2Sr
questo è il rapporto di elibagla dopo vari tentativi di far partire kaspersky

up... aiuto perfavore... non riesco a risolvere

up... aiuto perfavore... non riesco a risolvere

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip

Ci sono caduto anch'io, il rapporto di elibagla è qui (http://www.fileup.itadib.com/download.php?id=OnrUF1ue5g4W6KOpqNa1).

EDIT: ho cambiato il link del log, ho riavviato e sono stati rimossi altri file.

Scarica Avenger da qui: http://www.wikifortio.com/630243/AntiBagle.zip ed iserisci lo script indicato in prima pagina

http://www.fileup.itadib.com/download.php?id=zashiuacwfAnNmKb5k7S
file gmer

http://www.fileup.itadib.com/download.php?id=B2XdPNbpWJloXFZSRGtO
file avenger

http://www.fileup.itadib.com/download.php?id=uVoVdxUae6aDUlI2cMK9
file awf aggiornato

serve altro?? ora che faccio?

http://www.fileup.itadib.com/download.php?id=zashiuacwfAnNmKb5k7S
file gmer

http://www.fileup.itadib.com/download.php?id=B2XdPNbpWJloXFZSRGtO
file avenger

http://www.fileup.itadib.com/download.php?id=uVoVdxUae6aDUlI2cMK9
file awf aggiornato

serve altro?? ora che faccio?

Nuovo log di EliBagla possibilmente da modalità provvisoria F8

Ecco il log di elibagla fatto in modalità provvisoria http://www.fileup.itadib.com/download.php?id=mwuQ3aUAdZz3FA1ih5Am i problemi persistono... :(

Ecco il log di elibagla fatto in modalità provvisoria http://www.fileup.itadib.com/download.php?id=mwuQ3aUAdZz3FA1ih5Am i problemi persistono... :(

Sistemiamo intanto una cosa, inserisci in Avenger questo Script:

Files to move:
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\bak\nvraidservice.exe | C:\WINDOWS\system32\nvraidservice.exe
C:\Programmi\Analog Devices\Core\bak\smax4pnp.exe | C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\bak\Smax4.exe | C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe

Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Dopidichè fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

Ciao a tutti!
Il pc di mia sorella era stato infettato dal virus Bagle. L'antivirus e la modalità provvisoria non funzionavano e non mi apriva più il secondo disco fisso (diceva che non era formattato).
Ho seguito le istruzioni trovate in questo forum per eliminare il virus, utilizzando elibagla, avenger, kaspersky ecc...
Mi sembra che sia andato tutto bene, ora ho installato Antivir che funziona correttamente, e la modalità provvisoria è ripartita.

L'unica cosa che non mi funziona è internet explorer 7.
Cioè appena avvio la connessione (alice adsl con il cavo ethernet) riesco a navigare per due o tre minuti, mi apre bene qualche pagina poi all'improvviso si ferma tutto, e mi dice "impossibile aprire la pagina web".
Devo quindi spegnere e riaccendere, e se mi ricollego fa la stessa cosa, due tre siti ok e poi si ferma.

Ho provato a reinstallare IE7, ma non è cambiato niente.
Ho tentato anche di disabilitare il firewall di xp, ma non me lo fa fare, l'opzione "disattivato" non è cliccabile.

Potete consigliarmi qualcosa?
Grazie!

Elisabetta

http://www.xp-smoker.com/downloads/xptcprep.exe
usare questo tool indicato in Guida

http://www.xp-smoker.com/downloads/xptcprep.exe
usare questo tool indicato in Guida

La guida l'ho seguita pari pari, e ho anche usato il tool che mi hai indicato. Il problema però persiste.

Log di HJT

● RIATTIVAZIONE DEI SERVIZI TERMINATI

accedere alla lista Servizi, quindi:
● Start
● Esegui
● nella finestra di dialogo digitare SERVICES.MSC e OK
a questo punto, si devono abilitare tutti i Servizi che risultano disabilitati
● Avvisi
● Centro sicurezza P.C.
● Aggiornamenti automatici
● Connessioni di rete
● Zero Configuration reti senza fili
● Windows Firewall/ Condivisione connessione Internet (ICS)
per avviare un servizio, tasto destro del mouse su:
● Proprietà
● Automatico
● Ok
● Avvia
● Ok
al termine si suggerisce di riavviare il sistema

ok, hai fatto il passaggio 4) ?

hai cercato ed eliminato esattamente quelle chiavi di registro rigorosamente in modalitò provvissoria?

dopo aver cercato ed eventualmente eliminato quelle chiavi di registro, sempre in mod provvissoria fai girare un ultima volta elibagle, e posti il log

dopodicchè segui le istruzioni del passaggio successivo, il punto 6)

dopo aver fatto ciò, scansione online con kaspersky e posta il report


Ciao, scusa se sono sparita nel weekend ma non ho avuto accesso al pc.
Non riesco ad eliminare le due chiavi di registro che ho trovato :( una non c'è.
Manca quella della cartella Control002 perchè non c'è la cartella; ci sono Control001 e Control003.

Salve a tutti..ieri mi sono beccato il famigerato "bagle"..lo so perché ha disattivato antivirus, antispy, antiquello e antiquesto e il pc ha tutti i sintomi da "Bagle" (modalità provvisoria disattivata compresa)...Tutto normale, seguo la guida di questo forum ma...è mai possibile che nonostante i sintomi, sul mio pc non esiste nessun virus, trojan o altro? nessun bagle avviato nella task manager, nessun file anche solo "sospetto"...lo so perché ho scansionato il pc da un altro xp che ho in una seconda partizione..dove naturalmente l'antivirus funziona..ma niente..in pratica io non avrei bagle..ma solo i suoi sintomi!!!!!! come comportarmi scongiurando la formattazione?

Ho preso anch'io il TOOSRR.SRR
ho seguito le istruzioni che avete postato all'inizio solo che non mi permette di installare kasperskystone
il software zshare installato non mi da lo script da voi segnalto
come posso risolvere
grazie

Salve a tutti..ieri mi sono beccato il famigerato "bagle"..lo so perché ha disattivato antivirus, antispy, antiquello e antiquesto e il pc ha tutti i sintomi da "Bagle" .......
Bene, ora che hai postato nella discussione corretta, segui la procedura indicata nella Guida (1° post) ed allega i log richiesti, con le modalità indicate ;) poi aspetti che qualcuno ti dica come procedere.

Ho preso anch'io il TOOSRR.SRR
ho seguito le istruzioni che avete postato all'inizio solo che non mi permette di installare kasperskystone
il software zshare installato non mi da lo script da voi segnalto
come posso risolvere
grazie

Scusami ma no ho capito nulla, hai seguito la procedura indica in Guida? Se si allega i log di EliBagla ed Avenger

Leggere http://www.hwupgrade.it/forum/showpost.php?p=18884140&postcount=1

Anche io ho beccato il Bagle:muro: :muro: .

@ AG91, intanto, riedita il post in cui hai copiato il log di EliBagla, e leggi la guida: è spiegato, chiaramente, come devono essere allegati i log. E nello stesso post, allega, anche il log di Avenger.

è che non so come si usa Avenger, e Kaspersky non mi si installa:mbe: :confused: :muro: !

è che non so come si usa Avenger ....
Ma la guida la hai letta? :muro:
Usare avenger: http://www.zshare.net/download/78195176ae5106/
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Lo script da copiare ed incollare, lo trovi nella guida :)

Grazie!:)

Ho aggiunto il log di Avenger!

Ho aggiunto il log di Avenger!
Weee bambolo, ma mi prendi per il culo? :mbe:
@ AG91, intanto, riedita il post in cui hai copiato il log di EliBagla, e leggi la guida: è spiegato, chiaramente, come devono essere allegati i log. E nello stesso post, allega, anche il log di Avenger.
Riedita quel diamine di post, ed allega i log con le modalità richieste :ncomment:

Weee bambolo, ma mi prendi per il culo? :mbe:

Riedita quel diamine di post, ed allega i log con le modalità richieste :ncomment:

Ehm, ma l'hai letto il Post Scriptum?:confused:

Ehm, ma l'hai letto il Post Scriptum?:confused:
E' vero :( la Guida non è stata aggiornata in questo senso (me ne sono accorto ora) :muro:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Ora riedita il post per favore.

Ok fatto, ho anche fatto la pulizia di CCleaner! Ecco il log hi HJT

Ok fatto, ho anche fatto la pulizia di CCleaner! Ecco il log hi HJT
Ma tu navighi senza antivirus?

AVG non si apre!

Disinstalla tutte le toolbar che hai installato: sono solo portatrici di porcherie.
Una volta disinstallate, Riavvia il sistema; una volta riavviato, rilancia HThis e fixa queste voci, intanto:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

Poi prosegui cosi:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

rilancia HThis e pulisci eventuali ADS, ovvero:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Installa KASPERSKY VIRUS REMOVAL TOOL
clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP e Windows Vista
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Procedura di disinstallazione di KASPERSKY VIRUS REMOVAL TOOL
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta portata a termine l'intera procedura prevista dalla Guida

Installa SUPER ANTISPYWARE:
clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Terminate le scansioni, riavvia il sistema, ed alleghi, anche, un nuovo log di HThits

Buongiorno a tutti!!!
E' da ieri sera che ho a che fare con un Bagle. Esaurite le mie risorse da non competentissima in materia, ho deciso di seguire le vostre indicazioni sul forum (la parte dedicata a windows vista).
Purtroppo succedono una serie di imprevisti che nn rispettano i punti che voi indicati.
Del tipo:

- Durante la scansione di EliBagle appaiono frequentissime (e per frequentissime intendo almeno 30 di volte) finestre windows che segnalano l'impossibilità di esaminare una determinata cartella.

- Scaricato e scompattato questo file:

http://www.zshare.net/download/4997787b160993/

Non è possibile avviarlo (.reg) all'interno e quindi unirlo al registro di sistema.
E se avvio in modalità provvisoria il mio so Windows vista, non mi viene data la possibilità di fare nulla, poichè safeboot, piuttosto che Elibagle arrivando fino al comando Esegui (regedit.exe), non sono disponibili.

- Ho poi provato a cancellare le cartelle di sistema da voi indicate, ma niente da fare. In vista non è sempre possibile cancellare i file di sistema.

In poche parole ho eseguito, o meglio ho tentato di eseguire tutti i vostri passaggi ma non sono consequenziali cosi come sono esposti.
Ho appena finito di eseguire una delle tante scansioni con EliBagle ed il virus compare sempre nonostante "Eliminar ficheros automticamente" sia fleggato.
Quindi ho lasciato da parte Elibagle e sto eseguendo la scansione onLine con KasperSky sperando in un'ultima soluzione.

Ora mi chiedo. E' davvero possibile eliminare definitivamente un Bagle su Windows Vista o tantovale Ripristinare le impostazioni di sistema e reinstallarlo?

Vi chiedo aiuto tramite Mail, che posterò comunque sul forum, per creare meno confusione e magari ricevere una spiegazione più direttamente. Per qualsiasi chiarimento o info maggiori sn a disposizione.

Grazie mille, Fla.:)

grazie x avermi risposto:D
comunque, lo script della prima pagina l'ho già provato, senza miglioramenti. come ti dicevo infatti, qualsiasi cosa faccia, al riavvio vedo con gmer che il rootkit è ancora li.



a questo punto sarebbe opportuno



si


ecco il log della scansione sull'intero sistema di kaspersky online: http://www.fileup.itadib.com/download.php?id=2kHGsyBNEvRa4hM641fa

mi date qualche dritta sul da farsi?

Sistemiamo intanto una cosa, inserisci in Avenger questo Script:



Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Dopidichè fai un scansione online usando IE col Kaspersky
http://www.kaspersky.it/Servizi/virusscanner.asp
salva il report in formato Html ed allegalo
Seleziona ScanTarget My Computer e Scan using the following antivirus database extended

avenger log
http://www.fileup.itadib.com/download.php?id=gbfy3NwLMSPGKi0hzkiA

kaspersky online fatto dopo avenger
http://www.fileup.itadib.com/download.php?id=1YyjeRlCfoIxE2YuB6di

and now?

1 Inizia col disabilitare il ripristino configurazione sistema

2 Svuota il cestino

3 Inserisci in Avenger questo Script

Files to delete:
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_1[2].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FTJ1N9EV\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FZYQOQ8J\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[3].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\LD21TGQQ\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\M8VZ7PZR\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\N7SQJ1IQ\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[3].jpg
C:\WINDOWS\system32\drivers\down\121656.exe
C:\WINDOWS\system32\drivers\down\131562.exe
C:\WINDOWS\system32\drivers\down\14672281.exe
C:\WINDOWS\system32\drivers\down\14684687.exe
C:\WINDOWS\system32\drivers\down\29301765.exe
C:\WINDOWS\system32\drivers\down\43969453.exe
C:\WINDOWS\system32\drivers\down\43980500.exe
C:\WINDOWS\system32\drivers\down\58506546.exe
C:\WINDOWS\system32\drivers\down\73170843.exe
C:\WINDOWS\system32\drivers\down\87781500.exe
C:\WINDOWS\system32\drivers\down\87795000.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup.zip
C:\avenger\mdelk.exe

Folders to delete:
C:\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

al termine allega il log di Avenger, inoltre indicami quale Antivirus usi, ovviamente prima del macello

Spiegami che problemi riscontri perchè del Bagle non c'è più traccia

http://www.fileup.itadib.com/download.php?id=CcVr3IHZutEgi01lXpbn
ecco il log

Prima usavo il symantec antivirus...
Che antivirus mi consigli di mettere??
Comunque ancora non partono prog come msn e se installo il symantec non và il live update

http://www.fileup.itadib.com/download.php?id=drHHoMaUTCLWKDz9qdaq


ecco il log.
un paio di problemi:
a) al momento dell'ok x avenger mi è apparso un errore, dicendo che non poteva creare il file zippato, presumo del backup ma non ne sono certo.cmq dovrebbe essere riportato nel log
b) quando stavo cercando di risponderti dopo il riavvio di avenger, mi è crashato il sistema (classica schermata blu) e si è riavviato.
e mi sa che l'avenger non ha fatto molto.nel senso che dal log si capisce che i file in system32/drivers/down li ha effettivamente cancellati, ma dopo il crash ho ricontrollato e se ne sono creati degli altri!!

l'antivirus che usavo è il nod32.
salvami!!!! :D

ps vado via x un paio d'ore, dalle sette e mezza ci sono!

Solo per scrupolo elimina Avenger e relative cartelle, riscaricalo e reinserisci lo script indicato

http://www.wikifortio.com/630243/AntiBagle.zip

dopodichè reinstalli il Nod e fai una scansione completa del sistema e mi alleghi il report poi segui il punto 7 - 8 - 9 della Guida

http://www.fileup.itadib.com/download.php?id=CcVr3IHZutEgi01lXpbn
ecco il log

Prima usavo il symantec antivirus...
Che antivirus mi consigli di mettere??
Comunque ancora non partono prog come msn e se installo il symantec non và il live update

Leggere bene i reply hai inserito in Avenger lo script per breathe0, disinstalla nuovamente l'antivirus pulisci con Ccleaner http://www.ccleaner.com/download/builds/downloading-portable (non richiede installazione) scompattare lo zip (possibilmente in una cartella creata solo per lui) e lanciare il file eseguibile ccleaner.exe

Clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia

Reinstalla l'antivirus e fammi sapere

Risolto... L'antivirus...
Msn devo reinstallarlo??
Tu che antivirus mi consigli??
Ora devo fare la cosa di attivare ciò ceh è disattivato?

Risolto... L'antivirus...

Bene

Msn devo reinstallarlo??

E' opportuno disinstallarlo e reinstallarlo

Tu che antivirus mi consigli??

Visto che hai un'AV licenziato cioè a pagamento tieni quello fino a scadenza poi ci penserai, fai uno scan completo del sistema

Ora devo fare la cosa di attivare ciò ceh è disattivato?

se hai servizi da riattivare si

porta a termine la guida ed allega i log richiesti

Solo per scrupolo elimina Avenger e relative cartelle, riscaricalo e reinserisci lo script indicato

http://www.wikifortio.com/630243/AntiBagle.zip

dopodichè reinstalli il Nod e fai una scansione completa del sistema e mi alleghi il report poi segui il punto 7 - 8 - 9 della Guida

altra cosa strana: ho eliminato tutta la cartella C:\avenger, ma non riesco a cancellare il file mdelk.exe, che ha come icona un mazzo di chiavi.
ho provato a eliminarlo normalmente:" impossibile leggere dal file o dal disco di origine", con delete doctor non funziona nessuno dei 4 metodi.....suggermenti? riprovo comunque con l'avenger del tuo link?

altra cosa strana: ho eliminato tutta la cartella C:\avenger, ma non riesco a cancellare il file mdelk.exe, che ha come icona un mazzo di chiavi.
ho provato a eliminarlo normalmente:" impossibile leggere dal file o dal disco di origine", con delete doctor non funziona nessuno dei 4 metodi.....suggermenti? riprovo comunque con l'avenger del tuo link?

come?

cioè, dovrebbe essere il primo file ad essere stato rimosso tramite la guida....:confused:

nn so bene che procedura hai seguito, xò c'è qualkosa che nn va oppure sono io che nn ho cpt bene...direttamente dalla prima pagina:

Come si propaga e come agisce questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file(molto spesso si chiamava trusted.exe) crea vari files(eseguibili e drivers) ,principalmente localizzati nella directory di windows.
Uno di essi, hidr.exe(nelle ultime varianti mdelk.exe)

:confused:

dimenticavo, il file che non riesco a cancellare, mdelk.exe, è quello nella cartella di avenger, non di system32

:confused:

mdelk.exe è il file che si occupa di terminare e cancellare gli eseguibili dei softwares di sicurezza...

dimenticavo, il file che non riesco a cancellare, mdelk.exe, è quello nella cartella di avenger, non di system32

hai provato ad usare unlocker?
usa nuovamente elibagle

dimenticavo, il file che non riesco a cancellare, mdelk.exe, è quello nella cartella di avenger, non di system32

ecco....allora avevo cpt male io

mdelk.exe è il file che si occupa di terminare e cancellare gli eseguibili dei softwares di sicurezza...

si lo so, quello che avevo scrittobreathe poteva essere un po frainteso...

quindi, breathe: nn riesci a cancellare il backup di avenger?

prova a cancellarlo in modalità provvissoria

guarda, ho provato a seguire la guida giorni fa ma non ha funzionato.
i file si ricreavano dopo il riavvio.
ho fatto la scansione del pc con kaspersky online, visto che gli antivirus sono bloccati (uso il nod32), il cui report lo puoi trovare qualche messaggio più in su.
mi sono fatto fare lo script da chillout e l'ho piazzato in avenger ma non è servito: come ti dicevo nel pc (dopo essere stranamente andato in crash dopo il riavvio da parte di avenger) si sono ricreate le cartelle (ad esempio windows\system32\down, i cui file da cancellare erano tutti nello script ma che appunto si sono ricreati).
se puoi darmi una mano anche tu te ne sarei grato!:D
se ti interessa, la "storia" del mio virus è nelle ultime 3 pagine del thread!

hai provato ad usare unlocker?
usa nuovamente elibagle

anche unlocker non funziona...ma il fatto che l'icona sia un mazzo di chiavi, è proprio l'icona del virus o magari un modo x dire che il file è stato "bloccato" da avenger?

dalla scansione di kaspersky si evince che tu NON hai disattivato ripristino configurazione di sistema e quindi tutto ciò che hai fatto è stato perfettamente inutile

anche unlocker non funziona...ma il fatto che l'icona sia un mazzo di chiavi, è proprio l'icona del virus o magari un modo x dire che il file è stato "bloccato" da avenger?

no. penso sia la sua icona :D

ecco....allora avevo cpt male io



si lo so, quello che avevo scrittobreathe poteva essere un po frainteso...

quindi, breathe: nn riesci a cancellare il backup di avenger?

prova a cancellarlo in modalità provvissoria

se per backup intendi la cartella zippata, già fatto.
rimane solo il file mdelk.exe, che non posso cancellare in mod provvisoria perchè sto ***** me l'ha disattivata, in pieno stile bagle.
elibagla l'ho utilizzato un bel po di volte ma non ha fatto granchè

guarda, ho provato a seguire la guida giorni fa ma non ha funzionato.
i file si ricreavano dopo il riavvio.
ho fatto la scansione del pc con kaspersky online, visto che gli antivirus sono bloccati (uso il nod32), il cui report lo puoi trovare qualche messaggio più in su.
mi sono fatto fare lo script da chillout e l'ho piazzato in avenger ma non è servito: come ti dicevo nel pc (dopo essere stranamente andato in crash dopo il riavvio da parte di avenger) si sono ricreate le cartelle (ad esempio windows\system32\down, i cui file da cancellare erano tutti nello script ma che appunto si sono ricreati).
se puoi darmi una mano anche tu te ne sarei grato!:D
se ti interessa, la "storia" del mio virus è nelle ultime 3 pagine del thread!

Allora qui c'è qualcosa che non quadra, il ripristino configurazione sistema è disattivato?

il ripristino configurazione sistema è disattivato?

leggi 2-3 mex + in alto... :muro:

dalla scansione di kaspersky si evince che tu NON hai disattivato ripristino configurazione di sistema e quindi tutto ciò che hai fatto è stato perfettamente inutile

no...no dai
non me lo puoi dire cosi dopo 23 ore di scansione!!!:eek:

cavoli pensavo che la disattivazione del ripristinio durasse anche dopo un riavvio!!!!!!!
mannaggia....ma per farmi un po di chiarezza, qual'è il motivo per cui devo disattivare il ripristinio?

leggi 2-3 mex + in alto... :muro:

e che cavolo :muro: cosa ti avevo scritto qui: http://www.hwupgrade.it/forum/showpost.php?p=21281555&postcount=1880

Log di Hijack dopo aver finito il procedimento
http://www.fileup.itadib.com/download.php?id=hcWde3aNS0kINLg6WOLH

Tutto in ordine?

no...no dai
non me lo puoi dire cosi dopo 23 ore di scansione!!!:eek:

cavoli pensavo che la disattivazione del ripristinio durasse anche dopo un riavvio!!!!!!!
mannaggia....ma per farmi un po di chiarezza, qual'è il motivo per cui devo disattivare il ripristinio?

spero tu stia scherzando se ti viene detto di disabilitare il ripristino (tra l'altro è scritto anche in Guida) cosa dici forse è il caso di farlo

lo so chillout chiedo perdono!!!
siccome l'avevo già fatto in precedenza, pensavo che l'opzione persistesse anche dopo un riavvio, come quando modifichi una qualunque proprietà!!!
chiedo venia!

in tal caso rifaccio la scansione, DOPO AVER DISATTIVATO IL RIPRISTINIO CONFIGURAZIONE DI SISTEMA e ve lo mando.

x chillout: l'ultima domanda non voleva essere uno scherzo: chiedevo perchè si dovesse disattivare proprio perchè ero curioso di sapere il motivo "tecnico" diciamo! anchio faccio informatica, ma sono ovviamente ad un livello + basso di voi, e di certo non intendevo dire che cascavo dalle nuvole sulla questione!

Tutto in ordine?

no....

fixa queste voci in hijackthis:



O20 - AppInit_DLLs:
O21 - SSODL: rdihost - {8C8DCAA5-A472-4F3E-8935-D10DF69DCE5B} - rdihost.dll (file missing)



queste voci nn so cosa siano:

O4 - HKLM\..\Run: [h3yb0y1] "C:\WINDOWS\SYSTEM32\DRIVERS\awf\LSASS.exe" C:\WINDOWS\SYSTEM32\DRIVERS\awf\system.exe C:\WINDOWS\SYSTEM32\DRIVERS\awf\serv-u.ini


nn so chi ti stava seguendo, cmq rileggo il tuo percorso, visto che chill forse è gia impegnato

in tal caso rifaccio la scansione, DOPO AVER DISATTIVATO IL RIPRISTINIO CONFIGURAZIONE DI SISTEMA e ve lo mando.

mi sento un pirla:doh:

No non c'è bisogno fai quello che ti ho indicato al post http://www.hwupgrade.it/forum/showpost.php?p=21281555&postcount=1880 nota bene ho modificato lo script per via del casino che hai fatto

1 Inizia col disabilitare il ripristino configurazione sistema

2 Svuota il cestino

3 Inserisci in Avenger questo Script

O4 - HKLM\..\Run: [h3yb0y1] "C:\WINDOWS\SYSTEM32\DRIVERS\awf\LSASS.exe" C:\WINDOWS\SYSTEM32\DRIVERS\awf\system.exe C:\WINDOWS\SYSTEM32\DRIVERS\awf\serv-u.ini

da fixare

Murack le 2 voci che mi hai detto le ho fixate e con le altre che faccio?? Per il resto tutto ok?

Letto ora il post di chill... Il resto tutto bene?? faccio qualche altro controllo?

in tal caso rifaccio la scansione, DOPO AVER DISATTIVATO IL RIPRISTINIO CONFIGURAZIONE DI SISTEMA e ve lo mando.

x chillout: l'ultima domanda non voleva essere uno scherzo: chiedevo perchè si dovesse disattivare proprio perchè ero curioso di sapere il motivo "tecnico" diciamo! anchio faccio informatica, ma sono ovviamente ad un livello + basso di voi, e di certo non intendevo dire che cascavo dalle nuvole sulla questione!

Leggi http://www.hwupgrade.it/forum/showpost.php?p=21286205&postcount=1908

poi quando siamo usciti dal macello te lo spiego

Letto ora il post di chill... Il resto tutto bene?? faccio qualche altro controllo?

Allega nuovo log di HJT per il controllo

http://www.fileup.itadib.com/download.php?id=O5KVKFZUTDhdv6ggrAdf

ecco il log ... non ne potevo più di questo virus ... ora che ci siamo puliamo tutto XD

eseguito lo script di avenger e guarda un po', superantispyware ha ripreso vita, segnalandomi wintems.exe e hdlrrr.exe in system32. penso sia un buon punto, ma non l'uscita dal tunnel!
ora, dicevi, installo nod, scansione, ti mando il post e passi 7 8 e 9 della guida giusto? (nè che memoria!:D )
intanto, here comes the log, the avenger's log: http://www.fileup.itadib.com/download.php?id=AOzq8g12JSDMdPu7VYda

http://www.fileup.itadib.com/download.php?id=O5KVKFZUTDhdv6ggrAdf

ecco il log ... non ne potevo più di questo virus ... ora che ci siamo puliamo tutto XD

log pulito :)

problemi al pc?

eseguito lo script di avenger e guarda un po', superantispyware ha ripreso vita, segnalandomi wintems.exe e hdlrrr.exe in system32. penso sia un buon punto, ma non l'uscita dal tunnel!
ora, dicevi, installo nod, scansione, ti mando il post e passi 7 8 e 9 della guida giusto? (nè che memoria!:D )
intanto, here comes the log, the avenger's log: http://www.fileup.itadib.com/download.php?id=AOzq8g12JSDMdPu7VYda

Adesso inserisci lo script indicato in prima

in avenger immetti questo script

Registry values to replace whit dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

poi segui nuovamente la guida alla prima pagina

in avenger immetti questo script



poi segui nuovamente la guida alla prima pagina

scusami bugs bunny, questa stringa è per me?

scusami bugs bunny, questa stringa è per me?

WringhioW

ecco il log di avenger dello script della prima
http://www.fileup.itadib.com/download.php?id=VxyzCycU9Z4ebzdxVH4r

ecco il log di avenger dello script della prima
http://www.fileup.itadib.com/download.php?id=VxyzCycU9Z4ebzdxVH4r

http://www.hwupgrade.it/forum/showpost.php?p=21286496&postcount=1915

ora procedi col Nod etc......

questa è bella!
ho installato il nod ma quando lo apro mi da il solito messaggio che non è un applicazione valida!!!:muro:

?????

ho però superantispyware che funge...scandisco con questo?

Disinstalla correttamente il Nod pulisci con Ccleaner http://www.hwupgrade.it/forum/showthread.php?t=1589984
e reinstalla

log pulito :)

problemi al pc?


messenger pur disinstallando e reinstallandolo non parte :( per il resto ancora non ho notato nulla

uff.....ho scaricato ccleaner dalla pagina che mi hai dato, scompattato, clicco sopra l'eseguibile ma nada, non parte! sarò proprio sfigato...:mbe:

se lo avvio direttamente dalla cartella zippata, me lo fa vedere x meno di un secondo e poi scompare

Il cestino avevi provveduto a svuotarlo

messenger pur disinstallando e reinstallandolo non parte :( per il resto ancora non ho notato nulla

che problema ti dà nello specifico

che problema ti dà nello specifico


premo l'icona per aprirlo ma non si apre...
solo nel task manager mi indica che è aperto...
se lo provo a riavviare se ne aprono altri nel task manager ma nulla...

premo l'icona per aprirlo ma non si apre...
solo nel task manager mi indica che è aperto...
se lo provo a riavviare se ne aprono altri nel task manager ma nulla...

Mi posti un nuovo log di HJT

si il cestino era ed è vuoto...dopo un riavvio di cortesia anche con la cartella decompressa, lo fa vedere x un millisecondo e poi il nulla..

non ci sono software analoghi che fanno lo stesso lavoro?

A questo punto l'unica soluzione è far girare EliBagla ed inserire in sequenza i due Scirpt prestando attenzione al ripristuno configurazione sistema che deve essere disattivato

http://www.fileup.itadib.com/download.php?id=FoPr3xyDmT7DpawkrRIV
ecco il log

x i due script intendi quello generale della prima e quello "riservato" x me? ma a questo punto non posso mettere le varie stringhe tutte in uno script?
anche perchè ho notato che si sono riformati i maledetti file della cartella down!

x i due script intendi quello generale della prima e quello "riservato" x me? ma a questo punto non posso mettere le varie stringhe tutte in uno script?
anche perchè ho notato che si sono riformati i maledetti file della cartella down!

si esatto ma falli in sequenza

http://www.fileup.itadib.com/download.php?id=FoPr3xyDmT7DpawkrRIV
ecco il log

Ma che versione di Messenger ti sei scaricato e da dove?

va bene, li farò allora domani, che non vorrei abusare del tuo tempo visto che siamo qui da 2 ore:D

cmq nel frattempo stanotte faccio una scansione col mcafee on line, consigliato da amici che a differenza del kas on line, i file infetti li cancella pure.

speriamo! a domani

va bene, li farò allora domani, che non vorrei abusare del tuo tempo visto che siamo qui da 2 ore:D

cmq nel frattempo stanotte faccio una scansione col mcafee on line, consigliato da amici che a differenza del kas on line, i file infetti li cancella pure.

speriamo! a domani

al posto del mcafee, fai la scansione online con bitdefender, che rimuove pure:

http://www.bitdefender.com/scan8/ie.html

e salva il report in html

cmq nel frattempo stanotte faccio una scansione col mcafee on line, consigliato da amici che a differenza del kas on line, i file infetti li cancella pure.

se li rileva il che ho i miei dubbi

allora, che bitdefender sia...
tanto per provare qualunque cosa!

buonanotte a tutti

allora, che bitdefender sia... tanto per provare qualunque cosa! buonanotte a tutti
Prima della scansione, aggiorna JAVASUN, sei, ancora, alla versione 1.5.1: praticamente al tempo delle palafitte :)
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

Domanda: ma gli aggiornamenti di sistema, da Windows Update, li esegui?

Ti ho accorpato i due Script

Files to delete:
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_1[2].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FTJ1N9EV\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FZYQOQ8J\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[3].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\LD21TGQQ\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\M8VZ7PZR\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\N7SQJ1IQ\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[3].jpg
C:\WINDOWS\system32\drivers\down\121656.exe
C:\WINDOWS\system32\drivers\down\131562.exe
C:\WINDOWS\system32\drivers\down\14672281.exe
C:\WINDOWS\system32\drivers\down\14684687.exe
C:\WINDOWS\system32\drivers\down\29301765.exe
C:\WINDOWS\system32\drivers\down\43969453.exe
C:\WINDOWS\system32\drivers\down\43980500.exe
C:\WINDOWS\system32\drivers\down\58506546.exe
C:\WINDOWS\system32\drivers\down\73170843.exe
C:\WINDOWS\system32\drivers\down\87781500.exe
C:\WINDOWS\system32\drivers\down\87795000.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup.zip
C:\avenger\mdelk.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe

Folders to delete:
C:\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

buongiorno a tutti.
grazie riverside per l'interessamento, più siamo meglio è!
ormai le cose strane qui si moltiplicano, cmq inizio a risponderti alle tue questioni:
a)è strano che mi dici che java sia vecchio perchè ho appena controllato e la versione è 1.6.0, ho provato a fare gli aggiornamenti ma mi dice che è aggiornato
b)strange thing of the day: casualmente ieri sera il sistema ha provato da solo a fare l'installazione degli aggiornamenti di windows.
stamattina controllo anche sul sito di windows update e intanto avevo il servizio "aggiornamenti automatici" arrestato (e queste cose di sicuro non le arresto io!), poi vado a vedere la cronologia degli aggiornamenti e vedo che quasi tutti quelli che ha provato a fare ieri non sono terminati. scendo la lista e quello immediatamente prima del gruppo di ieri risale al...giugno 2007!!
a questi aggiornamenti non ci bado tanto ma solo perche so che sono in automatico, quindi download e installazione posso anche non vederli. e a quanto pare invece si sono fermati tempo fa!

cmq, se vogliamo proprio includere tutti i problemi (tanto per rendere + chiara la situazione) il problema maggiore e l'eccessivo utilizzo della cpu e di consequenza le alte temperature del pc, cosa che però ho ricollegato ultimamente al bagle (devo averlo letto da qualche parte) ma ormai non ci metterei più la mano sul fuoco.
cmq, allego il log del bitdefender e tra un po faccio la scansione con elibagla ed eseguo loscript di avenger come detto da chill-out.

http://www.fileup.itadib.com/download.php?id=CT9ZnO5jhVlfg87z7fW6

fatemi sapere!

Sinceramente sarei curioso di sapere cos'hai combinato nel senso che, stavo ricontrollando a ritroso i log allegati in precedenza e le 2 possibili ipotesi sono le seguenti:

1 o hai avurto la maledetta sfortuna di beccare una nuova ennesima variante non riconusciuta dagli AV e nello specifico da Kav online
(mi sembra strano che Kav non abbia riconusciuto C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Infected with: Trojan.Downloader.Bagle.EY) ma nel log del Kav non c'è :mbe:

2 oppure alcuni file infetti sono magicamente spariti in quanto Kav li rileva ma Avenger non li trova e non li cancella dove sono finiti?

attendo i log

il problema maggiore e l'eccessivo utilizzo della cpu e di consequenza le alte temperature del pc, cosa che però ho ricollegato ultimamente al bagle
Beh, questo è un problema che potrebbe anche non dipendere da beagle ma, piuttosto dal fatto che il P.C. sia ormai saturo di polvere e porcheria varia tirata su, nel tempo, dalle ventole di raffreddamento.
Da quando tempo non vai una pulizia del case in quel senso?

Per il resto concordo con Chill: ci sono diversi aspetti, in questa questione, che non tornano.

@ Chill, socio, ascolta: secondo me (per evitare dispersioni nella discussione, visto che qui continuano a postare anche altri utenti) sarebbe ideale fare aprire a breathe, un nuovo post, nella sezione generica di Aiuto sono infetto, e ripartire dall'inizio con tutta la analisi: tu cosa ne pensi?
grazie riverside per l'interessamento, più siamo meglio è!
Guarda, vista la tua situazione, invece, meno siamo e meglio è; se ci mettiamo in troppi a seguire la cosa, non se ne esce, davvero più.

@ Chill, socio, ascolta: secondo me (per evitare dispersioni nella discussione, visto che qui continuano a postare anche altri utenti) sarebbe ideale fare aprire a breathe, un nuovo post, nella sezione generica di Aiuto sono infetto, e ripartire dall'inizio con tutta la analisi: tu cosa ne pensi?

ritengo sia opportuno risolvere la questione del Bagle qui, poi per quanto concerne il resto degli eventuali possibili problemi se l'utente è disponibile si può aprire anche un'altra discussione ;)

Disinstalla tutte le toolbar che hai installato: sono solo portatrici di porcherie.
Una volta disinstallate, Riavvia il sistema; una volta riavviato, rilancia HThis e fixa queste voci, intanto:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

Poi prosegui cosi:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

rilancia HThis e pulisci eventuali ADS, ovvero:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Installa KASPERSKY VIRUS REMOVAL TOOL
clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP e Windows Vista
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Procedura di disinstallazione di KASPERSKY VIRUS REMOVAL TOOL
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta portata a termine l'intera procedura prevista dalla Guida

Installa SUPER ANTISPYWARE:
clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Terminate le scansioni, riavvia il sistema, ed alleghi, anche, un nuovo log di HThits

Allora, il log è allegato! Per quanto riguarda la scansione, dovevo flaggare tutte le opzioni, o solo quelle di default (Startup Objects e Disk Boot)?

log elibagla:http://www.fileup.itadib.com/download.php?id=8GjPLLicGmsCDrr84CCh

log avenger:http://www.fileup.itadib.com/download.php?id=KBFB0iOvzLEAbIQi28RR

@chillout: è vero, nella mia ignoranza in materia penso che magari certi file prima ci sono e poi no perche con tutte le scansioni e le sessioni di avenger, alcuni file si cancellano, altri no, altri si ricreano. quindi nei rispettivi log scompaiono e ricompaiono....poi come ti ripeto, non me ne intendo!

@riverside: il mio è un portatile, quello che posso fare x pulirlo è l'aria compressa nei punti critici, non l'ho ancora aperto perchè non saprei dove mettere mani! cmq anche li, la situazione dopo la "pseudo-pulizia" migliora x qualche giorno, poi ritorna la stessa (x quanto concerne le alte temperature)

attendo ordini

ciao a tutti!

dopo anni anche io sono caduto nella trappola dei virus: nel caso specifico Bagle.

Scusate se il problema è stato già posto ma leggere 100 pagine di thread in queste situazioni è snervante e non so perchè è da parecchio tempo che sto avendo problemi col motore di ricerca del forum.

Ad ogni modo.

Ho seguito la guida alla lettera. E tutto sembra essere tornato alla normalità, tranne che per una cosa: mi è impossibile usare windows update. Quando lo apro con internet explorer 7, invece della interfaccia, mi compare questa scritta:

Grazie per avere visitato il sito degli aggiornamenti.

Il sito Web è progettato per funzionare esclusivamente con i sistemi operativi Microsoft Windows.
Per ottenere aggiornamenti per altri prodotti Microsoft progettati per sistemi operativi Macintosh, visitare il sito all'indirizzo http://www.microsoft.com/mac/.

La scansione del Kaspersky online non è possibile e quindi sono passato a BitDefender come ho letto in questi ultimi post. Elibagle l'ho fatto girare anche in modalità provvisoria e non ha trovato nulla. Non so davvero dove altro sbattere la testa. Il sistema operativo e XP Pro SP2.

Grazie a tutti!

EDIT: Ho provato anche a reinstallare IE7 ma il risultato non cambia.

Allora, il log è allegato!
Certo che tu, a leggere fai davvero fatica: dove sono i log di SuperAntispyware ed il nuovo log di Htis? :mbe:
Per quanto riguarda la scansione, dovevo flaggare tutte le opzioni, o solo quelle di default (Startup Objects e Disk Boot)?
Oltre a quelle di default devi flaggare quella per la scansione di C:, altrimenti a che serve eseguire la scansione? :muro:

....

ciao, leggi questo e vedi se fa al caso tuo:
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

Ho seguito la guida alla lettera. E tutto sembra essere tornato alla normalità
.... tranne che per una cosa: mi è impossibile usare windows update.
Nella Guida (ed in un mio specifico post, qualche pagina più dietro) è specificato quali sono i servizi che il virus disabilita e che devono essere, riavviati manualmente.
Leggi la Guida oppure cercarti il post: non sempre la pappa viene servita.

Edit: va beh ...... oggi voglio fare il buono :) ecco il mio post:
http://www.hwupgrade.it/forum/showpost.php?p=20983424&postcount=1441

aggiornamento:
dopo elibagla e avenger, sono riuscito a far funzionare ccleaner (prima non riuscivo) e ho fatto le varie pulizie secondo la guida.
ho provato quindi a installare kaspersky ma cmq non mi fa accedere.
idem per panda anti rootkit(pavark).
l'unico che sembra funzionare è superanti spyware.
in questo momento sta anche installando gli aggiornamenti, quelli di windows update.
come sempre, aspetto ordini!

ps: gli aggiornamenti li ha installati tutti tranne quelli relativi a windows media player, in particolare:
Aggiornamento della protezione per Windows Media Player 10 per Windows XP (KB936782)
Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569)

aggiornamento ......
Ormai ti sei lanciato nello scaricare gli aggiornamenti da Windows Update: porta a termine quel lavoro e, poi, riprenderemo qui.
Ed installa anche quelli di Windows Media Player (non sono stati rilasciati per nulla).

Avvisa quando hai terminato (al termine riavvia il sistema).

guarda ho appena finito e riavviato il pc: a questo punto dovrei averli presi tutti tranne come ti dicevo quei 2 relativi a windows media...

il messaggio è il seguente:
Impossibile installare i seguenti aggiornamenti:
Aggiornamento della protezione per Windows Media Player 10 per Windows XP (KB936782)
Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569)


come posso fare x installarli x vie trasverse?

alla lista dei non installati si aggiunge anche:
Strumento di verifica dell'originalità dei prodotti Windows (KB892130) (tanto x togliere dubbi il mio xp è originale!)

Impossibile installare i seguenti aggiornamenti:
Aggiornamento della protezione per Windows Media Player 10 per Windows XP (KB936782)
Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569)
come posso fare x installarli x vie trasverse?
Per ora lascia perdere, vediamo dopo: devi riattivare alcuni servizi una volta che avremo risolto sta rogna :muro:
Adesso procedi in questo modo: esegui la scansione con Superantispyware (configuralo come ti ho spiegato nel mio post) ed allega il log.
Poi dicevi che Kaspersky non te lo fa girare: parli del Kaspersky Virus Removal tool che ti avevo, anch'esso indicato nel mio post?

P.S.: i log che hai allegato direi che sono a posto: Elibagla ha falciato quello che doveva ed Avenger mi sembra abbia funzionato a dovere.

Off topic:@ Chill, Murack: avete per caso notizie di dove sia sparito Bugs Bunny? :mbe: non lo si legge da tempo.

no il kaspersky di cui parlo è antivirus 7.0, quella in trial.
provo allora anche con virus removal, intanto procedo con superantispyware

ciao a tutti ragazzi anche io o il Bagle Gi non mi fuziona il Nod32 e Zone alarm mi danno 1 messaggio di errore un applicazione Win32 non valida :muro: o anche l´infezione German.exe e wintems.exe aiutatemi per favore :cry:

@Mirko_07: segui alla lettera questa ottima guida http://www.hwupgrade.it/forum/showpost.php?p=18884140&postcount=1

per quel che riguarda il mio problema anche seguendo le istruzioni del link che mi avete passato (incluse le istruzioni del sito microsoft) non ci sono sviluppi.

Letteralmente internet explorer non è riconosciuto come tale...bah....

@Mirko_07: segui alla lettera questa ottima guida http://www.hwupgrade.it/forum/showpost.php?p=18884140&postcount=1

per quel che riguarda il mio problema anche seguendo le istruzioni del link che mi avete passato (incluse le istruzioni del sito microsoft) non ci sono sviluppi.

Letteralmente internet explorer non è riconosciuto come tale...bah....

ciao grazie della risposta *_* ma non riesoc manco a scaricare elibagla :cry: non portano i download da internat :muro:

il fatto che non ti faccia scaricare i file è strano...prova con una googlata.

cmq prima di seguire alla lettera la guida ho dato "due colpetti di preavviso" al virus usando un CD live di Ubuntu: ho montato la partizione di windows e ho cancellato manualmente file e directory elencati nella guida.

tornato su windows l'aria era già più "respirabile" e ho cominciato con la guida.

ecco il log di superantispyware:
http://www.fileup.itadib.com/download.php?id=35VtWvkapHBQsnon3NI6

Elimina manualmente la cartella C:\Avenger

Controlla che il ripristino configurazione sistema sia disattivato, riscarica Avenger da qui:

http://www.wikifortio.com/630243/AntiBagle.zip

ed inserisci questo Script

Files to delete:
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_1[2].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\964MGR09\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FTJ1N9EV\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\FZYQOQ8J\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\JOK2MHFX\b64_1[3].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\LD21TGQQ\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\M8VZ7PZR\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\N7SQJ1IQ\b64_1[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[1].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\UTRV69QM\b64_31[3].jpg
C:\Documents and Settings\Pietro Marrone\Impostazioni locali\Temporary Internet Files\Content.IE5\LD21TGQQ\b64_1[1].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drivers\down\121656.exe
C:\WINDOWS\system32\drivers\down\131562.exe
C:\WINDOWS\system32\drivers\down\14672281.exe
C:\WINDOWS\system32\drivers\down\14684687.exe
C:\WINDOWS\system32\drivers\down\29301765.exe
C:\WINDOWS\system32\drivers\down\43969453.exe
C:\WINDOWS\system32\drivers\down\43980500.exe
C:\WINDOWS\system32\drivers\down\58506546.exe
C:\WINDOWS\system32\drivers\down\73170843.exe
C:\WINDOWS\system32\drivers\down\87781500.exe
C:\WINDOWS\system32\drivers\down\87795000.exe
C:\WINDOWS\system32\drivers\down\104953.exe
C:\WINDOWS\system32\drivers\down\118140.exe
C:\WINDOWS\system32\drivers\down\133984.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup.zip
C:\avenger\mdelk.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\DOCUMENTS AND SETTINGS\PIETRO MARRONE\DATI APPLICAZIONI\HIDIRES\ROSA.SYS

Folders to delete:
C:\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

Prima di tutto, esegui lo script che ti ha postato Chill.

ecco il log di superantispyware
Andiamo bene:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 02/27/2008 at 03:13 PM
Application Version : 3.9.1008
Core Rules Database Version : 3410
Trace Rules Database Version: 1402
Scan type : Complete Scan
Total Scan Time : 01:09:03
Memory items scanned : 475
Memory threats detected : 0
Registry items scanned : 7599
Registry threats detected : 5
File items scanned : 38150
File threats detected : 9

Trojan.Net-MU/Gen
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#uninstallString
C:\WINDOWS\MAIN_UNINSTALLER.EXE
Rogue.MalWarrior
HKCR\TacOnlyOne
HKCR\TacOnlyOne#URLSnooper
Ma cosa c**** installi e dove navighi per beccare ste troja ......te?

Fai girare il tool di Kaspersky: serve quel log, per piacere.

@chill: ecco il log http://www.fileup.itadib.com/download.php?id=aNuy4xV1TpcoNvW8xHkY


@riverside:stavo giusto x farlo, arriverà tra un oretta o due

@chill: ecco il log http://www.fileup.itadib.com/download.php?id=aNuy4xV1TpcoNvW8xHkY


@riverside:stavo giusto x farlo, arriverà tra un oretta o due

Lo Script era la risultante di tutte le varianti del Bagle individuate dalle scansioni online - EliBagla e script generico, ora del Bagle non c'è traccia, procedi con la scansione indicata da Riverside, se il Bagle ora si ripresenta è il caso di contattare un'esorcista :D

Riciao Ragazzi .. avevo letto quasi 40 pagine ma si gira intorno al problema senza risolverlo o cosi sembrava .. alla fine o scaricato 1 File : Safeboot ( che attiva quello che questo Trojan disattiva : la modalita provvisoria ) poi o fatto girare Elibagla ( in modalita provvisoria ) .. installato di nuovo Zone alarm e Nod32 adesso sono pulito al 100% .. ma o notato che le cartelle sul Desktop non posso piu trascinarle :muro: ma in compenso e tutto pulito il pc adesso .. spero vi sia stato utile il mio consiglio :Prrr: e se nel frattempo qualcuno mi sa dire perche le cartelle sul desktop non si lasciao piu trascinare non e che mi dispiace :sofico:

Off topic:@ Chill, Murack: avete per caso notizie di dove sia sparito Bugs Bunny? :mbe: non lo si legge da tempo.

Ieri sera era in batteria con noi su questo Thread ;) a proposito hai notizie del buon Lancetta ;)

....... a proposito hai notizie del buon Lancetta ;)
Preso da lavoro ma pare sia vivo ;) ci siamo sentiti ieri sera sul tardi in Messenger.
Bisognebbe dire a Bugs di aggiornare la Guida, aggiungendo quella parte relativa ai servizi da ripristinare dopo aver rimosso Bealgle.

la scansione x adesso è al 70% e la fine è prevista x le otto, solo che in quell'ora dovrei uscire, quindi se sono fortunato ve la posto appunto alle otto, se no se ne parla x mezzanotte, se trovo ancora qualche anima sveglia!!
nel frattempo ha trovato 2 trojan, che corrispondono a 2 applicazioni, una è l'eseguibile di un convertitore di video (AVSvideo converter), l'altro una ciofeca di programma x scroccare la tv sul pc (ppmate......mai, mai dare retta agli amici, se ne sanno meno di te).


@riverside: se mi chiedi dove ***** ho navigato o cosa ho scaricato x beccarmi tutto questo, ti posso rispondere che, ovviamente, non lo so.
qualche patch o crack installata con troppa leggerezza. o qualche redirect da altri siti apparentemente normali.
non ne ho proprio idea:D

a scansione x adesso è al 70% e la fine è prevista x le otto, solo che in quell'ora dovrei uscire

semplice non esci e alleghi il log :D :sofico: :asd:

eeeeeeeh la mi chitarrina non si suona da sola!:Prrr:

e poi se bigio le prove un altra volta mi ritrovo la mafia sotto casa....c'è il giro dei bassisti che fa davvero brutto:D

eeeeeeeh la mi chitarrina non si suona da sola!:Prrr:

e poi se bigio le prove un altra volta mi ritrovo la mafia sotto casa....c'è il giro dei bassisti che fa davvero brutto:D

un chitarrista lo stanno cercando qui http://www.hwupgrade.it/forum/showthread.php?t=1687894 :D :asd:

nel frattempo ha trovato 2 trojan, che corrispondono a 2 applicazioni, una è l'eseguibile di un convertitore di video (AVSvideo converter), l'altro una ciofeca di programma x scroccare la tv sul pc (ppmate......mai, mai dare retta agli amici, se ne sanno meno di te)
@riverside: se mi chiedi dove ***** ho navigato o cosa ho scaricato x beccarmi tutto questo ........ non ne ho proprio idea
Ti sei già risposto da solo, sopra :cool:
il tool li elimina automaticamente, o devo farlo io prima di inviarvi il log, o dopo avervi inviato il log ...?
Se non ricordo male, dovrebbe falciare via tutto da solo; il log viene generato, ovviamente, solo a scansione terminata e dopo aver rimosso ciò che è stato rilevato.
un chitarrista lo stanno cercando qui http://www.hwupgrade.it/forum/showthread.php?t=1687894 :D :asd:
Cercavamo un bassista (non un basista per far rapine :) ) ..... ma ora il gruppo è al completo; mancano solo le tre coriste: Chill sei interessato? :fiufiu:

Off topic:@ Chill, Murack: avete per caso notizie di dove sia sparito Bugs Bunny? :mbe: non lo si legge da tempo.

Ciao... ultimamente devo passare molto tempo sui libri e quindi posso scrivere ben poco... comunque per guida al ripristino dei servizi intendi i punti 6 e 7 della guida per xp e il punto 6 della guida per vista? :D

se devo aggiornare la guida contattatemi pure per MP o con windows live messenger ;)

Cercavamo un bassista (non un basista per far rapine :) ) ..... ma ora il gruppo è al completo; mancano solo le tre coriste: Chill sei interessato?

:ciapet: :Prrr:

se devo aggiornare la guida contattatemi pure per MP o con windows live messenger
Ti ho messo il link al post in PM e già che c'ero, ti ho aggiunto ai contatti Messenger.

Avvia IE come Amministratore ovvere tasto dx del mouse Esegui come Amministatrore ovviamente devi consentire l'installazione del Controllo Active X

Ecco il responso si ESET Online Scanner:
Files scanned: 1428614
Threats found: 8
Total scan time: 04:27:12
Scan status: finished

C'erano 8 crack con probabili trojan IRCBOT che ha eliminato.

Ecco il responso si ESET Online Scanner:
Files scanned: 1428614
Threats found: 8
Total scan time: 04:27:12
Scan status: finished

C'erano 8 crack con probabili trojan IRCBOT che ha eliminato.

Dov'è il log?

Niente... disinstallo reinstallo facendo pulizia con ccleaner e dccleaner ma nulla... msn non mi parte... la versione che utilizzo è l'ultima appena scaricata

Come scritto nella guida al punto 2 (Vista) posto il log del InfoSat.txt

Wed Feb 27 23:08:14 2008
EliBagle v11.07 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.07
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Feb 27 23:08:51 2008
EliBagle v11.07 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 21525
Nº Total de Ficheros: 153445
Nº de Ficheros Analizados: 17090
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Spero in un piccolo aiuto

riprovato con EliBagle in modalità provvisoria

Thu Feb 28 00:03:08 2008
EliBagle v11.07 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.07
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Thu Feb 28 00:03:13 2008
EliBagle v11.07 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\MDELK.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\19000344.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\333093.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\353170.EXE --> Eliminado Bagle

Nº Total de Directorios: 21614
Nº Total de Ficheros: 154708
Nº de Ficheros Analizados: 17130
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4

finito lo scan del tool virus remover.
ho salvato il log ma non riesco a caricarlo su fileup! cioè, clicco su salva, ci mette un po e poi mi ritorna sulla pagina iniziale.
potrebbe essere x le dimensioni (azz, 37 mega) anche se presumo che questi siti possano supportare dimensioni maggiori.
in ogni caso, il log è composto quasi eslusivamente dall'elenco dei file scanditi (praticamente sono elencati tutti i file del mio pc!!!) quindi per adesso vi posto la versione "light": escludo appunto la lista interminabile dei miei file.
se poi è strettamente necessario l'intero log fatemi sapere.
buonanotte a tutti.


http://www.fileup.itadib.com/download.php?id=j6OB0WHGxj8dkkzVf2ua

cmq meglio non cantare vittoria subito: in ogni caso tool come panda antirootkit o avg antirootkit danno sempre il solito problema, "applicazione non valida bla bla"

finito lo scan del tool virus remover.
Perlomeno, ha rimosso altre zozzerie:

Scan
----
Scanned: 540919
Detected: 2
Untreated: 0
Start time: 27/02/2008 17.04.55
Duration: 02.54.28
Finish time: 27/02/2008 19.59.23

Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Downloader.Win32.Bagle.kf
File: C:\Programmi\AVSMedia\VideoTools\VideoConverter\AVSVideoConverter.exe

quarantined: virus Heur.Trojan.Generic (modification)
File: C:\Programmi\PPMate\ppmnet.exe

cmq meglio non cantare vittoria subito: in ogni caso tool come panda antirootkit o avg antirootkit danno sempre il solito problema, "applicazione non valida bla bla"
Allega un nuovo log di HThis, per piacere.

deleted: Trojan program Trojan-Downloader.Win32.Bagle.kf
File: C:\Programmi\AVSMedia\VideoTools\VideoConverter\AVSVideoConverter.exe

mah.....a questo punto come suggeriva Riverside ieri sarebbe opportuno aprire una nuova discussione ed iniziare la Guida alla disinfezione

hijack: http://www.fileup.itadib.com/download.php?id=iDbFqwsGsno25mQSG0nT

hijack
:mbe: rilancia HThis e fixa un pò sta roba:

O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O20 - AppInit_DLLs:


Dopo aver eseguito il fix, riavvia il sistema, ed allega un nuovo log di Hthis.

mah.....a questo punto come suggeriva Riverside ieri sarebbe opportuno aprire una nuova discussione ed iniziare la Guida alla disinfezione
Aspettiamo ancora un attimo: voglio, prima, verificare una cosa; più di altro, è questo che mi incurisce (tra l'altro quel software si scarica dai soliti siti cinesi):
quarantined: virus Heur.Trojan.Generic (modification)
File: C:\Programmi\PPMate\ppmnet.exe

Per scrupolo fai girare anche questo tool http://www.trendmicro.com/cwshredder

nuovo log di hjt:http://www.fileup.itadib.com/download.php?id=HcKrPbhAaJwYKDNCxHAZ

quelle stringhe non me le ha eliminate, tra l'altro non è una cosa nuova, è da tempo che vorrei toglierle ma non ci riesco, almeno con hjt

tra poco arriva il log dell'altro tool

cwshredder: http://www.fileup.itadib.com/download.php?id=lnpsjyfY5KdpUEjxidjl

nello scan non ha trovato niente di anomalo

Altro giro ed altra corsa: disinstalla, da Installazione Applicazioni, tutte le toolbar che trovi

Riavvia il P.C. in modalità provvisoria, rilancia HThis e fixa:

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe –startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" –start

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O13 - DefaultPrefix:

O13 - WWW Prefix:

O13 - Home Prefix:

O13 - Mosaic Prefix:

O13 - FTP Prefix:

O13 - Gopher Prefix:

Allega un nuovo log.

Ultima cosa breathe: linkami, in PM, il tuo MSN Space, per favore: vorrei controllare una cosa.

new hijack: http://www.fileup.itadib.com/download.php?id=upKrupt6nHgGyh5dOKH2

in sostanza, le righe O4 se ne sono andate senza problemi, ma le O13 non se ne vogliono proprio andare!!!



ps: cavoli però da installazione applicazioni ho disinstallato la google toolbar, ma quella è ancora la!


mandato anche il pm

ciao a tutti, scusate ma vi posso chiedere nel dettaglio come eliminare dal mio pc i seguenti bagle?

bagle gi trojan e bagle IX worm

mi han bloccato gli antivirus.................

rispondetemi anche con la mia mail: leggerox62@hotmail.it

grazie a tutti

...

ciao

devi "semplicemente" seguire attentamente in ogni suo punto, con calma e sopratutto con ordine la guida indicata in prima pagina

chiedi pure x eventuali dubbi o problema

la guida cambia a seconda del sistema operativo, quindi è necessario che al tuo prossimo post specifichi il sistema

ciao

il sistemo operqtivo che uso è XP sp2,

e la procedura indicata nella prima pagina............chissà se mai riuscirò ad eseguirla, non è che sia proprio un esperto in pc................

..

noi siamo qui x aiutarti

incomincia ad eliminare tutti i crack che hai nel pc ovvero conservati da qualke parte, xchè la fonte del tuo problema si trova nei crakc ;)

fatto questo, vedi di disattivare il ripristino configurazione sistema

dopodicchè, prova a far girare elibagle (scaricalo prima) in modalità provvissoria e poi, al riavvio postare qui il log di elibagle secondo le modalità indicate in basso

x avviare il pc in mod provvissoria, premere ripetutamente f8 prima che windows si carichi

in sostanza, le righe O4 se ne sono andate senza problemi, ma le O13 non se ne vogliono proprio andare!!!
ps: cavoli però da installazione applicazioni ho disinstallato la google toolbar, ma quella è ancora la!
Ok Piero, senti facciamo cosi: apri una nuova discussione nella sezione generica di Aiuto sono infetto con questo titolo:
DefaultPrefix , WWW Prefix, Home Prefix, Mosaic Prefix, FTP Prefix, Gopher Prefix e altri problemi
Nel post fai un breve riassunto di tutto ciò che abbbiamo fatto fino ad ora e specifica, quello che ancora non abbiamo risolto (ovvero tutto ciò che ancora ti da dei problemi).
Precisa, anche, che provieni dalla discussione sulla rimozione di Beagle e che ti abbiamo fatto spostare li, Chill ed io.
E ripartiamo dall'inizio, ma seguendo una procedura diversa.
mandato anche il pm
Visto: volevo solo verificare se, per caso, avevi piazziato qualche strano contautenti.

Vedi se riesci a risolvere la questione della toolbar, per favore.

@ Murack: siccome non sono a casa (e sto seguendo il forum mentre faccio altre cose) cerchiamo di tenere fuori dalla nuova discussione i soliti perditempo (tipo Security, Programmatore ecc.: non mi pare il caso, vista la situazione, di creare troppa confusione); poi vediamo di agganciare Nuz, avremo bisogno di lui.