LA NUOVA GUIDA E' DISPONIBILE A QUESTO INDIRIZZO http://www.hwupgrade.it/forum/showthread.php?t=1933977



CHI HA PROBLEMI CON IL BAGLE SEGUA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.

TROJAN DOWNLOADER BAGLE

Come si propaga e come agisce questo malware?

Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via emaile chiavette USB. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file crea i files hldrrr.exe,mdelk.exe e wintems.exe in C:\windows\system32\drivers oltre alla cartella downld e al file winupgro.exe. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella downld e li avvia. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld)

Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si riceverà una schermata blu (BSOD)

Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.

Sintomi dell'infezione:

I programmi di sicurezza sono stati cancellati o bloccati
La modalità provvisoria non funziona
L'audio potrebbe non funzionare
La connessione ad internet potrebbe non funzionare
Errori di Windows: Applicazione Win32 non valida



Rimozione


1) Download: tool rimozione bagle


Bagled -> link (http://www.fileqube.com/file/NNSnJz144950)
Elibagla -> link (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) -> scorri in fondo alla pagina e clicca su Descargar Elibagla xx.xx, vengono rilasciate versioni nuove molto di frequente, quindi controlla sempre di avere l'ultima
Malwarebytes' Anti-Malware -> link1 (http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html), link2 (http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html) o link3 (http://projects.securitywonks.net/projects/download.php?file=158) + il suo eseguibile per l'aggiornamento offline -> link (http://www.gt500.org/malwarebytes/mbam-rules.exe)
ComboFix -> Download Link (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)


2) Rimozione principale (sconnesso da internet)


rimani sconnesso da internet fino alla fine di questo punto, in questo moda la pulizia sarà più semplice
cancella TUTTI i crack/keygen
disattiva il ripristino configurazione di sistema e verifica anche più avanti che non si riattivi

su Windows Xp:
Click destro sull’icona Risorse del Computer sul desktop (oppure fai clic su Start ? Impostazioni ? Pannello di controllo ? Sistema) ? Ripristino configurazione di sistema ? Seleziona "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" ? Fare clic su Applica ? Conferma alla richiesta di eliminazione di tutti i punti di ripristino ? verifica che tutti i dischi/partizioni mostrino "disattivata" nella colonna stato

su Windows Vista:
Pannello di controllo ? Sistema Oppure click destro sull’icona Computer sul desktop
? Protezione sistema ? togli le spunte da tutti i dischi ? Click su Disattiva ripristino configurazione di sistema


collega subito eventuali chiavette USB infette altrimenti non collegarle più fino a quando sarai pulito
Bagled (no per chi ha Vista)
lancia il suo eseguibile
si aprirà una finestra e si chiuderà subito
verrà salvato il log C:\bagled.txt

Elibagla
lancia il suo eseguibile
assicurati che ci sia la spunta su Eliminar ficheros...
clicca su Explorar e attendi la scansione di default (C:\)
dopo le prime scansioni su C: dovrebbe ripristinarsi la modalità provvisoria, riesegui un paio di scansioni di C: anche in quella modalità (tramite il tasto F8 all'avvio e non forzandola in altre maniere)
ripeti le scansioni su C: cercando di ottenere un esito così
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
in caso di problemi prosegui fino al punto 3 dove caricherai i log delle scansioni e vedremo se effettuare altre operazioni, come il rescue cd per esempio
se hai collegato altri dischi o chiavette infette, clicca su Seleccionar Carpeta,scegli la periferica da scansionare e di nuovo Explorar


Malwarebytes' Anti-Malware (MBAM) Guida (http://www.hwupgrade.it/forum/showthread.php?t=1898627)
installalo e non farlo farlo aggiornare on-line
chiudi il programma e lancia mbam-rules.exe per aggiornarlo off-line
una volta aggiornato riavvia MBAM
sotto la scheda Scansione seleziona Effettua una scansione completa e clicca su Scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"
a fine scansione clicca su OK e poi su Mostra i risultati
assicurati che tutte le infezioni siano spuntate, altrimenti selezionane una -> click dx e Seleziona tutti gli elementi, e clicca "Rimuovi elementi selezionati"
se alcuni file da rimuovere fossero in esecuzione verrai avvisato di riavviare il pc per poterli eliminare, in questo caso fai riavviare il pc
cerca il log o dal programma sotto la scheda "Files di log" oppure più comodo
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
sceglilo in base alla data di modifica se ne hai più di uno e controlla che accanto alle infezioni non ci sia la dicitura -> No action taken. perchè non possiamo capire che hai fatto con le infezioni trovate, se sei sicuro di averle eliminate prova a cercare negli altri file di log.
Controlla che non ci sia scritto Tipo di scansione: Scansione rapida, in questo caso dovrai rifarla completa come indicato sopra



Combofix
Chiudi qualsiasi programma aperto e disconnettiti da interet
Lancialo, accetta le condizioni di utilizzo e rifiuta l'installazione della Console di ripristino di Windows
Qualora combofix chieda di eliminare dei driver dai la conferma. Attendi che finisca la scansione senza fare nulla.
Se te lo chiede, lascia riavviare il pc e non toccare nulla fino al termine delle operazioni
Carica il log che trovi in C:\Combofix.txt



3) Caricamento log delle prime scansioni per il controllo

Carica seguendo il punto 2 di queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308), quindi in un unico post, i log di:

Bagled
Elibagla
Malwarebytes' Anti-Malware


Poi attendi l'ok a procedere, se non dovesse arrivare in tempi celeri, procedi autonomamente e ricorda che se dovessero esserci problemi con l'utilizzo di ATFCleaner o con l'installazione del nuovo antivirus significa che l'infezione è ancora presente, quindi esegui una scansione con almeno uno dei rescue disk indicati qui sotto
guida e link rescue cd di kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) -> permette di salvare il log
guida e link rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812)

Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti tool.


4) Pulizia files inutili, ripristino servizi corrotti e scansione completa con un nuovo antivirus

ATFCleaner

scaricalo da qui (http://www.atribune.org/ccount/click.php?id=1) o qui (http://www.snapfiles.com/download/dlatfcleaner.html)
chiudi tutti i browser di internet (IE, Firefox, Opera) altrimenti non potrà eseguire la pulizia completa.
lancia l'eseguibile
nella prima schermata ? Select All ? Empty Selected
nel menù Firefox (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed
nel menù Opera (se lo usi) ? Select All ? NO (per non cancellare le password) ? Empty Selected più volte fino a che segnali No files were removed

riattiva i servizi se sono stati corrotti (http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156) (Wireless, Aggiornamenti, etc...)
disinstalla il precedente antivirus ormai non più funzionante, in caso di problemi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24374390&postcount=175) per i vari tool di rimozione
scarica, installa, configura e aggiorna Antivir (il miglior antivirus, free tra l'altro), tutte le info nella guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684)
se preferisci tenere un altro antivirus, questa volta configuralo meglio con una delle guide che trovi qui (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=122)
esegui la scansione completa con l'antivirus


5) Caricamento log di controllo finale


carica, sempre secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) , il log della scansione completa di Antivir o di altro eventuale antivirus che hai deciso installare
carica, se vuoi, un log di HiJackThis per un eventuale controllo/ottimizzazione del sistema

scaricalo da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
Se hai scaricato la versione installer, lancialo e scegli dove installarlo, i log saranno salvati automaticamente in quella cartella
Se hai scaricato la versione zip, estrailo in una cartella dedicata che conterrà poi i log e i backup
Lancialo e clicca su "Do a system scan and save a log file"
Il log da caricare, che si apre alla fine dello scan, lo trovi nella cartella dove hai installato o estratto HijackThis




6) Trattamento post disinfezione

Una volta ripulito leggi bene il trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida

Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti guarda qui (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP)

scarica XP TCP/IP Repair (http://www.xp-smoker.com/downloads/xptcprep.exe)
installalo e lancialo
clicca su Reset TCP/IP e poi su su Repair Winsock
riavvia il pc



Si ringraziano wjmat e Chill-Out

edit

bisognerebbe inserire anche il file m_hook.sys,è relativo alle primissime varianti del restyling del beagle però si sa mai che qualcuno possa venirne ancora infetto :)

:mano:

inserito :)

Ragazzi anche io ho preso il virus Bagle cliccando su un .exe scaricato con emule (con l'iconcina a forma di occhio).Navigando nei link da voi suggeriti (in particolare la pagina di Megalab che avete segnalato)mi sembra di essere riuscito a risolvere il problema : gmer non mi dà anomalie,ma il problema che ho adesso è che Avast all'avvio di Windows XP non si avvia piu'...non funziona ! Cosa devo fare ? Reinstallarlo ?Una delle caratteristiche di Beagle era proprio quella di disabilitare tutti i programmi di sicurezza come antispyware e antivirus (a me aveva disabilitato Windows Defender,gli aggiornamenti automatici,il firewall di Windows e anche Avast...in piu' ho dovuto applicare un file .reg per ripristinare la possibilità di avviare in modalità provvisoria).

Che faccio con Avast? Devo reinstallarlo ?

naturalmente si perchè il bagle ti ha danneggiato i file del soft

quoto,probabilmente ha cancellato l'eseguibile. già che ci sei metti antivir

Tra l'altro seguendo il vostro procedimento ho fatto anche la scansione con l'antivirus online di Kaspersky e mi ha dato come infetti da un TrojanDownloader questi 2 files :

-C:\WINDOWS\system32\wbspark.dll Infected: Trojan-Dropper.Win32.Agent.azv

C:\WINDOWS\system32\WebMon.dll Infected: Trojan-Downloader.Win32.Agent.bcr

come faccio a rimuovere il virus ? La scansione l'ho fatta con il Kaspersky online,non ho installato la trial altrimenti quasi sicuramente sarebbe entrata in conflitto con Avast.

I due files li ho anche controllati su Virustotal.com e ho scoperto che quel Trojan viene rilevato da molti antivirus,ma non da Avast...forse ce l'avevo da ancor prima di Bagle...in ogni caso come faccio a toglierlo ?

quoto,probabilmente ha cancellato l'eseguibile. già che ci sei metti antivir

Antivir ? Ma è in italiano ? Da dove lo scarico ?

Ho trovato il sito da cui scaricarlo...

Io con Avast mi trovo meglio perchè è in italiano...pero' mi rendo anche conto che Antivir forse è piu' potente...infatti dai test che ho fatto su alcuni files con Virustotal,Antivir rileva i virus e Avast no...

vi chiedo soltanto: di Antivir non c'è la versione in italiano ?

Tra l'altro seguendo il vostro procedimento ho fatto anche la scansione con l'antivirus online di Kaspersky e mi ha dato come infetti da un TrojanDownloader questi 2 files :CUT
hai il trojan spamboot usa questo tool per ripulirti http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot
ed a questo punto è meglio che installi antivir però non è in italiano ma facilmente interpretabile c'è anche un thread ufficiale qui sul forum meglio di così se more:D http://www.hwupgrade.it/forum/showthread.php?t=1514684

hai il trojan spamboot usa questo tool per ripulirti http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot


Ho fatto la scansione con quel tool ma il trojan non lo rileva...che faccio ?

Ho fatto la scansione con quel tool ma il trojan non lo rileva...che faccio ?

scarica Superantispyware (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWARE) aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 (http://www.emsisoft.it/it/software/download/) aggiornalo e fagli fare una scansione completa del sistema,i 2 soft sono free ed ottimi anche per il futuro.
Questi te lo seccano di sicuro.;)

da dove posso scaricare il tool di rimozione visto che il link non funziona??

apri il sito con IE e accetta il cookie

lo script di avenger è stato corretto. leggendo una discussione ho notato che le variabili %systemdrive e %userprofile% unite creavano errori in quanto %userprofile già di suo vuol dire (systemdrive):\documents and settings\(nomeutente)

usciva fuori,quindi

C:\documents and settings\C:\documents and settings\utente\eccetera

lo script di avenger è stato corretto. leggendo una discussione ho notato che le variabili %systemdrive e %userprofile% unite creavano errori in quanto %userprofile già di suo vuol dire (systemdrive):\documents and settings\(nomeutente)

usciva fuori,quindi

C:\documents and settings\C:\documents and settings\utente\eccetera

Ottimo!
Anche elibagla continua ad essere aggiornato (v10.59 05/10/07 aggiunti HIDR.EXE, SROSA.SYS, FLEC006.EXE e WINTEMS.EXE) fortunatamente....:D

come da titolo, seguita procedura segnalata....


allego link:

http://www.zshare.net/download/4088280238f1ec/

come da titolo, seguita procedura segnalata....


allego link:

http://www.zshare.net/download/4088280238f1ec/

Ciao manco a farlo a posta elibagla ti ha seccato una delle ultime varianti :D
il logo hijackthis è pulito solo che devi aggiornare IE se vuoi poichè vedo che usi firefox..poi vedo che c'è un antikeylogger ed un client di instant message...li hai messi tu? Poi devi aggiornare la java machine... e reinstallare l'antivirus e firewall....facci sapere

come da titolo, seguita procedura segnalata....


allego link:

http://www.zshare.net/download/4088280238f1ec/
devi farlo con il "ripristino di sistema" disattivato!!
quindi rifai una passata con EliBagle


io fixerei:
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
Process File: inetinfo.exe or inetinfo
Process Name: IIS Admin Service Helper
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)


da controllare:

C:\WINDOWS\System32\PAStiSvc.exe
dovrebbe essere della webcam
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
Process File: gsicon.exe or gsicon
Process Name: Eicon Networks Connection Monitor
O4 - Global Startup: TipicIM.lnk = D:\Programmi\TipicIM\TipicIM.exe
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://D:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm


consigli:
disattiva l'indicizzazione e svuota completamente la cartella c:\windows\prefetch
la cartella deve rimanere!
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
aggiornare adobe reader o sostituirlo dal più perfonta Foxitreader
sostituirei bit-defender da avira antivir classic

la scansione l'ho fatta + volte col ripristino disattivato.

i primi due file da fixare non sono + riportati e non so se posso eliminarli manualmente dalla directory di windows

che significa disattiva l'indicizzazione?

è uno dei servizi attivi di windows che non serve assolutamente a nulla se non a rallentare il pc e occupare una marea di spazio disco.
se fai tasto destro su una delle unità disco e vai in "proprietà" subito sotto il grafico a torta hai la casellina da disattivare :)

poi volendo si potrebbe proprio arrestare il servizio ma lo facciamo solo se hai già fatto qualcosa del genere in precedenza.

Bunny, correggi il link per scaricare ElibaglA in guida, non porta a nulla:

link corretto:

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Ciao manco a farlo a posta elibagla ti ha seccato una delle ultime varianti :D
il logo hijackthis è pulito solo che devi aggiornare IE se vuoi poichè vedo che usi firefox..poi vedo che c'è un antikeylogger ed un client di instant message...li hai messi tu? Poi devi aggiornare la java machine... e reinstallare l'antivirus e firewall....facci sapere

tutto ok...ho istallato Avira che mi ha tolto altri backdoor che da tempo mi rallentavano il pc! Se Per antikeylogger intendi antispy sì l'ho istallati io un paio...per quanto riguarda il firewall dovrei avere quello di xp, non so se antivir guard funga da firewall.

grazie a tutti

tutto ok...ho istallato Avira che mi ha tolto altri backdoor che da tempo mi rallentavano il pc! Se Per antikeylogger intendi antispy sì l'ho istallati io un paio...per quanto riguarda il firewall dovrei avere quello di xp, non so se antivir guard funga da firewall.

grazie a tutti

bene.....antivir è un semplice antivirus(anche se ottimo) il firewall è un altra cosa...comunque quello di XP ha solo controllo in entrata ma non in uscita....appena sufficiente,però quantomeno un minimo di protezione c'è l'hai........poi se te ne interessa uno di terze parti free c'è comodo (c'è il 3d ufficiale in sezione).
Saluti :cool:

scusa a proposito dell'antikeylogger... se è qualcosa che mi costringe ad ridigitare ogni volta nome e password nei vari siti credo di NON averlo attivato io. credi sia risultato di qualche malware? e come lo risistemo?

Bunny, correggi il link per scaricare ElibaglA in guida, non porta a nulla:

link corretto:

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

;)

Buonasera a tutti.Ho preso anch'io Bagle e leggendo tutte le procedure che avete scritto sono riuscito a levarlo;infatti adesso con Elibagle1059,SuperAntiSpyware,A2antimalware,gmer,avenger,kaspersky on line etc etc é tutto pulitissimo.Ho reinstallato nod 32 che prima veniva eliminato;adesso l'ultimo problemino é rimasto zone alarm,che quando lo reinstallo non riesce ad installarsi e mi fa riavviare il pc.Avete qualche suggerimento da darmi per installare nuovamente zone alarm.Grazie

Buonasera a tutti.Ho preso anch'io Bagle e leggendo tutte le procedure che avete scritto sono riuscito a levarlo;infatti adesso con Elibagle1059,SuperAntiSpyware,A2antimalware,gmer,avenger,kaspersky on line etc etc é tutto pulitissimo.Ho reinstallato nod 32 che prima veniva eliminato;adesso l'ultimo problemino é rimasto zone alarm,che quando lo reinstallo non riesce ad installarsi e mi fa riavviare il pc.Avete qualche suggerimento da darmi per installare nuovamente zone alarm.Grazie

Z.A è na brutta bestia a volte........devi prima disinstallarlo completamente e poi reinstallarlo la prima cosa che devi fare è fermare il true vector(vsmon.exe da task manager) .Comunque c'è anche il 3d ufficiale sul forum....

Z.A è na brutta bestia a volte........devi prima disinstallarlo completamente e poi reinstallarlo la prima cosa che devi fare è fermare il true vector(vsmon.exe da task manager) .Comunque c'è anche il 3d ufficiale sul forum....Grazie,provo a leggere sul forum qualcosa su zone alarm e mettere in pratica quello che tu mi hai suggerito.

Allora, come suggerito nella guida, ho rimosso le schifezze con il tool cureit.exe.... , ho potuto reinsatllare l'antivirus ma ora il problema è che non mi parte più il centro sicurezza di VISTA... come si ripristina ?!?!?!

Allora, come suggerito nella guida, ho rimosso le schifezze con il tool cureit.exe.... , ho potuto reinsatllare l'antivirus ma ora il problema è che non mi parte più il centro sicurezza di VISTA... come si ripristina ?!?!?!

Io avrei fatto anche una scansione on line con Kaspersky

Ciao a tutti!

Ho avuto anch'io lo stesso problema e grazie a BEYOND che mi ha suggerito questo post ho risolto!

Non ho usato Kaspersky, bensì AVAST, ma direi che funge tutto per ora!

Grazie di esistere!

Rugge

:D :D :D :D :D :D :D :D

Ciao a tutti ...

come nel post precedente ho risolto i problemi relativi al virus bagle...

ho provato poi alcuni dei programmi da voi suggeriti per pulire il sistema, tra questi anche PANDA ANTIROOT KIT

Mi ha trovato 3 file che ho forse inconsciamente eliminato, e che ora mi si presentano sul desktop come files senza estensione e che non riesco nè a spostare nè ad eliminare.. sono:

-AMD Cool''''n''''Quiet Driver package revision 1.1.0.0 for Windows XP.
- Time Goes by.
- VIA VT6420 (VT8237) SATA RAID Driver V5.2.3790.310 for Windows 64bit XP 2003.


il pc funziona regolarmente, ma qs files sul desktop mi danno parecchia noia ... avete suggerimenti?

Grazie

Rugge

il primo ed il terzo sono dei driver. credo che tu debba reinstallare i drivers della scheda madre. Il secondo non so cosa sia

Tra le altre cose ho un AMD athon 2500+ barton, quindi non è a 64 bit ... in teoria quei drivers non servivano a nulla!

Sono 3 files da 0 byte, non riesco a dar loro nessuna proprietà tipo "sola lettura" o "nascosto" e quando provo a d eliminarli XP non lo fa e mi dice: "Impossibile leggere dal file o dal disco di origine"

Tra le altre cose in precedenza avevo già notato questi 3 file nel browser di NERO Burning Rom, selezionando il desktop, e mi apparivano in trasparenza, modalità "nascosta".

Esiste qualche software che mi aiuti a cancellarli o quantomeno a spostarli dal desktop secondo voi?

Se non vi dispiace aprirei un nuovo topic ... rispondetemi li se vi va! grazie!

in modalita provvisoria hai provato?

il primo ed il terzo sono dei driver. credo che tu debba reinstallare i drivers della scheda madre. Il secondo non so cosa sia

dal nome sembrerebbero semplicemente degli installer.
ma almeno c'hai una scheda madre con chipset via e sata?
in ogni caso prova a rimuoverli con unlocker

Juninho85 .. ho usato UNLOCKER e si son eliminati

Grazie ragazzi ... sul serio!!!

:D :D :D :D :D :D :D :D

Vi posto anch' io il mio file infosat.txt perchè da EzShare non ho ancora capito come si fa!!!! :muro: (se qualcuno mi dà lumi...:( )
Pare che sono infettato anch' io:

Mon Nov 05 12:11:14 2007
EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Nov 05 12:16:44 2007
EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Nov 05 12:16:48 2007
EliBagle v10.66 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5093
Nº Total de Ficheros: 60776
Nº de Ficheros Analizados: 19234
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


Ora sono ancora nella fase x l' installazione di Kaspersky il quale mi diceche c' è già un altro antivirus attivato e che non possono essere usati tutti e due contemporaneamente. L' antivirus in questione è Avast che pare non è in memoria.....
Tuttavia quando mi si apre la schermata installazione Applicazioni (automaticamente) e clicco su CAmbia/Rimuovi mi parte l' installazione...!!!!!:mbe:
:help: :help:

apri la pagina di EzShare e nella finestra scegli uplodi (ci metti) il file txt (file di testo) log dei tool per la disinfezione......e posti qui il link che ti rilascia il sito....posta anche gli altri log...
disinstalla prima avast.

apri la pagina di EzShare e nella finestra scegli uplodi (ci metti) il file txt (file di testo) log dei tool per la disinfezione......e posti qui il link che ti rilascia il sito....posta anche gli altri log...
disinstalla prima avast.
Grazie della risposta.
Ok, poi ho capito come usare il sito EZshare. Cmq il log è quello che avevo già dato: http://www.zshare.net/download/4684782baff6e8/
Avast non riesco a disinstallarlo. Quando voglio installare Kaspersky Avast non mi viene rimosso. Come avevo indicato, in Installa Applicazioni, mi parte la normale procedura di installazione quando tento di usare il tasto Cambia/Rimuovi:confused: :confused: :confused: :confused:
E poi in Avenger non so quali script inserire....
Ma mi sa che sto saltando dei passi nella procedura di rimozione....

lo script di avenger è scritto nella guida.

lo script di avenger è scritto nella guida.
E cioè? Puoi essere più preciso?
Cioè debbo fare copia/incolla di tutte le stringhe riportate sopra sostituendo SystemDrive con C e UserProfile col mio User profilo?
Compreso le stringhe Files to delete, folders to delete, registry...ecc...ecc..?

devi copiare ed incollare tutto ciò che è nel riquadro blu (tutti i files to delete,folders to delete,registry keys to delete eccetera)

Grazie 1000!
Kaspersky mi ha trovato due virus (srosa.sys e hidr.exe) che sono nella dir di Muestras di Elibagla. Andranno cancellati a fine scansione, presumo....

se fai la scansione da internet no... hai usato avenger? allega C:\avenger.txt

allega C:\avenger.txt
Eccovelo: http://www.zshare.net/download/473117783ca07b/
Panda non ha torvato robaccia!!
Sto finendooooo!:O

secondo me è ok,il resto era già stato eliminato da elistarta,che stranamente stavolta non ha fatto danni :D

secondo me è ok,il resto era già stato eliminato da elistarta,che stranamente stavolta non ha fatto danni :D

elibagla :D

secondo me è ok,il resto era già stato eliminato da elistarta,che stranamente stavolta non ha fatto danni :D
Grazieee:)
E per ultimo passo vi posto quello di Hijackthis (che non mi ricordo mai come si scrive..:muro:....un nome più facile...no..eh! ): http://www.zshare.net/download/4731335c43bf29/
Ciao

Grazieee:)
E per ultimo passo vi posto quello di Hijackthis (che non mi ricordo mai come si scrive..:muro:....un nome più facile...no..eh! ): http://www.zshare.net/download/4731335c43bf29/
Ciao

La scansione con Panda e la passata con CCleaner le hai fatte?

La scansione con Panda e la passata con CCleaner le hai fatte?
Si si..:)

elibagla :D
è sempre fatto dallo stesso autore no?:D

Si si..:)

il log sembra pulito a parte questa voce:
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

usi o hai usato CoolStreaming per caso?

è sempre fatto dallo stesso autore no?:D

si ma fà meno macelli :D

il log sembra pulito a parte questa voce:
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

usi o hai usato CoolStreaming per caso?
Si, ho usato Coolstreaming..
Ma l' ho disinstallato. Debbo cancellare la voce?

Spybot mi ha trovatoo 40 voci!!:eek:

Si, ho usato Coolstreaming..
Ma l' ho disinstallato. Debbo cancellare la voce?

Spybot mi ha trovatoo 40 voci!!:eek:

si è da fixare con HJT, cosa ti ha trovato Spybot mica sono un'indovino.

cosa ti ha trovato Spybot mica sono un'indovino.
Quello della precedente scansione non l' ho salvato. Ora ho rifatto la scansione e mi ha trovato AdRevolver (5 voci), MediaPlex (3 voci), Casalemedia (8), ClickBank (1), DoubleClick (1), CurePcSolution (1), FaxClick (3), Zedo (5), Web Trends Live (1), StatCounter (5)
Ciao

Dovrebbero essere tutti cookie traccianti, espandi il report di S&D guarda la descrizione, ed eliminali (correggi problema/i)

Una scansione con gmer evidenzia files in rosso come hidr.exe(che è presente in tutte le varianti)

no, però c'è un srosa.sys
sono infetto?
antivirus e zonealarm sono inutilizzabili dopo aver eseguito un exe scaricato dal mulo

2) Utilizzo di elibagla (remover tool spagnolo): dopo essere andati su QUESTA scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt


fatto. ma dove lo devo postare il log?

Dovrebbero essere tutti cookie traccianti, espandi il report di S&D guarda la descrizione, ed eliminali (correggi problema/i)
Ho provato sia a immunizzare e sia a correggere...ma alla successiva scansione mi si ripresentano tutti e 39!!:eek:

X LalloTechnology...segui la guida che è utilissima...credo sia proprio quel virus!!
Grazie al forum!!!

cavolo! ho seguito i primi due passaggi, ma quando tento di installare kapersky mi dà errore. Non ho i diritti per l'accesso ad una cartella per installarlo

http://img204.imageshack.us/img204/4116/immaginefc8.png

Ho provato sia a immunizzare e sia a correggere...ma alla successiva scansione mi si ripresentano tutti e 39!!:eek:

posta uno screenshot

fatto. ma dove lo devo postare il log?

allegalo con la funzione Gestisci Allegati nel prossimo post.

http://www.zshare.net/download/47383010bbe1f9/

raga, avenger non cancella nulla.
kapersky non si installa.

dato che la mod. provvisoria va, mi conviene fare le suddette operazioni in provvisoria?

@lallotechnology:
posta il log di elibagla per favore....

http://www.zshare.net/download/47383010bbe1f9/

eccolo

in avenger incolla questo script:

Files to delete:
C:\WINDOWS\system32\drivers\HIDR.EXE
C:\WINDOWS\system32\drivers\SROSA.SYS

voglio vedere se ancora presente...

non ce li ha :D

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wctyxgnk

*******************

Script file located at: \??\C:\Program Files\ermetvhx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\HIDR.EXE not found!
Deletion of file C:\WINDOWS\system32\drivers\HIDR.EXE failed!

Could not process line:
C:\WINDOWS\system32\drivers\HIDR.EXE
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\SROSA.SYS not found!
Deletion of file C:\WINDOWS\system32\drivers\SROSA.SYS failed!

Could not process line:
C:\WINDOWS\system32\drivers\SROSA.SYS
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

posto Hijack this log

@lallotechnology

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

fixa questo è relativo a flash get però è missing

panda non ha trovato niente?...rifai la scansione eppoi log di gmer (vedi se dà voci in rosso)

Una scansione con gmer evidenzia files in rosso come hidr.exe(che è presente in tutte le varianti) no, però c'è un srosa.sys …… sono infetto?
Ad occhio, direi di si ;)
antivirus e zonealarm sono inutilizzabili dopo aver eseguito un exe scaricato dal mulo
Ma guarda un pò che cosa strana :muro:
posto Hijack this log
Ed ora che lo hai postato? ..... riparti dall'inizio:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della intera procedura.

Scarica questi software e tool:

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati

PREVX CSI: clicca qui per il download (http://info.prevx.com/download.asp?grab=prevxcsi)
● una volta installato, esegui una scansione
● al termine della scansione, clicca su:
● Options
● Save Log
● allega il log salvato, per farlo analizzare

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

Riavvia il sistema e prosegui con:

ELIBAGLA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/95/elibagla.asp)
E un Tool di rimozione per il Beagle.
● per scaricare il Tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELIBAGLA
● per comodità, posizionalo su Desktop ed eseguilo
allega, il log che verrà rilasciato

Tutti i log e/o report che richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegati utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

ciao socio:D ...ma non aveva già fatto il tutto....?
hum....forse effettivamente è meglio ricominciare daccapo;)

@lallotechnology


fixa questo è relativo a flash get però è missing

panda non ha trovato niente?...rifai la scansione eppoi log di gmer (vedi se dà voci in rosso)
come si fixa? premendo fix checked?

panda nn trova nulla

anche gmer


una volta pulito, come ripristino l'antivirus e Zone Alarm? li devo reinstallare togliendo i rimasugli ?

SQUARED FREE

PREVX CSI

ora pure questi devo usare? datemi una procedura uniforme :D

SQUARED FREE
PREVX CSI
ora pure questi devo usare? datemi una procedura uniforme :D
Ti è stata data: seguila e vediamo di risolvere la cosa rapidamente ed in maniera indolore ;)

ciao socio:D ...ma non aveva già fatto il tutto....? hum....forse effettivamente è meglio ricominciare daccapo;)
Ciao Socio :D dopo la questione Nod32, voglio vederci chiaro :cool:
Rifacciamo per intero la procedura Lancetta: per quanto riguarda Avenger, come sempre, lascio a te o ad Juninho o Chill, l'incombenza: malgrado mi sforzi di capire il procedimento, non riesco, ancora ad farmi entrare in testa la questione della editazione dello script in maniera corretta.

Off Topic: prepara un paio di bottiglie di Fiano ...... che sono in arrivo ;) (ti avviso per tempo, comunque).

Ciao Socio :D dopo la questione Nod32, voglio vederci chiaro :cool:
Rifacciamo per intero la procedura Lancetta: per quanto riguarda Avenger, come sempre, lascio a te o ad Juninho o Chill, l'incombenza: malgrado mi sforzi di capire il procedimento, non riesco, ancora ad farmi entrare in testa la questione della editazione dello script in maniera corretta.

Off Topic: prepara un paio di bottiglie di Fiano ...... che sono in arrivo ;) (ti avviso per tempo, comunque).

ma anche un greco non sarebbe male.....:D :D :D
fammi sapè!:D

metti questo script

Files to delete:
C:\Documents and Settings\STEFANO\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\STEFANO\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\STEFANO\Dati applicazioni\m\data.oct
C:\Documents and settings\STEFANO\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\STEFANO\Dati applicazioni\hidires\m_hook.sys

Folders to delete:
C:\Documents and settings\STEFANO\Dati applicazioni\hidires

Registry keys to delete
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr

posta le righe rosse evidenziate da una scansione di gmer

log PREVXCSI:
http://www.zshare.net/download/4743115629e834/

log elibagla:

uffa...
non viene evidenziato nulla

uffa... non viene evidenziato nulla
Uffa che :eek: ....... va bene cosi.
Adesso, pubblica un nuovo log di Hthis, aspetta la mia risposta, e poi:

SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega, il log che verrà rilasciato

Dopo il riavvio, scansione completa con:
BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
● allega il Report che verrà rilasciato.

log hijack this

log hijack this

Fixa queste, ora:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

poi vai con SYSCLEAN Trendmicro in modalità provvisoria (leggi bene il mio post precedente, devi scaricarti anche il file di aggiornamento).

Fixa queste, ora:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

poi vai con SYSCLEAN Trendmicro in modalità provvisoria (leggi bene il mio post precedente, devi scaricarti anche il file di aggiornamento).
ehm... come si fixa?

p.s. l'agg. della trendmicro è il primo di quelli?

metti la spunta a sinistra delle chiavi e premi "fix checked"

l'agg. della trendmicro è il primo di quelli?

:cry: :cry: :( LEGGI BENE:

SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

AGGIORNAMENTO:

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni

● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega, il log che verrà rilasciato

ho provato a fare come hai detto ma la scansione è LENTISSIMA, ho dovuto interrompere
:(

ho provato a fare come hai detto ma la scansione è LENTISSIMA, ho dovuto interrompere
:(

è chiaro che la scansione e lenta perche l'hai interrotta?

non posso aspettare ore :(

ho provato a fare come hai detto ma la scansione è LENTISSIMA, ho dovuto interrompere
Ma che interrompi :mad: (hai fretta? mica ti corre dietro nessuno :muro: ): fai quella scansione, per favore, altrimenti non ne usciamo più, da questa cosa.

mi dà una scritta error nella finestra del DOS.
Penso di scansionare domattina, sono stanco

grazie comunque :)

scusate ma ho avuto un flash: quando ho cliccato l'eseguibile (il virus) se n'è creato un altro che ho cliccato pure (:muro: ) e si chiamava soundman.
non è che si cela dietro questo processo?

scusate ma ho avuto un flash: quando ho cliccato l'eseguibile (il virus) se n'è creato un altro che ho cliccato pure (:muro: ) e si chiamava soundman. non è che si cela dietro questo processo?
Senti, ti ho detto di fare una scansione con SysClean; tu dici che non puoi perdere tempo a fare una scansione ......... vedi un pò tu ;)

posta uno screenshot

eccolo:
http://www.zshare.net/image/4759670241bd96/

Ciao

log Sysclean
http://www.zshare.net/download/475974445112dc/

eccolo
Allora qui non ci siamo ancora, qundi procedi in questo modo:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.
Questa ultima scansione, la esegui in modalità provvisoria, accedendo al sistema, con l'account Administrator.

Dopo aver riavviato, allega un nuovo log di Hthis.

e io? :p

e io? :p
Lallo o impari a seguire le cose o facciamo un altra giornata qui: tu devi ancora fare questo (te lo avevo chiesto nel reply in cui ti ho detto di eseguire la scansione con SYSCLEAN):
Dopo il riavvio, scansione completa con:
BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
● allega il Report che verrà rilasciato.

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.
Questa ultima scansione, la esegui in modalità provvisoria, accedendo al sistema, con l'account Administrator.

Dopo aver riavviato, allega un nuovo log di Hthis.
Allora, ancora 1000 grazie. Ma è ancora a causa di quel virus??
Ho seguito tutti i punti precedenti ed ora sono alla fase di scansione con Asquared che mi ha trovato tra gli altri dei riferimenti a edonkey downloads, software che non ho più, e riferimenti a "easyfreewebcam" ed il file di trova in windows\system32 ed il file è videocapx.ocx.
Li cancello entrambi?

Lallo o impari a seguire le cose o facciamo un altra giornata qui: tu devi ancora fare questo (te lo avevo chiesto nel reply in cui ti ho detto di eseguire la scansione con SYSCLEAN):
report bitdefender
http://www.zshare.net/download/4766861f725f4f/

ok. a posto

Allora, ancora 1000 grazie. Ma è ancora a causa di quel virus??
Ho seguito tutti i punti precedenti ed ora sono alla fase di scansione con Asquared che mi ha trovato tra gli altri dei riferimenti a edonkey downloads, software che non ho più, e riferimenti a "easyfreewebcam" ed il file di trova in windows\system32 ed il file è videocapx.ocx.
Li cancello entrambi?

se lo screenshot me lo mandavi espanso magari ci capivo qualcosa in più, comunque sono solo dei cookie traccianti da eliminare, cancella inoltre i referimenti trovati da a-squared.
Ciao

cosa faccio ora?

cosa faccio ora?

inizia a cucinare gli arrosticini che arriviamo a mangiare :D ;)

:D

Dopo aver riavviato, allega un nuovo log di Hthis.

Ecco il log: http://www.zshare.net/download/47685328d90c8e/

Ma come mai ancora persisteva il problema????
Perchè non mi spieghi qualcosa in più siu questi ultimi passaggi? Chiedo troppo???:p

inizia a cucinare gli arrosticini che arriviamo a mangiare
Chill socio ;) prepara la valigia: si va da Lancetta a cena; ha già preparato il Fiano di Avellino ed il Greco di Tufo: aspettano, solo di essere stappati e bevuti :cool:


Ecco il log: Ma come mai ancora persisteva il problema???? Perchè non mi spieghi qualcosa in più siu questi ultimi passaggi? Chiedo troppo???:p

Fixa queste e sei a posto:

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe

Il problema, in realtà non persisteva: ti ho semplicemte fatto ripulire il contenuto inutile di una cartella (Prefetch), fatto ripulire un pò di porcheria che avanzava e corretto alcune voci del registro di sistema.

io ho postato il report
ed ora? scusate ma aspetto risposta

Fixa queste e sei a posto:

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe

Il problema, in realtà non persisteva: ti ho semplicemte fatto ripulire il contenuto inutile di una cartella (Prefetch), fatto ripulire un pò di porcheria che avanzava e corretto alcune voci del registro di sistema.
Tutto ok. Grazie.
Ma osa.exe e watch.exe non erano dei files importanti???:confused:
Io in genere controllavo il log di HThis su quei forum che contengono i giudizi degli utenti...

t'han detto che hai risolto,oppure vuoi reinfettarti perchè ti siamo simpatici?:D

t'han detto che hai risolto,oppure vuoi reinfettarti perchè ti siamo simpatici?:D
si vede eh? è che mi sono affezionato...:Prrr:

deducendo dalle vostre non-risposte, penso di aver terminato la procedura.
Allora ho reinstallato antivirPE senza problemi... tutto ok

se potete dirmi come reinstallare ZA (ci sono dei residui) vi sarei grato
ciao

t'han detto che hai risolto,oppure vuoi reinfettarti perchè ti siamo simpatici?:D

deducendo dalle vostre non-risposte, penso di aver terminato la procedura.
Allora ho reinstallato antivirPE senza problemi... tutto ok

se potete dirmi come reinstallare ZA (ci sono dei residui) vi sarei grato
ciao
era riferito a te :D

deducendo dalle vostre non-risposte, penso di aver terminato la procedura.
Allora ho reinstallato antivirPE senza problemi... tutto ok

se potete dirmi come reinstallare ZA (ci sono dei residui) vi sarei grato
ciao

ora ti rimane da metetre a posto il resto...
attualmente hai un pc altamente vulnerabile agli exploit!

per prima cosa fai la scansione online con Online Software Inspector (http://secunia.com/software_inspector/) che ti dirà i software che dovrai assolutamente aggiornare.
Per quanto riguarda Acrobatreader io ti consiglio di disinstallarlo in favore del potente e gratuito FoxitReader (http://www.foxitsoftware.com/pdf/rd_intro.php), mentre per quanto riguarda OrbitDownloader io ti consiglierei DownThemAll

hai ancora residui di vecchie installazioni:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

a questo punto direi che devi fare una bella pulizia delle chiavi di registro con CCleaner come consigliato in prima pagina :)

quindi non a foxyman :rolleyes: :D

quindi non a foxyman :rolleyes: :D

no!:D

usa i quote altrimenti non si capisce nulla ;)

quindi non a foxyman :rolleyes: :D

hai anche residui di kaspersky ...
ma come hai disinstallato i programmi? :mbe:

ora ti rimane da metetre a posto il resto...
attualmente hai un pc altamente vulnerabile agli exploit!

per prima cosa fai la scansione online con Online Software Inspector (http://secunia.com/software_inspector/) che ti dirà i software che dovrai assolutamente aggiornare.
Per quanto riguarda Acrobatreader io ti consiglio di disinstallarlo in favore del potente e gratuito FoxitReader (http://www.foxitsoftware.com/pdf/rd_intro.php), mentre per quanto riguarda OrbitDownloader io ti consiglierei DownThemAll

hai ancora residui di vecchie installazioni:


a questo punto direi che devi fare una bella pulizia delle chiavi di registro con CCleaner come consigliato in prima pagina :)
cos'è ? non mi sembrava di averlo. :confused:

hai anche residui di kaspersky ...
ma come hai disinstallato i programmi? :mbe:
ma dove lo vedi?
scusate ma sono confuso :doh:

ora ti rimane da metetre a posto il resto...
attualmente hai un pc altamente vulnerabile agli exploit!

per prima cosa fai la scansione online con Online Software Inspector (http://secunia.com/software_inspector/) che ti dirà i software che dovrai assolutamente aggiornare.
Per quanto riguarda Acrobatreader io ti consiglio di disinstallarlo in favore del potente e gratuito FoxitReader (http://www.foxitsoftware.com/pdf/rd_intro.php), mentre per quanto riguarda OrbitDownloader io ti consiglierei DownThemAll

hai ancora residui di vecchie installazioni:


a questo punto direi che devi fare una bella pulizia delle chiavi di registro con CCleaner come consigliato in prima pagina :)

scusa amico, perchè hai quotato me? ti stai riferndo al log di foxyman.
io non ho residui di Avast :D
ti sei imbrogliato

il mio è questo
http://www.zshare.net/download/47824714585311/
;)


ho due domande:
1) Per eliminare completamente ZA e poi reinstallarlo come devo agire?
2) Quando si parla di pulizia con CCleaner si intende pure quella di registro, cioè trova problemi-ripara ?

scusa, ti avevo confuso con foxyman..

per disinstallare ZA basta cliccare su "unistall" o andare tramite "l'installatore di programmi" di windows..
poi una passata di CClebnear e hai risolto.

non so se è troppo OT, però cliccando su unistall dal menu avvio non me lo trova (il file è mancante). Nel pannello di controllo non c'è nulla di relativo a ZA.
Ho provato a cancellare a mano la cartella Zone Labs in programmi e in system32 ma mi fa impossibile cancellare *nome file* accesso negato.
Tutto questo anche in modalità provvisoria e con ripristino disattivato.
Il True Vector compare tra i servizi in services.msc ma è disattivo.

Per xcdegasp

Ti ringrazio delle info. Ho disinstallato Orbit ed ho seguito alcune tue indicazioni.
Ho usato anche Online Software Inspector però per ora alcuni programmi preferisco non aggiornarli, se non quelli che sono vulnerabili ai virus.
Ti riposto il nuovo Hijackthis:
http://www.zshare.net/download/48539555060def/
Inoltre cosa vuol dire che il mio pc è vulnerabile agli exploit?
Ho, infine, sostituito AcrobatReader con Foxit e installato DownThemAll in luogo di Orbit..

@ foxyman:
exploit è un termine per indicare le procedure atte a sfruttare vulnerabilità di programmi :)
niente di buono.

processi attivi:
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\VEXPLITE\viritsvc.exe

è inutile quindi che installi gli ottimizzatori di ram e cpu:
C:\Programmi\Smart PC Solutions\Magic Speed\MagicSpeedBooster.exe

questo che è?
C:\Programmi\DynDNS Updater\DynDNS.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.ex
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\DOCUME~1\Umbe\IMPOST~1\Temp\Rar$EX00.438\asfbinapp.exe


facciamo un bella cosa, disabilita il ripristino di sistema se non l'hai ancora fatto, poi disinstalla tutti gli antivirus nel modo più completo possibile..
e anche eventuali antispyware che hai installato.
dai una passata di CCleaner (come spiegato in prima pagina e nel thread in rilievo di questa sezione) e poi procedi a installare DrWeb CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) o Avira-Antivir, e poi procedi con quanto richiesto nella prima pagina di questo thread :)

C:\Programmi\DynDNS Updater\DynDNS.exe ?
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.ex acronis true image
C:\WINDOWS\system32\oodag.exe OO defrag
C:\WINDOWS\system32\fxssvc.exe WIN
C:\WINDOWS\System32\wbem\unsecapp.exe WIN
C:\DOCUME~1\Umbe\IMPOST~1\Temp\Rar$EX00.438\asfbinapp.exe ?

C:\Programmi\DynDNS Updater\DynDNS.exe ?servizio per avere na sorta di raggiungibilità dall'esterno della rete pur avendo un ip dinamico (tipo avendo un blog,ftp ecc...)

C:\DOCUME~1\Umbe\IMPOST~1\Temp\Rar$EX00.438\asfbinapp.exe ?
programmino per riparare o riprocessare file ASF (formato di file utilizzato da Windows Media)

servizio per avere na sorta di raggiungibilità dall'esterno della rete pur avendo un ip dinamico (tipo avendo un blog,ftp ecc...)


programmino per riparare o riprocessare file ASF (formato di file utilizzato da Windows Media)

sei preparatissimo!!

@ foxyman:
exploit è un termine per indicare le procedure atte a sfruttare vulnerabilità di programmi :)
niente di buono.

processi attivi:
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\VEXPLITE\viritsvc.exe

è inutile quindi che installi gli ottimizzatori di ram e cpu:
C:\Programmi\Smart PC Solutions\Magic Speed\MagicSpeedBooster.exe

questo che è?
C:\Programmi\DynDNS Updater\DynDNS.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.ex
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\DOCUME~1\Umbe\IMPOST~1\Temp\Rar$EX00.438\asfbinapp.exe


facciamo un bella cosa, disabilita il ripristino di sistema se non l'hai ancora fatto, poi disinstalla tutti gli antivirus nel modo più completo possibile..
e anche eventuali antispyware che hai installato.
dai una passata di CCleaner (come spiegato in prima pagina e nel thread in rilievo di questa sezione) e poi procedi a installare DrWeb CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) o Avira-Antivir, e poi procedi con quanto richiesto nella prima pagina di questo thread :)

Allora il processo di Virit non so come mai non riesco a toglierlo.. In pratica l' antivirus venne disattivato dal virus Bagle ed ora mi ritrovo questo mezzo programma installato..:mbe:
Se provo a cancellare itutti ifile dalla dirtectory del prog non posso modificare un file di esecuzione. Inoltre nè in Start e nè in Pannello di Controllo vedo il programma installato...

Poi, in ordine, 1) DYnDNS serve, come dice "puntualmente":D lancetta, ad avere un Dns che mi consenta di avere un accesso con StrongDc++ senza dover modificare ogni volta l' ip che mi viene dato dal provider; 2) lo scheduler di Acronis True Image x fare le copie di backup....ma non l' ho mai usato!!!:eek:; 3) oodag è un processo di un deframmentatore che mi controlla quanto è frammentato l' hdd e poi interviene automaticamente superata una certa soglia; 4) non so; 5) nemmeno;
OOOOppps! ma non mi ero accorto che l' aveva già scritto Juninho!!!
Vi posto nuovamente l' Hthis:
http://www.zshare.net/download/4865854c6b8b17/
Ciao e grazie infinite!!

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
questo è uno sniffer di rete,l'hai messo tu? in ogni caso lo fixerei pure perchè lo dà missing

- HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
fixa anche questo
poi una gentilezza puoi controllare in C:\WINDOWS\system32 quanti di questo file ci sono \wuauclt.exe???

questo è uno sniffer di rete,l'hai messo tu? in ogni caso lo fixerei pure perchè lo dà missing


fixa anche questo
poi una gentilezza puoi controllare in C:\WINDOWS\system32 quanti di questo file ci sono \wuauclt.exe???
Lo sniffer di rete ce l' ho ancora...poi non so come mai me lo dà "missing".
Lo uso con Windows Media Recorder. Forse fa parte di uno dei tanti smanettamenti al povero pc tra intallazioni e porcherie varie..:oink: :D :D

Quel file "wuauclt.exe" ce n' è ho solo uno in System32. E pare che sia il file di' update di Windows...:confused:

Siete spariti?
Vi posto l' HThis
http://www.zshare.net/download/4957085f38942d/
e ditemi per favore qualcosa, poi non rompo più...
Ci sono quelle voci che si riferiscno ad Avast e Virit che non riesco a togliere:confused: Come ve lo spiegate?
Inoltre ci sono altre riferite a Msn Messenger, Skype, Orbit, ActiveSync, Acronis True Image ed O&ODefrag
Quali posso cancellare, considerando che Orbit lo prediligo a Downthemall che in questo 3D mi era stato consigliato. Orbit crea una freccetta accanto ai video e cliccandoci su me li scarica (è molto pratico, invece DThemAll richiede l' url..); ActiveSync è un programma x il pda che si attiva ogni volta che inserisco il palmare sul caricabatterie da tavolo e, tuttavia, uso pochissimo per trasferirci i dati da Pc a pda (anzi, la finestra x la sincronizzazione che mi appare in avvio mi crea fastidio); O&ODefrag mi attiva la deframmentazione ogni qualvolta l' hhd raggiunge una certa soglia di frammentazione, e questo quindi mi è comodo; Msn e Skype li uso ogni tanto; Acronis True Image (serve x fare il backup del hdd ed attiva una monitorizzazione delle modifiche apportate al hdd x l' eventuale copia di backup) uso molto ma molto raramente.

Vulnerabilità agli exploit cos' è? Come fare x risolvere?

e ditemi per favore qualcosa, poi non rompo più... Ci sono quelle voci che si riferiscno ad Avast e Virit che non riesco a togliere:confused: Come ve lo spiegate? Inoltre ci sono altre riferite a Msn Messenger, Skype, Orbit, ActiveSync, Acronis True Image ed O&ODefrag
Quali posso cancellare ......
Nessuna .... visto che il log che hai pubblicato è strapulito.

Aggiunto nel secondo post un metodo in via di studio per la rimozione con win vista

Ciao,
prima di tutto complimenti per l'ottima guida postata, ha funzionato in maniera eccellente anche se non ho potuto eseguire tutti i passaggi (non sono riuscito ad installare l'antivirus poichè mi chiedeva di disinstallare prima il mio norton, ma essendo il pc aziendale non avevo i diritti per farlo).
Come dicevo ho risolto tutti i problemi tranne uno, che non sono certo essere legato al bigolo in questione (che a me si chiamava updater.exe).
Il problema che ancora mi si presenta è che windows non mi permette più di visualizzare le reti wireless disponibili. il messaggio di errore che mi da è "windows cannot configure the wireless connection. If you have enabled another program to manage the wireless connection, use that software".
Sono andato nei servizi ed ho visto che WZC che è impostato come avvio automatic è in realtà stopped e se provo ad avviarlo manualmente mi dice "Error 1068: The dependency service or group failed to start".
Tenendo conto, come già detto, che il computer è aziendale e pertanto non ho tutti i diritti di amministratore, come posso risolvere il problema? E soprattutto, ritenete che sia legato al piccolo b****rdo che ho beccato ieri?
Grazie mille per tutti i suggerimenti!!!

edit: ho fatto un giro con hijackthis. Mi sembra tutto normale tranne:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Ho cercato con CLSID e mi dice che è un file di msn però in un altro topic ho letto che bisognerebbe cancellarlo. Che faccio?

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
Download: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Allega il log nel prossimo post.

Curiosità: hai eseguito un file allegato ad una mail che richiedeva un aggiornamento di Microsoft?

Scaricato SDFix. Ora riavvio in modalità provvisoria e faccio partire il file che credo sia runthis.cmd (il .bat non c'è nella cartella). Tutto sperando che la cosa non prenda troppo tempo visto che sono in ufficio...
Per quanto riguarda la modalità di infezione mi vergogno quasi a dirla...
Ieri ho aperto il sito di una radio on line per ascoltare una partita in streaming solo che lo streaming non ne voleva sapere di avviarsi ma in compenso mi chiedeva continuamente di scaricare questo file updater.exe
Dopo un migliaio di no alla fine mi sono girate le scatole e come un cretino ho cliccato yes. Il seguito lo puoi immaginare... Ho passato la serata a snocciolare il calendario finchè non mi è venuto in mente di venire a cercare qui, visto che in passato avevo trovato un sacco di cose interessanti. E mi è andata bene

Niente modalità provvisoria. Mi da ancora schermata blu....
Possibili soluzioni?

allega il log di Elibagla

da una prima occhiata il log di stamattina mi sembra pulito.

ripeti tutta la procedura avendo cura di allegare tutti i log.

Come detto, non posso eseguire il punto 3 perchè ho il norton installato sul pc e non posso disintallarlo. In ogni caso sia l'anitivirus che il firewall sono al loro posto (l'eseguibile c'è ancora). Per ora ti allego il log di avenger. Anche a questo ho dato un'occhiata e mi sembra che non abbia trovato nulla, tranne che essendo tutto il pc in inglese non ho la cartella "Dati Applicazioni" ma "Application Data" al cui interno (l'ho sfogliata da esplora risorse) comunque non sembrano esserci le cartelle incriminate.

fammi capire il sistema operativo è installato in C: o in D: ?

windows è su c:
Se ho ben capito la partizione d: serve per i documenti e dovrebbe funzionare da mirror per alcune applicazioni che salvano invece su c:
Almeno credo... :muro:

edit: a proposito, panda non ha trovato nulla.

ri-edit: ho fatto un giro con elibagla su d: e mi ha beccato un altro bagle... te lo metto qui perchè non so come allegare negli edit:

Mon Nov 19 12:00:18 2007
EliBagle v10.71 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Documents and Settings\nome.cognome\Local Settings\Temporary Internet Files\Content.IE5\W94LMV09\UPGRADE[1].EXE --> Eliminado Bagle

Nº Total de Directorios: 3162
Nº Total de Ficheros: 18627
Nº de Ficheros Analizados: 273
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

rilancia lo script pari pari come indicato nella guida sia su C: che su D:
per allegare l'allegato nel post editato devi cliccare su Avanzate

Poi lancia anche questo script:

Files to delete:
C:\Documents and Settings\tuo nome\Dati applicazioni\hidires\rosa.sys
C:\Documents and Settings\tuo nome\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\tuio nome\Dati applicazioni\m\data.oct
C:\Documents and settings\tuo nome\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\tuo nome\Dati applicazioni\hidires\m_hook.sys

Folders to delete:
C:\Documents and settings\tuo nome\Dati applicazioni\hidires

Registry keys to delete
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr

strano che elibagla non ripristini la mod provvisoria...


importa il file .reg che trovi qua dentro:

http://www.zshare.net/download/4997787b160993/

Col primo script non mi ha segnalato nessun problema. Con il secondo invece mi ha dato questo errore:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cfmdfpaq

*******************

Script file located at: sccahunj

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

Ormai brancolo totalmente nel buio... :doh:
Ma per eseguire il primo script sia su c che su d, come avrei dovuto fare?

strano che elibagla non ripristini la mod provvisoria...


importa il file .reg che trovi qua dentro:

http://www.zshare.net/download/4997787b160993/

Questo posso provarlo solo stasera... Sono dietro proxy e il sito www.zshare.net appartiene ad una categoria di siti alla quale non posso accedere.

tieni,l'ho allegato qui sul forum

Grazie mille, sei stato gentilissimo.
Ho aggiunto le info al registro. Ora provo a riavviare e vedere se la mod provvisoria va e ti faccio sapere.

edit: una notizia buona ed una cattiva.
La buona è che mandando la modalità provvisoria non ho più la schermata blu. La cattiva è che dopo avermi chiesto se davvero voglio usare la mod provvisoria il pc si impalla sulla schermata nera con "safe mode" scritto ai quattro angoli. Comunque mi sta venendo il dubbio che la modalità provvisoria fosse stata esclusa da chi ha i diritti di amministratore (sempre per il discorso che si tratta di un pc aziendale).

Visto che mi sto rincretinendo faccio un attimo il punto della situazione.

Elibagla non mi da più nessun problema.
Avenger non mi da problemi (almeno credo) nell'esecuzione dello script indicato nella guida.
L'antivirus non posso installarlo quindi quel punto l'ho saltato.
Panda rootkit non mi da nessun errore.
Il mio antivirus e il mio firewall risultano regolarmente in funzione.
L'unica cosa che continua a non funzionare è WZC.
La modalità provvisoria non mi da più schermata blu ma comunque si blocca al momento del caricamento (ma sono sempre più convinto che questo dipenda dalle policy aziendali visto che a rigore, al minimo problema dovrei portare il pc in assistenza)
CCleaner l'ho fatto girare e nonostante abbia fatto molta pulizia non mi sembra abbia eliminato nulla di malevolo.
Può essere utile postare il log di HijackThis per risolvere il problema di WZC?

Scansione online con Kaspersky http://www.kaspersky.it/Servizi/virusscanner.asp
salva il log ed allegalo nel prossimo post

Update process FAILED. No further antivirus actions can be performed!

Attention, you must be online to activate Kaspersky Online Scanner, since the latest Anti-Virus bases version must be downloaded prior to scan. Otherwise we cannot guarantee detection of latest viruses. [21]

E ti assicuro che online ci sono!!!:muro:

Update process FAILED. No further antivirus actions can be performed!

Attention, you must be online to activate Kaspersky Online Scanner, since the latest Anti-Virus bases version must be downloaded prior to scan. Otherwise we cannot guarantee detection of latest viruses. [21]

E ti assicuro che online ci sono!!!:muro:

Stai usando IE vero?

posta un log di hijackthis,magari hai qualcos'altro oltre a bagle

inoltre posta le righe in rosso evidenziate da una scansione di gmer

per hwupgrade sto usando FF. Per lo scan ho usato IE. Comunque sto provando con Panda e la scansione sta procedendo.
Per BugsBunny: gmer l'ho fatto girare e non mi da nessuna riga in rosso.
Appena finisco lo scan online faccio girare anche HiJackThis e posto il log.

per hwupgrade sto usando FF. Per lo scan ho usato IE. Comunque sto provando con Panda e la scansione sta procedendo.
Per BugsBunny: gmer l'ho fatto girare e non mi da nessuna riga in rosso.
Appena finisco lo scan online faccio girare anche HiJackThis e posto il log.

in ogni caso serve il log della scansione online

Appena Panda finisce vedo se genera il log e lo posto. Ho però l'impressione che sarà una cosa lunghetta... sono a quasi 200k file e la barra sarà si e no al 15%!!!
Comunque sia tu che bunny fatemi avere un indirizzo che una cassa di birre a testa non ve la toglie nessuno!!!!! E' da stamattina che mi state dietro! :D

edit: a quota 250k file panda mi ha trovato un file infetto. Trattasi di "strumenti di hacking e rootkit". A breve nuovi sviluppi

La situazione peggiora... A quota 600k file gli infetti ora sono 3. Tutti nella stessa categoria... Ad occhio i file da analizzare saranno poco meno di 2M.

Scansione Completata!
Il log in allegato. Mi stavo preoccupando invece mi sa che è tutto ok. Aspetto comunque una vostra conferma

infatti nulla di preoccupante, log di HJT per favore.

ti ho scritto un msg privato... puoi dargli un'occhiata?

ti ho scritto un msg privato... puoi dargli un'occhiata?

risposto

Ecco il log di hijack.

Edit...Ad evitare che altri perdano tempo sul log di hinojky, c'è da sapere che è già stato fatto da Chill-Out in privato per motivi di privacy.

posto qui, giusto?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.14.02, on 22/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodtray.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\md\amd.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\MANUEL~1\IMPOST~1\Temp\Rar$EX00.234\PAVARK.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD2835C-A644-490A-9223-D50ED8419717}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

Per quanto riguarda Acrobatreader io ti consiglio di disinstallarlo in favore del potente e gratuito FoxitReader (http://www.foxitsoftware.com/pdf/rd_intro.php)

Wow, non sapevo di questo tool... Già scaricato, appena mi libero di Bagle lo provo :D
Ieri sera ho scaricato da emule un file: immaginavo fosse un virus ma, visto ke Ad-Aware e NOD32 non avevano rilevato nulla, ho deciso di lanciarlo ugualmente... Quando ho riavviato il PC, ho notato che erano stati cancellati sia NOD32 che Spybot (Ad-Aware non è stato toccato e non so perchè). Chiaramente la modalità provvisoria (che di solito uso sempre in caso di malware) ha dato una BSOD ma sono riuscito a far partire il computer tramite MS-Dos (ho preferito questa procedura solo per eccessiva prudenza, visto che sotto DOS i files non hanno nessuna protezione) e, utilizzando NTFSPRO per accedere alla partizione NTFS, ho cancellato Hidr.exe dalla cartella system32 oltre al file scaricato da emule... Naturalmente ora procederò alla completa pulitura del sistema. :cool:
Però vi posto una info che non ho visto postata da nessuno: il file che avevo scaricato era lungo 501564 bytes, con data di luglio 2006 (se non ricordo male): prima di riavviare il computer avevo effettuato una ricerca tramite la funzione avanzata di SEARCH di Total Commander (non uso mai quella di Windows) e ho trovato che Googletoolbarnotifier.exe era stato sostituìto dal malware bastardo, avendo stessa data e lunghezza...
Quindi, fate attenzione perchè mi sembra di aver capito che l'infezione crea un suo backup sostituendosi a qualcosa che avete installato sul computer... Potrebbe accadere che tra qualche tempo, senza rendervene conto, veniate di nuovo infettati.
:muro:

naturalmente si perchè il bagle ti ha danneggiato i file del soft


credo di averlo preso pure io, e non mi funziona piu internet in LAN da questo pc, in piu mi ha cancellato i file seguibili di zone alarm e se le rimitteo dentro pure dalla chiavetta usb me li cancella :muro:

ciao

credo di averlo preso pure io, e non mi funziona piu internet in LAN da questo pc, in piu mi ha cancellato i file seguibili di zone alarm e se le rimitteo dentro pure dalla chiavetta usb me li cancella :muro:

ciao

segui la guida

segui la guida

Ciao Chill, scusa se ti disturbo: ma tutto quel bordello di istruzioni che si trova nella guida è NECESSARIO? Mi spiego meglio: visto che di solito (tranne ieri notte, eheheh...) sono prudente e molto attento a cosa scarico o dove navigo, sono anche sicuro che il mio XP è pulito (a parte bagle). Ora, per non perdere tutto il pomeriggio a fare scansioni inutili, nel mio caso è sufficiente cancellare i files con EliBaglA1073 e poi pulire il registro oppure DEVO ESEGUIRE tutte le operazioni della guida per eliminare questo fottuto bagle?!? :cry:
Ti ringrazio fin da ora per l'eventuale risposta :)

Secondo te la guida l'abbiamo redatta perchè non sappiamo come passare il tempo in mezzo a questo mare di utenti infetti, certo che devi eseguire tutta la procedura, ciao.

scusate la mia ignoranza in questo campo, ma se questo bigul m ha tolto la connessione come faccio a fare la scansione online? altra cosa Karspersky mi dice di disinstallare avast ma non essendoci gli exe ovviamente si blocca, come mi devo comportare?

saluti :)

Ciao a tutti!

Ho eseguito la guida, spero di aver sistemato tutto.

Ho installato Kpersky 7.0.0.125 , è molto carino, ma funziona anche da firewall? Mi ha disinstallato Zone Alarm. Devo affiancare Outpost o non ne vale la pena? Questo è un pc in DMZ sempre connesso, quindi abbastanza esposto e ci gira emule 24h al giorno 7 giorni su 7 , praticamente riavvio una volta ogni 2/3 settimane.

Vi lascio alcuni log , se gentilmente me li controllaste :mbe:

E hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.21.35, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FlashFXP\flashfxp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Program Files\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?8c0dbc5f687f4a76bae1c1977e972fc3
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Program Files\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?8c0dbc5f687f4a76bae1c1977e972fc3
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B56D70AA-BFEB-46E0-848F-393B7AAE808D}: NameServer = 151.99.125.1,151.99.0.100
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 7885 bytes


Grazie a tutti

salve a tutti.
credo di avere il computer infettato da bagle...il mio pc ha windows vista, ho fatto la scansione con Elibagla e mi ha confermato che il bagle era in un file zip scaricato da Emule.
ecco il link del mio file InfoSat.txt

infosat.txt - 0.00MB (http://www.zshare.net/download/52247633ec87ff/)

aspetto impaziente vostre notizie!

grazie!

pulita :)

proprio quello che mi serviva!!!
OTTIMA guida complimentoni!
ho seguito tutta la procedura e i risultati li ho postati nel post che avevo precedentemente iniziato....:read: http://www.hwupgrade.it/forum/showthread.php?t=1615242&page=2

potreste darci un'okkio? ;)

Anche io ho questo maledetto virus. Il problema è che ho provato ad avviare il pc in modalità provvisoria, ma quando cerca di riavviarsi e compare la schermata che dice di scegliere la modalità provvisoria oppure le altre 2 modalità in rete e l'altra, io scelgo modalità provvisoria, ma windows non riesce a caricarsi e ritorna sempre a questa schermata. Non sò come uscirne. Aiutatemi, vi prego!

Anche io ho questo maledetto virus. Il problema è che ho provato ad avviare il pc in modalità provvisoria, ma quando cerca di riavviarsi e compare la schermata che dice di scegliere la modalità provvisoria oppure le altre 2 modalità in rete e l'altra, io scelgo modalità provvisoria, ma windows non riesce a caricarsi e ritorna sempre a questa schermata. Non sò come uscirne. Aiutatemi, vi prego!


Nessuno mi aiuta?:(

Hai seguito la guida al primo post?
Per ripristinare la modalità provvisoria puoi usare questo:

http://www.hwupgrade.it/forum/showpost.php?p=19709205&postcount=154

Hai seguito la guida al primo post?
Per ripristinare la modalità provvisoria puoi usare questo:

http://www.hwupgrade.it/forum/showpost.php?p=19709205&postcount=154


Ok, ma come faccio ad usare safe boost, se windows non riesce a caricarsi ne in modalità provvisoria ne in quella normale? Mi riporta sempre alla stessa schermata dove mi dice di scegliere quale modalità voglio, è un circolo vizioso non se ne esce. Io ogni volta scelgo una modalità e Windows cerca di caricarsi ma non ce la fà....
Grazie.

Ok, ma come faccio ad usare safe boost, se windows non riesce a caricarsi ne in modalità provvisoria ne in quella normale? Mi riporta sempre alla stessa schermata dove mi dice di scegliere quale modalità voglio, è un circolo vizioso non se ne esce. Io ogni volta scelgo una modalità e Windows cerca di caricarsi ma non ce la fà....
Grazie.

Volevo aggiungere che in questo momento stò scrivendo da un'altro pc, appunto perchè quello infetto non è utilizzabile in quanto non riesce ad avviarsi in nessuna modalità.
Grazie

Non si era capito che non riesci ad avviare neanche in modalità normale.

Ci sono almeno 2 possibilità:


Ti scarichi Ultimate Boot CD for Windows (http://www.ubcd4win.com/) e ti crei l'iso avviabile. Poi con il cd creato accedi alle partizioni del pc e ti salvi su DVD o in un'altra partizione i dati più importanti. Poi sempre da ubcd4win avvia il programma Registry Restore Wizard e fai il ripristino del sistema ad un punto precedente a quando hai iniziato ad avere il problema.


Fai il boot dal cd di Windows XP. Quando arrivi alla schermata che ti fa scegliere tra tre opzioni ( Installare Windows XP, Console di ripristino e Uscita) premi INVIO. Poi F8. Arriverai in una schermata in cui viene riconosciuto l'XP che hai già installato e dovrai premere R per riparare la precedente installazione (altrimenti se premi esc procederai con una nuova installazione).


Scegli te quale delle tue ti sembra più "semplice".

Non si era capito che non riesci ad avviare neanche in modalità normale.

Ci sono almeno 2 possibilità:


Ti scarichi Ultimate Boot CD for Windows (http://www.ubcd4win.com/) e ti crei l'iso avviabile. Poi con il cd creato accedi alle partizioni del pc e ti salvi su DVD o in un'altra partizione i dati più importanti. Poi sempre da ubcd4win avvia il programma Registry Restore Wizard e fai il ripristino del sistema ad un punto precedente a quando hai iniziato ad avere il problema.


Fai il boot dal cd di Windows XP. Quando arrivi alla schermata che ti fa scegliere tra tre opzioni ( Installare Windows XP, Console di ripristino e Uscita) premi INVIO. Poi F8. Arriverai in una schermata in cui viene riconosciuto l'XP che hai già installato e dovrai premere R per riparare la precedente installazione (altrimenti se premi esc procederai con una nuova installazione).


Scegli te quale delle tue ti sembra più "semplice".


Senti, siccome il cd d'installazione di windows xp del computer infetto non lo trovo più, posso usare anche il cd d'installazione windows xp di un'altro pc?
Grazie di cuore per l'aiuto.

Puoi usare anche quello di un altro pc l'importante è che sia la stessa versione, cioè Home o Professional e SP2 o SP1.

Puoi usare anche quello di un altro pc l'importante è che sia la stessa versione, cioè Home o Professional e SP2 o SP1.

Ok, dopo comincio tutta la procedura. Quando avrò finito dovrò postare i risultati dell'antivurus? Ma sarà necessario aggiornare gli antivirus che ho scaricato direttamente dalla guida? Perchè il virus mi ha inibito anche internet....
Grazie

Puoi usare anche quello di un altro pc l'importante è che sia la stessa versione, cioè Home o Professional e SP2 o SP1.


Niente, il cd di installazione di windows xp non lo trovo più, e non ne ho altri. Come faccio? :(

Niente, il cd di installazione di windows xp non lo trovo più, e non ne ho altri. Come faccio? :(


Sono riuscito a reperire un cd d'istallazione di windows xp home, però è service pack 1, il sul pc ho windows home service pack 2, lo posso usare lo stesso? Vi prego aiutatemi, non sò più che fare. :(
Grazie.

Forse non sono stato chiaro prima. Ma i due punti 1 e 2 che ti ho elencato sono alternativi uno all'altro. Cioè o fai uno o fai l'altro.
Visto che il cd contiene il SP1 puoi eseguire sicuramente il punto 1 che ti avevo elencato.
Se la cosa non funzionasse allora per eseguire il punto 2 dovrai prima crearti un nuovo cd di Xp contenente il SP2 partendo dal cd con SP1. Per farlo puoi usare nlite seguendo in parte questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1383206

oppure "alla vecchia maniera" con questa:

http://www.tweakness.net/index.php?link=articoli/a10.php

Una volta fatto puoi tentare il ripristino elencato al punto 2.
Comunque tieni presente che con UBCD4Win puoi anche accedere alle partizioni e fare una copia dei dati più importanti, e puoi anche fare scansioni antivirus e antispyware.;)

Forse non sono stato chiaro prima. Ma i due punti 1 e 2 che ti ho elencato sono alternativi uno all'altro. Cioè o fai uno o fai l'altro.
Visto che il cd contiene il SP1 puoi eseguire sicuramente il punto 1 che ti avevo elencato.
Se la cosa non funzionasse allora per eseguire il punto 2 dovrai prima crearti un nuovo cd di Xp contenente il SP2 partendo dal cd con SP1. Per farlo puoi usare nlite seguendo in parte questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1383206

oppure "alla vecchia maniera" con questa:

http://www.tweakness.net/index.php?link=articoli/a10.php

Una volta fatto puoi tentare il ripristino elencato al punto 2.
Comunque tieni presente che con UBCD4Win puoi anche accedere alle partizioni e fare una copia dei dati più importanti, e puoi anche fare scansioni antivirus e antispyware.;)

Si avevo capito, ma non sapevo come si potesse aggiornare il service pack 1 con un service pack 2. Adesso provo a farmi un cd d'installazione windows aggiornato al service pack 2 seguendo la tua guida. Ma se inserendolo non partisse? Sò che a volte bisogna modificare il bios per permettere ad un disco di partire da solo. Sbaglio?
Grazie, senza di te non avrei saputo come fare.

Ti ripeto che con il cd con SP1 puoi già creare la iso di UBCD4win. Poi quando sarà necessario farai l'integrazione del SP2.
Nel BIOS devi impostare il lettore CD\DVD come 1rst Boot Device.

Ps: Sei sicuro di avere il Bagle? Perchè altrimenti è meglio aprire una discussione a parte, invece di continuare qui con istruzioni che non hanno a che fare col virus in questione.:)

Ti ripeto che con il cd con SP1 puoi già creare la iso di UBCD4win. Poi quando sarà necessario farai l'integrazione del SP2.
Nel BIOS devi impostare il lettore CD\DVD come 1rst Boot Device.

Ps: Sei sicuro di avere il Bagle? Perchè altrimenti è meglio aprire una discussione a parte, invece di continuare qui con istruzioni che non hanno a che fare col virus in questione.:)

Purtroppo sono sicurissimo di avere il bagle. Ok, adesso cercherò di aggiornare il cd d'istallazione di windows xp al service pack 2. Creare la iso di ubcd4win mi sembra più complicato e poi la guida che ho trovato è molto vecchia e non sò se sia attendibile ancora. Hai ragione siamo off topic, eventualmente ti posso postare in privato?
Grazie.

Purtroppo sono sicurissimo di avere il bagle. Ok, adesso cercherò di aggiornare il cd d'istallazione di windows xp al service pack 2.
Il sistema operativo (quello al SP1 intendo) è regolarmente licenziato? (dimmi solo se si o no).
Se è licenziato, ti pubblico qui, l'intera procedura di aggiornamento al SP2 (Patch di sicurezza comprese).

Il sistema operativo (quello al SP1 intendo) è regolarmente licenziato? (dimmi solo se si o no).
Se è licenziato, ti pubblico qui, l'intera procedura di aggiornamento al SP2 (Patch di sicurezza comprese).


Ciao, si il cd è originale, me lo ha dato un amico che l'aveva in dotazione sul suo pc quando l'ha acquistato, poi lui ha installato il windows xp professional e quindi non l'ha più usato.

angus69 per poter continuare in PVT devi cancellare qualche messaggio.

angus69 se non cancelli qualche messaggio privato non possiamo comunicare più in PVT. Forse è meglio se apri una discussione a parte.

angus69 se non cancelli qualche messaggio privato non possiamo comunicare più in PVT. Forse è meglio se apri una discussione a parte.

Scusa Nuz, mi sono accorto solo ora, ho cancellato i messaggi, mi ricevi ora?

Ecco il mio log.

Come ti ho detto in pvt per ora non postare qui, visto che l'antivirus si è installato e mi pare che mi hai detto che elibagla non ha trovato nulla. Posta nella discussione di HJT.

Salve a tutti,
ho un portatile con win Vista infettato da Bagle. (Disattivato il centro sicurezza, il wireless, cancellato gli exe dell'antivirus... etc..etc...)

Vi posto il log di Elibagle e di seguito quello di Hijackthis.

http://www.zshare.net/download/5821791d88cb4e/

http://www.zshare.net/download/582198293d9176/

Che cosa devo fare adesso? grazie per l'aiuto

matteo

Salve a tutti,
ho un portatile con win Vista infettato da Bagle. (Disattivato il centro sicurezza, il wireless, cancellato gli exe dell'antivirus... etc..etc...)

Vi posto il log di Elibagle e di seguito quello di Hijackthis.

http://www.zshare.net/download/5821791d88cb4e/

http://www.zshare.net/download/582198293d9176/

Che cosa devo fare adesso? grazie per l'aiuto

matteo

elibagle sembra abbia fatto il suo dovere...l'unico dubbio (essendo tu su vista)
è questo...C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe

dovresti uploadarlo su virus total QUI (http://www.virustotal.com/en/indexf.html)

e postare qui il link del risultato giusto per sicurezza...come và il vaio?

Grazie lancetta per la dritta...
il problema è questo, sono andato a ricercare il file updservice.exe ma non c'è più! Poco fa ho eseguito la scansione con a-squared free, alla fine della scansione "profonda" ho trovato 3 file sospetti e li ho cancellati.... può essere che uno di questi fosse updservice? se riavvio il sistema si ricrea il file (credo)?

il vaio a parte questo grosso inconveniete virale (che ne pregiudica le ottime prestazioni) è valido. Con il centrino rosa e 2 gb di memoria per il mio utilizzo domestico è cmq perfetto. Con l'uscita full ready hd posso vedermi i dvd sul mio lcd... insomma ci sono parecchie cose interessanti...

pensi che dovrò riformattare tutto?????:cry: dimmi di no lancetta....:help:

Nella cartella Documenti trovi la cartella di a-squared che a sua volta contiene la cartella Logs, allega il contenuto dell'ultima scansione.
Per quanto concerne questo:

C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe

dovrebbe essere un Trojan/Dropper

Chill-out ho controllato, nella cartella documenti c'è a-squared con due sottocartelle reports e scansets ma sono entrambe vuote. Nessun log all'interno, come mai?

Nella cartella Documenti trovi la cartella di a-squared che a sua volta contiene la cartella Logs, allega il contenuto dell'ultima scansione.
Per quanto concerne questo:



dovrebbe essere un Trojan/Dropper

si effettivamente è così socio;) ...siccome stamane ero su xp onde evitare problemi avevo suggerito la scansione on line poichè ricordavo che sul vista c'è una funzione del genere.....
ora che sono sul note (con svista) ho visto che il nome del servizio era simile.....quindi da seccare....


@matthew81 riallega il log di hijackthis....e tranquillo che risolviamo:D

lancetta ecco il nuovo log di hijackthis

http://www.zshare.net/download/5824718b5924b0/

lancetta ecco il nuovo log di hijackthis

http://www.zshare.net/download/5824718b5924b0/

O4 - HKLM\..\Run: [UpdService] C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe
allora la voce in oggetto è da fixare


Poi Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
Files to delete:
C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo alleghi qui.

ho fissato la riga 4 con hijackthis.
ma il problema adesso è avenger... che non funziona con sVista :muro:
:help:
ho cercato qualche programma similare su google ma niente...

ho fissato la riga 4 con hijackthis.
ma il problema adesso è avenger... che non funziona con sVista :muro:
:help:
ho cercato qualche programma similare su google ma niente...

apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica


apri hijackthis clicca "open the misc tools section",click su delete file on reboot ti sia apre lafinestra esplora risorse da lì cerchi il file incriminato ...una volta inserito hijackrhis ti chiederà di ravviare,clicca su si...il pc dovrebbe riavviarsi e cancellarti il file infame....facci sapere...

lancetta ho seguito la tua procedura ma quando vado a ricercare updservice.exe nel percorso C:\Program Files\Common Files\microsoft shared\MSWNInfo\ non c'è. La cartella è vuota!
Non ci capisco più niente... sigh :cry:

Cmq il problema non sono i file srosa e hidr?? mi sembra di aver capito che updservice è un secondo virus che non c'entra niente con il bagle?

ho provato ad installare il mio antivirus viriTTT e magia... si è installato?!?!?!!?
quindi?? non sono + infetto??? boh...
vuoi vedere che con la scansione approfondita di a-squared sono riuscito a ripulire tutto?!
sono sempre più confuso....

lancetta ho seguito la tua procedura ma quando vado a ricercare updservice.exe nel percorso C:\Program Files\Common Files\microsoft shared\MSWNInfo\ non c'è. La cartella è vuota!
Non ci capisco più niente... sigh :cry:

Cmq il problema non sono i file srosa e hidr?? mi sembra di aver capito che updservice è un secondo virus che non c'entra niente con il bagle?

calma apri la finestra che ti dicevo di "delete file on reboot" e copiaci questo:

C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe

dopo nuovo log di hijackthis
per favore...

ecco qua il nuovo log con hijackthis

http://www.zshare.net/download/58332434ede70d/

grazie

ecco qua il nuovo log con hijackthis

http://www.zshare.net/download/58332434ede70d/

grazie

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
fixa questo è relativo al norton...per il resto il log è pulito.....
però come antivirus virit è insufficiente...ti consiglierei di installare Antivir ottimo antivirus free che attualmente uso sul mio laptop con Svista...molto leggero e nelle comparative è considerato uno dei migliori
qui la guida: http://www.hwupgrade.it/forum/showthread.php?t=1514684

Saluti:cool:

Grazie mille lancetta per l'aiuto!!!!

Però ho riscontrato ancora qualche anomalia nel sistema....
il centro di sicurezza risulta ancora disattivato, e se clicco su "attiva ora" mi appare il msg "impossibile avviare il centro sicurezza pc".
Ho notato poi che il windows update funziona regolarmente, mentre per windows defender mi appare il seguente messaggio di errore "impossibile inizializzare l'applicazione 0x800106ba. il Servizio è stato arrestato a causa di un problema... etc..."

Grazie ancora per l'aiuto, senza di voi avrei dovuto sicuramente formattare... haimè :(

Provvedo subito a scaricare Antivir

up ;)

hum..Pannello di controllo\Strumenti di amministrazione\servizi..vedi se il centro di controlloPC è attivato....

Lancetta ho risolto tutto!! adesso anche il centro sicurezza funziona alla grande... grazie ancora, sei stato veramente indispensabile!! non pensavo di trovare all'interno di un forum, un supporto cosi tecnico e veloce... vi terrò sempre di conto!
e pensare che i tecnici del virit c'han passato 10 giorni su quel bagle senza venirne a capo... naturalmente ho seguito il tuo consiglio e adesso ho l'Antivir! :p
Grazie ancora e buon natale

Lancetta ho risolto tutto!! adesso anche il centro sicurezza funziona alla grande... grazie ancora, sei stato veramente indispensabile!! non pensavo di trovare all'interno di un forum, un supporto cosi tecnico e veloce... vi terrò sempre di conto!
e pensare che i tecnici del virit c'han passato 10 giorni su quel bagle senza venirne a capo... naturalmente ho seguito il tuo consiglio e adesso ho l'Antivir! :p
Grazie ancora e buon natale

he he :D regalo di Natale da parte mia e del forum:D :D contento che tu abbia risolto;)

e pensare che i tecnici del virit c'han passato 10 giorni su quel bagle senza venirne a capo...
Addirittura!!!!!!:eek: :rolleyes:


AUGURI......

posto i link ai 3 file log che ho ottenuto (probabile virus bagle); kaspersky antivirus non installato causa problemi con windows installer

http://www.zshare.net/download/595016535f0827/

avenger.txt - 0.02MB (http://www.zshare.net/download/59502003c5de6a/)

hijackthis.log - 0.01MB (http://www.zshare.net/download/5950225f834152/)

he he :D regalo di Natale da parte mia e del forum:D :D contento che tu abbia risolto;)


Addirittura!!!!!!:eek: :rolleyes:


AUGURI......

Lancetta scommetto che anche tu come me muori dalla curiosità di vedere la corrispondenza con i tecnici di Virit :D questo sarebbe un bel regalo di Natale anche se è gia passato ;)

posto i link ai 3 file log che ho ottenuto (probabile virus bagle); kaspersky antivirus non installato causa problemi con windows installer

http://www.zshare.net/download/595016535f0827/

avenger.txt - 0.02MB (http://www.zshare.net/download/59502003c5de6a/)

hijackthis.log - 0.01MB (http://www.zshare.net/download/5950225f834152/)

accetto consigli, se qualcuno può dare un'occhiata ai file.
grazie in anticipo

A me pare che funzioni...vi posto il log quì, tanto è molto breve...

Sun Dec 30 00:31:45 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Sun Dec 30 00:38:34 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Sun Dec 30 00:43:31 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Dec 30 00:43:35 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 13687
Nº Total de Ficheros: 141542
Nº de Ficheros Analizados: 13602
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Cosa devo fare ora? Sono libero dal male? (Amen) :)

nn sono esperto di questo virus, ma credo che c siano molti altri passaggi dopo la scansione con elibagle.... ;)

ciao a tutti...questa mattina ho scoperto di avere questi virus,all'avvio li ho beccati e ora sto procedendo come da post iniziale....volevo postarvi il responso di elibagla,avviato prima di fare la scansione con kasper (la scansione nn è ancora finita ma mi ha già segnalato il virus Hldrrr)e dopo inserisco quello con avenger
ho anche il problema di nn poter installare antivirus e di nn poter accedere alla modalità provvisoria...cosa ve ne pare?


Sun Dec 30 14:33:44 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Dec 30 14:34:02 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\100156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\132953.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\138484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\147390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\150265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\163484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\208929406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\521859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\60875.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\68421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92968.EXE --> Eliminado Bagle

Nº Total de Directorios: 3598
Nº Total de Ficheros: 29089
Nº de Ficheros Analizados: 8411
Nº de Ficheros Infectados: 12
Nº de Ficheros Limpiados: 12

@picciodisonno

devi seguire l'intera procedura e come indicato in guida: "AVVISO: AL FINE DI MANTENERE LA DISCUSSIONE PIU' ORDINATA,I RAPPORTI ED I LOGFILE CARICATELI SU http://www.zshare.net/ E POSTATE IL LINK"
Grazie per la collaborazione

ho anche il problema di nn poter installare antivirus

avviato prima di fare la scansione con kasper (la scansione nn è ancora finita ma mi ha già segnalato il virus Hldrrr)

ma non stai facendo la scansione con la trial del KAV :mbe:

@chill out
si..ho seguito le istruzioni per xp della prima pagina della discussione
la scansione completa nn è ancora finita..quando finisce devo eliminare il file infetto giusto?ho sbagliato qualcosa?

@chill out
si..ho seguito le istruzioni per xp della prima pagina della discussione
la scansione completa nn è ancora finita..quando finisce devo eliminare il file infetto giusto?ho sbagliato qualcosa?

si elimina il file infetto e procedi con Avenger come indicato in guida e opportuno al termine della procedura allegare i log per il controllo come ti indicato in precedenza.

quando clicco su elibagla.exe mi da applicazione non valida di win32 blablabla...che fò??:(

credo di aver elimato qualcosa, ma gli antivirus non mi si installano e la rete non funziona ancora... maledetto me, sono proprio un pirla!

quando clicco su elibagla.exe mi da applicazione non valida di win32 blablabla...che fò??:(

credo di aver elimato qualcosa, ma gli antivirus non mi si installano e la rete non funziona ancora... maledetto me, sono proprio un pirla!

che SO hai?

@ picciodisonno: la prossima volta sospendo visto che la prima pagina l'hai letta e presumo anche le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) quindi cerca di tenere a mente i metodi consentiti su come inserire un log..
grazie per la collaborazione :)

che SO hai?

xp pro sp2
:fagiano:

e naturalmente non mi si installa nessun antivirus, che sia nod, kaspersky o altro. non so più che fare....

@chill out
allora ho eliminato il virus hldrrr con kasper e ho usato avenger..al riavvio mi è comparso il messaggio
cmd.exe disco non presente.inserire un disco nell'unità \Device\Harddisk2\DR8
e lo stesso messaggio ripetuto fino a DR11
ho usato avg anti-rootkit e nn mi segnala nulla....è tutto risolto quindi?
spero di riuscire ad inserire il link correttamente

http://www.zshare.net/download/6031509a9a0725/]avenger.txt - 0.01MB[/URL]

@chill out
allora ho eliminato il virus hldrrr con kasper e ho usato avenger..al riavvio mi è comparso il messaggio
cmd.exe disco non presente.inserire un disco nell'unità \Device\Harddisk2\DR8
e lo stesso messaggio ripetuto fino a DR11
ho usato avg anti-rootkit e nn mi segnala nulla....è tutto risolto quindi?
spero di riuscire ad inserire il link correttamente

http://www.zshare.net/download/6031509a9a0725/]avenger.txt - 0.01MB[/URL]

avenger non ha rimosso nulla perchè non trovava quelle cose presenti :)

neeee allora sono libera da virus...finalmenteeeee:)
ho provato anche a far partire la modalità provvisoria e funziona
grazie a tuttiiiii:)

you are freedom :D

se con un box usb attacco l'hd a un altro pc e faccio una scansione (ma con cosa poi?) risolvo qualcosa o rischio solo di infettare anche l'altro?

se con un box usb attacco l'hd a un altro pc e faccio una scansione (ma con cosa poi?) risolvo qualcosa o rischio solo di infettare anche l'altro?

devi seguire quello che c'è scritto nel primo messaggio di questo threadnon mi sembra così difficile da fare, ad ogni modo il pc è il tuo quindi a te l'ultima decisione :D

devi seguire quello che c'è scritto nel primo messaggio di questo thread non mi sembra così difficile da fare
qualcosa ti fa pensare che non l'abbia fatto?:rolleyes:

qualcosa ti fa pensare che non l'abbia fatto?:rolleyes:

avresti pubblicato i log dei tool eseguiti :)

Salve a tutti, per favore non escludetemi subito se per caso non seguo la procedura corretta.
sono entrato nel pallone perchè nel pc ho la mia tesi di laurea e sto facendo il tutto per tutto per evitare di formattare, perdendo accidentalmente qualche dato (ho vari dati spaarsi nelle cartelle)
Ho fatto tutto e dico tutto quello che è scritto nel primo post, ma non ho ottenuto peurtroppo il risultato desiderato.
Ho fatto anche una scansione con NoAdware, questo software mi rileva Beagle.Vx e lodear.G, dò il comando di eliminazione, ma appena riavvio si ripresenta....
Ho fatto la scansione con kaspersky (una notte intera), ho provato ad eliminare le voci infette segnalate mediante the avenger, ma al riavvio nulla...
Ditemi quale log posso postarvi per avere un riscontro, attualmente non so davvero a quale santo votarmi e forse solo voi avete la soluzione..
Ripeto, scusatemi se per caso non mi sto attenendo alle regole, spero di non sgarrare...:muro: :muro: :muro:

Salve a tutti, per favore non escludetemi subito se per caso non seguo la procedura corretta.
sono entrato nel pallone perchè nel pc ho la mia tesi di laurea e sto facendo il tutto per tutto per evitare di formattare, perdendo accidentalmente qualche dato (ho vari dati spaarsi nelle cartelle)
Ho fatto tutto e dico tutto quello che è scritto nel primo post, ma non ho ottenuto peurtroppo il risultato desiderato.
Ho fatto anche una scansione con NoAdware, questo software mi rileva Beagle.Vx e lodear.G, dò il comando di eliminazione, ma appena riavvio si ripresenta....
Ho fatto la scansione con kaspersky (una notte intera), ho provato ad eliminare le voci infette segnalate mediante the avenger, ma al riavvio nulla...
Ditemi quale log posso postarvi per avere un riscontro, attualmente non so davvero a quale santo votarmi e forse solo voi avete la soluzione..
Ripeto, scusatemi se per caso non mi sto attenendo alle regole, spero di non sgarrare...:muro: :muro: :muro:

devi semplicemente seguire la Guida e allegare i log relativi ai tool indicati in Guida hostandoli in formato .txt su www.zshare.net

posto i link ai 3 file log che ho ottenuto (probabile virus bagle); kaspersky antivirus non installato causa problemi con windows installer

http://www.zshare.net/download/595016535f0827/

avenger.txt - 0.02MB (http://www.zshare.net/download/59502003c5de6a/)

hijackthis.log - 0.01MB (http://www.zshare.net/download/5950225f834152/)

qualcuno sa dirmi come faccio a scegliere cosa eliminare una volta fatto lo scan con hijackthis?
ho ancora problemi col centro sicurezza e non vedo le connessioni lan

qualcuno sa dirmi come faccio a scegliere cosa eliminare una volta fatto lo scan con hijackthis?
ho ancora problemi col centro sicurezza e non vedo le connessioni lan

mi potresti dare i log dei tool usati?

avresti pubblicato i log dei tool eseguiti :)

ma se ti dico che non mi si avvia elibagla, che c'entrano i log? :p