ma con i file infetti ha trovato prevx cosa dici che posso farci (non si possono cancellare perchè non ho la licenza)

Il problema lo affrontiamo poi, comunque il file da cancellare è solo 1 ;)

Cestinalo e riscaricalo in quanto compromesso, dopodichè lo fai girare.

Fatto e non mi da più errore. Però quando finisce di caricarlo non succede nulla.

Fatto e non mi da più errore. Però quando finisce di caricarlo non succede nulla.

Però quando finisce di caricarlo non succede nulla.

Cosa vuol dire?

scusate vi prometto che è l'ultuma domanda:
io ho già eseguito la scasione con malwarebyte per fare la disinfestazione per il Beagle. Ora avete detto che dervo fare la disinfestazione per infetti e serve che faccia la scansione con Malwarebyte (e poi devo far analizzare i log) che dite metto il log di prima o faccio un'altra scansione?

scusate vi prometto che è l'ultuma domanda:
io ho già eseguito la scasione con malwarebyte per fare la disinfestazione per il Beagle. Ora avete detto che dervo fare la disinfestazione per infetti e serve che faccia la scansione con Malwarebyte (e poi devo far analizzare i log) che dite metto il log di prima o faccio un'altra scansione?

Salta Malwarebytes Anti-Malware

Cosa vuol dire?

Avvio l'applicazione, e viene fuori la barra di caricamento di Combofix. Una volta finito il caricamento non succede più nulla.

Dalla guida:

Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Niente di tutto ciò è successo, però è comparso in C:\ una cartella strana e un file chiamato Bug.txt, è quello il log di Combofix che devo postare?

Avvio l'applicazione, e viene fuori la barra di caricamento di Combofix. Una volta finito il caricamento non succede più nulla.

Dalla guida:

Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Niente di tutto ciò è successo, però è comparso in C:\ una cartella strana e un file chiamato Bug.txt, è quello il log di Combofix che devo postare?

Dopio click su Combofix.exe ed attendi pazientemente che faccio il suo lavoro, senza toccare nulla neppure il mouse, i tempi variano da PC a PC.

Dopio click su Combofix.exe ed attendi pazientemente che faccio il suo lavoro, senza toccare nulla neppure il mouse, i tempi variano da PC a PC.

Allora lo rieseguo, ma c'è un modo di capire se sta lavorando? Una volta finito il caricamento della barra non c'è nessuna clessidra vicino alla freccia e anche i rumori del computer mi danno l'impressione che non stia facendo niente. I tempi di attesa possono essere anche di ore?

Allora lo rieseguo, ma c'è un modo di capire se sta lavorando? Una volta finito il caricamento della barra non c'è nessuna clessidra vicino alla freccia e anche i rumori del computer mi danno l'impressione che non stia facendo niente. I tempi di attesa possono essere anche di ore?

Di solito non dura ore.

Di solito non dura ore.

Niente da fare. Combofix non fa il suo lavoro. Però ho scoperto che quando avvio l'applicazione, si riattiva il ripristino configurazione del sistema. Potrebbe dipendere da quello?

Niente da fare. Combofix non fa il suo lavoro. Però ho scoperto che quando avvio l'applicazione, si riattiva il ripristino configurazione del sistema. Potrebbe dipendere da quello?
è combo che riattiva il ripristino
rimuovilo come da info nel bigino in firma, riscaricalo e rilancialo
verifica che non ci siano software di sicurezza attivi

rimuovilo come da info nel bigino in firma

Ok ci provo. Cmq di software di sicurezza era attivo Prevx 3.0 (se posso definirlo tale), ho tolto il monitoraggio e poi ho cestinato Combofix, l'ho riscaricato e rieseguito ma non parte cmq.

Penso di aver sbagliato l'uso della guida che prevedeva prima Combofix e poi Prevx 3.0, l'avevo fatto perchè Combofix me lo dava come applicazione non valida. Va bene lo stesso oppure è meglio che ricomincio da capo l'intera procedura di disinfettazione?

Ok ci provo. Cmq di software di sicurezza era attivo Prevx 3.0 (se posso definirlo tale), ho tolto il monitoraggio e poi ho cestinato Combofix, l'ho riscaricato e rieseguito ma non parte cmq.

Penso di aver sbagliato l'uso della guida che prevedeva prima Combofix e poi Prevx 3.0, l'avevo fatto perchè Combofix me lo dava come applicazione non valida. Va bene lo stesso oppure è meglio che ricomincio da capo l'intera procedura di disinfettazione?

prova a ricominciare da capo

prova a ricominciare da capo

Manca solo Combo i precedenti log sono puliti, non vedo il motivo per cui ricominciare dall'inizio.

Dopo aver rifiutato l'installazione della Console di ripristino dovresti vedere questa immagine

http://img24.imageshack.us/img24/3118/combok.th.jpg (http://img24.imageshack.us/my.php?image=combok.jpg)

Manca solo Combo i precedenti log sono puliti, non vedo il motivo per cui ricominciare dall'inizio.

Dopo aver rifiutato l'installazione della Console di ripristino dovresti vedere questa immagine

http://img24.imageshack.us/img24/3118/combok.th.jpg (http://img24.imageshack.us/my.php?image=combok.jpg)

Ho ricominciato da capo ma è uguale a prima. Quando eseguo Combofix c'è solo la barra di caricamento che una volta concluso scompare e rimane la videata del desktop e basta. Non c'è nessun messaggio di rifiuto di installazione della Console di ripristino e nemmeno quell'immagine.

Ciao, mi sono accorta di avere qualche problema subito dopo aver scaricato un file da emule...bastardi!! Comunque...i log di Malwarebytes' Anti-Malware 1.37 son questi (o dovrebbero essere questi! visto che sono una principiante).

uhh poi...quello di combofix non riesco ad allegarlo perchè mi dice esser troppo grande (30.8kb) come faccio a postarvelo?



http://www.fileqube.com/wf/200145/1455656

http://www.fileqube.com/wf/200145/1455657

http://www.fileqube.com/wf/200145/1455661

Sono ancora bloccato con Combofix che non ne vuole proprio sapere di partire. Provo a illustrarvi la mia situazione: io ho soltanto scaricato sul desktop il programma e rinominato in prova.exe dopo il download. Poi vado a eseguirlo e parte quella finestrina con scritto sopra Combofix e sotto la barretta di caricamento che si riempie di verde. Una volta finita non parte nessuna installazione e non c'è nessuna schermata blu; secondo voi è il bagle a non far partire la schermata? Altrimenti non c'è nessun'altra possibilità di rimuovere il bagle senza postare il log di Combofix?

aiuto! sono nel panico, ho circa 4 bagle più un bel po di altri malware nel pc.

Non funziona nessun programma di sicurezza.

Anche malwarebytes è stato compromesso.

Non posso procedere alla cancellazione manuale dei file infetti?

Non posso neanche modificare i dsn del server...

Cosa posso fare?
Se porto l'hard disk in un negozio di riparazione me lo riescono a pulire senza formattarlo?


Risolto magicamente grazie a combo fix che mi ha pulito tutto!!!!!!

Sono ancora bloccato con Combofix che non ne vuole proprio sapere di partire. Provo a illustrarvi la mia situazione: io ho soltanto scaricato sul desktop il programma e rinominato in prova.exe dopo il download. Poi vado a eseguirlo e parte quella finestrina con scritto sopra Combofix e sotto la barretta di caricamento che si riempie di verde. Una volta finita non parte nessuna installazione e non c'è nessuna schermata blu; secondo voi è il bagle a non far partire la schermata? Altrimenti non c'è nessun'altra possibilità di rimuovere il bagle senza postare il log di Combofix?

A questo punto direi che è il caso di lasciar perdere Combo, allega un nuovo log di Prevx 3.0

Ciao, mi sono accorta di avere qualche problema subito dopo aver scaricato un file da emule...bastardi!! Comunque...i log di Malwarebytes' Anti-Malware 1.37 son questi (o dovrebbero essere questi! visto che sono una principiante).

uhh poi...quello di combofix non riesco ad allegarlo perchè mi dice esser troppo grande (30.8kb) come faccio a postarvelo?



http://www.fileqube.com/wf/200145/1455656

http://www.fileqube.com/wf/200145/1455657

http://www.fileqube.com/wf/200145/1455661

Ciao ripeti scansione completa con MBAM ed elimina tutti gli elementi infetti rilevati, in qaunto controllando il log si evince che non hai eliminato nullla -> No action taken

Rincontrolla inoltre i link a Fileqube in quanto portano alla pagina del login

Per la 2a volta ho preso un Beagle/Bagle ma stavolta proprio non riesco a liberarmene :(

Malwarebytes Anti-Malware scaricato..rileva e rimuove in parte i virus ma poi niente, tutto torna come prima :(

Elibagla..scaricato e fatto girare più volte..alcune volte dice di aver trovato il virus, altre volte di averlo eliminato ma niente..

ComboFix..scaricato ma non parte :(

Prevx 3.0..rileva una quintalata di virus ma non può rimuoverli perchè la versione è a pagamento!


Il pc sta peggiorando; oltre ad esserci la solita finestrella all'avvio che se viene toccata riavvia il pc, oggi è comparsa 2 volte la schermata blu con riavvio del pc e internet ha avuto2errori di componenti aggiuntivi e non funzionava :(

Aiutatemiiiiiiiiiiiiiiiiii :(

Per la 2a volta ho preso un Beagle/Bagle ma stavolta proprio non riesco a liberarmene :(

Malwarebytes Anti-Malware scaricato..rileva e rimuove in parte i virus ma poi niente, tutto torna come prima :(

Elibagla..scaricato e fatto girare più volte..alcune volte dice di aver trovato il virus, altre volte di averlo eliminato ma niente..

ComboFix..scaricato ma non parte :(

Prevx 3.0..rileva una quintalata di virus ma non può rimuoverli perchè la versione è a pagamento!


Il pc sta peggiorando; oltre ad esserci la solita finestrella all'avvio che se viene toccata riavvia il pc, oggi è comparsa 2 volte la schermata blu con riavvio del pc e internet ha avuto2errori di componenti aggiuntivi e non funzionava :(

Aiutatemiiiiiiiiiiiiiiiiii :(

Segui passo passo la Guida in prima pagina ed allega i log :)

Segui passo passo la Guida in prima pagina ed allega i log :)

70919

Quello di Prex non riesco a postarlo! Nè come .txt ne in formato world!

70919

Prima di proseguire con i successivi tool indicati in Guida fai girare questo eseguibile http://www.fileqube.com/file/NNSnJz144950

doppio click su Bagled.exe, il log si trova in C:\bagled.txt

PS: prima di Prevx, devi allegare il log di EliBagla ed il log di Combo

Prima di proseguire con i successivi tool indicati in Guida fai girare questo eseguibile http://www.fileqube.com/file/NNSnJz144950

doppio click su Bagled.exe, il log si trova in C:\bagled.txt

PS: prima di Prevx, devi allegare il log di EliBagla ed il log di Combo

Bagled.exe non mi parte idem Combo :(

Bagled.exe non mi parte idem Combo :(

Cosa vuol dire non mi parte?

Cosa vuol dire non mi parte?

Non funziona...esce una finestra nera con scritto "please wait" per Bagled ma poi scompare e per Combo non inizia proprio a caricare il programma...

Non funziona...esce una finestra nera con scritto "please wait" per Bagled ma poi scompare e per Combo non inizia proprio a caricare il programma...

Il comportamento di Bagled è normale allega il log che trovi in C:\bagled.txt, per quanto concerne Combo và rinominato esattamente come indicato in Guida, ma prima devi far girare EliBagla.

Per cortesia leggi attentamente tutta la Guida e seguila esattamente come indicato, altrimenti non se ne esce.

Ecco i log dei software postati nella guida:

MalwareBytes
http://www.fileqube.com/file/kCruhWtE198402

Prevx 3.0
http://www.fileqube.com/file/aLdJYjKdv198403

Elibagla
http://www.fileqube.com/file/rRFnzu198410

e se vi interessa ho anche il log di Bagled:
http://www.fileqube.com/file/mhDVyjaC198404

Spero di aver inserito tutto l'occorrente.

Prevx l'avevo già postato, ora la nuova scansione mi ha trovato solo 5 infezioni mentre prima ce n'erano tantissime.

Cmq se vuoi un nuovo log di Prevx eccolo:

New Prevx 3.0
http://www.fileqube.com/file/dbppSNov198680

Prevx l'avevo già postato, ora la nuova scansione mi ha trovato solo 5 infezioni mentre prima ce n'erano tantissime.

Cmq se vuoi un nuovo log di Prevx eccolo:

New Prevx 3.0
http://www.fileqube.com/file/dbppSNov198680

Se ti ho chiesto un nuovo log c'è un motivi, come puoi vedere tu stesso è cambiato :)

1 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\32788r22fwjfw\pev.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

2 Per massimo scrupolo controlla su http://www.virustotal.com/ il seguente file msnmsgr.exe che trovi in questo percorso c:\programmi\msn messenger\ per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

3 Siamo in dirittura di arrivo, quindi reinstalla il tuo AV, se desideri optare per una versione free ti suggerisco Avira Antivir qui trovi tutte le indicazioni del caso http://www.hwupgrade.it/forum/showthread.php?t=1514684

Se ti ho chiesto un nuovo log c'è un motivi, come puoi vedere tu stesso è cambiato :)

1 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

2 Per massimo scrupolo controlla su http://www.virustotal.com/ il seguente file msnmsgr.exe che trovi in questo percorso c:\programmi\msn messenger\ per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

3 Siamo in dirittura di arrivo, quindi reinstalla il tuo AV, se desideri optare per una versione free ti suggerisco Avira Antivir qui trovi tutte le indicazioni del caso http://www.hwupgrade.it/forum/showthread.php?t=1514684

1) Avenger: http://www.fileqube.com/file/LFDJKXjm198711

2) VirusTotal: http://www.virustotal.com/it/analisis/8c8005e6a224e013c059e55d5c939658fe04064acf3108542eae55c5307ef671-1243846994

Ho reinstallato NOD32 e ha ricominciato ad andare, anche se non c'è l'iconcina nella tray. SUPERAntiSpyware invece mi da errore come prima, devo reinstallare anche lui per farlo tornare a funzionare? A questo punto procedo con il post-disinfezione?

1) Avenger: http://www.fileqube.com/file/LFDJKXjm198711

2) VirusTotal: http://www.virustotal.com/it/analisis/8c8005e6a224e013c059e55d5c939658fe04064acf3108542eae55c5307ef671-1243846994

Ok reinstalla l'Av come indicato al Punto 3 e produci scansione completa, dopodichè mi ricontrollo su VT il file precedentemente indicato :)

Ok reinstalla l'Av come indicato al Punto 3 e produci scansione completa, dopodichè mi ricontrollo su VT il file precedentemente indicato :)

Scusami che cosa dovrei fare dopo la scansione?

Scusami che cosa dovrei fare dopo la scansione?

Alleaga il log del Nod32 scansione completa ovviamente, per SAS devi riscaricare l'installer dal sito uffciale http://www.superantispyware.com/download.html

Devi rifare questro controllo

2 Per massimo scrupolo controlla su http://www.virustotal.com/ il seguente file msnmsgr.exe che trovi in questo percorso c:\programmi\msn messenger\ per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

Alleaga il log del Nod32 scansione completa ovviamente, per SAS devi riscaricare l'installer dal sito uffciale http://www.superantispyware.com/download.html

Devi rifare questro controllo

NOD32:
http://wikisend.com/download/465092/nod32.log

Invece VirusTotal non mi fa più fare il controllo di quel file, mi manda questo messaggio:

0 bytes size received / Se ha recibido un archivo vacio

Inoltre c'è NOD32 che riconosce il file infetto e continua a mandarmi la finestra di allarme.

NOD32:
http://wikisend.com/download/465092/nod32.log

Invece VirusTotal non mi fa più fare il controllo di quel file, mi manda questo messaggio:

0 bytes size received / Se ha recibido un archivo vacio

Inoltre c'è NOD32 che riconosce il file infetto e continua a mandarmi la finestra di allarme.

Mi indichi quale? Ti riferisci a questo msnmsgr.exe?

Mi indichi quale? Ti riferisci a questo msnmsgr.exe?

Esattamente. C:\Programmi\MSN Messenger\msnmsgr.exe

Il comportamento di Bagled è normale allega il log che trovi in C:\bagled.txt, per quanto concerne Combo và rinominato esattamente come indicato in Guida, ma prima devi far girare EliBagla.

Per cortesia leggi attentamente tutta la Guida e seguila esattamente come indicato, altrimenti non se ne esce.


Log di malwarebytes

Elibagla

http://wikisend.com/download/612592/3.txt

COMBO non mi funziona...carica solo la barra inizialmente ma poi basta!

Prevx
http://wikisend.com/download/208376/2.log

Salve!
Ho passato tutto il giorno a provare a togliere questo malware che mi ha disattivato Live OneCare e cancellato MSN messenger exe, oltre ad altri danni che non so quali possano essere.

http://www.fileqube.com/file/FYaPiEH198806

http://www.fileqube.com/file/MdUSktA198807

http://www.fileqube.com/file/DSsbdNm198808 - Prevx ha trovato solo un file nella cartella windows (pod.exe o qualcosa del genere) che ho eliminato da solo + un altro keygen che non mi ha dato mai problemi.

Fra tutti i tool da voi citati, ho avuto problemi solo con Avira. Si blocca quando carica i moduli e non va avanti.

Oggi ho anche utilizzato Spybot S&D e sono anche riuscito (in un secondo tentativo) a scaricare gli aggiornamenti. Il risultato dopolo scan è stato che ha trovato robaccia e l'ha tolta.

Ho anche profato il Beagle removal tool di Symantec. All'avvio mi da degli errori (una decina di messaggi d'errore critico) per poi iniziare a fare lo scan. A fine scan però si pianta e chiude senza sistemare nulla.

Ho controllato che ci sia l'opzione per rendere visibili i files nascosti e, si ho quell'opzione nelle opzioni delle cartelle.

Ho seguito alla lettera tutte le istruzioni ed ho anche controllato tutti i fari post nell'argomento da parte di altri. Insomma sono proprio sicuro di aver fatto tutto quello che dite ma ho la sensazione che il malware che ho preso sia differente in qualcosa, rispetto al beagle trattato qui. Che ci sia una nuova versione più bestiale?

Ho usato anche Trojan Remover. Ha trovato robaccia e l'ha rimossa ma... non ha risolto nulla.

Mi direste quali sono i danni che provoca, oltre ai problemi messenger, live onecare e dufpy.com come pagina predefinita di IE?

Noto comunque che PREVX ogni tanto mi fa il detect di nuovi files dll che credo vengano scaricati da interent da questo malware.

Spero tanto nel vostro aiuto.

Grazie mille!

Gabriele

EDIT: ComboBox - visto che in molti non riescono a falro partire... io l'ho scaricato con il laptop, l'ho rinominato nel laptop prima di copiarlo sul PC infetto. L'unico modo per farlo partire. Inutile rinominare i files quando sono già nel pc infetto!!

Esattamente. C:\Programmi\MSN Messenger\msnmsgr.exe

In Avenger come già fatto precedentemente inserisci questo Script

Files to delete:
c:\programmi\msn messenger\msnmsgr.exe

allega il log :)

Vanno bene e sono giuste le procedure che ho fatto? :confused: :confused: :confused:

Fammi sapere!!!

Elibagla

http://wikisend.com/download/612592/3.txt

COMBO non mi funziona...carica solo la barra inizialmente ma poi basta!

prova a rimuoverlo come da bigino in firma, poi lo riscarichi da un altro pc, lo rinomini con un nome a caso
ripeti le scansioni con mbam e elibagle e riprovi combo

Prevx
http://wikisend.com/download/208376/2.log

1 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\32788r22fwjfw\pev.exe
c:\programmi\yontoo layers client for internet explorer\yontooieclient.dll
c:\programmi\superantispyware\superantispyware.exe
c:\programmi\nokia\nokia pc suite 7\pcsuite.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

2 Reinstalla il tuo AV, se desideri optare per una versione free ti suggerisco Avira Antivir qui trovi tutte le indicazioni del caso http://www.hwupgrade.it/forum/showthread.php?t=1514684 terminata l'installazione dell'Av qualunque esso sia, aggiornalo e produci il log di una scansione completa

3 Allega un log di HJT come indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

In Avenger come già fatto precedentemente inserisci questo Script



allega il log :)

http://www.fileqube.com/file/UJrvSt198860

Ma il file in questione era l'eseguibile di MSN? Ora lo devo reinstallare per farlo funzionare?

http://www.fileqube.com/file/UJrvSt198860

Ma il file in questione era l'eseguibile di MSN? Ora lo devo reinstallare per farlo funzionare?

No, ed in ogni caso basta provare :)

Adesso puoi passare al Trattamento Post infezione, ciao.

Nessuno che si prenda cura di me? :cry:

Ciao ripeti scansione completa con MBAM ed elimina tutti gli elementi infetti rilevati, in qaunto controllando il log si evince che non hai eliminato nullla -> No action taken

Rincontrolla inoltre i link a Fileqube in quanto portano alla pagina del login

Ecco in nuovo log!

Nessuno che si prenda cura di me? :cry:

ciao

rifai la scansione con mbam ma completa questa volta, e carica anche il log di elibagle se l'hai fatto girare

antivir hai provato a riscaricarlo?

1 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

2 Reinstalla il tuo AV, se desideri optare per una versione free ti suggerisco Avira Antivir qui trovi tutte le indicazioni del caso http://www.hwupgrade.it/forum/showthread.php?t=1514684 terminata l'installazione dell'Av qualunque esso sia, aggiornalo e produci il log di una scansione completa

3 Allega un log di HJT come indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737


Errore di Avenger: "Invalid script"

Ieri mi sono resa conto che Prevx ha trovato altre voci infette...
Rifaccio la scansione con Prevx e riposto il log??? L'ho fatta ora la scansione!!!

http://wikisend.com/download/453364/4.log

No, ed in ogni caso basta provare :)

Adesso puoi passare al Trattamento Post infezione, ciao.

OK grazie mille per l'aiuto, un ultima cosa:

Io utilizzo Sygate Personal PRO come Firewall, può andare bene oppure devo passare a quelli che citate nel trattamento post-disinfezione?

OK grazie mille per l'aiuto, un ultima cosa:

Io utilizzo Sygate Personal PRO come Firewall, può andare bene oppure devo passare a quelli che citate nel trattamento post-disinfezione?

Sarebbe meglio, Sygate è un prodotto obsoleto :)

Errore di Avenger: "Invalid script"

Ieri mi sono resa conto che Prevx ha trovato altre voci infette...
Rifaccio la scansione con Prevx e riposto il log??? L'ho fatta ora la scansione!!!

http://wikisend.com/download/453364/4.log

Devi copiare tutto quello che è all'interno del box azzurro (Quote)

Files to delete:
c:\32788r22fwjfw\pev.exe
c:\programmi\yontoo layers client for internet explorer\yontooieclient.dll
c:\programmi\superantispyware\superantispyware.exe
c:\programmi\nokia\nokia pc suite 7\pcsuite.exe
c:\documents and settings\valentina\dati applicazioni\drivers\downld\648218.exe
c:\documents and settings\valentina\dati applicazioni\drivers\wfsintwq.sys
c:\documents and settings\valentina\dati applicazioni\m\flec006.exe
c:\documents and settings\valentina\dati applicazioni\drivers\winupgro.exe
c:\windows\system32\mdelk.exe
c:\windows\system32\wintems.exe

Ecco in nuovo log!

Allega i rimanenti log

Log Avenger
http://wikisend.com/download/317640/avenger.txt

Log hijackthis
http://wikisend.com/download/938000/hijackthis.log

Log Avira
http://wikisend.com/download/490946/AVSCAN-20090604-213013-041B1379.LOG

Log Avenger
http://wikisend.com/download/317640/avenger.txt

Log hijackthis
http://wikisend.com/download/938000/hijackthis.log

Log Avira
http://wikisend.com/download/490946/AVSCAN-20090604-213013-041B1379.LOG

Avira non è configurato come da Guida, provedi e ripeti scansione completa :)

http://www.hwupgrade.it/forum/showthread.php?t=1514684

Salve, provengo da questo 3d che ho aperto:
http://www.hwupgrade.it/forum/showthread.php?p=27722939

Mi e' stato detto di seguire questa guida.

Questo e' il log di malware:
Malwarebytes Anti-Malware --> http://www.fileqube.com/file/unGKiD198978

Ho usato anche Elibagla.

Sin dalla prima scansione pero' non ha trovato nulla, ne' sul C: ne' sul D: (ho due partizioni), questo anche andando in modalita' provvisoria e facendo lo scan di nuovo su tutti e due.

Nello scan del C: mi da per una cartella il seguente avviso (a ogni scansione), non so se' e' normale:
http://img19.imageshack.us/img19/6079/mwsnap179.jpg

Questi i risultati ogni volta:
http://img246.imageshack.us/img246/3971/mwsnap180.jpg http://img394.imageshack.us/img394/4972/mwsnap181.jpg

EDIT: forse mi sto sbagliando, mi sa che ha eliminato qlcs, ho letto il file InfoSat.txt in C: lasciato da Elibagla:
http://www.fileqube.com/file/oswjqnkda198979

Poco fa ho provato a usare ComboFix rinominandolo in Prova.exe, mi esce questo:
http://img394.imageshack.us/img394/3888/mwsnap182.jpg

Avendo usato inizialmente Malware, mi ha trovato e messi in Quarantena questi files:
http://img132.imageshack.us/img132/6016/mwsnap183.th.jpg (http://img132.imageshack.us/my.php?image=mwsnap183.jpg)

Cestina ed elimina Combo in quanto compromesso, riscaricalo e fallo girare.

Questo e' il log di combofix: http://www.fileqube.com/file/mJIRhYKtZ198986

Mi sono accorto ora e l'ho fatto girare con la connessione attiva, stacco il cavo e gli faccio fare un altro giro oppure va bene così?

Questi lo screen e il log di Prevx:

http://img41.imageshack.us/img41/1592/mwsnap185.jpg

http://www.fileqube.com/file/ARLuOIG198987

ciao

rifai la scansione con mbam ma completa questa volta, e carica anche il log di elibagle se l'hai fatto girare

antivir hai provato a riscaricarlo?


http://www.fileqube.com/file/TeESwp198991

Ecco qui dottore. Grazie mille!

http://www.fileqube.com/file/TeESwp198991

Ecco qui dottore. Grazie mille!

antivir si è installato?

sto provando ora la reinstallazione di OneCare. Elibagle non trova nessun problema ma si interrompe con un errore dicendo che non può accedere a OneCare folder. Stesso problema di MAD85 qui sopra.

Messenger è stato ripristinato usando la console di ripristino di Windows Live (Pannello controllo > Installazione Applicazioni)

Ho sempre questi problemi:

1) all'avvio di windows mi appare un errore che dice che non può avviare prremote.dll
2) la scheda audio fa i capricci = a volte non mi funzionano le cuffie (presa pannello anteriore PC) - scheda audio HD Realtek integrata in main board

Ora vedo se installo OneCare e poi ri-posto

EDIT - Ok OneCare si è installato. ma il problema con prremote.dll resta.

Questo e' il log di combofix: http://www.fileqube.com/file/mJIRhYKtZ198986

Mi sono accorto ora e l'ho fatto girare con la connessione attiva, stacco il cavo e gli faccio fare un altro giro oppure va bene così?

Questi lo screen e il log di Prevx:

http://img41.imageshack.us/img41/1592/mwsnap185.jpg

http://www.fileqube.com/file/ARLuOIG198987

1 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\mota113.exe
c:\windows\pev.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

2 Controlla per riscontro su http://www.virustotal.com/it/ il seguente file jusched.exe che trovi in c:\programmi\java\jre6\bin\ per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

CUT
Fatto tutto.

Log: Avenger - http://www.fileqube.com/file/LiAVFsIM199033

Per jusched.exe:
http://www.virustotal.com/it/analisis/0e3c182bc36e6fe86e9cf6c0a2871be9a7b938e0de8ec4c3f0d03c72bd9cc7fc-1244213029

Fatto tutto.

Log: Avenger - http://www.fileqube.com/file/LiAVFsIM199033

Per jusched.exe:
http://www.virustotal.com/it/analisis/0e3c182bc36e6fe86e9cf6c0a2871be9a7b938e0de8ec4c3f0d03c72bd9cc7fc-1244213029

1 Come fatto in precedenza inserisci questo Script in Avenger

Files to delete:
c:\programmi\java\jre6\bin\jusched.exe

2 Provvedi a reinstallare l'AV, se desideri optare per una soluzione free ti suggerisco Avira Antir qui trovi la Guida su come procedere http://www.hwupgrade.it/forum/showthread.php?t=1514684
Terminata l'installazione, configurazione ed aggiornamento, produci scansione completa.

Ciao, il tuo problema non è il Bagle ti suggerisco di seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post, in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ho fatto la disinfestazione per infetti,ma il punto 10 dice:
ora cercate il thread già aperto che tratta la vostra problematica ricordandovi di inserire anche i log di tutte le scansioni già eseguite; se avete già fatto analizzare il log di HiJackThis indicate la risposta che vi è stata fornita in merito a tale log (ovviamente quella in cui erano elencate le problematiche evidenziate nel log o le indicazioni ottenute).

Come faccio a sapere qual'è il thread della mia problematica? se ti metto tutti i log mi puoi riuscire a dire qual'è?
Grazie in anticipo

Ho fatto la disinfestazione per infetti,ma il punto 10 dice:

Come faccio a sapere qual'è il thread della mia problematica? se ti metto tutti i log mi puoi riuscire a dire qual'è?
Grazie in anticipo

Se leggi il mio post che hai quotato ti ho indicato di aprire una nuova discussione e dove, in ogni caso qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 ;)

fatto: http://www.hwupgrade.it/forum/showthread.php?p=27734965#post27734965

potresti darci un'occhiata per favore?
Grazie in anticipo

Salve a tutti. Oggi mi sono accorto che la protezione all'accesso del mio Avast antivirus non si avviava... tramite il programma principale sono stati individuati dei virus nella memoria di sistema, ma, anche in seguito ad una scansione all'avvio del sistema - ed alcune altre rimozioni - il problema non si è risolto. Osservando meglio, mi sono reso conto che anche il centro di sicurezza del pc era stato disattivato e, sebbene quello lo abbia potuto riavviare manualmente da services.msc, nulla da fare per il firewall, l'opzione per attivarlo è disabilitata.

Da una ricerca sul web mi è parso che questo bagle fosse il virus i cui sintomi corrispondono maggiormente a quanto mi sta capitando, e questa guida la più aggiornata disponibile, tuttavia ci sono delle differenze rispetto a quanto ho letto sulla guida qui - e su altre probabilmente meno aggiornate. Ad esempio, almeno sinora non ho riscontrato problemi nella visualizzazione dei file nascosti, e - sempre sinora - non ho avuto problemi ad avviare la modalità provvisoria, attraverso la quale ho fatto girare elibagla ed avenger come trovato descritto in altre guide (come già detto precedenti a questa).
Sebbene elibagla abbia trovato ed eliminato due bagle (curiosamente ad essere infettati secondo elibagla erano due insospettabili mp3...), avenger non ha trovato nulla dei file e cartelle usualmente connessi a questo virus, ed il problema non si è risolto.

Altra differenza - o quantomeno fatto di cui non ho letto altrove - è che non funziona il regedit: e in questo caso nessun messaggio di errore, semplicemente non si avvia (come non si avviava manualmente l'ashdisp di avast, e così come neppure posso avviare hijackthis dopo averlo appena installato).

Ora sto cominciando a seguire questa guida - al momento sto eseguendo la scansione tramite Malwarebytes Anti Malware - ma, domanderei: faccio bene, o date queste differenze dovrei concludere che si tratti di un'altra tipologia di infezione o versione del bagle? E in tal caso, cosa dovrei fare?
Chiedo venia se la domanda è stupida, ma avendo letto che questo genere di virus talvolta può persino compromettere i risultati di certe scansioni online come quella di kaspersky, non vorrei peggiorare la situazione agendo avventatamente.

EDIT

Beh, nel frattempo ho eseguito i vari passaggi della guida, stando attendo a non toccare nulla di cui non fossi certo, e parrebbe aver risolto con molti meno patemi d'animo di quanto temessi.

Log Malwabytes (http://digilander.libero.it/Eanur/logmbam.txt)
Log elibagla (http://digilander.libero.it/Eanur/logelibag1.txt)
Log ComboFix (http://digilander.libero.it/Eanur/logcombo.txt)
Screen PrevX (http://digilander.libero.it/Eanur/logprevx.JPG)
Log PrevX (http://digilander.libero.it/Eanur/logprevx.log)

Regedit, il centro di sicurezza - firewall di winzozz compreso - ed i vari servizi compromessi sono ripristinati. Ora ho proceduto ad installare Antivir (tanti saluti Avast =_=") e anche hijackthis è tornato funzionante con una nuova installazione.

Credo possa però essere utile sottolineare un problema con elibagla che ho avuto occasione di notare: apparentemente non è in grado di processare caratteri asiatici (e probabilmente dunque non solo quelli, ironia della sorte ha avuto problemi con una cartella con caratteri... proprio spagnoli...); ciò significa che oltre a non riuscire a processare cartelle - per esempio - nominate in kanji giapponesi, non è neppure in grado di eliminare file compromessi che usino simili caratteri, anche se risultano nel rapporto come scovati ed eliminati. I due file a cui avevo accennato, infatti, erano in giapponese, ed ho dovuto eliminarli manualmente dopo essermi accorto che elibagla non l'aveva fatto come sosteneva. Tuttavia il fatto che sia stato comunque in grado di riconoscerli come minaccia fa ben sperare.
Inoltre, vedere che PrevX considera ComboFix (rinominato in combof da me per evitare che il bagle lo potesse intaccare) una minaccia mi ha lasciato un po' basito, ma vabbè :P

Molte grazie per questa guida, mi ha salvato da spararmi un colpo in testa :P

CUT

log avenger: http://www.fileqube.com/file/iJnrngC199057

Report di Antivir: http://www.fileqube.com/file/pRYPVzcu199074

Avira non è configurato come da Guida, provedi e ripeti scansione completa :)

http://www.hwupgrade.it/forum/showthread.php?t=1514684

Ecco il log

AVSCAN-20090605-203321-A845C195.LOG (http://wikisend.com/download/462354/AVSCAN-20090605-203321-A845C195.LOG)

Ok OneCare si è installato. ma il problema con prremote.dll resta.

log avenger: http://www.fileqube.com/file/iJnrngC199057

Report di Antivir: http://www.fileqube.com/file/pRYPVzcu199074

Ciao puoi passare al Trattamento post infezione come indicato in prima pagina :)

Ecco il log

AVSCAN-20090605-203321-A845C195.LOG (http://wikisend.com/download/462354/AVSCAN-20090605-203321-A845C195.LOG)

Avira non è configurato come da Guida devi impostarlo così

http://img530.imageshack.us/i/azioneperrilevamento.jpg/

dopodichè ripeti scansione completa e successivamente passa al Trattamento post infezione come indicato nella prima pagina della presente Guida

Ciao puoi passare al Trattamento post infezione come indicato in prima pagina :)

Ciao, grazie mille per l'aiuto.

Un'ultima cosa, Malware mi aveva messo in quarantena diverse cose, questo lo screen:
http://img146.imageshack.us/img146/1223/mwsnap186.th.jpg (http://img146.imageshack.us/my.php?image=mwsnap186.jpg)

Quali devo eliminare e quali ripristinare nel sistema prima di disinstallare il programma?

Ciao, grazie mille per l'aiuto.

Un'ultima cosa, Malware mi aveva messo in quarantena diverse cose, questo lo screen:
http://img146.imageshack.us/img146/1223/mwsnap186.th.jpg (http://img146.imageshack.us/my.php?image=mwsnap186.jpg)

Quali devo eliminare e quali ripristinare nel sistema prima di disinstallare il programma?

Dunque i file potrebbere rimanere in quarantena anche per sempre li non possono nuocere, comunque eliminali dalla quarantena solo dopo un uso massivo del PC, se leggi il Trattamento post infezione, MBAM è uno dei software consigliati, ti suggerisco di non disinstallarlo ed utilizzarlo per le scansioni su richiesdta almeno 1 volta al mese, ciao.

Dunque i file potrebbere rimanere in quarantena anche per sempre li non possono nuocere, comunque eliminali dalla quarantena solo dopo un uso massivo del PC, se leggi il Trattamento post infezione, MBAM è uno dei software consigliati, ti suggerisco di non disinstallarlo ed utilizzarlo per le scansioni su richiesdta almeno 1 volta al mese, ciao.

Chiarissimo, grazie ancora per il prezioso aiuto. Speriamo di non doverne avere piu' bisogno in futuro. :D

Ciao e tnx.

Chiarissimo, grazie ancora per il prezioso aiuto. Speriamo di non doverne avere piu' bisogno in futuro. :D

Ciao e tnx.

Prego, ciao ;)

Avira non è configurato come da Guida devi impostarlo così

http://img530.imageshack.us/i/azioneperrilevamento.jpg/

dopodichè ripeti scansione completa e successivamente passa al Trattamento post infezione come indicato nella prima pagina della presente Guida

Spero vada bene stavolta :(

http://wikisend.com/download/555584/AVSCAN-20090606-103654-23C3825D.LOG

Una domanda, ma il virus c'è ancora, giusto?

Spero vada bene stavolta :(

http://wikisend.com/download/555584/AVSCAN-20090606-103654-23C3825D.LOG

Una domanda, ma il virus c'è ancora, giusto?

No altrimenti non saresti riuscita a reinstallare l'AV, passa al Trattamento post infezione :)

No altrimenti non saresti riuscita a reinstallare l'AV, passa al Trattamento post infezione :)

Ma allora perchè durante la scansione Avira me lo rileva ancora ogni volta?:confused: :confused: :confused:

Ho letto tutto il post del trattamento solo che sinceramente ci ho capito poco..quali sono i punti più importanti da eseguire?
Ti ringrazio!

Ma allora perchè durante la scansione Avira me lo rileva ancora ogni volta?:confused: :confused: :confused:

Ho letto tutto il post del trattamento solo che sinceramente ci ho capito poco..quali sono i punti più importanti da eseguire?
Ti ringrazio!

Perchè non avevi configurato Avira correttamente, il Trattamento post infezione è piuttosto chiaro, rileggilo con calma punto per punto e metti in pratica i suggerimenti :)

Perchè non avevi configurato Avira correttamente, il Trattamento post infezione è piuttosto chiaro, rileggilo con calma punto per punto e metti in pratica i suggerimenti :)


Il centro di sicurezza di windows è ancora "non disponibile"..c'entra sempre il virus? Come fare per riattivarlo?

Ti ringrazio!

Il centro di sicurezza di windows è ancora "non disponibile"..c'entra sempre il virus? Come fare per riattivarlo?

Ti ringrazio!

http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

Se leggi il mio post che hai quotato ti ho indicato di aprire una nuova discussione e dove, in ogni caso qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 ;)

L'ho fatto: http://www.hwupgrade.it/forum/showthread.php?p=27744143
ma non mi è stato detto come eliminare il virus che credo sia un worm perchè Dr. Web ha trovato
WmrInstall_11.exe (ecco le analisi su virscan.org http://www.virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html) che credo sia quello che installa il virus.
ma tu hai detto:
Ciao, il tuo problema non è il Bagle ti suggerisco di seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post, in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Cosa posso fare: devo far formattare il PC o posso provare un altra cosa?

Grazie in anticipo.

Ho fatto tutta la procedura ma il problema non è stato risolto.

Pubblico i log:

ComboFix 09-06-05.07 - Administrator 06/06/2009 14.46.03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1023.774 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\Prova.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrator\Dati applicazioni\drivers\wfsintwq.sys
C:\InfoSat.txt
c:\windows\system32\inetsrv\update
c:\windows\system32\inetsrv\update\kb892130.cat
c:\windows\system32\inetsrv\update\update.exe
c:\windows\system32\inetsrv\update\update.inf
c:\windows\system32\inetsrv\update\update.ver
c:\windows\system32\inetsrv\update\updspapi.dll
c:\windows\system32\inetsrv\update\wgacustom.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SROSA
-------\Legacy_SROSA
-------\Legacy_SK9OU0S


((((((((((((((((((((((((( Files Creati Da 2009-05-06 al 2009-06-06 )))))))))))))))))))))))))))))))))))
.

2009-06-06 12:51 . 2009-06-06 12:51 -------- d-----w- c:\windows\system32\wbem\snmp
2009-06-06 12:51 . 2009-06-06 12:51 -------- d-----w- c:\windows\system32\xircom
2009-06-06 12:51 . 2009-06-06 12:51 -------- d-----w- c:\programmi\microsoft frontpage
2009-06-06 12:33 . 2009-06-06 12:33 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-06-06 12:33 . 2009-06-06 12:33 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-06-06 12:33 . 2009-06-06 12:33 -------- d-----w- c:\programmi\Prevx
2009-06-06 12:33 . 2009-06-06 12:36 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PrevxCSI
2009-06-06 12:33 . 2009-06-06 12:33 -------- d-----w- c:\windows\system32\KB905474
2009-06-06 12:33 . 2009-03-10 20:26 1437568 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-06-06 12:33 . 2009-03-10 20:18 454016 ----a-w- c:\windows\system32\KB905474\wgasetup.exe
2009-06-06 09:25 . 2009-06-06 09:25 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Malwarebytes
2009-06-06 09:25 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-06 09:25 . 2009-06-06 09:25 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-06-06 09:25 . 2009-06-06 09:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-06-06 09:25 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-06 08:55 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-06-06 08:55 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-06-06 08:55 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe
2009-06-06 08:55 . 2003-03-18 19:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-06-06 08:55 . 2003-03-18 18:14 499712 ----a-w- c:\windows\system32\MSVCP71.dll
2009-06-06 08:55 . 2009-06-06 08:55 -------- d-----w- c:\programmi\Alwil Software
2009-06-04 18:44 . 2009-06-04 18:44 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\PCHealth
2009-06-04 18:08 . 2009-06-04 18:40 -------- d-----w- c:\windows\SxsCaPendDel
2009-06-04 17:21 . 2009-06-04 17:21 -------- d-----w- c:\programmi\DivX
2009-06-04 17:21 . 2009-06-04 17:21 -------- d-----w- c:\programmi\File comuni\DivX Shared
2009-05-31 17:53 . 2009-05-31 17:53 -------- d-----w- c:\programmi\Microsoft
2009-05-31 17:52 . 2009-05-31 17:52 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-05-31 13:13 . 2009-05-31 15:33 -------- d-----w- c:\documents and settings\Administrator\Deskto
2009-05-31 13:12 . 2009-05-31 13:12 -------- d-----w- c:\programmi\Boilsoft AVI Converter
2009-05-31 13:08 . 2009-06-06 08:43 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-05-31 13:00 . 2009-06-06 12:45 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\drivers
2009-05-30 19:25 . 2009-05-30 19:25 -------- d-sh--w- c:\documents and settings\Administrator\PrivacIE
2009-05-28 19:35 . 2009-05-28 19:35 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2009-05-28 19:05 . 2009-05-28 19:05 -------- d-----w- c:\windows\ie8updates
2009-05-28 19:05 . 2009-05-12 05:11 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-05-28 19:05 . 2009-05-28 19:05 -------- dc-h--w- c:\windows\ie8
2009-05-17 14:58 . 2009-05-17 14:58 -------- d-----w- c:\programmi\GiocoDigitale
2009-05-17 14:58 . 2009-05-17 14:58 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\GiocoDigitale
2009-05-11 18:38 . 2008-04-13 09:51 101120 ----a-w- c:\windows\system32\drivers\bthpan.sys
2009-05-11 18:38 . 2008-04-13 09:46 59136 ----a-w- c:\windows\system32\drivers\rfcomm.sys
2009-05-11 18:38 . 2008-04-13 09:46 17024 ----a-w- c:\windows\system32\drivers\BthEnum.sys
2009-05-11 18:38 . 2008-04-13 09:46 18944 ----a-w- c:\windows\system32\drivers\BTHUSB.SYS

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-04 18:40 . 2009-01-21 23:03 68448 ----a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-06-04 18:13 . 2002-12-31 12:00 84138 ----a-w- c:\windows\system32\perfc010.dat
2009-06-04 18:13 . 2002-12-31 12:00 489368 ----a-w- c:\windows\system32\perfh010.dat
2009-06-04 18:01 . 2009-01-22 00:13 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-06-04 17:57 . 2009-01-22 00:17 -------- d-----w- c:\programmi\Microsoft Works
2009-05-31 17:53 . 2009-01-21 22:44 -------- d-----w- c:\programmi\Windows Live
2009-05-20 19:00 . 2009-02-18 17:13 -------- d-----w- c:\programmi\Messenger Plus! Live
2009-05-03 19:36 . 2009-05-03 19:36 -------- d-----w- c:\programmi\AareSoft
2009-05-02 10:06 . 2009-02-19 17:30 -------- d-----w- c:\programmi\File comuni\Adobe
2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll
2009-05-01 09:25 . 2009-05-01 09:25 -------- d-----w- c:\programmi\iTunes
2009-05-01 09:25 . 2009-05-01 09:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-01 09:25 . 2009-05-01 09:25 -------- d-----w- c:\programmi\iPod
2009-05-01 09:25 . 2009-01-22 00:06 -------- d-----w- c:\programmi\File comuni\Apple
2009-05-01 09:19 . 2009-05-01 09:19 75048 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-04-24 21:14 . 2009-04-24 17:33 -------- d-----w- c:\programmi\Free FLV Converter
2009-04-21 12:51 . 2009-04-24 17:34 294912 ----a-w- c:\windows\system32\TubeFinder.exe
2009-03-24 14:08 . 2009-05-01 09:11 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users\Dati applicazioni\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-19 14:32 . 2009-01-22 00:07 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2002-12-31 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-09-02 83968]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2009-01-05 413696]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Office Keyboard"="c:\windows\MMKeybd.exe" [2004-11-03 425984]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-06-06 81000]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2002-12-31 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\EA Games\\Ultima Online Mondain's Legacy\\client.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [22/01/2009 1.21.34 16640]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [06/06/2009 14.33.32 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [06/06/2009 14.33.32 27656]
R2 CSIScanner;CSIScanner;c:\programmi\Prevx\prevx.exe [06/06/2009 14.33.32 4368952]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-06-03 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-06-06 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-06-06 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-06-06 20:18]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

SafeBoot-procexp90.Sys


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/index.html
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {92844A8D-E929-40DD-8DE4-315D42DEBB7F} = 208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\lo260yaw.default\
FF - prefs.js: browser.startup.homepage - www.google.it
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-06 14:51
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-789336058-113007714-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b1,fb,e4,cd,54,83,3a,4a,b2,80,98,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b1,fb,e4,cd,54,83,3a,4a,b2,80,98,\
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3924)
c:\windows\system32\ieframe.dll
c:\windows\nhkdll.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programmi\iPod\bin\iPodService.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programmi\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Ora fine scansione: 2009-06-06 14.56.16 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-06-06 12:56

Pre-Run: 137.324.126.208 byte disponibili
Post-Run: 137.234.874.368 byte disponibili

212 --- E O F --- 2009-06-06 12:33

Malwarebytes' Anti-Malware 1.37
Versione del database: 2236
Windows 5.1.2600 Service Pack 3

06/06/2009 14.10.13
mbam-log-2009-06-06 (14-09-49).txt

Tipo di scansione: Scansione completa (C:\|J:\|K:\|)
Elementi scansionati: 145478
Tempo trascorso: 45 minute(s), 22 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 3
Elementi dato del registro infetti: 1
Cartelle infette: 3
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> No action taken.

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\WINDOWS\system32\drivers\down (Trojan.Downloader) -> No action taken.
c:\documents and settings\Administrator\Dati applicazioni\m (Trojan.Agent) -> No action taken.
c:\documents and settings\Administrator\Dati applicazioni\drivers\downld (Worm.Bagle) -> Files: 1067 -> No action taken.

File infetti:
c:\documents and settings\administrator\dati applicazioni\drivers\srosa2.sys (Rootkit.Bagle) -> No action taken.
c:\WINDOWS\system32\drivers\down\264890.exe (Trojan.Packed) -> No action taken.
j:\system volume information\_restore{87bbdcbe-b7c8-4408-a8b0-4eb1fa9d68a9}\RP38\A0007967.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\m\data.oct (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\m\list.oct (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\m\srvlist.oct (Trojan.Agent) -> No action taken.
c:\documents and settings\Administrator\Dati applicazioni\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
c:\documents and settings\Administrator\Dati applicazioni\m\flec006.exe (Trojan.Agent) -> No action taken.


e PREVX mi segnala due file infetti: wfsintwq.sys e srosa, che cosa posso fare?

http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156


Ho seguito le istruzioni ma non mi dà possibilità di poter avviare i servizi:cry:
Come devo fare????

Altre 2 cose..il pc mi sembra più lento...quando clikko su un elemento del desktop rimane per molto la clessidra e spesso si blocca.
Al riavvio del pc le icone del desktop assumono la posizione che vogliono loro..

Perchè???

L'ho fatto: http://www.hwupgrade.it/forum/showthread.php?p=27744143
ma non mi è stato detto come eliminare il virus che credo sia un worm perchè Dr. Web ha trovato
WmrInstall_11.exe (ecco le analisi su virscan.org http://www.virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html) che credo sia quello che installa il virus.
ma tu hai detto:


Cosa posso fare: devo far formattare il PC o posso provare un altra cosa?

Grazie in anticipo.

Hai una discussione aperta, nella specifico http://www.hwupgrade.it/forum/showthread.php?t=1994741 mi sembra sufficiente.

Ho seguito le istruzioni ma non mi dà possibilità di poter avviare i servizi:cry:
Come devo fare????

Altre 2 cose..il pc mi sembra più lento...quando clikko su un elemento del desktop rimane per molto la clessidra e spesso si blocca.
Al riavvio del pc le icone del desktop assumono la posizione che vogliono loro..

Perchè???

Riporta per esteso il problema legato al Centro sicurezza, cerca di essere più descrittiva :)

Ho fatto tutta la procedura ma il problema non è stato risolto.


e PREVX mi segnala due file infetti: wfsintwq.sys e srosa, che cosa posso fare?

Ciao la Guida va eseguita esattamente nell'ordine indicato, quindi ricomincia dall'inizio ed allega su uno dei Server remoti indicati nelle Regole di sezione i log.

Nell'ordine MBAM - EliBagla - Combo - Prevx 3.0

Riporta per esteso il problema legato al Centro sicurezza, cerca di essere più descrittiva :)

Ho seguito il post riguardanti i possibili problemi che beagle lascia nel centro sicurezza e seguendo il post ho provato ad avviare manualmente i servizi dopo essere andata in esegui->services.msc ed essere andata nei vari servizi da avviare ho fatto la procedura click destro -> proprietà -> tipo di avvio imposta automatico -> clicca su applica però i comandi non erano disponibili e quindi non ho potutto clikkare su "avvia! :cry:

Ho seguito il post riguardanti i possibili problemi che beagle lascia nel centro sicurezza e seguendo il post ho provato ad avviare manualmente i servizi dopo essere andata in esegui->services.msc ed essere andata nei vari servizi da avviare ho fatto la procedura click destro -> proprietà -> tipo di avvio imposta automatico -> clicca su applica però i comandi non erano disponibili e quindi non ho potutto clikkare su "avvia! :cry:

Devi essere loggata con un Account amministrativo

Devi essere loggata con un Account amministrativo

E come posso fare?
Entrando dalla modalità provvisoria come administrator posso?

E come posso fare?
Entrando dalla modalità provvisoria come administrator posso?

Si

Si

okkkkk, sono riuscita non così ma in un altro modo ;)

GRAZIEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE DI TUTTOOOOOOOOOOOOOOOOOOOOO!!!!!!! mi hai salvato da una odiosissima formattazione!!!!

2 ultime cose:

1.che antivirus mi consigli di avere? uno buono che scannerizza i file da emule prima di aprirli?
2.le icone del desktop, ad ogni riavvio del pc, assumono una posizione diversa da come le ordinavo prima io :(:(:( prima non era così!!! come devo fare per non farle "muovere"???

GRAZIE!

okkkkk, sono riuscita non così ma in un altro modo ;)

GRAZIEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE DI TUTTOOOOOOOOOOOOOOOOOOOOO!!!!!!! mi hai salvato da una odiosissima formattazione!!!!

2 ultime cose:

1.che antivirus mi consigli di avere? uno buono che scannerizza i file da emule prima di aprirli?
2.le icone del desktop, ad ogni riavvio del pc, assumono una posizione diversa da come le ordinavo prima io :(:(:( prima non era così!!! come devo fare per non farle "muovere"???

GRAZIE!

Se hai optato per una soluzione alternativa, sarebbe bello condivederala, altri utenti con lo stesso problema potrebbero risolvere

L'AV che hai installato ovvero Avira, tutti gli AV controllano i file in scaricamento, ma non è questo il problema, bisogna fare un uso corretto di Emule, quindi evitare di scaricare quello che non si dovrebbe, in rete esistono ottime alternative free ai software commerciali che sono ovviamente a pagamento.

Devi disporre le icone come meglio credi e successivamente bloccarle, con blocca oggetti del Desktop

Se hai optato per una soluzione alternativa, sarebbe bello condivederala, altri utenti con lo stesso problema potrebbero risolvere

L'AV che hai installato ovvero Avira, tutti gli AV controllano i file in scaricamento, ma non è questo il problema, bisogna fare un uso corretto di Emule, quindi evitare di scaricare quello che non si dovrebbe, in rete esistono ottime alternative free ai software commerciali che sono ovviamente a pagamento.

Devi disporre le icone come meglio credi e successivamente bloccarle, con blocca oggetti del Desktop


Sono entrata come admin però il problema persisteva e non sono riuscita ad avviare i servizi così ho clikkato sul servizio, tasto destro, prooprietà e sono riuscita ad avviarli uno ad uno in questo modo ;)

GRAZIE DI TUTTO VERAMENTE!

Sono entrata come admin però il problema persisteva e non sono riuscita ad avviare i servizi così ho clikkato sul servizio, tasto destro, prooprietà e sono riuscita ad avviarli uno ad uno in questo modo ;)

GRAZIE DI TUTTO VERAMENTE!

Prego :)

Cari ragazzi buonasera.
Mi ripresento dopo un po' di mesi con un problema sempre inerente a Beagle.
Oggi ho preso un malware HEUR/HTML da un file pdf. Con Avira ho eseguito il DENY ACCESS.
In seguito ho fatto una scansione con MALWAREBYTES e questo cosa mi ha trovato? Un WORM.BAGLE !
A questo punto ho scansionato con Avira ma non ha riscontrato nulla.Cosa devo pensare?Aggiungo che, da quando avevo disinfettato l'ultima volta, non ho riattivato il Ripristino sistema che è tuttora disattivato.

Allego log Malwarebytes e Avira.

http://wikisend.com/download/484458/mbam-log-2009-06-09 (19-41-22).txt

http://wikisend.com/download/404782/AVSCAN.txt


Grazie e scusate per il disturbo.

Cari ragazzi buonasera.
Mi ripresento dopo un po' di mesi con un problema sempre inerente a Beagle.
Oggi ho preso un malware HEUR/HTML da un file pdf. Con Avira ho eseguito il DENY ACCESS.
In seguito ho fatto una scansione con MALWAREBYTES e questo cosa mi ha trovato? Un WORM.BAGLE !
A questo punto ho scansionato con Avira ma non ha riscontrato nulla.Cosa devo pensare?Aggiungo che, da quando avevo disinfettato l'ultima volta, non ho riattivato il Ripristino sistema che è tuttora disattivato.

Allego log Malwarebytes e Avira.

http://wikisend.com/download/484458/mbam-log-2009-06-09 (19-41-22).txt

http://wikisend.com/download/404782/AVSCAN.txt


Grazie e scusate per il disturbo.
ciao

se avira funziona non hai bagle
verifica tutte le impostazioni come da guida
http://www.hwupgrade.it/forum/showthread.php?t=1514684

vi prego aiutatemi....il mio pc (window xp SP3) non mi apre più l'antivirus NOD32 e mi dice c:\programmi\ESET\egui.exe non è un'applicazione di Win32 valida!!!cosa devo fare??!! fino all'altro giorno funzionava corretamente!!!!!!!!
vi posto i log qui di seguito:
71051
ComboFix.txt (http://www.easy-share.com/1905632256/log.txt):mc: :mc: :cry: :cry: :muro: :muro: :help: :help:

ciao

se avira funziona non hai bagle
verifica tutte le impostazioni come da guida
http://www.hwupgrade.it/forum/showthread.php?t=1514684

Avira funziona.Le impostazioni sono come da guida(le ho appena ricontrollate).Come mai, quindi, Malwarebytes' mi segnala quel WORM.BAGLE?Dipende dall'altro Malware che avevo preso(cioe HEUR/HTML)?Grazie.

vi prego aiutatemi....il mio pc (window xp SP3) non mi apre più l'antivirus NOD32 e mi dice c:\programmi\ESET\egui.exe non è un'applicazione di Win32 valida!!!cosa devo fare??!! fino all'altro giorno funzionava corretamente!!!!!!!!
vi posto i log qui di seguito:
71051
ComboFix.txt (http://www.easy-share.com/1905632256/log.txt):mc: :mc: :cry: :cry: :muro: :muro: :help: :help:

ciao

carica tutti i log richiesti dalla guida secondo le regole di sezione, grazie

Avira funziona.Le impostazioni sono come da guida(le ho appena ricontrollate).Come mai, quindi, Malwarebytes' mi segnala quel WORM.BAGLE?Dipende dall'altro Malware che avevo preso(cioe HEUR/HTML)?Grazie.

Nessuna risposta?...:cry: :cry: :cry:

Nessuna risposta?...:cry: :cry: :cry:

Quello che ha rilevato MBAM è un residuo, configura Avira come da Guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684) e produci scansione completa.

Quello che ha rilevato MBAM è un residuo, configura Avira come da Guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684) e produci scansione completa.
Grazie per avermi risposto, ma già ieri ho eseguito la scansione completa con Avira configurato come da guida e non mi ha trovato nulla(ho postato il log nel mio penultimo messaggio-preciso che la scansione con Avira l'ho eseguita dopo la scansione con MBAM).Ciao.

Grazie per avermi risposto, ma già ieri ho eseguito la scansione completa con Avira configurato come da guida e non mi ha trovato nulla(ho postato il log nel mio penultimo messaggio-preciso che la scansione con Avira l'ho eseguita dopo la scansione con MBAM).Ciao.

Avira non è configurato come da Guida

Avira non è configurato come da Guida

MEA CULPA! Ignoravo che la guida fosse stata modificata da aprile.Ora configurerò a dovere poi darò le nuove.Grazie e scusate.:rolleyes:

MEA CULPA! Ignoravo che la guida fosse stata modificata da aprile.Ora configurerò a dovere poi darò le nuove.Grazie e scusate.:rolleyes:

Dunque, ho configurato come da guida Avira(ed ho controllato due volte per sicurezza) e non risultano più virus né con Avira stesso né con Malwarebytes'.
Grazie e scusate per il disturbo.

Dunque, ho configurato come da guida Avira(ed ho controllato due volte per sicurezza) e non risultano più virus né con Avira stesso né con Malwarebytes'.
Grazie e scusate per il disturbo.

Perfetto ;)

vi prego aiutatemi seguitemi passo passo...
sto usando malwarebytes...appena finisce cosa devo fare? vi posto il file log?

vi prego aiutatemi seguitemi passo passo...
sto usando malwarebytes...appena finisce cosa devo fare? vi posto il file log?

ciao

arriva fino a prevx e poi carichi tutto, se non ci sono problemi

prevx mi dice ci vuole la licenza...cmq avira (l'antivirus che uso ) ancora non me lo vede, e in partenza explorer è lento, beagle c'e ancora!
p.s. allego qua non mi apre la finestra per allegare!


log rimossi, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

http://www.fileqube.com/file/iCDFtW200818
http://www.fileqube.com/file/DVnPKPKxi200819
http://www.fileqube.com/file/bVfXej200820

prevx mi dice ke ci vuole la licenza!
cmq avira (il mio antivirus) non si è risistemato, e internet all'apertura va lento, il beagle c'e ancora!

http://www.fileqube.com/file/iCDFtW200818
http://www.fileqube.com/file/DVnPKPKxi200819
http://www.fileqube.com/file/bVfXej200820

prevx mi dice ke ci vuole la licenza!
cmq avira (il mio antivirus) non si è risistemato, e internet all'apertura va lento, il beagle c'e ancora!

log di malwarebytes:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NoAdware 5.0_is1 (Rogue.NoAdware) -> No action taken.

Cartelle infette:
C:\WINDOWS\Bifrost (Backdoor.Bifrost) -> No action taken.
c:\documents and settings\Alessandro\Dati applicazioni\drivers\downld (Worm.Bagle) -> No action taken.

File infetti:
c:\programmi\noadware5.0\NoAdware5.exe (Rogue.NoAdware) -> No action taken.
c:\WINDOWS\Bifrost\klog.dat (Backdoor.Bifrost) -> No action taken.
c:\documents and settings\Alessandro\Dati applicazioni\addon.dat (Malware.Trace) -> No action taken.


nel log compare la voce "No action taken" che significa nessuna azione intrapresa, hai premuto delete a fine scansione?


il log combofix:

C:\Muestras
c:\documents and settings\Alessandro\Dati applicazioni\inst.exe
c:\muestras\WINUPGRO.EXE.Muestra EliBagle v12.69
c:\windows\system\msvbvm60.dll
c:\windows\system32\f8354baa.dll



prevx vuole la licenza se tu gli chiedi di fare la pulizia, la versione trial (che è di fatto free a tempo indeterminato) è limitata all'identificazione delle minacce presenti nel pc ma non blocca e non cancella :)

ma il log di prevx :)

come prendo il log di prevx?
su malware invece devo rifare tutto?

su malwarebytes ce li ho in quarantena! cancello? sono 5 file!

come prendo il log di prevx?
su malware invece devo rifare tutto?
è "options" -> "save a log file"

su malwarebytes ce li ho in quarantena! cancello? sono 5 file!
no no lasciali in quarantena, abbiamo tutto il tempo per cancellarli :)
è che avevi salvato il log prima di compiere l'azione quindi non si vedeva..

non lo trovo option....ti allego questo http://www.fileqube.com/file/tUGVYQnbS200825
aspetto tue istruzioni

clicka con il tasto destro sull'icona di prevx affianco all'orologio di windows :)

ke devo fare!

ti ho detto di clickare su quell'icona di prevx affianco all'orologio di windows poi "options" -> "save log"

devo vedere che tipo di minacce segnala prevx, la scansione l'hai fatta mentre eri connesso a internet vero?

si connesso...ma tasto destro non c'e option : scan my computer, configure monitoring, stop monitoring, review threats...ci sono questi

rifai la scansione allora, tanto dura poco ma salva il log.

fatto ma nn mi da l opzione per salvare il log!!!
nn so ke fare!

eccolo finalmente!! ci sono riuscito
http://www.fileqube.com/file/FTBPYZRD200826

che faccio ora?
xcdegasp non mi abbandonare!!!

ottimo:

[B] c:\documents and settings\alessandro\desktop\prova.exe.exe [PX5: E746AF17590DD7872F6F2E6577E9D700F1146DDE] Malware Group: High Risk Spyware
[BP] c:\programmi\google\googletoolbarnotifier\googletoolbarnotifier.exe [PX5: 9B81C78900FDE2A100CA0D6649AFF500B07472C1] Malware Group: Medium Risk Malware
[B] c:\programmi\ipswitch\ws_ftp professional\ftpscrpt.exe [PX5: 7818A6B9B22B61D5286A01D2B152610029943A2C] Malware Group: High Risk Worm
[B] c:\programmi\ipswitch\ws_ftp professional\wsftpgui.exe [PX5: 73654E41A2A75C9EC51603998374170091EE997A] Malware Group: High Risk Worm

ora disinstalla avira e reinstallalo e fai una bella scansione completa con lui, poi pubblica il log :)

ok..intanto ne avevo fatto un altro di questo mentre aspettavo ke mi rispondevi
http://www.fileqube.com/file/kOQbQVM200833

sto facendo la scansione ...cmq ti hijackthis non me lo apre e internet all avvio è lentissimo .

intanto mi ha tolto un beagle da googletoolbar e ora explorer si apre subito! speriamo bene!

bene, tieni duro che ce la stiamo facendo :)

finalmente ho finito!
http://www.fileqube.com/file/yWitHI200843

quello di googletoolbar me l ha cancellato
2 me li ha messi in quarantena

p.s. sai che cosa strana ? ho tutti i file con l'estensione rianonimata .mp3 .pdf... se la toglo mi dice ke non puo leggere il file!! ma di certo nn posso mettermi a rianonimare milioni di file ke ho!!

hai già riavviato post installazione? in caso aggiorna avira e poi dopo il riavvio riscansiona sempre in modalità completa :)

in quarantena devo eliminarli?

in quarantena devo eliminarli?

va benissimo in quarantena :)

in C: ho ancora la cartella Qoobox

hai già riavviato post installazione? in caso aggiorna avira e poi dopo il riavvio riscansiona sempre in modalità completa :)
hai fatto questo?

si si ..tutto ok!

Complimenti per il forum.....pure io ieri ho avuto questo problema aprendo un fiel crack.......stasera mi mettero' all'opera sperando di risolvere il problema quindi se avro' dubbi vi scrivero' qui innanzitutto mi presento e vi saluto cordialmente

spero di risolvere tutto perche' non sono poi cosi esperto....ma col vostro aiuto sono certo che ce la potro' fare!!!!

Una domanda ma col virus sul computer con skype o msn rischio di infettare gli altri computer???

Ale

Una domanda ma col virus sul computer con skype o msn rischio di infettare gli altri computer???

Ale

ciao

se hai solo bagle direi di no

intanto aspettiamo i log

spero di avere si solo bagle......sinceramente e' iniziato tutto ieri lanciando il ckack problemi con l'antivirus che non parte piu' e pure la modalita' provvisoria cosi cercando sulla rete vi ho trovato e stasera provero' la vostra cura!!!

ps Grazie mille di tutto

ale

spero di avere si solo bagle......sinceramente e' iniziato tutto ieri lanciando il ckack problemi con l'antivirus che non parte piu' e pure la modalita' provvisoria cosi cercando sulla rete vi ho trovato e stasera provero' la vostra cura!!!

ps Grazie mille di tutto

ale

se ci fossero altre infezioni in corso le noteremo quindi non temere :)

se ci fossero altre infezioni in corso le noteremo quindi non temere :)



Grazie davvero penso proprio che trovando voi ho fatto bingo!!!;)

subito un dubbio ieri ho scaricato ATF.Cleaner ho pulito come dite voi Menu e firefox ma Opera e' in grigetto e non mi ci fa andare e' normale o e' un problema???

Grazie davvero penso proprio che trovando voi ho fatto bingo!!!;)

subito un dubbio ieri ho scaricato ATF.Cleaner ho pulito come dite voi Menu e firefox ma Opera e' in grigetto e non mi ci fa andare e' normale o e' un problema???

è in grigetto perchè non possedendo tu il browser Opera non avresti potuto operare quelle pulizie :)

è in grigetto perchè non possedendo tu il browser Opera non avresti potuto operare quelle pulizie :)

Grazie mille per la pronta risposta e scusate per le domande essendo un principiante sicuramente faro' domande "un po' Scontate" in ogni caso stasera provo e posto i text

grazie e ciao

Ale

tranquillo non è un problema :)

Visto che stasera non so quanto posso stare al pc e visto che non so se l'operazione la si puo' fare a "pezzi" probabilmente la faro' domani nel pomeriggio dato che sono a casa cosi ho piu' tempo e me la prendo con calma.
Per il momento mi sono stampato la vostra preziosa guida e ho gia' sul pc i vari programmi.....cosi mi sono portato avanti!!!

Salve ho seguito passo passo la procedura antibagle ed eccovi i risultati:
1- ATFCleaner non me lo fa assolutamente eseguire
2- Malwarebytes ha fatto la scansione http://wikisend.com/download/588958/mbam-log-2009-06-18 (19-19-30).txt anche se quando rileva winupgro.exe non me lo mettte in quarantena e mi dice: "quarantine failed: delete failed with error code 31". che vorrà dire?
3- Elibagle ha fatto la scansione http://wikisend.com/download/488108/InfoSat.txt
4- Combofix mi viene detto che non è un'applicazione win32 valida, e quindi non lo esegue neppure
5- Prevx 3.0 fa la scansione http://wikisend.com/download/167292/prevx
6- avira antivir durante la procedura per l'installazione recita così: "some files not be created, please close all applications, reboot windows and restart this installation" (anche se seguo quello che mi dice, la scritta rispunta nuovamente). Ho notato che nella lista degli extracting c'è una scritta rossa: "cannot create basic avarkt.dll".
Capisco da solo di trovarmi in una situazione difficile e quindi che si fa? aiutoooooo
:help: :help: :help: :doh: :help: :muro: :muro:

qui ti posso forse aiutare pure io prova a rinominarlo con ATFCleaner1.exe
a me poi e' partito ;)

Salve ho seguito passo passo la procedura antibagle ed eccovi i risultati:
1- ATFCleaner non me lo fa assolutamente eseguire
2- Malwarebytes ha fatto la scansione http://wikisend.com/download/588958/mbam-log-2009-06-18 (19-19-30).txt anche se quando rileva winupgro.exe non me lo mettte in quarantena e mi dice: "quarantine failed: delete failed with error code 31". che vorrà dire?
3- Elibagle ha fatto la scansione http://wikisend.com/download/488108/InfoSat.txt
4- Combofix mi viene detto che non è un'applicazione win32 valida, e quindi non lo esegue neppure
5- Prevx 3.0 fa la scansione http://wikisend.com/download/167292/prevx
6- avira antivir durante la procedura per l'installazione recita così: "some files not be created, please close all applications, reboot windows and restart this installation" (anche se seguo quello che mi dice, la scritta rispunta nuovamente). Ho notato che nella lista degli extracting c'è una scritta rossa: "cannot create basic avarkt.dll".
Capisco da solo di trovarmi in una situazione difficile e quindi che si fa? aiutoooooo
:help: :help: :help: :doh: :help: :muro: :muro:

1 Come già detto dal log di MBAM si evince che non hai eliminato nulla -> No action taken quindi aggiorna MBAM ripeti scansione completa ed al termine della stessa elimina tutti gli elementi infetti rilevati.

2 Cestina ed elimina Combofix in quanto compromesso, riscaricalo fallo girare ed allega il log

3 Ripeti scansione con Prevx 3.0 ed allega il log completo, per ottenerlo a fine scansione basta cliccare su Tools - Salva file di log

Ciao Ragazzi come vi avevo detto oggi mi sono messo a fare la pulizia,
allora ho seguito le istruzioni passo per passo fino all'esecuzione del Elibagla allora col Malwarebytes anti-Malware mi ha tirato fuori un sacco di file infetti che ho provveduto ad eliminare.
Poi ho fatto girare qualche volta il Elibagla su C: e D: e non mi ha mai trovato alcun file infetto cosi ho provato ad andare in modalita' provvisoria per farlo girare pure li, ma la modalita' provvisoria non mi parte ancora.....come mi devo comportare?Proseguo lo stesso con ComboFix o devo fare qualche altra operazione????Grazie Mille

Ciao Ragazzi come vi avevo detto oggi mi sono messo a fare la pulizia,
allora ho seguito le istruzioni passo per passo fino all'esecuzione del Elibagla allora col Malwarebytes anti-Malware mi ha tirato fuori un sacco di file infetti che ho provveduto ad eliminare.
Poi ho fatto girare qualche volta il Elibagla su C: e D: e non mi ha mai trovato alcun file infetto cosi ho provato ad andare in modalita' provvisoria per farlo girare pure li, ma la modalita' provvisoria non mi parte ancora.....come mi devo comportare?Proseguo lo stesso con ComboFix o devo fare qualche altra operazione????Grazie Mille

prosegui con i punti della guida :)

ok stacco la connessione e parto con Combofixxxxxx

Grazie a dopo!!!:D

credo che questa volta ci siamo. A Lei i risultati:
1- http://wikisend.com/download/951408/malware log.txt ho cancellato i file come Lei mi ha detto di fare con Malwarebytes
2- http://wikisend.com/download/482164/combofix log.txt ci sono riuscito alla fine, solo però direttemente dando l'ordine di "esegui" perchè se prima lo salvavo si infettava.
3- http://wikisend.com/download/886670/prevx 3.0.log

In attesa di piacevoli novità...:confused: :confused: :confused:

Ecco fatto tutto il procedimento come mi avete consigliato vi metto i link e aspetto consigli,ps io non ho ancora provato a riinstallare avast o a provare ad entrare in modalita' provvisoria....aspetto vostri "ordini"

Ho provato ad andare sul sito di Avast e ora non mi da' piu' errore questo potrebbe essere un buon segno....speriamo in bene

Grazie Ale


http://wikisend.com/download/437184/mbam-log-2009-06-19%20(16-54-13).txt


http://wikisend.com/download/499174/logCombofix.txt



http://wikisend.com/download/583860/Prevxlog.log

credo che questa volta ci siamo. A Lei i risultati:
1- http://wikisend.com/download/951408/malware log.txt ho cancellato i file come Lei mi ha detto di fare con Malwarebytes
2- http://wikisend.com/download/482164/combofix log.txt ci sono riuscito alla fine, solo però direttemente dando l'ordine di "esegui" perchè se prima lo salvavo si infettava.
3- http://wikisend.com/download/886670/prevx 3.0.log

In attesa di piacevoli novità...:confused: :confused: :confused:

procedi con il trattamento

Ecco fatto tutto il procedimento come mi avete consigliato vi metto i link e aspetto consigli,ps io non ho ancora provato a riinstallare avast o a provare ad entrare in modalita' provvisoria....aspetto vostri "ordini"

Ho provato ad andare sul sito di Avast e ora non mi da' piu' errore questo potrebbe essere un buon segno....speriamo in bene

Grazie Ale


http://wikisend.com/download/437184/mbam-log-2009-06-19%20(16-54-13).txt


http://wikisend.com/download/499174/logCombofix.txt



http://wikisend.com/download/583860/Prevxlog.log

procedi con il trattamento
avast io lo rimpiazzerei con antivir :)

babylon che segnala prevx è craccato per caso?

procedi con il trattamento
avast io lo rimpiazzerei con antivir :)

babylon che segnala prevx è craccato per caso?


gia' installato Antivir

con procedi col trattamento cosa intendi di passare alla fase Trattamento post Disinfezione???

ps ho gia' fatto una scansione che fa in automatico quando installo Antivir e non ha trovato virus..

nel caso la fase Trattamento Post Disinfezione la posso fare anche domani???

Grazie di tutto con la vostra guida Precisissima ce l'ho fatta pure io quindi vuole dire che siete stati BRAVISSIMI!!!

se babilon è infetto sono cavolacci tuoi
qui consigliamo solo antivir tra quelli free, poi vedi tu

se babilon è infetto sono cavolacci tuoi
qui consigliamo solo antivir tra quelli free, poi vedi tu

Quindi che mi consigli di fare di disinstallarlo babilon?????

Salve, grazie a voi il mio computer sembra essere tornato in forma(audio ok, antivirus ok etc etc ) dico sembra perchè dopo tutta la procedura anti bagle ed il successivo trattamento come da voi sugerito, questa mattina ho rifatto fare un giro di ricognizione a Malwarebytes e mi ha trovato questo:
Cartelle infette:
c:\documents and settings\amministratore\Dati applicazioni\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.
Precedentemente e nel corso della procedura antibagle l'ho cancellato tante volte ma puntualmente si ripresenta. non è che c'è ancora il focolaio acceso dentro il mio computer? che si fa?:muro: :help:

Quindi che mi consigli di fare di disinstallarlo babilon?????

direi di si, qui non si presta assistenza in presenza di software illegale :)

Salve, grazie a voi il mio computer sembra essere tornato in forma(audio ok, antivirus ok etc etc ) dico sembra perchè dopo tutta la procedura anti bagle ed il successivo trattamento come da voi sugerito, questa mattina ho rifatto fare un giro di ricognizione a Malwarebytes e mi ha trovato questo:
Cartelle infette:
c:\documents and settings\amministratore\Dati applicazioni\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.
Precedentemente e nel corso della procedura antibagle l'ho cancellato tante volte ma puntualmente si ripresenta. non è che c'è ancora il focolaio acceso dentro il mio computer? che si fa?:muro: :help:

potrebbero essere solo dei resti, fai ancora uno scan e lo verifichi subito

come faccio ad inviare i log di elibagle, combofix e mbama?
grazie

come faccio ad inviare i log di elibagle, combofix e mbama?
grazie

ciao

li carichi tutti su uno dei server remoti indicati nelle regole di sezione

Salve a tutti.. ho seguito la procedura minuziosamente ma nonostante ora possa avviare in modalità provvisoria, installare e utilizzare gli antivirus, la mia scheda di rete non dà segni di vita, inoltre alcuni programmi (come hijackthis o combofix) mostrano ancora il messaggio di errore "... non è un'applicazione win32 valida".. sono giorni che provo a venirne fuori ma proprio non ci riesco..
nonostante questo le varie scansioni effettuate con antivir, antimalware ecc non mi segnalano nessun file nocivo... aiuto :| potreste darmi una mano?
grazie infinite in anticipo!!!

Salve a tutti.. ho seguito la procedura minuziosamente ma nonostante ora possa avviare in modalità provvisoria, installare e utilizzare gli antivirus, la mia scheda di rete non dà segni di vita, inoltre alcuni programmi (come hijackthis o combofix) mostrano ancora il messaggio di errore "... non è un'applicazione win32 valida".. sono giorni che provo a venirne fuori ma proprio non ci riesco..
nonostante questo le varie scansioni effettuate con antivir, antimalware ecc non mi segnalano nessun file nocivo... aiuto :| potreste darmi una mano?
grazie infinite in anticipo!!!

ciao

carica secondo le regole di sezione i log richiesti dalla guida

poi leggi qui
http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

ciao

carica secondo le regole di sezione i log richiesti dalla guida

poi leggi qui
http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156


Buongiorno , ecco i log (spero di aver fatto tutto bene!)

http://www.fileqube.com/file/MQdAoM202625
http://www.fileqube.com/file/VqltHpD202627
http://www.fileqube.com/file/msgqALT202628

la procedura di riattivazione l'ho seguita tutta però anche quella non mi ha dato risultati.. forse ho sbagliato a reinstallare il sistema operativo prima ancora di sapere che virus avevo e di eseguire tutto il trattamento..

ah poi volevo precisare: la scheda di rete wireless non dà segni di vita, ma il computer si connette col cavo normale..

Buongiorno , ecco i log (spero di aver fatto tutto bene!)

http://www.fileqube.com/file/MQdAoM202625
http://www.fileqube.com/file/VqltHpD202627
http://www.fileqube.com/file/msgqALT202628

la procedura di riattivazione l'ho seguita tutta però anche quella non mi ha dato risultati.. forse ho sbagliato a reinstallare il sistema operativo prima ancora di sapere che virus avevo e di eseguire tutto il trattamento..

Ciao dai log non emergono tracce Bagle, mi sembra di capire che hai provveduto alla reinstallazione del SO, quindi attualmente quali problemi riscontri nello specifico?

in pratica la scheda wireless non si accende, neanche col tastino!
e in più se provo a lanciare alcuni programmi, come hijackthis o combofix, mi dà il solito messaggio :" .. non è un'applicazione win32 valida"...
ma a parte questo sembra funzionare tutto!
ho provato anche a reinstallare i driver della scheda wireless ma niente! non so cosa le sia successo!

in pratica la scheda wireless non si accende, neanche col tastino!
e in più se provo a lanciare alcuni programmi, come hijackthis o combofix, mi dà il solito messaggio :" .. non è un'applicazione win32 valida"...
ma a parte questo sembra funzionare tutto!
ho provato anche a reinstallare i driver della scheda wireless ma niente! non so cosa le sia successo!

Scusami ma il log di Combo è qui http://www.fileqube.com/file/msgqALT202628, HJT lo devi cestinare, eliminare e riscaricare in quanto probabilmente compromesso dall'infezione

Per quanto concerne la scheda Wi-Fi ti è stato linkato questo Post http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

si quello è il log del combofix installato e salvato come "prova.exe" e cambiando il nome me lo apre.. ma il primo che avevo scaricato quando cerco di aprirlo mi dice : applicazione win32 non valida.. ma a questo punto credo sia come per hijackthis, cioè è stato compromesso dall'infezione..
rileggendo la guida ho notato di aver saltato il passaggio relativo all'impostazione del server con i numeri dns.. può darsi che dipenda da quello?

per quanto riguarda il link sulla riattivazione dei registri ho seguito e fatto tutto ma non funziona lo stesso :( aiutoo!:mc:

si quello è il log del combofix installato e salvato come "prova.exe" e cambiando il nome me lo apre.. ma il primo che avevo scaricato quando cerco di aprirlo mi dice : applicazione win32 non valida.. ma a questo punto credo sia come per hijackthis, cioè è stato compromesso dall'infezione..
rileggendo la guida ho notato di aver saltato il passaggio relativo all'impostazione del server con i numeri dns.. può darsi che dipenda da quello?

per quanto riguarda il link sulla riattivazione dei registri ho seguito e fatto tutto ma non funziona lo stesso :( aiutoo!:mc:

Via in Gestione periferiche e disinstala la scheda Wi-Fi e riavvia il PC, a patto che tu abbia fatto tutto quanto indicato nel link precedente.

ok l'ho disistallata e al riavvio in basso a destra è apparso per un attimo: "trovato nuovo hardware" poi però è scomparso.. la scheda sembra installata ma se provo a usarla per rilevare reti senza fili mi dice che è spenta e va accesa!

forse devo provare a reinstallare il SO , o meglio a ripristinarlo, pechè magari avendolo fatto quando ero ancora infetto è stato fatto male, tant'è che mi dava numerosi messaggi di errore, o che non trovava dei file nel cd di windows e pertanto ho dovuto continuare l'installazione senza quei file (col pericolo che il sistema fosse instabile c'era scritto!)

ok l'ho disistallata e al riavvio in basso a destra è apparso per un attimo: "trovato nuovo hardware" poi però è scomparso.. la scheda sembra installata ma se provo a usarla per rilevare reti senza fili mi dice che è spenta e va accesa!

Accendiamola :)

Accendiamola :)

purtroppo non si accende! nè col tastino nè su connessioni di rete!
ho notato però che ha cambiato nome: ora si chiama connessioni di rete senza fili 3 .. mmmha! misteri!
ma se reinstallo il SO ?

nulla! anche dopo l'ennesimo ripristino del sistema operativo la scheda di rete risulta installata, funzionante ma non si accende!! non so più cosa fare a questo punto!

prima di reistallare funzionava?
che tipo di pc è?

purtroppo non si accende! nè col tastino nè su connessioni di rete!
ho notato però che ha cambiato nome: ora si chiama connessioni di rete senza fili 3 .. mmmha! misteri!
ma se reinstallo il SO ?

nulla! anche dopo l'ennesimo ripristino del sistema operativo la scheda di rete risulta installata, funzionante ma non si accende!! non so più cosa fare a questo punto!

Perchè desideri reinstallare e successivamente procedi con un ripristino?

Non devi creare una nuova connessione ma usare quella esistente, rinnovo anch'io la domanda di wjmat chiedendoti di che modello di PC parliamo.

Ciao a tutti, la settimana scorsa ho beccato bagle clikkando sull'eseguibile di una patch. Il mio antivirus (McAfee) sembrava averlo trovato ed eliminato subito ma poi evidentemente non fu così.....antivirus e firewall nonchè programmi di manutenzione e diagnostica.. puff ..fumati ed infruibili...naturalmente wifi KO e fine simile aveva fatto la modalità provvisoria.
Ho seguito una procedura trovata su internet diversa dalla vostra: disabilitato il ripristino; fatto girare Findykill; eliminata così (teoricamente) la componente rootkit, la guida che avevo seguito recitava che sarebbero tornati disponibili la modalità provvisoria, i programmi anti/virus/spyware/adware e le chiavi di registro principali sarebbero dovute essere rimesse a posto da tale programma.....
A seguito di ciò ho fatto girare in sequenza: kaspersky virus removal tool; combofix e mbam (quest'ultimo, girando, già non trovò più nulla dopo che vari residui erano stati già trovati ed eliminati coi 2precedenti).
A questo punto tutto sembrava risolto, tutto girava bene, era persino resuscitata la wifi...quindi letto che il virus avrebbe potuto danneggiare i file di diagnostica ho disinstallato quelli che avevo e ho installato con aggiornamenti:
Adaware, spybotS&D, e AVG....girati tutti, l'ultimo ha trovato qualche robetta e la ho eliminata.
Non so se dopo 2 o 3 riavvii fatti per abilitare l'ad-watch di adaware (a vuoto xk poi non funzionava bene cmq e diceva che serviva un nuovo riavvio) mi è SCOMPARSA NUOVAMENTE LA WIFI!!!!

Ho pensato che in qualche modo il virone (quello stronzo) si fosse rigenerato, magari da qualche file non eliminato.

Ho ricominciato la procedura che in parte aveva trovato la magagna ma ora findykill non trova nessuna minaccia e i miei programmi di diagnostica disabilitati la prima volta funzionano normalmente (eccetto ad-watch), Avg funziona e l'unica cosa che manca è la wifi.

Dato che avevo letto che alcuni danni potevano permanere anche dopo aver eradicato il virus e avevo scaricato su di una schedina da fotografie alcuni FIX li ho provati, in particolare ho provato xp-tcp/ip repair; Bagle restore ver1.5; fix xp e inoltre provato a far girare elibagla senza che il pc avesse problemi col farlo partire e senza che ci fosse nessun oggetto infetto.....

OK dopo uno sproloquio del genere, che spero sia chiaro, vi pongo qualche domanda:
-se attacco il pc al router col cavo, avrò la connessione alla rete? posso veicolare problemi al router connettendomi in questo modo??(ora sto usndo il pc di mia sorella)
-per portare i files per la pulizia sul pc infetto ho utilizzato la scheda della macchina fotografica, se vi faccio girare AVG e lui non trova nulla, posso considerarla pulita o no?
e poi, ditemi un po voi...quale problema può essermi rimasto?? che posso fare per la wifi??
Vi ringrazio fin d'ora per la pazienza e i consigli

OK dopo uno sproloquio del genere, che spero sia chiaro, vi pongo qualche domanda:
-se attacco il pc al router col cavo, avrò la connessione alla rete? posso veicolare problemi al router connettendomi in questo modo??(ora sto usndo il pc di mia sorella)
-per portare i files per la pulizia sul pc infetto ho utilizzato la scheda della macchina fotografica, se vi faccio girare AVG e lui non trova nulla, posso considerarla pulita o no?
e poi, ditemi un po voi...quale problema può essermi rimasto?? che posso fare per la wifi??
Vi ringrazio fin d'ora per la pazienza e i consigli

Ciao e benvenuto!

Rispondo alle tue domande nella sequenza in cui sono state poste:

- Se utilizzi il cavo di rete potresti avere la connessione, in ogni caso non danneggi il router stesso

- La SD potrebbe ospitare il Bagle ciò dipende dalla variante che hai contratto, sarebbe opportuno controllarla anche con MBAM, inserendola nel PC avendo cura di tenere premuto il tasto SHIFT (freccia in alto)

- Se il problema è solo ed esclusivamente il Wi-Fi segui queste indicazioni http://www.hwupgrade.it/forum/showpost.php?p=24163174&postcount=5156

ciao a tutti ragazzi.
innanzi tutto grazie per la guida, sono riuscito a risolvere tutto, o quasi.
dico quasi perchè dopo avere eliminato il bagle (maledettissimo :mad: ) mi è rimasta solo una cosa da concludere....con prevx sono riuscito a trovare altri 2 file corrotti, 1 è google updater, googleupdate.exe in c:/users/ecc.. con medium risk malware(che avevo già intutito fosse infetto, infatti non davo autorizzazioni a vista per attivarlo), un'altra è \registry\users\s-1-5-21-1732134134-3857309258-392eccc.... come infected entry: google update
....ho provveduto ad eliminare manualmente il file googleupdate.exe che si presentava con un'icona non consona...adesso provo a riavviare e vedere che succede.
EDIT: allora...ho fatto un'altra scansione con prevx (ma nn c'è una versione gratuita per poter eliminare direttamente da li i file?!) e quelli non affacciano +...il pc "sembra" pulito.
mi rimane solo una cosa...all'avvio il pc non carica windows defender dandomi questo errorre "codice errore:0x800106ba" come posso risolvere questo prob?! non si può neanche disintallare defender da vista, e credo neanche installare...almeno con le tecniche da me conosciute :D

Ciao ragazzi, ho contratto anche io in Vista bagle... poichè non riesco ad operare sulla macchina in modalità normale, ho constato che in Vista mi fa accedere in modalità provvisoria: ho notato che quando arrivo nel processo di disattivare la protezione di sistema, non si presenta la finestra: forse dovuto qualche malware in azione..vedo che nella guida c'è postato una seconda guida per forzare la chiusura del ripristino di sistema; tale guida però sembra essere fatta per win xp poichè fa scaricare da un sito due file : sysrestoreenable.reg e systemrestore.reg e di conseguenza dice di digitare dalla riga esegui i comandi regsvr32 jscipt.dll ok e regsvr32 vbscript.dll ok;
pensate che va bene anche per vista questi due file?

Ciao ragazzi, ho contratto anche io in Vista bagle... poichè non riesco ad operare sulla macchina in modalità normale, ho constato che in Vista mi fa accedere in modalità provvisoria: ho notato che quando arrivo nel processo di disattivare la protezione di sistema, non si presenta la finestra: forse dovuto qualche malware in azione..vedo che nella guida c'è postato una seconda guida per forzare la chiusura del ripristino di sistema; tale guida però sembra essere fatta per win xp poichè fa scaricare da un sito due file : sysrestoreenable.reg e systemrestore.reg e di conseguenza dice di digitare dalla riga esegui i comandi regsvr32 jscipt.dll ok e regsvr32 vbscript.dll ok;
pensate che va bene anche per vista questi due file?

ciao

quali sono i sintomi di bagle che riscontri?
puoi eventualmente scansionare con un rescue cd tra quelli indicati a fine guida

In modalità normale, oltre ad avermi disattivato firewall, antivirus e roba variee, oltre a mandarmi il solito messaggio di processo non eseguibile per win32 quando clicco su HiJackThis, ho avuto riscontro che sia bagle per via della scansione che sono riuscito a fare in modalità sempre provvisoria con Prevx 3.0, poichè se agissi in modalità normale, dopo alcuni minuti il systema si blocca, e mi scompare il video, pur rimanendo acceso il computer.
Quello che volevo sapere, prima di seguire attentamente la guida, è conoscere se è veramente importante disabilitare il ripristino di sistema, e se posso eseguire la disabilitazione di sistema, seguendo la guida che sembra fatta per win xp e non per vista.

In modalità normale, oltre ad avermi disattivato firewall, antivirus e roba variee, oltre a mandarmi il solito messaggio di processo non eseguibile per win32 quando clicco su HiJackThis, ho avuto riscontro che sia bagle per via della scansione che sono riuscito a fare in modalità sempre provvisoria con Prevx 3.0, poichè se agissi in modalità normale, dopo alcuni minuti il systema si blocca, e mi scompare il video, pur rimanendo acceso il computer.
Quello che volevo sapere, prima di seguire attentamente la guida, è conoscere se è veramente importante disabilitare il ripristino di sistema, e se posso eseguire la disabilitazione di sistema, seguendo la guida che sembra fatta per win xp e non per vista.

Disabilitare il ripristino conf.sistema è fondamentale, se leggi bene è indicato anche il metodo per Vista.

Disabilitare il ripristino conf.sistema è fondamentale, se leggi bene è indicato anche il metodo per Vista.

Ciao ragazzi,
Il fatto è che, seguendo bene le istruzioni, non mi appare la finestra dove dovrei disabilitare il ripristino. possibile che il malware me l'abbia fatta scomparire? Mi chiedevo se posso seguire lo sblocco forzando la chiusura di ripristino del sistema con la procedura elencata che però a "naso" mi sembra dedicata per Xp: ovvero quella che consta nello scaricare i file da

http://www.kellys-korner-xp.com/regs_edits/sysrestoreenable.reg
http://www.kellys-korner-xp.com/regs_edits/systemrestore.reg
e poi seguendo

regsvr32 jscript.dll OK
regsvr32 vbscript.dll OK

Domanda: posso eseguire questa prassi anche su Vista considerato che non mi appare la finestra che mi dovrebbe apparire se seguissi START/PANNELLO di Controllo/Sistema e Manutenzione/Sistema e poi Protezione Sistema e quindi, considerato che non mi appare la finestra dove dovrei selezionare o deselezionare la casella di controllo accanto al disco?

Ciao ragazzi,
Il fatto è che, seguendo bene le istruzioni, non mi appare la finestra dove dovrei disabilitare il ripristino. possibile che il malware me l'abbia fatta scomparire? Mi chiedevo se posso seguire lo sblocco forzando la chiusura di ripristino del sistema con la procedura elencata che però a "naso" mi sembra dedicata per Xp: ovvero quella che consta nello scaricare i file da

http://www.kellys-korner-xp.com/regs_edits/sysrestoreenable.reg
http://www.kellys-korner-xp.com/regs_edits/systemrestore.reg
e poi seguendo

regsvr32 jscript.dll OK
regsvr32 vbscript.dll OK

Domanda: posso eseguire questa prassi anche su Vista considerato che non mi appare la finestra che mi dovrebbe apparire se seguissi START/PANNELLO di Controllo/Sistema e Manutenzione/Sistema e poi Protezione Sistema e quindi, considerato che non mi appare la finestra dove dovrei selezionare o deselezionare la casella di controllo accanto al disco?

I sintomi che denunci fanno pensare ad altro, scansiona il PC con uno dei Rescue Disck indicati in Guida.

I sintomi che denunci fanno pensare ad altro, scansiona il PC con uno dei Rescue Disck indicati in Guida.

Ho eseguito questa notte la scansione con Avira Rescue Disk, mi ha trovato una serie di trojan, circa 30 e una serie di 4 allert: ho seguito la guida per il lancio, ovvero ho cliccato su ripara se è possibile oppure ridenomina: ho notato anche la mancanza di possibilità di postare il log di avira; ovvero, lui mi da l'opportunità di vederlo ma non esiste un opzione per salvare tale log. Dopo aver eseguito queste operazioni, ho fatto partire il computer in modalità normale ed ho eseguito una scansione con Prevx 3.0. Ho avuto come riscontro un solo virus in freemem.exe; Sono andato nell'opzione per disattivare la protezione del sistema, e adesso mi appare la finestra ma non mi appaiono i dischi, e tutte le opzioni di ripristino non sono cliccabili: possibile che quando io ho installato Vista abbia impostato già di default di disattivare la protezione del sistema, e dunque lui non mi fa vedere nulla?
Ho cercato di eseguire HiJackThis ma mi appare sempre il solito messaggio di processo non valido per WIN32: in questo momento il computer sta eseguendo una scansione totale con Malwarebytes Anti-Malware, ed io, essendo al lavoro, dovrò attendere questa sera i risultati. La CPU non l'ho più vista impegnata al 100% come era prima, però non sò se si spegne ancora, poichè il gioco dello spegnimento me l'ho faceva dopo alcuni minuti e stamane non ho avuto la possibilità di controllarlo, però il fatto che mi appare ancora il messaggio di processo non eseguibile in win32 mi fa temere che il virus sia ancora presente...
Quello che avevo notato precedentemente, erano il continuo avvio di processi denominati in forma numerica esempio: 23453.exe poi 43234.exe ecc... questi erano una decina che si alternavano e andavano anche contemporanemante, stamane, per quei pochi minuti che sono stato lì non ho notato la loro partenza.

Ho eseguito dunque lo scanner con Malwarebytes e mi ha riscontrato bagle ed una serie di trojan, lui stesso me l'ha eliminato: dopo l'esecuzione di malwarebytes, ho constatato che mi è apparsa anche l'opzione di disattivare il ripristino di sistema e mi ha mostrato anche l'hard disk per i punti di ripristino, cosa che prima dell'esecuzione di questo prodotto non era possibile. Adesso sto eseguendo lo scanner con tutti i programmi che ci sono nella guida, PREVX 3.0 continua a dirmi che ho un virus in freemem.exe; mi chiedo se è un processo nativo di vista o magari creatomi dal virus posto nel keygen che avevo azionato: è possibile che sia un trojan di windows xp e che cancellandolo si possa risolvere il problema?
Per il resto seguiro le guide sperando di non riscontrarne più: mentre adesso mi parte spybot search & destroy, ho sempre il solito problema con HiJackThis che quando lo clicco mi dice processo non valido per win32: ho provato a ridenominarlo, pensando che magari il virus intercetasse il nome della procedura, ma il risultato è sempre lo stesso.

come fa un pc equipaggiato con:

-antivir personal edition attivo e aggiornato 1 o 2 volte al giorno
-comodo firewall + defense attivi, aggiornati e configurati correttamente
-returnil utilizzato per sessioni "a rischio"
-firewall hardware attivo su router / encryption wpa2 psk
-hijackthis a disposizione
-malwarebytes installato (ma non aggiornato di recente)
-unico utente che non e' esattamente un principiante

dicevo, come fa un pc in queste condizioni a infettarsi con bagle?

Seguendo i ricordi e la guida non ho fatto fatica a sistemarlo ma quando ho scovato bagle, il padrone della macchina e' rimasto parecchio male, lui pensava ad un problema hw viste tutte le precauzioni che prende (e' un notebook con cui lavora)

Potrebbe essere una chiave usb infetta la spiegazione piu' probabile?

come fa un pc equipaggiato con:

-antivir personal edition attivo e aggiornato 1 o 2 volte al giorno
-comodo firewall + defense attivi, aggiornati e configurati correttamente
-returnil utilizzato per sessioni "a rischio"
-firewall hardware attivo su router / encryption wpa2 psk
-hijackthis a disposizione
-malwarebytes installato (ma non aggiornato di recente)
-unico utente che non e' esattamente un principiante

dicevo, come fa un pc in queste condizioni a infettarsi con bagle?

Seguendo i ricordi e la guida non ho fatto fatica a sistemarlo ma quando ho scovato bagle, il padrone della macchina e' rimasto parecchio male, lui pensava ad un problema hw viste tutte le precauzioni che prende (e' un notebook con cui lavora)

Potrebbe essere una chiave usb infetta la spiegazione piu' probabile?

ciao

antivir era configurato come da guida?
una chiavetta potrebbe essere una delle tante possibilità

rispetto alla guida erano attive solo le estensioni smart, per il resto nulla che mi sembrasse compromettente fino a quel punto.

ho qualche sospetto sul passaggio dalla versione 8 alla 9 di antivir che ha fatto di recente, e' probabile che abbia scaricato una versione fake...ci lavoro ancora un po'

grazie
ciao

Ho eseguito questa notte la scansione con Avira Rescue Disk, mi ha trovato una serie di trojan, circa 30 e una serie di 4 allert: ho seguito la guida per il lancio, ovvero ho cliccato su ripara se è possibile oppure ridenomina: ho notato anche la mancanza di possibilità di postare il log di avira; ovvero, lui mi da l'opportunità di vederlo ma non esiste un opzione per salvare tale log. Dopo aver eseguito queste operazioni, ho fatto partire il computer in modalità normale ed ho eseguito una scansione con Prevx 3.0. Ho avuto come riscontro un solo virus in freemem.exe; Sono andato nell'opzione per disattivare la protezione del sistema, e adesso mi appare la finestra ma non mi appaiono i dischi, e tutte le opzioni di ripristino non sono cliccabili: possibile che quando io ho installato Vista abbia impostato già di default di disattivare la protezione del sistema, e dunque lui non mi fa vedere nulla?
Ho cercato di eseguire HiJackThis ma mi appare sempre il solito messaggio di processo non valido per WIN32: in questo momento il computer sta eseguendo una scansione totale con Malwarebytes Anti-Malware, ed io, essendo al lavoro, dovrò attendere questa sera i risultati. La CPU non l'ho più vista impegnata al 100% come era prima, però non sò se si spegne ancora, poichè il gioco dello spegnimento me l'ho faceva dopo alcuni minuti e stamane non ho avuto la possibilità di controllarlo, però il fatto che mi appare ancora il messaggio di processo non eseguibile in win32 mi fa temere che il virus sia ancora presente...
Quello che avevo notato precedentemente, erano il continuo avvio di processi denominati in forma numerica esempio: 23453.exe poi 43234.exe ecc... questi erano una decina che si alternavano e andavano anche contemporanemante, stamane, per quei pochi minuti che sono stato lì non ho notato la loro partenza.

Ho eseguito dunque lo scanner con Malwarebytes e mi ha riscontrato bagle ed una serie di trojan, lui stesso me l'ha eliminato: dopo l'esecuzione di malwarebytes, ho constatato che mi è apparsa anche l'opzione di disattivare il ripristino di sistema e mi ha mostrato anche l'hard disk per i punti di ripristino, cosa che prima dell'esecuzione di questo prodotto non era possibile. Adesso sto eseguendo lo scanner con tutti i programmi che ci sono nella guida, PREVX 3.0 continua a dirmi che ho un virus in freemem.exe; mi chiedo se è un processo nativo di vista o magari creatomi dal virus posto nel keygen che avevo azionato: è possibile che sia un trojan di windows xp e che cancellandolo si possa risolvere il problema?
Per il resto seguiro le guide sperando di non riscontrarne più: mentre adesso mi parte spybot search & destroy, ho sempre il solito problema con HiJackThis che quando lo clicco mi dice processo non valido per win32: ho provato a ridenominarlo, pensando che magari il virus intercetasse il nome della procedura, ma il risultato è sempre lo stesso.

Sono riuscito finalmente ad ottenere il log di hijack...
Però ho dei presentimenti che ci sia qualcosa di strano...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.02.15, on 20/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\notepad.exe
C:\Windows\system32\taskeng.exe
F:\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ERBHOMasterObject Class - {5A15CA85-DAB9-456c-95ED-06C6E3885C2A} - C:\Program Files\ExitReality\Webspace\System\ExitRealityHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: HopSurf toolbar - {E9FAB13D-4600-49E1-90D1-EE961C859D39} - C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [WebCam Go Sti Service Application] wbcgosvc
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe
O4 - HKUS\S-1-5-18\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: HopSurf - {ED98F8D1-09AC-4107-B2FF-91DBE011B0C5} - C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O9 - Extra button: Visit in 3D - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Program Files\ExitReality\Webspace\System\ExitRealityHelper.dll (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {AC414988-E5BB-4C2C-873B-EA53D2F3D23A} - http://t.live.cctv.com/ieocx/CCTVUpdateInstall.dll
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A379CCC0-B75B-41F0-B0DC-9BA50A70B3C4}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 8121 bytes

La cosa strana è che mi dice che è attivo il monitor di ZoneAllarm, ma in realtà io non l'ho vedo attivo e per di più se clicco sulla disistallazione, mi dice errore C:Program Files\Zone Labs\ZoneAlarm\zauninst.exe non è un'applicazione di WIN32 valida.

Sono riuscito finalmente ad ottenere il log di hijack...
Però ho dei presentimenti che ci sia qualcosa di strano...

La cosa strana è che mi dice che è attivo il monitor di ZoneAllarm, ma in realtà io non l'ho vedo attivo e per di più se clicco sulla disistallazione, mi dice errore C:Program Files\Zone Labs\ZoneAlarm\zauninst.exe non è un'applicazione di WIN32 valida.

carica tutti i log richiesti dalla guida, grazie

ciao a tutto il forum
dopo essere stato infettato da un virus chiamato virut
ho dovuto formattare il disco primario
ma alla prima connessione ho scaricato un keygen contenete il Bagle
in fase lancio exe
mess err
non è un'applicazione win32 valida
disinfettato da kis 10
e rimosso dal pc
allego i log
spero di aver fatto tutto bene
grazie in anticipo :D

http://www.fileqube.com/file/UHsOMxnR207032
http://www.fileqube.com/file/odIlMi207033
http://www.fileqube.com/file/vbePun207034

ho dovuto formattare il disco primario
ma alla prima connessione ho scaricato un keygen contenete il Bagle
ciao

a quanto pare anche picchiare la testa non serve a nulla... :)

disinfettato da kis 10
e rimosso dal pc
allego i log
spero di aver fatto tutto bene
grazie in anticipo :D

dai log non si vede nulla

grazie alla vostra guida!
cmq
ancora ho il problema di alcuni installer che non partono...
ad esempio ac3 filter

grazie alla vostra guida!
cmq
ancora ho il problema di alcuni installer che non partono...
ad esempio ac3 filter

prova a riscaricarlo, qui non è comunque seziona adatta per discuterne

ho riprovato ma sempre lo stesso tipo di messaggio
navigando sul sito avevo trovato problemi simili al mio
ricollegando il tutto al bagle
non è che devo ripristinare qualche file danneggiato del registro di sistema?

ho riprovato ma sempre lo stesso tipo di messaggio
navigando sul sito avevo trovato problemi simili al mio
ricollegando il tutto al bagle
non è che devo ripristinare qualche file danneggiato del registro di sistema?

i log sono puliti
se la modalità provvisoria e l'antivirus funzionano e gli eseguibili danno l'errore win32 vanno in primis riscaricati se poi il problema persiste la causa può essere benissimo essere imputata ad altro

ho provato a scaricare con firefox e non va proprio da ie invece va normalmente...
mah:eek:

Allora..
I sintomi sono quelli da Bagle e cosi ho cercato e trovato la vostra guida.. I risultati sono i seguenti: ATF-cleaner non partiva cosi sono passato direttamente a Malwarebytes e poi Elibagla (che gia alla prima scansione mi dava "infectados 0 e elimitatos 0"). Ho provato quindi la modalità provvisoria ma niente da fare; cosi sono passato a Combofix (rinominato) ma.. mi da lo stesso errore "non è (bla bla bla) Win32". Già che c'ero ho riprovato ATF-cleaner dopo la scansione di Elibagla e adesso va. Ma Combofix non ne vuole sapere! Continuo con Prevx 3.0??

Intanto ecco i log:
Malwarebytes (http://www.4shared.com/file/122000219/7567ff8c/mbam-log-2009-07-31__15-36-59_.html)

Vi ringrazio!

Edit: Adesso ho fatto anche la scansione con prevx e questo è il log (http://www.4shared.com/file/122007078/ca69844b/log_prevx.html).. Proverò a scaricare di nuovo Combofix

Edit2: Come non detto Combofix riscaricato funziona: log (http://www.4shared.com/file/122015885/aa3a54ba/ComboFix.html
)... e quindi ecco anche il nuovo log di prevx (http://www.4shared.com/file/122017870/f7c17471/secondo_log_prevx.html
)

Ciao e benvenuto, i log per il controllo vanno allegati sui server remoti indicati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) :)

Scusate.. le regole non sono mai state il mio forte! :oink:

Comunque sono riuscito a sistemare il tutto.. ho eliminato le ultime cose con avenger! Potete considerare il mio caso come auto-risolto, complimenti comunque per la guida! utilissima! :)

Grazie e ciao :D

credo di essermi beccato anch'io un po' di virus, che barba...

ho provato a seguire la vostra guida, ma mi fermo subito al punto di partenza: non riesco a far partire ATF cleaner, si apre e si chiude subito la finestra.. come posso fare??

ho provato così a proseguire con la guida, preso dal panico... ho lanciato l'antimalware e mi ha trovato qualcosa... poi ho lanciato elibagle ma non mi ha trovato nulla...

continuo però a non riuscire ad aprire l'antivirus che avevo installato (avast) e credo quindi di essere ancora infetto (anche perchè la cpu è all'80% minimo anche senza nessun programma aperto..)

mi sa che devo seguire tutto con ordine dall'inizio, ma se non mi parte ATF come faccio??

vi prego aiutatemi...

alla fine ho seguito diverse guide sparse su internet, perchè ciascuna mi dava dei problemi: ogni volta c'era un programma che non partiva e mi dava il msg "applicazione win32 non valida"..

così alla fine, dopo aver passato in serie (e più volte) i seguenti tool:

- findykill
- eligabla
- avt cleaner
- ccleaner
- gmer
- combofix

son riuscito a cancellare numerosi virus/malware/rootkit/bagle che tutti di un colpo son spuntati fuori.

avenger e hijackthis continuano a darmi il ms di errore di win32, ma non so cosa fare...

ho finalmente disinstallato avast (ormai inutilizzabile) con la procedura manuale sul sito avast.

ho installato avira antivirus e sto facendo lo scan completo di tutto il pc.
Ora la cpu è tornata a livelli accettabili (non è più come prima che non scendeva mai sotto l'80% pur non facendo nulla!!).

Detto questo, come faccio a sapere se sono completamente "sano"?? dando per scontato che cancellerò eventuali virus trovati da AntiVir, posso ritenermi a posto o devo fare ancora altro?? purtroppo non son riuscito a seguire la guida per intero per i motivi di sopra...

spero mi possiate dare una mano...

grazie!!!

alla fine ho seguito diverse guide sparse su internet, perchè ciascuna mi dava dei problemi: ogni volta c'era un programma che non partiva e mi dava il msg "applicazione win32 non valida"..

così alla fine, dopo aver passato in serie (e più volte) i seguenti tool:

- findykill
- eligabla
- avt cleaner
- ccleaner
- gmer
- combofix

son riuscito a cancellare numerosi virus/malware/rootkit/bagle che tutti di un colpo son spuntati fuori.

avenger e hijackthis continuano a darmi il ms di errore di win32, ma non so cosa fare...

ho finalmente disinstallato avast (ormai inutilizzabile) con la procedura manuale sul sito avast.

ho installato avira antivirus e sto facendo lo scan completo di tutto il pc.
Ora la cpu è tornata a livelli accettabili (non è più come prima che non scendeva mai sotto l'80% pur non facendo nulla!!).

Detto questo, come faccio a sapere se sono completamente "sano"?? dando per scontato che cancellerò eventuali virus trovati da AntiVir, posso ritenermi a posto o devo fare ancora altro?? purtroppo non son riuscito a seguire la guida per intero per i motivi di sopra...

spero mi possiate dare una mano...

grazie!!!

Segui passo passo la Guida in prima pagina ed allega i log per il controllo, questo è l'unico modo che abbiamo per poter verificare la situazione del tuo PC :)

ok ti ringrazio... visto quello che ci sto mettendo a far pulizia, temo mi ci vorrà un po'... ogni programma che uso (anche quelli citati nella guida "post pulizia"), mi trova qualcosa, non ne posso più....

ok ti ringrazio... visto quello che ci sto mettendo a far pulizia, temo mi ci vorrà un po'... ogni programma che uso (anche quelli citati nella guida "post pulizia"), mi trova qualcosa, non ne posso più....

tieni impostati i dns come descritto dalla guida così eviti che l'infezioni si rigeneri nel frattempo :)

tieni impostati i dns come descritto dalla guida così eviti che l'infezioni si rigeneri nel frattempo :)

non so per quale motivo, ma avevo già impostato quei dns... forse li avevo dimenticati dall'ultima volta che tiscali mi aveva dato problemi... :D :D :D

ps: ho tolto tanta di quella roba, che non pensavo davvero di avere... :eek: :eek: :eek: :eek:

Ciao a tutti. Sono riuscito a salvare il sistema grazie a Malwarebytes Anti-Malware in quanto all'avvio del sistema mi ha rilevato e bloccato il file winupgro.exe prima che potesse scatenare il putiferio e me lo ha messo in quarantena. All'inizio però pensavo si fosse risolto li e invece all'avvio successivo di windows (XP), MAM lo ha ritrovato nuovamente.
Ho provato allora ad eseguire la procedura che avete indicato nella guida e semplicemente eliminando i punti di ripristino di Windows sono riuscito a eliminare la minaccia sul nascere.

In pratica una volta che avete eliminato questo "simpatico" (sarcastico 100%) bagle vi consiglio di lasciare installato almeno Malwarebytes Anti-Malware però la versione completa (quella che da la protezione in tempo reale prima di eventuali danni). Ovviamente sta a voi stabilire se comprare la licenza in maniera tradizionale ;) dal sito ufficiale (http://www.malwarebytes.org/mbam.php) o in una maniera un tantino meno ortodossa :read: :eek: :oink: :banned:

Ciao a tutti. Sono riuscito a salvare il sistema grazie a Malwarebytes Anti-Malware in quanto all'avvio del sistema mi ha rilevato e bloccato il file winupgro.exe prima che potesse scatenare il putiferio e me lo ha messo in quarantena. All'inizio però pensavo si fosse risolto li e invece all'avvio successivo di windows (XP), MAM lo ha ritrovato nuovamente.
Ho provato allora ad eseguire la procedura che avete indicato nella guida e semplicemente eliminando i punti di ripristino di Windows sono riuscito a eliminare la minaccia sul nascere.

In pratica una volta che avete eliminato questo "simpatico" (sarcastico 100%) bagle vi consiglio di lasciare installato almeno Malwarebytes Anti-Malware però la versione completa (quella che da la protezione in tempo reale prima di eventuali danni). Ovviamente sta a voi stabilire se comprare la licenza in maniera tradizionale ;) dal sito ufficiale (http://www.malwarebytes.org/mbam.php) o in una maniera un tantino meno ortodossa :read: :eek: :oink: :banned:

Ti suggerisco di leggere il Regolamento del Forum (http://www.hwupgrade.it/forum/regolamento.php) che hai accettato integralmente all'atto dell'iscrizione, in particolare:

1) Comportamento
1.1 - Comportamento
Non sono consentite:
a) Discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.

onde ragion per cui sono 7GG di sospensione.

Acquistare la licenza di un qualsivoglia prodotto vuol dire rispetto della proprietà intellettuale di chi ha investito tempo, forze e denaro per realizzare un determinato software, altrimenti c'è la versione Free liberamente scaricabile e fruibile da tutti.

Ciao a tutti
Ho preso questo virus e seguendo alcune guide online forse sono riuscito ad eliminarlo, ho usato procedure diverse perché alcune azioni (modalità provvisoria, avenger, nod32) erano inibite dal virus stesso
Ora la situazione è questa: ho tolto con OTMove it diverse voci trovate con una scansione online di Kaspersky.
EliBaglA (che però analizza solo 11805 su 69717 voci e poi si blocca), FindyKill, hijackthis, Beagled.exe, ComboFix.exe, Malwarebytes' Anti-Malware, avenger, nod 32, sb search & destroy, adaware e commodo non segnalano più niente e il pc sembra funzionare bene, i suoni si sentono e posso vedere anche i file nascosti
Per ripristinare il sistema ho utilizzato questi programmi:
http://www.megalab.it/3250/safeboot
http://www.megalab.it/4089/bagle-restore
Però quando avvio in modalità provvisoria parte il beep del bios :confused: (che non si spegne più) anche se task manager non segnala nessuna applicazione che impieghi molte risorse e anche il pc è più lento
inoltre Everest mi segnala Caratteristiche del sistema operativo/Modalità provvisoria No
consigli?
Il mio So è XP professional sp2, scheda madre Gigabyte GA-P35-DS4, Tipo processore QuadCore Intel Core 2 Quad Q6600, 2400 MHz (9 x 267), Tipo BIOS Award Modular
Grazie e ciao

Il mio pc è stato infettato, ho usato la vostra guida e ora sembra ok.
Ci sono alcune cose strane tipo il fatto che ogni volta che apro firefox mi dice che non è il browser predefinito e anche se lo imposto come predefinito mi da sempre lo stesso messaggio ad ogni riavvio di ff.

questi sono i log:

http://www.mediafire.com/?mk3ezizelud

http://www.mediafire.com/?c21kdtmqmt4

http://www.mediafire.com/?idyydddmmz9

Grazie in anticipo
Ronnie

Ciao a tutti
Ho preso questo virus e seguendo alcune guide online forse sono riuscito ad eliminarlo, ho usato procedure diverse perché alcune azioni (modalità provvisoria, avenger, nod32) erano inibite dal virus stesso
Ora la situazione è questa: ho tolto con OTMove it diverse voci trovate con una scansione online di Kaspersky.
EliBaglA (che però analizza solo 11805 su 69717 voci e poi si blocca), FindyKill, hijackthis, Beagled.exe, ComboFix.exe, Malwarebytes' Anti-Malware, avenger, nod 32, sb search & destroy, adaware e commodo non segnalano più niente e il pc sembra funzionare bene, i suoni si sentono e posso vedere anche i file nascosti
Per ripristinare il sistema ho utilizzato questi programmi:
http://www.megalab.it/3250/safeboot
http://www.megalab.it/4089/bagle-restore
Però quando avvio in modalità provvisoria parte il beep del bios :confused: (che non si spegne più) anche se task manager non segnala nessuna applicazione che impieghi molte risorse e anche il pc è più lento
inoltre Everest mi segnala Caratteristiche del sistema operativo/Modalità provvisoria No
consigli?
Il mio So è XP professional sp2, scheda madre Gigabyte GA-P35-DS4, Tipo processore QuadCore Intel Core 2 Quad Q6600, 2400 MHz (9 x 267), Tipo BIOS Award Modular
Grazie e ciao

aggiorna a sp3 per tutto il resto non sappiamo cosa avevi, non sappiamo cosa è rimasto, la sfera dic ristallo ancora non la possediamo :boh:

segui la guida a inizio thread e pubblica tutti i log

Il mio pc è stato infettato, ho usato la vostra guida e ora sembra ok.
Ci sono alcune cose strane tipo il fatto che ogni volta che apro firefox mi dice che non è il browser predefinito e anche se lo imposto come predefinito mi da sempre lo stesso messaggio ad ogni riavvio di ff.

questi sono i log:

http://www.mediafire.com/?mk3ezizelud

http://www.mediafire.com/?c21kdtmqmt4

http://www.mediafire.com/?idyydddmmz9

Grazie in anticipo
Ronnie

rifai la scansione con malwarebytes aggiornalo prima e poi con a-squared:
A-Squared Free v4.x (eseguite l'aggiornamento riavviate il programma e poi eseguite la
scansione COMPLETA) -> download (http://www.emsisoft.com/en/software/free/#download) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
_ esiste anche la versione che non richiede installazione: a-squared emergency USB -> download (http://download1.emsisoft.com/a2usb.zip) / a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log) verrà mostrato dove verrà salvato, in caso ci si dimenticasse i logs sono archiviati in %USERPROFILE%\My Documents\a-squared\Reports ovvero C:\Documents and Settings\nomeutente\My Documents\a-squared\Reports

Salve, io ho seguito la procedura, ma ho dei problemi perché non riesco a collegarmi ad internet, ho anche fatto la procedura del dns, ma non posso confermare l'indirizzo ip dal sito dns perché non ho la connessione ad internet e se lo faccio da un altro pc mi dice che l'ip non è lo stesso (giustamente).
Cosa posso fare, il tcp ip repair postato da voi è solo per xp giusto? io ho vista,
Vi ringrazio in anticipo.

Vi aggiungo una cosa, molto probabilmente prima di lanciare combofix, il pc si collegava ancora ad internet, ora non lo fa più.
Magari mi sbaglio però.

rifai la scansione con malwarebytes aggiornalo prima e poi con a-squared:
A-Squared Free v4.x (eseguite l'aggiornamento riavviate il programma e poi eseguite la
scansione COMPLETA) -> download (http://www.emsisoft.com/en/software/free/#download) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
_ esiste anche la versione che non richiede installazione: a-squared emergency USB -> download (http://download1.emsisoft.com/a2usb.zip) / a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log) verrà mostrato dove verrà salvato, in caso ci si dimenticasse i logs sono archiviati in %USERPROFILE%\My Documents\a-squared\Reports ovvero C:\Documents and Settings\nomeutente\My Documents\a-squared\Reports

Ho rieseguito la scansione con malwarebytes e fatta anche con a-squared che ha trovato alcune infezioni, ecco i log:

http://wikisend.com/download/192392/mbam-log-2009-08-16 (13-43-47).txt

http://wikisend.com/download/106228/a2scan_090816-134454.txt

Grazie mille!
Ronnie

Ho rieseguito la scansione con malwarebytes e fatta anche con a-squared che ha trovato alcune infezioni, ecco i log:

http://wikisend.com/download/192392/mbam-log-2009-08-16 (13-43-47).txt

http://wikisend.com/download/106228/a2scan_090816-134454.txt

Grazie mille!
Ronnie

non hai disabilitato il "ripristino di sistema" e così ad ogni avvio il virus si riattiva...

Salve, io ho seguito la procedura, ma ho dei problemi perché non riesco a collegarmi ad internet, ho anche fatto la procedura del dns, ma non posso confermare l'indirizzo ip dal sito dns perché non ho la connessione ad internet e se lo faccio da un altro pc mi dice che l'ip non è lo stesso (giustamente).
Cosa posso fare, il tcp ip repair postato da voi è solo per xp giusto? io ho vista,
Vi ringrazio in anticipo.

Vi aggiungo una cosa, molto probabilmente prima di lanciare combofix, il pc si collegava ancora ad internet, ora non lo fa più.
Magari mi sbaglio però.
senza log non sappiamo nulla del tuo pc e pertanto non possiamo aiutarti.. :boh:

Grazie per la risposta, ho installato sp3, Prevx 3.0 mi segnala alcuni falsi positivi (5 voci di wgatray.exe, c:\programmi\roccat\kone mouse\osd.exe, 2 file di c:\program files\eset\eset login viewer v1.2.exe, non posto l’intero log perché lunghissimo)
a-squared segnala molti cookie che spybot e lava soft non vedono (che ho cancellato), ma anche alcuni falsi positivi di programmi che ho installato e che ho mantenuto:
C:\WINDOWS\system32\ogg.dll rilevati: Virus.Win32.Conficker!IK
C:\WINDOWS\system32\vorbis.dll rilevati: Virus.Win32.Conficker!IK
C:\WINDOWS\system32\lame.exe rilevati: Virus.Win32.Conficker!IK
C:\WINDOWS\system32\ogg.dll rilevati: Virus.Win32.Conficker!IK
C:\WINDOWS\system32\vorbis.dll rilevati: Virus.Win32.Conficker!IK
C:\Programmi\EasyVoipRecorder\EasyVoipRecorderUpload.exe rilevati: Trojan-Banker.Win32.Banker!IK
C:\Programmi\EasyVoipRecorder\utils\speexdec.exe rilevati: Virus.Win32.Conficker!IK
C:\Programmi\EasyVoipRecorder\utils\speexenc.exe rilevati: Virus.Win32.Conficker!IK
C:\Programmi\ESET\ESET NOD32 Antivirus\avi01_ESET_Server_Patch_v2.1.exe rilevati: possible-Threat.Patch.ESET!IK
C:\Programmi\Warp Engine Software\Ruby\Ruby.exe rilevati: Trojan-Downloader.Win32.Banload!IK

questo è il log di HijackThis (anche qui mi sembra tutto a posto, ho solo eliminato jre6\bin\jucheck.exe):
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

@ Lisa Gerrard:
tanti falsi positivi come esed crackato? perfavore, non abbiamo così tanto tempo da buttare, hai il pc in condizioni pietose tra bagle e conficker, usi software pirata tra il sistema operativo e antivirus e altri possibilissimi programmi tra i quali nero.
non pubblichi i log richiesti a questo punto puoi fare solo due cose, fare cio che ti diciamo e regolarizzarti (questo eviterà che ti ritrovi per la tua stessa superficialità con il pc facente parte di una botnet, attualmente il tuo pc è un pc zombie) o se le tue abitudini le dichiari immutevoli puoi solo ritornare nei luoghi umidi e angusti da cui provieni.

a te la decisione :)

puoi solo ritornare nei luoghi umidi e angusti da cui provieni.

quest'ultima frase è come minimo fuori luogo, soprattutto da parte di un mod, sei libero di non rispondere o di criticare, non certo di offendere

salve a tutti. ho seguito passo passo la guida ma niente da fare. mi dice sempre "applicazione di win32 non valida" su certi programmi.:mc:

ho provato vari programmi:
- a squared free
- super antispyware
- malwarebytes
- atf cleaner
- prevx 3.0 free
- elibaglia
- avira removal tool
- avenger
(non per forza in questo ordine)

l'unico che non va è combofix..che anche se lo rinomino mi da il solito errore di win32:muro:

sembra non ci sia più perchè nelle scansioni non trova più i files infetti..però ho comunque i suoi sintomi. che devo fare? :muro:

quest'ultima frase è come minimo fuori luogo, soprattutto da parte di un mod, sei libero di non rispondere o di criticare, non certo di offendere

non mi sembra di aver offeso nessuno, ho semplicemente usato termini figurativi in forma poetica per ricordarti dove hai preso determinato materiale.
buon viaggio :)

salve a tutti. ho seguito passo passo la guida ma niente da fare. mi dice sempre "applicazione di win32 non valida" su certi programmi.:mc:

ho provato vari programmi:
- a squared free
- super antispyware
- malwarebytes
- atf cleaner
- prevx 3.0 free
- elibaglia
- avira removal tool
- avenger
(non per forza in questo ordine)

l'unico che non va è combofix..che anche se lo rinomino mi da il solito errore di win32:muro:

sembra non ci sia più perchè nelle scansioni non trova più i files infetti..però ho comunque i suoi sintomi. che devo fare? :muro:
puoi pubblicare qualche log così possiamo vedere la situazione?

puoi pubblicare qualche log così possiamo vedere la situazione?

adesso ho provato a fare una scansione con resolve che è un programma dedicato a blagle e sophos anti rootkit..mi hanno trovato 72 file infetti ma il problema persiste. sia quello di win32 che il problema di disinstallazione di antivir :muro: :muro: :muro: :muro:

adesso hosto i log

SUPERAntiSpyware Scan Log - 08-18-2009 - 02-27-17 - online.log
http://www.filefactory.com/file/ah2c1g3/n/SUPERAntiSpyware_Scan_Log_-_08-18-2009_-_02-27-17_-_online_log

prevx 3.0 - online.log
http://www.filefactory.com/file/ah2c1g5/n/prevx_3_0_-_online_log

mbam-log-2009-08-18 (11-35-48 online.txt
http://www.filefactory.com/file/ah2c1g9/n/mbam-log-2009-08-18_11-35-48_online_txt

elibagla online.txt
http://www.filefactory.com/file/ah2c1ha/n/elibagla_online_txt

avenger online.txt
http://www.filefactory.com/file/ah2c1hc/n/avenger_online_txt

antivir removal tool online.txt
http://www.filefactory.com/file/ah2c1he/n/antivir_removal_tool_online_txt

questi sono alcuni log che ho appena fatto..con rete e internet attaccato (per questo ho scritto online).
mi dite se servono altri log? con quali programmi e se offline o modalità provvisoria. :D

ho appena finito la scansione con a-squared free..ecco il report..anche questo con il pc in rete
a2scan_090818-114738 online.txt
http://www.filefactory.com/file/ah2c6cb/n/a2scan_090818-114738_online_txt

ho fatto delle scansioni in offline..ecco i log

elibaglia offline.txt
http://www.filefactory.com/file/ah2d2h2/n/elibaglia_offline_txt

SUPERAntiSpyware Scan Log - 08-18-2009 - 19-12-35 offline.log
http://www.filefactory.com/file/ah2d2he/n/SUPERAntiSpyware_Scan_Log_-_08-18-2009_-_19-12-35_offline_log

removaltool-win32-en. offline.log
http://www.filefactory.com/file/ah2d2hf/n/removaltool-win32-en_offline_log

mbam-log-2009-08-18 (19-33-45)offline.txt
http://www.filefactory.com/file/ah2d2hg/n/mbam-log-2009-08-18_19-33-45_offline_txt

rifai la scansione con malwarebytes aggiornandolo prima, e cambia l'hoster perchè non posso sprecare 5 minuti per sola attesa ogni 10 files

rifai la scansione con malwarebytes aggiornandolo prima, e cambia l'hoster perchè non posso sprecare 5 minuti per sola attesa ogni 10 files

che hoster mi consigli? cmq adesso lo faccio.

che hoster mi consigli? cmq adesso lo faccio.

uno di quelli censiti nelle regole di sezione va benissimo :)

buongiorno a tutti e grazie per questo forum: mi sarei già mangiato la tastiera un paio di volte altrimenti.
dunque, sono preistorico in quanto a competenza sui pc, abbiate pazienza se quello che scrivo è incompleto.
Il mio sistema è composto da win vista 64 bit, service pack 1, intel core i7 940.
da un keygen ho preso il virus win32:beagle-ahd. l'avast me lo ha segnalato, senza riuscire a fare alcuna azione prima di morire e ritirarsi a vita privata.
ho seguito la vostra guida (allego il log di malwarebytes) e ho riscontrato questi problemi:
il virus da win32:beagle-ahd è diventato win32:beagle-aaw.
ho disattivato il rispristino di sistema
ho impostato i server dns
atf cleaner partiva e automaticamente si chiudeva senza darmi possibilità di agire
con antimalwarebytes (scansione completa) ho trovato file infetti che nel log segna rimossi
elibagla parte ma mi segnala un sacco di cartelle in cui non può entrare
combofix si rifiuta di partire dicendo che nn è predisposto per vista
prevx 3.0 parte ma, come elibagla, nn riesce ad avere accesso a tutte le cartelle.
altri sintomi riscontrati (oltre all'impossibilità di installare/attivare antivirus) sono il controllo account utente attivo anche se nelle impostazioni utente LA SPUNTA SU ATTIVA NON C'E'. ho provato più volte a togliere il controllo utente ma zero. persiste.
ogni tentativo di utilizzo degli antivirus on line mi e impedito dal controllo activex.
windows defendere non si può far partire.

sul desktop compaiono documenti txt "multiutente" sia in estensione txt sia in estensione lock di nome "commonpriv". se volete li allego.

spero di non essere stato eccessivamente lungo, grazie in anticipo per ogni aiuto vorrete darmi...il primo tasto che mi accingo a mangiare dal nervoso sarà il bloc maiusc.
http://wikisend.com/download/600568/mbam

ho aggiornato malwarebytes e improvvisamente è sparito ogni sintomo. son riuscito ad installare avira che mi ha trovato 3 virus e poi finalmente è tornato come prima. :fagiano: l'errore di win32 è scomparso e funziona tutto come prima. o almeno cosi sembra :fagiano:

ho aggiornato malwarebytes e improvvisamente è sparito ogni sintomo. son riuscito ad installare avira che mi ha trovato 3 virus e poi finalmente è tornato come prima. :fagiano: l'errore di win32 è scomparso e funziona tutto come prima. o almeno cosi sembra :fagiano:

benissimo :)

buongiorno a tutti e grazie per questo forum: mi sarei già mangiato la tastiera un paio di volte altrimenti.
dunque, sono preistorico in quanto a competenza sui pc, abbiate pazienza se quello che scrivo è incompleto.
Il mio sistema è composto da win vista 64 bit, service pack 1, intel core i7 940.
da un keygen ho preso il virus win32:beagle-ahd. l'avast me lo ha segnalato, senza riuscire a fare alcuna azione prima di morire e ritirarsi a vita privata.
ho seguito la vostra guida (allego il log di malwarebytes) e ho riscontrato questi problemi:
il virus da win32:beagle-ahd è diventato win32:beagle-aaw.
ho disattivato il rispristino di sistema
ho impostato i server dns
atf cleaner partiva e automaticamente si chiudeva senza darmi possibilità di agire
con antimalwarebytes (scansione completa) ho trovato file infetti che nel log segna rimossi
elibagla parte ma mi segnala un sacco di cartelle in cui non può entrare
combofix si rifiuta di partire dicendo che nn è predisposto per vista
prevx 3.0 parte ma, come elibagla, nn riesce ad avere accesso a tutte le cartelle.
altri sintomi riscontrati (oltre all'impossibilità di installare/attivare antivirus) sono il controllo account utente attivo anche se nelle impostazioni utente LA SPUNTA SU ATTIVA NON C'E'. ho provato più volte a togliere il controllo utente ma zero. persiste.
ogni tentativo di utilizzo degli antivirus on line mi e impedito dal controllo activex.
windows defendere non si può far partire.

sul desktop compaiono documenti txt "multiutente" sia in estensione txt sia in estensione lock di nome "commonpriv". se volete li allego.

spero di non essere stato eccessivamente lungo, grazie in anticipo per ogni aiuto vorrete darmi...il primo tasto che mi accingo a mangiare dal nervoso sarà il bloc maiusc.
http://wikisend.com/download/600568/mbam

bhè raccogli cio che hai scaricato per mesi :asd:

giusto quando hai 5 minuti di tempo segui questa procedura:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

eccomi! ho scannato ehm, scansionato, il pc con antivir resque, il quale mi ha segnalato alcuni warning ma nessun virus trovato. ho poi riavviato il pc ed effettuato scansione con avira (allego log) e prevx 3.0 ed entrambi dichiarano zero virus. GRAZIE! elibagle (allego log) continua a dare aree del pc off limits che non può esaminare.
ora ho accesso a internet, a parte freefilehosting, che continua a negarmi l'accesso e il pc è (sembra) stabile, resta solo il solito errore con win defender e l'impossibilità di togliere il controllo utente. Mo vedo di capire perchè.
grazie ancora per l'aiuto: invecchio e le tastiere cominciano a darmi problemi di digestione:D
http://wikisend.com/download/440070/AVSCAN-20090322-013435-7B5A8391.LOG
http://wikisend.com/download/204640/InfoSat.txt

scansione molto recente:
Avira AntiVir Personal
Data del file di report: domenica 22 marzo 2009 01:34

scansione molto recente:

:doh: ho solo l'orologio del mio glorioso vista settato sulla data di un altro continuum spazio temporale. sorry...e buona domenica a tutti!

non poteva scansionare 3 files come è giusto che sia.. mi sfugge il problema?

I tre files che non scansiona è corretto non lo faccia? ottimo! (ok sono indietro...)

per il resto ho usato avira, malawrebyte, prevx 3.0 e ieri ho aggiunto a-squared free. Tutti mi danno zero visus/minacce.
Spero che il problema sia risolto. resta solo il win defender che da errore e il controllo utente sempre attivo, ma su quelli vedo di capirci qualcosa.
avevo allegato i risultati di elibagla per capire se era normale quella sfilza di cartelle con accesso negato, ma principalmente avevo scritto per ringraziarvi, già non avere più quel beagle che ogni cinque secondi spuntava è un sollievo! chiedo scusa per la faccenda della data del pc, nn me ne ero reso conto.

set i riferisci a InfoSat.txt io non leggo quello che affermi ossia che non riesce a scansionare, anzi tutt'altro ...

Anch'io, a causa della mia curiosità (ho aperto un file exe scaricato dal “mulo”), ho avuto una marea di problemi con un trojan del tipo bagle .
Ho seguito passo per passo la procedura della guida alla disinfezione bagle ed ho potuto verificare che per ogni antivirus utilizzato sono riuscito a rimuovere un bel pò di virus, ma non tutti, purtroppo.
In ogni caso sono riuscito a ripristinare la modalità provvisoria, in modo da fare altre scansioni, a reinstallare il mio antivirus (AVAST), ed a farlo ripartire (non appariva + il messaggio "Win32 è un'applicazione non valida”).

In fine ho utilizzato prevx 3.0, e mi ha individuato un virus del tipo bagle , ma, non avendo il codice di attivazione dell’antivirus, non potevo rimuoverlo.
Allora sono andato nella cartella dove il virus era segnalato ed ho scoperto che il file exe incriminato era contrassegnato con un icona identica a quello che avevo aperto (un volto di un uomo vestito di bianco).
A questo punto ho eliminato il file e l’icona e tornata quella normale.
Ho effettuato nuovamente la scansione con prevx e non mi ha rilevato alcun virus.
Per sicurezza ho ripetuto nuovamente la procedura ed anche in questo caso nessun virus.
Ad oggi, dopo 2 giorni di scansioni varie, del virus nessuna traccia.
Spero di aver fatto una cosa giusta…………
Qualcuno può dirmi se la rimozione "manuale " del virus è una procedura corretta??????????
In ogni caso grazie infinite, senza la guida non avrei saputo cosa fare.

Anch'io, a causa della mia curiosità (ho aperto un file exe scaricato dal “mulo”), ho avuto una marea di problemi con un trojan del tipo bagle .
Ho seguito passo per passo la procedura della guida alla disinfezione bagle ed ho potuto verificare che per ogni antivirus utilizzato sono riuscito a rimuovere un bel pò di virus, ma non tutti, purtroppo.
In ogni caso sono riuscito a ripristinare la modalità provvisoria, in modo da fare altre scansioni, a reinstallare il mio antivirus (AVAST), ed a farlo ripartire (non appariva + il messaggio "Win32 è un'applicazione non valida”).

In fine ho utilizzato prevx 3.0, e mi ha individuato un virus del tipo bagle , ma, non avendo il codice di attivazione dell’antivirus, non potevo rimuoverlo.
Allora sono andato nella cartella dove il virus era segnalato ed ho scoperto che il file exe incriminato era contrassegnato con un icona identica a quello che avevo aperto (un volto di un uomo vestito di bianco).
A questo punto ho eliminato il file e l’icona e tornata quella normale.
Ho effettuato nuovamente la scansione con prevx e non mi ha rilevato alcun virus.
Per sicurezza ho ripetuto nuovamente la procedura ed anche in questo caso nessun virus.
Ad oggi, dopo 2 giorni di scansioni varie, del virus nessuna traccia.
Spero di aver fatto una cosa giusta…………
Qualcuno può dirmi se la rimozione "manuale " del virus è una procedura corretta??????????
In ogni caso grazie infinite, senza la guida non avrei saputo cosa fare.
ciao

dovremmo vedere i log delle scansioni fatte per capirci qualcosa

Purtroppo i log non li ho conservati, ma, se opportuno, potrei ripetere la procedura di nuovo e postarli.

Fatemi sapere, GRAZIE.

Purtroppo i log non li ho conservati, ma, se opportuno, potrei ripetere la procedura di nuovo e postarli.

Fatemi sapere, GRAZIE.

le scansioni previste dalla guida non richiedono molto tempo, quindi se hai voglia e tempo di rieseguirle e caricarci i log ci togliamo ogni dubbio