Guida alla disinfezione per Bagle / Mitglieder



Premessa:
La guida si intende sotto Licenza Creative Commons http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)
Il Bagle è un Trojan generalmente difficile da eliminare, che disabilita gli antivirus e usa la tecnica del Rootkit per nascondersi. Un modo semplice per sapere se si è infettati da Bagle è vedere se in "Opzioni Cartella" del Pannello di controllo è presente l'opzione "Files Nascosti", infatti il Bagle provvede a disabilitare ed eliminare questa voce per evitare di essere rintracciato. Inoltre se si inserisce una chiavetta usb o un altra scheda di memoria l'iconia in Risorse del computer cambierà forma diventando una cartella gialla aperta.



Caratteristiche dell'infezione:
Da virus intelligente, il bagle tenta subito di auto-proteggersi ovvero rimuove o danneggia Antivirus e Firewall e qualsiasi altro software per la protezione del sistema in cui risiede, impedisce l'accesso a qualsiasi eseguibile e in alcuni software, soprattutto nei software antivirus, darà un errore di sistema ("Win32 è un'applicazione non valida").
La modalità provvisoria (Safe Mode) viene bloccata così l'utente non ha la possibilità di eseguire delle scansioni.
Nei peggiori dei casi, il bagle potrebbe disattivare pure qualche Drivers, come l'audio o semplicemente farà riavviare il pc molto spesso.
Generalmente, il Bagle, rallenta vistosamente la velocità del Pc agendo sulla Memoria Ram e impedisce agli utenti di accedere ai siti dei piu famosi antivirus (nod32, avast, avg, ecc.), a tutti i siti microsoft e al sito per scaricare messenger 2009, facendoli apparire come inesistenti o indirizzando il browser verso la pagina di ricerca dei siti non trovati.
Tutte le chiavette usb e le schede di memoria che vengono inserite nel pc infetto vengono automaticamente infettate per poter tentare di propagare l'infezione sui futuri pc in cui verrà inserito il supporto removibile.
Si presenta solitamente come un Keygen, di solito con un'icona a forma di croce, con una maschera grigia o un'icona a forma di occhio, il suo nome cambia in alcune varianti del virus, ad esempio Mitglieder o Beagle, ma il funzionamento è molto simile.

Il bagle necessita di qualche click da parte dell'utente che fa uso del pc infatti si diffonde tramite le Rete P2P (come ad esempio eMule), via E-mail o grazie a chiavette usb e schede di memoria. Si trova sotto forma di eseguibile, sopratutto nei crack/fix e keygen dei software, all'interno di un archivio compresso, come zip o rar.
Per questo motivo, prima di aprire un file compresso, si consiglia di eseguire la scansione con uno specifico servizio ( per esempio www.virustotal.com o www.virscan.org ) di modo da avere una panoramica abbastanza completa su eventuali rischi che annida.
fonte: http://it.wikipedia.org/wiki/Bagle




Procedura di Disinfezione:
Disattiva il ripristino di sistema fino a che il pc non sia stato completamente ripulito:

Fare clic su Start-> Programmi->Accessori->Esplora risorse.


Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.


Selezionare la scheda "Ripristino configurazione di sistema".


Selezionare la voce "Disattiva ripristino configurazione di sistema"


Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.

http://www.sicurezzainrete.com/images/system_restore_xp_small.jpg (http://www.sicurezzainrete.com/images/system_restore_xp.jpg)


_ metodo per Win-Vista:
Per attivare o disattivare Protezione sistema

Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.

Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.

Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.


eventualmente non si potesse operare la disattivazione seguire questa guida per forzare la chiusura del ripristino di sistema. (http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html)


Imposta i seguenti server dns ( guida per pc/mac/linux (https://store.opendns.com/setup/computer/) | guida per router (https://store.opendns.com/setup/router/) ):
208.67.222.222
208.67.220.220



e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:


*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)


collega subito eventuali chiavette USB infette cosicchè vengano ripulite


Malwarebytes Anti-Malware -> info e download (http://www.malwarebytes.org/mbam.php)
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controlo si trova nel Tab "File di log").


scollegati totalmente da internet e dalla lan


Elibagla -> download (http://www.zonavirus.com/descargas/descargar-elibagla.asp) (scorri la pagina fino a "descargar elibagla")
esegui l'eseguibile, controlla che ci sia la spunta su "Eliminar ficheros", clicca su Explorar e attendi la scansione di default (C:\), se hai collegato altri dischi o chiavette infette clicca su "Seleccionar Carpeta" e scegli la periferica da scansionare e di nuovo "Explorar", dopo le prime scansioni su C: dovrebbe ripristinarsi la modalità provvisoria, riesegui un paio di scansioni di C: anche in quella modalità (tramite il tasto F8 all'avvio e non forzandola in altre maniere), ripeti le scansioni su C: cercando di ottenere Nº de Ficheros Infectados: 0 e Nº de Ficheros Limpiados: 0
il log lo troverai qui: C:\InfoSat.txt


ComboFix -> Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


riattiva la connessione a internet e lan mantenendo i dns impostati all'inizio della guida


Prevx 3.0 -> download (http://www.prevx.com/freescan.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1923599) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")


ATF-Cleaner -> Download (http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25)
NB: prima chiudi tutte le finestre del browser:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected"
se desse errore o non si avviasse il programma prosegui al passo sucessivo


pubblica tutti i log richiesti



Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812) o Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747).
Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools.




Trattamento Post Disinfezione
Una volta ripulito leggi bene il trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

Se dovessero essere rimasti dei problemi con la visualizzazione files nascosti segui questa guida (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39).

Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP):
scarica XP TCP/IP Repair (http://www.xp-smoker.com/downloads/xptcprep.exe), avvia l'installazione e clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.




Ringraziamenti:
si ringraziano Bugs Bunny, Chill-Out e Wjmat

ieri mi è capitato un pc con questa situazione:
da alcuni giorni dava problemi nel senso che nn faceva installare degli antivirus(da quel che ho letto qui potrebbe esser colpa del bagle,infatti da quel che mi raccontava segnalava qualche root) poi è stato installato avg8 free e fatta una scansione di oltre 2 ore,ha trovato una marea di virus e altro,purtroppo il proprietario si è fidato dell'antivirus e ha fatto elimina tutto,e dopo 1 ora ha eliminato tutto,ma proprio tutto direi
Risultato xp parte carica arriva alla schermata del desktop e nn si visualizza più niente a video,ne cartelle,ne file,ne i .exe dei programmi nulla nemmeno la barra di windows start-programmi ecc,e rimane lì a caricare ma nulla.
Provato a farlo partire con l'ultima configurazione funzionante,stesso risultato.
In tutte le configurazioni in modalità provvisoria nn parte,torna alla schermata di scelta della modalità da cui farlo partire.(Anche questo segnale di bagle da quello letto nel post di spiegazione)
Provato a farlo partire anche col cd di windows xp ma niente nn mi fa fare il ripristino.
Smontato hard disk e salvato tutti i dati su altro pc(da quel che ho letto corre il rischio anche l'altro pc adesso),ma cosa è successo?c'è modo di rientrare?ah si è anche aggiunta la richiesta di accesso utente che prima nn c'era,basta fare ok e va avanti e il task manager si è disabilitato da solo.
dici disabilitato dall'amministratore,ma nessun ha fatto cio.
ma cos'era entrato un super-virus?oppure avg ha distrutto il sistema operativo,e nn sarebbe la prima volta che mi capita vedere questo antivirus fare casini. aspetto vostri pareri.

ciao

non ho ben capito tutti i problemi...
quando clicchi su utente vieni immediatamente disconnesso o non vedi le icone del desktop?

ieri mi è capitato un pc con questa situazione:
da alcuni giorni dava problemi nel senso che nn faceva installare degli antivirus(da quel che ho letto qui potrebbe esser colpa del bagle,infatti da quel che mi raccontava segnalava qualche root) poi è stato installato avg8 free e fatta una scansione di oltre 2 ore,ha trovato una marea di virus e altro,purtroppo il proprietario si è fidato dell'antivirus e ha fatto elimina tutto,e dopo 1 ora ha eliminato tutto,ma proprio tutto direi
Risultato xp parte carica arriva alla schermata del desktop e nn si visualizza più niente a video,ne cartelle,ne file,ne i .exe dei programmi nulla nemmeno la barra di windows start-programmi ecc,e rimane lì a caricare ma nulla.
Provato a farlo partire con l'ultima configurazione funzionante,stesso risultato.
In tutte le configurazioni in modalità provvisoria nn parte,torna alla schermata di scelta della modalità da cui farlo partire.(Anche questo segnale di bagle da quello letto nel post di spiegazione)
Provato a farlo partire anche col cd di windows xp ma niente nn mi fa fare il ripristino.
Smontato hard disk e salvato tutti i dati su altro pc(da quel che ho letto corre il rischio anche l'altro pc adesso),ma cosa è successo?c'è modo di rientrare?ah si è anche aggiunta la richiesta di accesso utente che prima nn c'era,basta fare ok e va avanti e il task manager si è disabilitato da solo.
dici disabilitato dall'amministratore,ma nessun ha fatto cio.
ma cos'era entrato un super-virus?oppure avg ha distrutto il sistema operativo,e nn sarebbe la prima volta che mi capita vedere questo antivirus fare casini. aspetto vostri pareri.
quel pc oltre ad avere una marea di malware e di diverso tipo tra i quali potrebbe sì avere il bagle ma sicuramente anche vundo, c'è stato anche l'antivirus che ha eseguito manovre di pulizia parziali.


ora per capire meglio in che stato viva il pc potremmo seguire questa guida poi in base a quanto emerge vediamo come comportarci ovviamente prima dobbiamo rifar comparire il desktop e tutto il resto quindi segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

poi, come detto sopra, fai la procedura descritte a inizio thread e pubblica tutti i logs :)

ciao

non ho ben capito tutti i problemi...
quando clicchi su utente vieni immediatamente disconnesso o non vedi le icone del desktop?

se clicco ok anche senza metter nessuna password va avanti,e carica fino al desktop dove poi nn si visualizza niente...volevo sottolineare che prima nn c'era la richiesta utente

quel pc oltre ad avere una marea di malware e di diverso tipo tra i quali potrebbe sì avere il bagle ma sicuramente anche vundo, c'è stato anche l'antivirus che ha eseguito manovre di pulizia parziali.


ora per capire meglio in che stato viva il pc potremmo seguire questa guida poi in base a quanto emerge vediamo come comportarci ovviamente prima dobbiamo rifar comparire il desktop e tutto il resto quindi segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1555416

poi, come detto sopra, fai la procedura descritte a inizio thread e pubblica tutti i logs :)

guarda ho postato anche nell'altra discussione,ma riporto qui perchè potrebbe esser utile anche ad altri,praticamente a video si vede solo lo sfondo del desktop,quindi la sequenza dell'altro post che mi hai segnalato come la dovrei fare? nn c'è start-esegui-regedit.
non c'è niente praticamente e il task manager è disabilitato

guarda ho postato anche nell'altra discussione,ma riporto qui perchè potrebbe esser utile anche ad altri,praticamente a video si vede solo lo sfondo del desktop,quindi la sequenza dell'altro post che mi hai segnalato come la dovrei fare? nn c'è start-esegui-regedit.
non c'è niente praticamente e il task manager è disabilitato

usa la scorciatoia da tastiera: tasto windows + r

:D

usa la scorciatoia da tastiera: tasto windows + r

:D

ok riuscito a recuperare il desktop,ma il pc era troppo pieno di virus e malware,nn essendo formattato da un paio d'anni ho preso la palla al balzo,grazie per l'ottima assistenza come sempre,e auguri per questo nuovo post di disinfezione :)

ok riuscito a recuperare il desktop,ma il pc era troppo pieno di virus e malware,nn essendo formattato da un paio d'anni ho preso la palla al balzo,grazie per l'ottima assistenza come sempre,e auguri per questo nuovo post di disinfezione :)

a questo punto dovrete pensare a come aumentare la sicurezza di quel pc, e spero abbiate censito e prevediate l'uso quotidiano e costante di un account limitato :)

ciao a tutti,, come avavo scritto nell 3d che precedeva questo ho un problema che potrebbe derivare da questo malware: ho scaricato da emule petepoker e dopo averlo decompresso l'ho lanciato: questo ha provocato lo spegnimento del pc, msn non andava piu, non riuscivo a sentire i file audio con winamp,ogni tanto mi riavviava da solo il pc e spesso mi dava eoori win32, oltre che chiaramente ad avermi inibito avira!!
Ho seguito la procedura consigliata nel 3d precedente con elibagla mi ha rilevato un malware in msnmsngr.exe che ho eliminato poi piu nulla.
Ora sento i file audio, non mi riavvia piu il pc ma non riesco a installare avira ne altri antivirus, ho seguito anche le istruzioni di questo topic ma oltre al fatto che serve la licenza per Malwarebytes Anti-Malware quando vado a lanciare combofix mi da errore in win32 e quindi non funziona, stessa cosa per hijackthis...che devo fa??mi serve il vostro aiuto perche devo completare la tesi e laurearmi a breve!!grazie mille, qui di seguito vi post i link dei log:

Malwarebytes Anti-Malware
http://www.fileqube.com/file/wbAFBQkV176206

elibagla
http://www.fileqube.com/file/ePinRctL176207

kaspersky
http://www.fileqube.com/file/wTlUauP176208

errore: la licenza per PrevxCSI non malwarebytes...

errore: la licenza per PrevxCSI non malwarebytes...

chiede la licenza se si volesse eseguyire la procedura di pulizia quindi questo significa che ha rilevato del malware e di conseguenza dovevi salvare il log. Oltre a questo come si chiamava il malware che ti identificava?
per combofix hai provato a rinominarlo ad esempio "prova.exe" e ad eseguirlo?
momentaneamente non posso accedere ai link per visionare i tuoi log per causa di questa lan in cui sono, stasera quando torno a casa potrò visionarli.

@pec85

Hai provveduto a fare pulizia con ATF Cleaner?

@xcdegasp:si ho provato a rinomine combofix 2 volte ma mi da sempre errore, il log di CSI(lunghissimo) è:
http://www.fileqube.com/file/cgDDBGNFP176341
@chillout: si l'avevo eseguita prima di iniziare le altre operazioni

@xcdegasp:si ho provato a rinomine combofix 2 volte ma mi da sempre errore, il log di CSI(lunghissimo) è:
http://www.fileqube.com/file/cgDDBGNFP176341
@chillout: si l'avevo eseguita prima di iniziare le altre operazioni

per prevx c'è questa infezione:

[B] c:\documents and settings\marco\dati applicazioni\drivers\wfsintwq.sys [PX5: 26876BA1CC5CF3E8D04601C724ACFF004B89B756] Malware Group: Medium Risk Malware


scarica avenger -> download (http://swandog46.geekstogo.com/avenger.zip)
e poi carica questo script:

Files to delete:
c:\documents and settings\marco\dati applicazioni\drivers\wfsintwq.sys

ti farà riavviare il pc dopo di che riscarica combofix, rinominalo ed eseguilo fatto questo lo disinstalli dopo esserti salvato il log e poi altra scansione con malwarebytes e prevcsi :)

grazie xcdegasp, ma sono un superniubbo, cosa intendi per caricare uno script, per me è arabo!e avenger devo eseguirlo?perche se lo eseguo mi da errore:
! Impossibile eseguire "C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.953\avenger.exe"
e prevx mi dice che ha identificato linfezione medium risk malware in C:\documents and settingd....\avenger.exe

un altra cosa: siccome devo portare in giro dei file (.doc) ma non voglio infettare le chiavette, se le mette su cd o se le invio via mail evito il problema del malware o lo posso passare anche cosi?

grazie xcdegasp, ma sono un superniubbo, cosa intendi per caricare uno script, per me è arabo!e avenger devo eseguirlo?perche se lo eseguo mi da errore:
! Impossibile eseguire "C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.953\avenger.exe"
e prevx mi dice che ha identificato linfezione medium risk malware in C:\documents and settingd....\avenger.exe

ti da errore perchè prima devi scompattarlo e impedire che l'antivbirus te lo cancelli :)
per caricare lo script significa che quando esegui avenger lui ti chiederà di dargli degli ordini e hai 3 strade per poterlo fare, dargli in pasto un file di testo con il contenuto che ti ho scritto, oppure fare a lui aprire una finestra e inserire direttamente il testo che ti ho fornito oppure (ma non te lo consiglio) dargli il link a un file pubblicato sul web con i passi da eseguire.
è semplicissimo l'uso di avenger, fidati e fai come ti ho indicato non puoi sbagliare :)

mi da errore in win32 quando vado a lanciarlo (dal desktop dopo averlo decompresso)

quale degli antivirus che mi avete fatto scaricare devo disinstallare?ho gia disinstallato prevCSI e non cambia nulla...ps: avira come avevo detto ancora non mi funziona quindi x ora ho solo antimalware e elibagla...
riguardo le mail e i cd con file .doc non danno problemi di infettivita, vero?
scusate se faccio 1000 domande ma voglio risolvere sto problema piu presto possibile...

Ciao a tutti,
pure io mi sono beccato sto virus :(
Io ho eseguito un'altra procesura, anzi la sto eseguendo proprio in questo momento.
Dato che ho 2 PC ho estratto l'HD infetto e l'ho fatto partire come slave nel secondo PC dove ho AVAST antivirus. Adesso gli sto facendo cancellare tutti i worm/virus che trova.
Penste che sia sufficente o devo eseguire pure la procedura che è stata indicata sopra?

Grazie per le info

quale degli antivirus che mi avete fatto scaricare devo disinstallare?ho gia disinstallato prevCSI e non cambia nulla...ps: avira come avevo detto ancora non mi funziona quindi x ora ho solo antimalware e elibagla...
riguardo le mail e i cd con file .doc non danno problemi di infettivita, vero?
scusate se faccio 1000 domande ma voglio risolvere sto problema piu presto possibile...

rifai la scansione con elibagla e malwarebytes e poi un log con prevxCSI e hijackthis che puoi scaricare da qui:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

i documenti e le email non sono soggetti a infezione almeno non da questo virus..

Ciao a tutti,
pure io mi sono beccato sto virus :(
Io ho eseguito un'altra procesura, anzi la sto eseguendo proprio in questo momento.
Dato che ho 2 PC ho estratto l'HD infetto e l'ho fatto partire come slave nel secondo PC dove ho AVAST antivirus. Adesso gli sto facendo cancellare tutti i worm/virus che trova.
Penste che sia sufficente o devo eseguire pure la procedura che è stata indicata sopra?

Grazie per le info

meglio se usi anche i prodotti consigliati in questa guida, male comunque non fa a quell'hd :)

Innanzitutto grazie per il supporto che date a tutti contro questo spiacevolissimo Bagle!....

Ho fatto tutto come descritto dalla vostra procedura....
Questi sono i logs


ComboFix.txt (http://www.fileqube.com/file/mAMkzGhes176830)
hijackthis.log (http://www.fileqube.com/file/vJQWmih176831)
mbam-log-2009-03-02 (04-05-29).txt (http://www.fileqube.com/file/cKHNpPe176832)

potresti non upparli zippati per favore?

Fatto, ma elibagla non si apre piu normalmente: quando vado a eseguire l'eseguibile mi appare una finestra che dice procesando 121 ficheros viricos, che è restata cosi piu di tre quarti d'ora dopodiche l'ho chiusa e ho riprovato ma sempre lo stesso, combofix e hijack mi danno sempre non è un file valido in win32, anche se rinomino...che mi metto a fare?lo scan col rescue disk di kaspersky l'ho gia provato...

Fatto, ma elibagla non si apre piu normalmente: quando vado a eseguire l'eseguibile mi appare una finestra che dice procesando 121 ficheros viricos, che è restata cosi piu di tre quarti d'ora dopodiche l'ho chiusa e ho riprovato ma sempre lo stesso, combofix e hijack mi danno sempre non è un file valido in win32, anche se rinomino...che mi metto a fare?lo scan col rescue disk di kaspersky l'ho gia provato...

combo hai provato a rinominarlo già durante il download o a portarlo sul pc già rinominato?

Grande wjmat!!rinominandolo prima funziona, ora penso di esser pulito poiche prevCSI e malwarebytes mi danno pulito!qui ci sono i log, voi che dite?

http://www.fileqube.com/file/yWxcaCN176860 combofix
http://www.fileqube.com/file/ZWsCIVD176861 malwarebytes
http://www.fileqube.com/file/krXAcJ176862 elibagla

Ps: ora posso reinstallare l'antivirus?
e mi consigliate di tenere prevCSI Combofix elibagla e malwarebytes installati?
grazie e ciao

Grande wjmat!!rinominandolo prima funziona, ora penso di esser pulito poiche prevCSI e malwarebytes mi danno pulito!qui ci sono i log, voi che dite?

http://www.fileqube.com/file/yWxcaCN176860 combofix
http://www.fileqube.com/file/ZWsCIVD176861 malwarebytes
http://www.fileqube.com/file/krXAcJ176862 elibagla

Ps: ora posso reinstallare l'antivirus?
e mi consigliate di tenere prevCSI Combofix elibagla e malwarebytes installati?
grazie e ciao
pulito ;)
nel trattamento post disinfezione trovi tutte le info che cerchi

Innanzitutto grazie per il supporto che date a tutti contro questo spiacevolissimo Bagle!....

Ho fatto tutto come descritto dalla vostra procedura....
Questi sono i logs


ComboFix.txt (http://www.fileqube.com/file/mAMkzGhes176830)
hijackthis.log (http://www.fileqube.com/file/vJQWmih176831)
mbam-log-2009-03-02 (04-05-29).txt (http://www.fileqube.com/file/cKHNpPe176832)


:help: Ed io come sonooo?:sperem:

Grazie mille wjmat,xcdegasp e chillout, se passate x Udine mandatemi un mp che vi pago da bere!!siete dei grandi

Grazie mille wjmat,xcdegasp e chillout, se passate x Udine mandatemi un mp che vi pago da bere!!siete dei grandi

di nulla ;)
ciao

Innanzitutto grazie per il supporto che date a tutti contro questo spiacevolissimo Bagle!....

Ho fatto tutto come descritto dalla vostra procedura....
Questi sono i logs


ComboFix.txt (http://www.fileqube.com/file/mAMkzGhes176830)
hijackthis.log (http://www.fileqube.com/file/vJQWmih176831)
mbam-log-2009-03-02 (04-05-29).txt (http://www.fileqube.com/file/cKHNpPe176832)

ciao

combo l'hai fatto girare 2 volte e a noi serviva il primo log
dal secondo comunque sembri pulito e si vede che combo ha pappato il log di elibagla, rifai una scansione per sicurezza con elibagla


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.12print.it/cab/ImageUploader5.cab

ragazzi mi da lo stesso problema che dava a pec85....ho provato a rinominare combo ma niente, allora l'ho cancellato e ho riscaricato elibagla, per fargli fare prima il suo lavoro e poi scaricare combo, ma niente...non si apre...si blocca quando dice "procesando 121 ficheros"

help :(

ragazzi mi da lo stesso problema che dava a pec85....ho provato a rinominare combo ma niente, allora l'ho cancellato e ho riscaricato elibagla, per fargli fare prima il suo lavoro e poi scaricare combo, ma niente...non si apre...si blocca quando dice "procesando 121 ficheros"

help :(

Ciao, come indicato in Guida è necessario utilizzare uno dei due Rescue Disk, passaggio tratto dalla Guida in prima pagina

Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812) o Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747).
Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools.

il fatto è che io ci provai pure ieri, con la guida vecchia su come rimuovere un bagle, e prima di scaricare elibagla scaricai anche beagled....ieri elibagla andò bene, ma alla fine non riuscii ad installare l'antivirus perchè avevo sicuramente mancato qualcosa. Stamattina mi sono accorto che c'era questa nuova guida, e ho fatto tutto il procedimento, ma elibagla non va, e non so rinominare combo prima che sia scaricato...

ora provo con il rescue, anche se non ho ben capito come si imposta il lettore come first boot...

niente non ci riesco. Ho provato a ritornare dov'ero rimasto ieri, e ho fatto la scansione con prevx csi, mi da 4 file infetti ma ci vuole la licensa per toglierli.

Mi sa che formatto il pc...a proposito ho letto che la penna usb viene subito contagiata dal bagle, quindi è sicuro che la mia penna (collegata quando ho preso il bagle) è infettata? Inoltre, se masterizzo un dvd con le cose da salvare prima della formattazione, mica si infetta pure il dvd?

scusate come faccio per disabilitare momentaneamente i realtime dei software di sciurezza tipo l'antivirus

1)ma srosa.sys o srosa2.sys sono file ke servono x il pc o sono solo completamente virus che se sono cancellati nn causano niente?
2)oggi ho collegato al pc una chiavetta USB....l'ho scansionata con MBAM ma nn ha trovato niente...può lo stesso essere infetta?

scusate come faccio per disabilitare momentaneamente i realtime dei software di sciurezza tipo l'antivirus

qui alcuni esempi
http://www.bleepingcomputer.com/forums/topic114351.html

1)ma srosa.sys o srosa2.sys sono file ke servono x il pc o sono solo completamente virus che se sono cancellati nn causano niente?
2)oggi ho collegato al pc una chiavetta USB....l'ho scansionata con MBAM ma nn ha trovato niente...può lo stesso essere infetta?
ciao

srosa.sys o srosa2.sys sono parte di bagle

per assicurarti che una chiavetta sia pulita fagli almeno un paio di scan antispyware e una scansione antivirus

qui alcuni esempi
http://www.bleepingcomputer.com/forums/topic114351.html

io ho il nod come antivisrus ma il problema è che essendomi infettato con il virus bagle non mi permette di aprirlo e quindi non lo posso disabilitare....
come faccio?

io ho il nod come antivisrus ma il problema è che essendomi infettato con il virus bagle non mi permette di aprirlo e quindi non lo posso disabilitare....
come faccio?

consideralo già disattivato ;)

a ok grazie, però c'è un altro problema quando apro elibagla mi appare la finestrella che dice "processando 121 ficheros viricos" con sotto una bara di scorrimento....il problema è che dopo un paio di minuti di attesa mi dice che il programma non risponde e se si desidera chiudere il programma o attendere la risposta di quest'ultimo....e quindi non riesco a fare la scansione con elibagla,
come faccio?

a ok grazie, però c'è un altro problema quando apro elibagla mi appare la finestrella che dice "processando 121 ficheros viricos" con sotto una bara di scorrimento....il problema è che dopo un paio di minuti di attesa mi dice che il programma non risponde e se si desidera chiudere il programma o attendere la risposta di quest'ultimo....e quindi non riesco a fare la scansione con elibagla,
come faccio?

procedi con combo

ok.....quindi salto quel passaggio....
grazie

procedi con combo

ho provato pure io a saltare il passaggio di elibagla xke avevo lo stesso problema di win 32, ma anche combo non mi parte, e l'ho pure rinominato ma niente...

visto che ho perso le speranze, qualcuno saprebbe dirmi se anche i cd e i dvd vengono infettati dal virus, xke se non vengono infettati mi salvo qualcosa su un dvd e formatto il pc...

ho provato pure io a saltare il passaggio di elibagla xke avevo lo stesso problema di win 32, ma anche combo non mi parte, e l'ho pure rinominato ma niente...

visto che ho perso le speranze, qualcuno saprebbe dirmi se anche i cd e i dvd vengono infettati dal virus, xke se non vengono infettati mi salvo qualcosa su un dvd e formatto il pc...

se masterizzi come cd/dvd dati allora sì (al pari di qualsiasi unità di storage esterna) se invece sono cd/dvd masterizzati tempo fa e non reiscrivibili allora non c'è possibilità che si inoculi il virus...

se masterizzi come cd/dvd dati allora sì (al pari di qualsiasi unità di storage esterna) se invece sono cd/dvd masterizzati tempo fa e non reiscrivibili allora non c'è possibilità che si inoculi il virus...

mamma mia che brutta notizia che mi hai dato:cry:

C'è della roba che devo salvare assolutamente (tipo la tesi di laurea che sto preparando) e non so come fare...
anche se non volessi formattarlo, ho provato con elibagla e con combo ma niente:muro:
ragazzi aiutatemi vi prego:cry:

mamma mia che brutta notizia che mi hai dato:cry:

C'è della roba che devo salvare assolutamente (tipo la tesi di laurea che sto preparando) e non so come fare...
anche se non volessi formattarlo, ho provato con elibagla e con combo ma niente:muro:
ragazzi aiutatemi vi prego:cry:

a questo punto andiamo con procedura che lo prenda di petto:
http://www.hwupgrade.it/forum/showthread.php?t=1689812
l'iso puoi anche masterizzarla su questo pc ma sarebbe meglio se la masterizzi su un pc non infetto o con non segni evidenti di infezioni :)

a questo punto andiamo con procedura che lo prenda di petto:
http://www.hwupgrade.it/forum/showthread.php?t=1689812
l'iso puoi anche masterizzarla su questo pc ma sarebbe meglio se la masterizzi su un pc non infetto o con non segni evidenti di infezioni :)


"Per avviare l'utility è necessario innanzitutto impostare nel BIOS il lettore CD o DVD come first boot nella sezione boot (qui si possono trovare vari esempi)."

E' questo che non so fare, anche perchè è in inglese...mica me lo puoi spiegare in due parole in italiano?

Cmq piccola parentesi...io il virus ce l'ho ancora, però appena lo presi, feci con beagled e elibagla e mi funzionarono, poi usai pure mbam e pure andò bene...infatti il pc va veloce come prima del contagio, l'unica cosa è che non mi fa ancora installare nessun antivirus compreso combo (e non mi parte nemmeno più elibagla)

"Per avviare l'utility è necessario innanzitutto impostare nel BIOS il lettore CD o DVD come first boot nella sezione boot (qui si possono trovare vari esempi)."

E' questo che non so fare, anche perchè è in inglese...mica me lo puoi spiegare in due parole in italiano?

Cmq piccola parentesi...io il virus ce l'ho ancora, però appena lo presi, feci con beagled e elibagla e mi funzionarono, poi usai pure mbam e pure andò bene...infatti il pc va veloce come prima del contagio, l'unica cosa è che non mi fa ancora installare nessun antivirus compreso combo (e non mi parte nemmeno più elibagla)

accendi il pc e premi da subito F2 o Canc, si apre una schermata di solito con sfondo blu o nera, vai in "boot section" o qualcosa del genere e imposti "primary device bott" o "1st device" o comunque a inzio elenco l'unità ottica e solo come seconda posizione l'hd

più preciso non posso esserlo ma è di una semplicità disarmante l'inglese usato nel bios :)

ok ora ci provo...intanto sto rifacendo la scansione con mbam e ho aggiunto anche la cartella per la mia penna usb, infettata quando ho preso il bagle...dopo la scansione faccio quello che mi hai scritto, poi se vuoi mando il log, xke il pc mi va una favola, l'unico problema è che non mi fa installare gli antivirus...

mbam mi ha trovato un file infetto, e guarda caso si chiama rootkit.bagle...mi ha chiesto di riavviare per eliminarlo...sarebbe il file "srosa"...che faccio? uso il rescue lo stesso? secondo voi non ha guarito un bel niente?

ecco il log di mbam:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1793
Windows 5.1.2600 Service Pack 3

04/03/2009 13.05.45
mbam-log-2009-03-04 (13-05-45).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|)
Elementi scansionati: 133347
Tempo trascorso: 30 minute(s), 28 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

mbam mi ha trovato un file infetto, e guarda caso si chiama rootkit.bagle...mi ha chiesto di riavviare per eliminarlo...sarebbe il file "sosra"...che faccio? uso il rescue lo stesso? secondo voi non ha guarito un bel niente?

riavvia e poi comunque facciamo il rescue tanto per essere sicuri :)

però dopo incomincia ad abituarti a usare il pc tramite utente con bassi privilegi altrimenti continuerai ad avere questi problemi :)

scusate ancora, ma è sorto un altro problema:ho terminato la scansione con combofix e malwarebyte e poi sono andato avanti con prevx CSI il problema è che una volta terminata la scansione per eliminare i problemi trovati mi richiede una licenza.....come faccio devo acquistare la versione completa del programma?

scusate ancora, ma è sorto un altro problema:ho terminato la scansione con combofix e malwarebyte e poi sono andato avanti con prevx CSI il problema è che una volta terminata la scansione per eliminare i problemi trovati mi richiede una licenza.....come faccio devo acquistare la versione completa del programma?

comincia a caricare tutti i log secondo le modalità

riavvia e poi comunque facciamo il rescue tanto per essere sicuri :)

però dopo incomincia ad abituarti a usare il pc tramite utente con bassi privilegi altrimenti continuerai ad avere questi problemi :)

ho fatto il rescue...ma non avendo il floppy non so come posso salvare il log...comunque mi dava 4 file infetti...che mi toccherà fare ora?:rolleyes:

ciao

srosa.sys o srosa2.sys sono parte di bagle

per assicurarti che una chiavetta sia pulita fagli almeno un paio di scan antispyware e una scansione antivirus


1)il problema è che adesso il pc infetto è a farsi formattare e non voglio inserire la chiavetta sul mio bel asus et16 series super-pulito:cry: :( :cry: :( :doh: :cry: :( :doh:

2)Quindi srosa.sys e srosa2.sys potevo cancellarli tranquillamente con canc vero?

ho fatto il rescue...ma non avendo il floppy non so come posso salvare il log...comunque mi dava 4 file infetti...che mi toccherà fare ora?:rolleyes:

Rifare la procedura indicata in prima pagina, ovviamente i tool vanno riscaricati.

1)il problema è che adesso il pc infetto è a farsi formattare e non voglio inserire la chiavetta sul mio bel asus et16 series super-pulito:cry: :( :cry: :( :doh: :cry: :( :doh:

2)Quindi srosa.sys e srosa2.sys potevo cancellarli tranquillamente con canc vero?

1 Inserisci la chiavetta tenendo premuto il tasto SHIFT (freccia in alto) onde evitare l'esecuzione in AutoPlay

2 Si sono da eliminare

Ciao a tutti.
un amico mi ha portato un pc da sistemare. deve essere pieno di virus.
conoscendo le vostre abilità, vi chiedo assistenza.
sintomi:
- l'antivirus avira che aveva ha smesso di funzionare
- dopo non riusciva a installar alcun antivirus
- l'audio ha smesso di funzionare
- non parte in modalità provvisoria

dai sintomi, se non sbaglio, penso che il colpevole possa essere il Bagle.

allora ho provato a seguire la guida per la rimoziondi tale virus, ma Elibagla rimane bloccato sulla scritta "sto processando 121 file virulati" se traduco bene. l'ho lasciato per oltre 1 ora. impiega tante ore o è piantato?

Combofix non si avvia.

Malwarebyte's anti-malware,di cui allego il log ottenuto l'altra sera, non si avvia più.

http://www.fileqube.com/file/ktAGBP177371


l'altro tool che son riuscito ad usare è Prevx. vi allego i log ottenuti l'altro giorno e stasera

http://www.fileqube.com/file/HJceDs177369
http://www.fileqube.com/file/DQsbYAkG177370

cosa mi dite? come procedo?

PS: Chill-Out, scusa per l'apertura di una discussione indipendente... ero in dubbio se postare qui o no, visto che non so se il Bagle è la causa unica e principale dei mali del pc. nel dubbio ho sbagliato. perdon

Leggi la Guida in prima pagina, dopodichè fai girare EliBagla e Combofix attendiamo i log

si la guida l'ho letta. e come scritto, ho provato a far girare Elibagla. ma a occhio sembra impiantarsi rimanendo bloccato sulla scritta : "sto processando 121 files virulati". l'ho lasciato girare per oltre 1 ora. chiedevo appunto se richiedesse tanto tempo o se, come sembra, si blocca.

fra l'altro leggo nella guida:
"esegui l'eseguibile, controlla che ci sia la spunta su "Eliminar ficheros", clicca su Explorar e attendi la scansione di default (C:\)"

a me questa scelta e la possibilità di cliccare non compare prorio.

si la guida l'ho letta. e come scritto, ho provato a far girare Elibagla. ma a occhio sembra impiantarsi rimanendo bloccato sulla scritta : "sto processando 121 files virulati". l'ho lasciato girare per oltre 1 ora. chiedevo appunto se richiedesse tanto tempo o se, come sembra, si blocca.

fra l'altro leggo nella guida:
"esegui l'eseguibile, controlla che ci sia la spunta su "Eliminar ficheros", clicca su Explorar e attendi la scansione di default (C:\)"

a me questa scelta e la possibilità di cliccare non compare prorio.

Facciamo così allega un log aggiornato ad adesso di Prevx CSI :)

ecco il log:

http://www.fileqube.com/file/fXxCoNOE177374

ecco il log:

http://www.fileqube.com/file/fXxCoNOE177374

Scarica questo tool http://oldtimer.geekstogo.com/OTMoveIt3.exe ed inserisci nel box Paste Instruction for Items to be moved questo Script:

:Files
c:\documents and settings\proprietario\dati applicazioni\drivers\wfsintwq.sys
c:\documents and settings\proprietario\impostazioni locali\dati applicazioni\ubiwucjx.exe
c:\programmi\live-player\uninst.exe

:Commands
[purity]
[emptytemp]

controlla che ci sia il segno di spunta su Unregister Dll's and Ocx's e clicca su MoveIt!

al termine se ti viene chiesto di riavviare RIAVVIA ed allega il log di OTMoveIT3 lo trovi in C:\_OTMoveIt\MovedFiles

ecco

http://www.fileqube.com/file/eBPcfqv177376

ecco

http://www.fileqube.com/file/eBPcfqv177376

OK adesso devi eliminare e riscaricare i tool indicati in Guida perchè sono stati compromessi e procedere con le scansioni

ho riscaricato elibagla. poi mi son riscollegato e avviato.
il file scaricato si chiama ELIBAGLA.AC%D8CB%D8I.exe. è normale il nome?

il programma non mi fa vedere alcun menu. c'è solo 1 piccola finestrella bianca aperta. non mi sembra normale. devo aspettare?

ho riscaricato elibagla. poi mi son riscollegato e avviato.
il file scaricato si chiama ELIBAGLA.AC%D8CB%D8I.exe. è normale il nome?

il programma non mi fa vedere alcun menu. c'è solo 1 piccola finestrella bianca aperta. non mi sembra normale. devo aspettare?

Si il nome è assolutamente normale

e anche che il programma apra solo 1 finestrella bianca e basta?

e anche che il programma apra solo 1 finestrella bianca e basta?

NO, passa a Malwarebytes Anti-Malware

Ecco i log di Malwarebytes, PrevxCSI e ComboFix... Elibagla non riesco a farlo partire...

http://www.mediafire.com/?sharekey=8120f2162aecc839c2b435915e8821d7e04e75f6e8ebb871

grazie...

Ecco i log di Malwarebytes, PrevxCSI e ComboFix... Elibagla non riesco a farlo partire...

http://www.mediafire.com/?sharekey=8120f2162aecc839c2b435915e8821d7e04e75f6e8ebb871

grazie...

Ciao Nico dovremmo essere a buon punto, reinstalla l'AV, aggiornalo, fai scansione completa del PC ed allega il log
Se sei indeciso su quale AV installare nel Trattamento Post Disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) troverai le info necessarie :)

elibagla a me non è partito, nemmeno dopo il cd avira rescue...

comunque ho fatto la scansione con combo e mbam...ecco i log...

combo--->http://www.mediafire.com/download.php?2dmxnwemezd

mbam--->http://www.mediafire.com/download.php?gmajy0wm5lm

di prevx csi non ho la licenza, ma mi ha dato tutto pulito, nessun file infetto.


datemi belle notizie vi prego:stordita:

elibagla a me non è partito, nemmeno dopo il cd avira rescue...

comunque ho fatto la scansione con combo e mbam...ecco i log...

combo--->http://www.mediafire.com/download.php?2dmxnwemezd

mbam--->http://www.mediafire.com/download.php?gmajy0wm5lm

di prevx csi non ho la licenza, ma mi ha dato tutto pulito, nessun file infetto.


datemi belle notizie vi prego:stordita:

Ciao dovremmo essere a buon punto, reinstalla l'AV, aggiornalo, fai scansione completa del PC ed allega il log
Se sei indeciso su quale AV installare nel Trattamento Post Disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) troverai le info necessarie :)

rieccomi.
fatto la scansione con malware.

ecco i log (ne ho fatte 2 perverificare che al riavvio fosse riuscito a cancellare quanto si proponeva, ma ha fallito)

http://www.fileqube.com/file/ikKhjHnz177461
http://www.fileqube.com/file/owjEzW177462

quando avvio malware, sta alcuni minuti prima di partire. una volta avviato funziona normalmente

rieccomi.
fatto la scansione con malware.

ecco i log (ne ho fatte 2 perverificare che al riavvio fosse riuscito a cancellare quanto si proponeva, ma ha fallito)

http://www.fileqube.com/file/ikKhjHnz177461
http://www.fileqube.com/file/owjEzW177462

quando avvio malware, sta alcuni minuti prima di partire. una volta avviato funziona normalmente

Fai girare Combo

niente da fare. mi dice che non è un'applicazione di windows valida

niente da fare. mi dice che non è un'applicazione di windows valida

Come indicato in Guida è necessario utilizzare uno dei due Rescue Disk, passaggio tratto dalla Guida in prima pagina

Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812) o Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747).
Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools.

EDIT

prima di passare ai Rescue Disk facciamo un tentativo inserisci questo Scritp in OTMoveIt


:Files
c:\documents and settings\proprietario\dati applicazioni\drivers\wfsintwq.sys

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]

:Commands
[purity]
[emptytemp]


controlla che ci sia il segno di spunta su Unregister Dll's and Ocx's e clicca su MoveIt!

al termine se ti viene chiesto di riavviare RIAVVIA ed allega il log di OTMoveIT3 lo trovi in C:\_OTMoveIt\MovedFiles

Dopodichè elimini e riscaricarichi Combo e lo esegui avendo cura di rinominarlo

ops. ho già avviato avira da cd. fra l'altro adesso si è bloccata la scansione.
fin'ora aveva rilevato 135 records. la maggior parte nella cartella di avenger. adesso riavvio sperando che parta e faccio partire lo script suggerito

anche OTMovieIT si blocca. dice che il file non riesce a rimuoverlo e poi rimane bloccato mentre sta eseguendo l'istruzione relativa al registro. che palle :)

anche OTMovieIT si blocca. dice che il file non riesce a rimuoverlo e poi rimane bloccato mentre sta eseguendo l'istruzione relativa al registro. che palle :)

Ho modificato lo Script avevo tralasciato le parentesi, sorry.

elibagla a me non è partito, nemmeno dopo il cd avira rescue...

comunque ho fatto la scansione con combo e mbam...ecco i log...

combo--->http://www.mediafire.com/download.php?2dmxnwemezd

mbam--->http://www.mediafire.com/download.php?gmajy0wm5lm

di prevx csi non ho la licenza, ma mi ha dato tutto pulito, nessun file infetto.


datemi belle notizie vi prego:stordita:


Ciao dovremmo essere a buon punto, reinstalla l'AV, aggiornalo, fai scansione completa del PC ed allega il log
Se sei indeciso su quale AV installare nel Trattamento Post Disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) troverai le info necessarie :)


Ho fatto la scansione con antivir (ho prima settato la configurazione come spiega la guida su antivir del forum)...alla fine dice così:

http://i52.photobucket.com/albums/g16/thegame1249/ScreenHunter_01Mar051159.jpg

ecco il log----> http://www.mediafire.com/download.php?iztkdyttymm

perdonato. mi dice che il file non riesce a cancellarlo. e che lo cancellerà al riavvio. per quanto riguarda il registro, nessun commento nel log.
non mi chiede di riavviare. riavvio lo stesso?

perdonato. mi dice che il file non riesce a cancellarlo. e che lo cancellerà al riavvio. per quanto riguarda il registro, nessun commento nel log.
non mi chiede di riavviare. riavvio lo stesso?

Non riavviare e fai girare Combo riscaricato e rimominato

@ marco_81:
hai impostato i dns di www.opendns.com ?

Ho fatto la scansione con antivir (ho prima settato la configurazione come spiega la guida su antivir del forum)...alla fine dice così:

http://i52.photobucket.com/albums/g16/thegame1249/ScreenHunter_01Mar051159.jpg

ecco il log----> http://www.mediafire.com/download.php?iztkdyttymm

Bene per scrupolo lancia nuova scansione completa ed allega il log :)

perdonato. mi dice che il file non riesce a cancellarlo. e che lo cancellerà al riavvio. per quanto riguarda il registro, nessun commento nel log.
non mi chiede di riavviare. riavvio lo stesso?

Non riavviare e fai girare Combo riscaricato e rimominato

@ marco_81:
hai impostato i dns di www.opendns.com ?

NB: riscarica nuovamente anche EliBagla è stato ulteriormente aggiornato

combofix riscaricato e rinominato, continua a non avviarsi. dice applicazione di windows non valida.

@xcdegasp:
si ho i DNS di opendns

elibagla si avvia come le volte precedenti. per alcuni minuti sembra non partire. poi si apre una piccola finestrella bianca. e basta. da taskmanager il processo relativo occupa il 98% della cpu e 3,5Mb di ram. uffff

elibagla si avvia come le volte precedenti. per alcuni minuti sembra non partire. poi si apre una piccola finestrella bianca. e basta. da taskmanager il processo relativo occupa il 98% della cpu e 3,5Mb di ram. uffff

Riavvia ed allega il log di OtMoveIt

ecco il log
http://www.fileqube.com/file/mXAXmp177486

ecco il log
http://www.fileqube.com/file/mXAXmp177486

Bisogna andare di Recue Disk se no non se ne esce

come ti avevo accennato prima. avevo avviato con il rescue cd di avira. all'inizio mi aveva avvisato che la memoria non è sufficiente. il pc ha 256 mb. ma io ho provato a avviarlo lo stesso. ha analizzato per circa un'ora e poi si è piantato. aveva trovato 135 records. adesso non so se si è bloccato per mancanza di ram o per qualche altra ragione. riprovo con il cd di avira?
o provo a vedere con quell'altro??

come ti avevo accennato prima. avevo avviato con il rescue cd di avira. all'inizio mi aveva avvisato che la memoria non è sufficiente. il pc ha 256 mb. ma io ho provato a avviarlo lo stesso. ha analizzato per circa un'ora e poi si è piantato. aveva trovato 135 records. adesso non so se si è bloccato per mancanza di ram o per qualche altra ragione. riprovo con il cd di avira?
o provo a vedere con quell'altro??

Puoi provarli entrambi, certo che 256MB di Ram non ci aiutano

non dirlo a me. ma i link per scaricare il Kaspersky Rescue Disk non funzionano solo a me? non è che potete provare?

non dirlo a me. ma i link per scaricare il Kaspersky Rescue Disk non funzionano solo a me? non è che potete provare?

Funzionano regolarmente, potrebbe essere un problema di OpenDNS

penso di essere riuscito ad eliminare il bagle, infatti la modalità provvisoria è tornata funzionante ho disinstallato l'antivirus vecchio ormai non funzionante e ne ho scaricato uno nuovo e funziona perfettamente e la velocità del pc è tornata quella di prima, l'unico problema è che l'audio è rimasto disattivato...come faccio per riattivarlo??

bho non mi va nessuno dei link. dopo pranzo proverò a cercarli a partire dal sito di kav. intanto grazie. ci sentiam fra un po

l'analisi di avira si blocca sempre allo stesso file. i link per scaricare kav non mi fungono . uff
mi sa che era proprio un problema con i dns di opendns. adesso ho messo quelli di alice e i link funzionano. scarico e provo anche con il cd rescue di kav. speriam di avere più fortuna

penso di essere riuscito ad eliminare il bagle, infatti la modalità provvisoria è tornata funzionante ho disinstallato l'antivirus vecchio ormai non funzionante e ne ho scaricato uno nuovo e funziona perfettamente e la velocità del pc è tornata quella di prima, l'unico problema è che l'audio è rimasto disattivato...come faccio per riattivarlo??

start -> esegui:
scrivi:
services.msc
batti invio

ora cerca il servizio "Audio Windows", fagli click con il tasto destro del mouse, poi imposta il tipo di avvio su "automatico" e premi il pulsante "avvia" :)

se invece non fosse il servizio ad essere disabilitato dovrai riscaricare i driver della scheda audio andando sul sito del produttore o della scheda madre pc desktop/tower) o sul sito del produttore del notebook :)

l'analisi di avira si blocca sempre allo stesso file. i link per scaricare kav non mi fungono . uff
mi sa che era proprio un problema con i dns di opendns. adesso ho messo quelli di alice e i link funzionano. scarico e provo anche con il cd rescue di kav. speriam di avere più fortuna

apri il file con notepad:
c:\WINDOWS\system32\drivers\etc\hosts

e inserisci in fondo al file (dopo 127.0.0.1 localhost) le seguenti righe mantenendone più o meno lo stesso incolonnamento della riga precedente:

80.190.154.131 www.free-av.com
212.47.219.83 dnl-eu8.kaspersky-labs.com

così potrai ovviare al problema senza rimuovere i dns :)

Bene per scrupolo lancia nuova scansione completa ed allega il log :)

ne ho fatta un'altra come mi hai detto:

http://i52.photobucket.com/albums/g16/thegame1249/ScreenHunter_01Mar051405.jpg

log---> http://www.mediafire.com/download.php?nyyzklmezg2

a differenza della prima scansione ci sono solo due warnings e nessuna detection...

datemi buone notizie:rolleyes:

start -> esegui:
scrivi:
services.msc
batti invio

ora cerca il servizio "Audio Windows", fagli click con il tasto destro del mouse, poi imposta il tipo di avvio su "automatico" e premi il pulsante "avvia" :)

se invece non fosse il servizio ad essere disabilitato dovrai riscaricare i driver della scheda audio andando sul sito del produttore o della scheda madre pc desktop/tower) o sul sito del produttore del notebook :)

ok grazie mille

:muro: niente news positive. ho scaricato e avviato il cd rescue di kav. ma dopo la scelta della lingua, il pc si pianta su una schermata tutta nera. è fermo da 5 minuti. non penso sia normale

appena ho inviato questo post, il pc è entrato nella schermata di kaspersky. provo ad aggiornare e avviare la scansione

:muro: niente news positive. ho scaricato e avviato il cd rescue di kav. ma dopo la scelta della lingua, il pc si pianta su una schermata tutta nera. è fermo da 5 minuti. non penso sia normale

combo hai provato a rinominarlo direttamente durante il download oppure a portarlo sul pc già rinominato?

:muro: niente news positive. ho scaricato e avviato il cd rescue di kav. ma dopo la scelta della lingua, il pc si pianta su una schermata tutta nera. è fermo da 5 minuti. non penso sia normale

quello che so è che kaspersky non sia un mostro di velocità magari fa parte della sua lentezza :stordita:
ma non conosco il suo rescue disk quindi non saprei che dire...

@xcdegasp
grazie per gli indirizzi ip.

quello che so è che kaspersky non sia un mostro di velocità magari fa parte della sua lentezza :stordita:
ma non conosco il suo rescue disk quindi non saprei che dire...

si faceva parte della sua lentezza o di quella del pc più probabile. infatti come ho scritto adesso si è avviato. lo sto aggiornando

spero che la scansione con kaspersky dia qualche frutto, visto le ore che sta impiegando. son quasi 5 ore ed è ancora al 29% :muro:

ne ho fatta un'altra come mi hai detto:

http://i52.photobucket.com/albums/g16/thegame1249/ScreenHunter_01Mar051405.jpg

log---> http://www.mediafire.com/download.php?nyyzklmezg2

a differenza della prima scansione ci sono solo due warnings e nessuna detection...

datemi buone notizie:rolleyes:

Sei OK :)

Sei OK :)

mi viene da piangere....ecco ecco....:cry:

grazie ragazzi, senza la vostra guida e la vostra pazienza non ci sarei mai riuscito, grazie di cuore:cry:

ah chill-out, un'ultima cosa: ieri feci la scansione con mbam alla mia penna usb, e mi trovò il rootkit.bagle, come prevedevo visto che al momento dell'infezione era collegata. Per rimuoverlo mi ha chiesto di riavviare, l'ho fatto e poi ho rifatto la scansione, e non mi ha rilevato nessun file infetto. Credi che sia pulita al 100%? Posso fidarmi di mbam?

mi viene da piangere....ecco ecco....:cry:

grazie ragazzi, senza la vostra guida e la vostra pazienza non ci sarei mai riuscito, grazie di cuore:cry:

ah chill-out, un'ultima cosa: ieri feci la scansione con mbam alla mia penna usb, e mi trovò il rootkit.bagle, come prevedevo visto che al momento dell'infezione era collegata. Per rimuoverlo mi ha chiesto di riavviare, l'ho fatto e poi ho rifatto la scansione, e non mi ha rilevato nessun file infetto. Credi che sia pulita al 100%? Posso fidarmi di mbam?

La inserisci tenendo premuto il tasto SHIFT freccia in alto poi la controlli con:
AV Residente
MBAM
EliBagla

Vi aggiorno sulla situazione.

La scansione con il rescue cd di kapersky è ancora in corso.
22 ore e siam ancora all'86%. speriam acceleri prima o poi, anche se dubito. era meglio se andavo alla ricerca di un po di ram prima di iniziare la scansione, ma ormai.

per ora ha eliminato 2 oggetti infetti con virus.Email.Worm.Win32.Bagle.of (winterms.exe e flec006.exe nella cartella Avenger) e 1 infetto dal Trojan-Downloader.win32.Bagle.ant (winupgro.exe sempre nella cartella Avenger)
E disinfettato 258 file dal Trojan-Downloader.win32.Bagle.aoe (tutti in Avenger/m/shared)

devo essere ottimista? si accettano parole di conforto :)

Vi aggiorno sulla situazione.

La scansione con il rescue cd di kapersky è ancora in corso.
22 ore e siam ancora all'86%. speriam acceleri prima o poi, anche se dubito. era meglio se andavo alla ricerca di un po di ram prima di iniziare la scansione, ma ormai.

per ora ha eliminato 2 oggetti infetti con virus.Email.Worm.Win32.Bagle.of (winterms.exe e flec006.exe nella cartella Avenger) e 1 infetto dal Trojan-Downloader.win32.Bagle.ant (winupgro.exe sempre nella cartella Avenger)
E disinfettato 258 file dal Trojan-Downloader.win32.Bagle.aoe (tutti in Avenger/m/shared)

devo essere ottimista? si accettano parole di conforto :)

Su forza e coraggio, speriamo che il PC regga :sperem:

grazie. si speriamo che sopravviva allo sforzo e di riuscire a debellarlo.
da quanto ho letto il kapersky non analizza il registro di windows. non è che poi appena riavvio si riformano i problemi? o il fatto di eliminare i files infetti rende innoque anche le eventuali voci modificate nel registro?

La inserisci tenendo premuto il tasto SHIFT freccia in alto poi la controlli con:
AV Residente
MBAM
EliBagla

fatto, tutto ok, l'ho pure formattata. Grazie ancora:cool:

fatto, tutto ok, l'ho pure formattata. Grazie ancora:cool:

Prego ciao :)

ciao a tutti..sono infetto..ho seguito la procedura, ma arrivato all'impostazione dei DNS mi si chiudono le proprietà della scheda di rete:muro:

Passa al punto successivo

ho cambiato il post precedente

Quali programmi?

ATF-Cleaner Elibagla e ComboFix

Se non dovesse funzionare la procedura sopra descritta si consiglia di eseguire una scansione con Avira AntiVir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812) o Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747).
Dopo l'eventuale scansione con un rescue cd ricomincia la procedura dal punto 1 riscaricando tutti i tools.

chissà se il sabato mattina, trovo qualche anima misericordiosa :)
dopo un giorno e mezzo di scansione, il rescue cd di kaspersky ha terminato la sua opera.
adesso ho scaricato elibagla e combofix da un altro pc e ho avviato elibagla, ma mi sa che non funge. si apre solo una finestrella con scritto: "processando 121 ficheros Viricos".

è sintomo che son ancora infetto?

ho bloccato il processo di elibagla. e provato a far partire combofix. finalmente il tool si avvia (quindi qualche migioramento c'è stato :) ). adesso lascio lavorare combofix e poi vi aggiorno con il log.

grazie e mandi

finalmente buone notizie.
combofix ha fatto il suo lavoro eliminando parecchia robaccia.
adesso funziona anche elibagla con cui sto facendo una scansione.

elibagla scrive: "Accesso negato alla cartella C:\\program files (16)"
è un brutto sintomo?

premo ok e lascio finire la scansione

finalmente buone notizie.
combofix ha fatto il suo lavoro eliminando parecchia robaccia.
adesso funziona anche elibagla con cui sto facendo una scansione.

elibagla scrive: "Accesso negato alla cartella C:\\program files (16)"
è un brutto sintomo?

premo ok e lascio finire la scansione

Ciao Marco allega i 3 log, ossia Combo - EliBagla e MBAM

si, appena termino allego tutti i log.

ma posso fidarmi a collegare il pc in rete, senza aver prima reinstallato un antivirus?

si, appena termino allego tutti i log.

ma posso fidarmi a collegare il pc in rete, senza aver prima reinstallato un antivirus?

Assolutamente sconsigliato

terminata la scansione di eligabla. non ha trovato niente.
per far la scansione con mbam devo collegarmi a internet per aggiornarlo.
come chiedevo prima, posso fidarmi a connetermi, considerato che il pc è sprovvisto di protezione antivirus?

non vorrei infettarmi di nuovo :) e vedo una nuova scansione con il rscue cd di kaspersky come un incubo

Chill-Out mi hai anticipato.

ah ok i miei dubbi erano giusti. scarico avira dal portatile e lo installo prima di connettermi.

forse si potrebbe aggiungere alla guida questo passaggio. visto che il virus disabilita l'antivirus e non permette di installarne altri prima della pulizia

durante l'installazione di avira, mi dice che è impossibile trovare il file delus.exe in una cartella Temp. ma poi continua l'installazione normalmente.
provo a disinstallarlo e reinstallarlo?

up
ha utilizzato uno dei rescue cd consigliati?

durante l'installazione di avira, mi dice che è impossibile trovare il file delus.exe in una cartella Temp. ma poi continua l'installazione normalmente.
provo a disinstallarlo e reinstallarlo?

Hai completato l'installazione?
Il file in questione se non erro serve per completare il processo di disinstallazione

si..ho usato il cd avira..mi trova 16 o 19 oggetti(l'ho fatto ieri sera e ora non ricordo di preciso)...dopo averlo fatto il pc a volte si riavvia da solo, mentre altre volte rimane "stabile"ma i tre tools non sono comunque utilizzabili

Neppure Prevx CSI

nel dubbio, ho disinstallato e reinstallato Avira. durante la seconda installazione, tutto liscio.
adesso ho terminato di configurare avira come spiegato nella guida.
adesso mi collego a internet, scarico e aggiorno mbam, faccio la scansione e poi vi allego tutti i log. intanto di nuovo grazie per l'assistenza

ho cambiato idea. visto che la scansione di mbam impiegherà più di un'oretta, nel frattempo vi do in pasto i log di:

- kapersky rescue cd: http://wikisend.com/download/532962/kasp log.txt
- combofix: http://wikisend.com/download/623798/ComboFix.txt
- elibagla: http://wikisend.com/download/471538/InfoSat.txt (ho ripetuto un po di volte la scansione della pennina, perchè mi sembrava non partisse, invece era superveloce :) )

a voi la sentenza

ho cambiato idea. visto che la scansione di mbam impiegherà più di un'oretta, nel frattempo vi do in pasto i log di:

- kapersky rescue cd: http://wikisend.com/download/532962/kasp log.txt
- combofix: http://wikisend.com/download/623798/ComboFix.txt
- elibagla: http://wikisend.com/download/471538/InfoSat.txt (ho ripetuto un po di volte la scansione della pennina, perchè mi sembrava non partisse, invece era superveloce :) )

a voi la sentenza

Il problema non era solo circoscritto al Bagle :)

Ti suggerisco di scansionare la pennina anche con
Anitivir
MBAM

Il problema non era solo circoscritto al Bagle :)

Ti suggerisco di scansionare la pennina anche con
Anitivir
MBAM

appena posso ti scrivo uno script da inserire in Combo per eliminare un pò di robaccia

si grazie mille. immaginavo che non ci fosse solo il bagle.

si grazie mille. immaginavo che non ci fosse solo il bagle.

Prima fai girare questo tool in modo e maniera da eliminare eventuali residui del Norton http://service1.symantec.com/support/inter/tsgeninfointl.nsf/it_docid/20050407160511924

successivamente

Apri il Blocco Note copia e incolla questa righe:


Folder::
C:\WINDOWS\temp
C:\WINDOWS\Tasks

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ok adesso aspetto che termini la scansione di mbam e poi faccio quanto detto.

avira ha rilevato un paio di virus in alcuni file che erano stati rinominati dal rescue cd di avira.

uno si trovava nei file per il ripristino, che si era riattivato a mia insaputa.
disattivandolo cancella i punti di ripristino?

quando termina mbam allego anche il log di quanto rilevato da avira in tempo reale

ok adesso aspetto che termini la scansione di mbam e poi faccio quanto detto.

avira ha rilevato un paio di virus in alcuni file che erano stati rinominati dal rescue cd di avira.

uno si trovava nei file per il ripristino, che si era riattivato a mia insaputa.
disattivandolo cancella i punti di ripristino?

quando termina mbam allego anche il log di quanto rilevato da avira in tempo reale

Il riprisitno è stato riattivato da Combo, ovviamente è opportuno fare una scansione completa anche con Antivir

ah ecco chi lo aveva riattivato. ero sicuro di averlo disattivato.
allora nell'ordine devo fare:
-scansione con mbam che è in corso
-rimuovere eventuali rimasugli di norton
-far eseguire lo script a combofix
- una scansione completa con avira.

dimentico qualcosa?

x Thommy_Yorke

rifai la scansione completa con mbam, mi sembra strano sia durata così poco
i log vanno caricati tutti sui server remoti indicati nelle regore di sezione
aspettiamo il log di avg e per completezza anche l'altro di combo dato che l'hai fatto girare 2 volte

AVG è uscito pulito pulito..non mi ha trovato niente..

Log di ELIBAGLE: http://www.fileqube.com/file/tvNbAosWw177959
Log PrevX CSI: http://www.fileqube.com/file/MyZpKrdp177962
il secondo log di combofix mica me lo ritrovo più...io ne ho vedo uno solo..comunque MBAM l'ho eseguito in scansione completa..a ora riprovo..comunque a parte avira sembra che vada tutto ok..

EDIT: ma è normale che MBAM sia così pesante come programma?

EDIT2: Log MBAM:http://www.fileqube.com/file/mNVveauth177964

cancella questi due file:
[B] c:\programmi\binarysense\hddlife 3\hddlifepro.exe [PX5: 3BC96CD20004D7A7100924CE09ACB700AE6DE153] Malware Group: High Risk Worm
[B] c:\documents and settings\andrea\documenti\downloads\[pc - ita] hdd lifepro 3.1.157\crack\hddlifepro.exe [PX5: 3BC96CD20004D7A7100924CE09ACB700AE6DE153] Malware Group: High Risk Worm

che sintomi presenta il pc?

prova a fare un log hijackthis e vediamo quanta roba parte in automatico all'avvio :D

mbam non ha rilevato niente.
ecco il log: http://www.fileqube.com/file/PJNDpuWqk178153

combofix invece:
http://www.fileqube.com/file/Boonsmt178154

il pc non lo conosco perchè non è mio, ma nonostante la poca ram (256 mb) non mi sembra ancora normale. alterna momenti di fluidità, ad altri in cui sembra impiantato.

altro particolare. 6 file che dalle scansioni antivirus sembrano essere presenti nella penna, non si riescono a vedere (nonostante la visualizzazione dei file nascosti sia attiva)

mentre aspetto vostri suggerimenti, faccio una scansione completa con avira

mbam non ha rilevato niente.
ecco il log: http://www.fileqube.com/file/PJNDpuWqk178153

combofix invece:
http://www.fileqube.com/file/Boonsmt178154

il pc non lo conosco perchè non è mio, ma nonostante la poca ram (256 mb) non mi sembra ancora normale. alterna momenti di fluidità, ad altri in cui sembra impiantato.

altro particolare. 6 file che dalle scansioni antivirus sembrano essere presenti nella penna, non si riescono a vedere (nonostante la visualizzazione dei file nascosti sia attiva)

mentre aspetto vostri suggerimenti, faccio una scansione completa con avira

Marco non hai eseguito correttamente lo Script qui indicato devi copiare ed incollare tutto quello che è all'interno del Quote


Folder::
C:\WINDOWS\temp
C:\WINDOWS\Tasks

l'intenzione era quella. avrò sbagliato. perdon. rimedio adesso. grazie

ecco il lo di combofix:

http://wikisend.com/download/567492/ComboFix.txt

guardando di sfuggita, mi sembra identico a quello di prma. ma mi fido di più del tuo occhio

ecco il lo di combofix:

http://wikisend.com/download/567492/ComboFix.txt

guardando di sfuggita, mi sembra identico a quello di prma. ma mi fido di più del tuo occhio

C'è qualcosa che non torna.......quindi percorriamo un'altra strada, appena posso ti scrivo lo Script mi ci vuole un pò :D

ok, fai pure con calma che adesso esco e quindi ti do tempo fino alle 2.30 - 3 :D
intanto avvio una scansione completa di avira.
grazie ancora e buona serata

ok, fai pure con calma che adesso esco e quindi ti do tempo fino alle 2.30 - 3 :D
intanto avvio una scansione completa di avira.
grazie ancora e buona serata

Scarica il seguente file
http://wikisend.com/download/871658/CFScript.txt
e trascinalo sullicona di Combofix

ecco i risultati della scansione di avira:
http://wikisend.com/download/468672/AVSCAN-20090307-213709-DF0298F9.LOG

e di combofix con lo script datomi:
http://wikisend.com/download/468540/ComboFix.txt

come siamo?

ecco i risultati della scansione di avira:
http://wikisend.com/download/468672/AVSCAN-20090307-213709-DF0298F9.LOG

e di combofix con lo script datomi:
http://wikisend.com/download/468540/ComboFix.txt

come siamo?

Ripeterei per scrupolo una scansione completa con Avira, ma direi che siamo arrivati in fondo :)

Questi sono i log di: -BAGLED:

Bagle_Remover.exe
Date: 09/03/2009
Time: 14.44.43,56


-ELIBAGLA:
Mon Mar 09 14:46:05 2009
EliBagle v12.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.30
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)

Mon Mar 09 14:46:29 2009
EliBagle v12.30 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.30
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\YANI\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.


-MALWAREBYTES' ANTI-MALWARE:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1826
Windows 5.1.2600 Service Pack 3

09/03/2009 15.19.42
mbam-log-2009-03-09 (15-19-42).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elementi scansionati: 150909
Tempo trascorso: 27 minute(s), 49 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)


E l'ho rieseguito poichè non elimina un virus, e questo è il log:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1826
Windows 5.1.2600 Service Pack 3

09/03/2009 16.21.08
mbam-log-2009-03-09 (16-21-08).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elementi scansionati: 142146
Tempo trascorso: 26 minute(s), 17 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)



Cosa devo fare ora?? La scansione è completa, ha impiegato 26 minuti perchè non ho molti file nel pc poichè ho eseguito la formattazione un mese fa!

Per cortesia leggi bene la Guida in prima pagina, seguila passo passo ed allega i log secondo le modalità indicate, grazie.

Ripeterei per scrupolo una scansione completa con Avira, ma direi che siamo arrivati in fondo :)

riecomi in sti giorni ho avuto casini da risolvere... e così avevo trascurato il pc. ecco i log delle 2 scansioni fatte con avira. ne ha fatto una ulteriore per controllare che con la prima avesse eliminato quanto trovato.

http://wikisend.com/download/466490/AVSCAN-20090307-213709-DF0298F9.LOG

http://wikisend.com/download/884038/AVSCAN-20090308-150443-37ACDE13.LOG

rimane il dubbio di cosa sia nascosto nella pennina. dalla scansione con avira vede 6 file non infetti. e anche guardando le proprietà risultano occupati 6 file per 1,4 GB. invece guardando il contenuto, anche con la visualizzazione dei file nascosti attiva, non risulata niente.
forse meglio formattarla, ma era per capire.

se il pc risulta pulito, dovrei vedere di ottimizzare un po in modo da velocizzare. e ripristinare l'audio e risolvere i problemi relativi ai messaggi che dicono che ci son problemi con nwiz.exe e nview.dll. che a occhio saran legati alla scheda video.

ripensandoci stavo meno a formatare :)

riecomi in sti giorni ho avuto casini da risolvere... e così avevo trascurato il pc. ecco i log delle 2 scansioni fatte con avira. ne ha fatto una ulteriore per controllare che con la prima avesse eliminato quanto trovato.

http://wikisend.com/download/466490/AVSCAN-20090307-213709-DF0298F9.LOG

http://wikisend.com/download/884038/AVSCAN-20090308-150443-37ACDE13.LOG

rimane il dubbio di cosa sia nascosto nella pennina. dalla scansione con avira vede 6 file non infetti. e anche guardando le proprietà risultano occupati 6 file per 1,4 GB. invece guardando il contenuto, anche con la visualizzazione dei file nascosti attiva, non risulata niente.
forse meglio formattarla, ma era per capire.

se il pc risulta pulito, dovrei vedere di ottimizzare un po in modo da velocizzare. e ripristinare l'audio e risolvere i problemi relativi ai messaggi che dicono che ci son problemi con nwiz.exe e nview.dll. che a occhio saran legati alla scheda video.

ripensandoci stavo meno a formatare :)

Il log è pulito, la pennina la puoi formattare, per quanto concerne i messaggi sono legati a Nvidia :)

ah perfetto. grazie. adesso vedo di sistemare un po di cose. devo assolutamente allegerirlo perchè con 256 mb di ram è un continuo swap. una vera sofferenza.
se hai consigli, son ben accetti.

scusate.ho anch'io questo problema con il pc e sto provando a seguire le vostre procedure ma quando eseguo elibagla mi dice che serve la licenza..... aspetto aiuto
grazie mille
michele

scusate.ho anch'io questo problema con il pc e sto provando a seguire le vostre procedure ma quando eseguo elibagla mi dice che serve la licenza..... aspetto aiuto
grazie mille
michele
ciao

clica su ok che la scansione la fa lo stesso ;)

Buongiorno: ieri mi sono preso questo virus e sto seguendo la procedura indicata.
Ho un dubbio : Ho eseguito Elibagle in modalità normale, (ora mi sono riconnesso a internet), adesso devo riavviare il pc e eseguire elibagle in modalità provvisoria, sempre che parta, oppure continuo la procedura e passo a combofix? Grazie
Scusate la mia ignranza ma quando dite di allegare il log intendete di mostrarvi il file infosat.txt creato da elibagle? Se si a che serve allegarlo?

Buongiorno: ieri mi sono preso questo virus e sto seguendo la procedura indicata.
Ho un dubbio : Ho eseguito Elibagle in modalità normale, (ora mi sono riconnesso a internet), adesso devo riavviare il pc e eseguire elibagle in modalità provvisoria, sempre che parta, oppure continuo la procedura e passo a combofix? Grazie
Scusate la mia ignranza ma quando dite di allegare il log intendete di mostrarvi il file infosat.txt creato da elibagle? Se si a che serve allegarlo?

Ciao e benenuto! Prima di procedere ti suggerisco di leggere attentamente tutta la Guida dove sono indicati chiaramente tutti i passagi da eseguire, per quanto concerne i log sono l'unico strumento che abbiamo per poterti dare i suggerimenti del caso

ok grazie chill-out.
Ecco il log.

La scansione con elibagla fatta ieri all'una di notte è stata fatta senza rimuovere il ripristino del sistema ( ne avevo fatta anche un'altra ancora prima), quella fatta stamattina è stata fatta seguendo la procedura cioè disconnesso da internet e avendo eliminato i punti di ripristino.

Adesso credo che riavvierò il pc in modalità provvisoria (incrociando le dita, spero che parta) e eseguo ancora una volta elibagla per poi riavviarlo in modalità normale e passare a combofix.

EDIT: Scusa ora leggo le regole.

@ leges123:
devi legegre le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) altrimenti ci metti in difficoltà a darti assistenza :)

Ecco il log su wikisend.
http://wikisend.com/download/887790/InfoSat.txt

Ecco il log su wikisend.
http://wikisend.com/download/887790/InfoSat.txt

Ripeti la scansione con EliBagla in modalità provvisoria, dopodichè procedi come indicato in Guida

Grazie ancora.
Sono di ritorno dalla modalità provvisoria ( e va tutto ok fin qui ), ho avviato combofix dopo averlo rinominato e stavolta ho un problema vero: mi dice che è stato rilevato un server attivo nel pc che è norton internet security 2006 e che entra in conflitto con combofix e ciò causa danni al computer, posso pure andare avanti lo stesso ma a mio rischio.
Non posso disattivare norton internet security perchè l' icona che stava sulla barra di windows è scomparsa a causa del virus e dall'icona del desktop mi dice che è un' applicazione non valida di win32 sempre a causa del bagle.
Il norton internet security è il realtime dei software di sicurezza citato nella guida? Come faccio a disabilitarlo? grazie.


Nella guida c'è scritto anche che combofix deve essere eseguito a macchina dedicata, ma non ho ben capito cosa vuol dire "dedicata".

Grazie ancora.
Sono di ritorno dalla modalità provvisoria ( e va tutto ok fin qui ), ho avviato combofix dopo averlo rinominato e stavolta ho un problema vero: mi dice che è stato rilevato un server attivo nel pc che è norton internet security 2006 e che entra in conflitto con combofix e ciò causa danni al computer, posso pure andare avanti lo stesso ma a mio rischio.
Non posso disattivare norton internet security perchè l' icona che stava sulla barra di windows è scomparsa a causa del virus e dall'icona del desktop mi dice che è un' applicazione non valida di win32 sempre a causa del bagle.
Il norton internet security è il realtime dei software di sicurezza citato nella guida? Come faccio a disabilitarlo? grazie.


Nella guida c'è scritto anche che combofix deve essere eseguito a macchina dedicata, ma non ho ben capito cosa vuol dire "dedicata".

Procedi pure idipendente dall'avviso, per macchina dedicato si intende che devi essere disconnesso da Internet, disabilitare gli altri ed eventuali software di sicurezza rimasti attivvi, lasciar lavorare Combo senza toccare il mouse.

Grazie.
Allego il log di combofix.
http://wikisend.com/download/535284/ComboFix.txt

Adesso passo allo step3: Malwarebytes' Anti-Malware

Lo avevo scaricato già ieri e gli avevo installato l'aggiornamento offline, va bene oppure lo devo riscaricare installargli l'aggiornamento online ?

Ah combofix non ha eliminato i file ma li ha messi in quarantena sotto una nuova cartella Quoobox e ha anche eliminato il log di elibagla.

scusate ma non so cosa sono i "dns impostati all'inizio della guida".



Aggiungo che quando combofix mi ha chiesto di attivare il ripristino ho cliccato su NO.

Grazie.
Allego il log di combofix.
http://wikisend.com/download/535284/ComboFix.txt

Adesso passo allo step3: Malwarebytes' Anti-Malware

Lo avevo scaricato già ieri e gli avevo installato l'aggiornamento offline, va bene oppure lo devo riscaricare installargli l'aggiornamento online ?

Ah combofix non ha eliminato i file ma li ha messi in quarantena sotto una nuova cartella Quoobox e ha anche eliminato il log di elibagla.

scusate ma non so cosa sono i "dns impostati all'inizio della guida".



Aggiungo che quando combofix mi ha chiesto di attivare il ripristino ho cliccato su NO.

Aggiornalo e fai scansione completa

i dns sono server che convertono i nomi digitati dall'utente in numeri per esempio quando digiti www.hwupgrade.it in realtà un server che viene contattato dal browser convertirà quelle parole in 151.1.244.2
i dns consigliati a inizio guida sono server speciali che, a difefrenza di quelli che ti assegna in automatico il tuo provider (altriemnti non navigheresti), filtrano la tua navigazione impedendoti di contattare siti che sono oggettivamente maligni (in alcuni casi vengono disabilitati anche erroneamente e temporaneamente alcuni siti leciti, di solito si risolve nel giro di qualche ora).

impostare questi serrver è importante perchè così puoi procedere con gli aggiornamenti online richiesti da malwarebytes senza incorrere nel rischio di rigenerare l'infezione.


nel log di combofix noto questa voce:
D:\Autorun.inf
l'unità D: è una chiavetta? se non lo fosse allora devi sapere che devi ripulire anche la chiavetta usb ;)

Aggiornalo e fai scansione completa

Ho appena finito la scansione con l'aggiornamento offline della guida precedente.
Nel frattempo invio il log di quest'ultimo, ha trovato solo 1 file infetto.
http://wikisend.com/download/566688/mbam-log-2009-03-17 (15-23-48).txt

Adesso riscarico il programma faccio l'aggiornamento online e rifaccio la scansione con Malwarebytes' Anti-Malware.

i dns sono server che convertono i nomi digitati dall'utente in numeri per esempio quando digiti www.hwupgrade.it in realtà un server che viene contattato dal browser convertirà quelle parole in 151.1.244.2
i dns consigliati a inizio guida sono server speciali che, a difefrenza di quelli che ti assegna in automatico il tuo provider (altriemnti non navigheresti), filtrano la tua navigazione impedendoti di contattare siti che sono oggettivamente maligni (in alcuni casi vengono disabilitati anche erroneamente e temporaneamente alcuni siti leciti, di solito si risolve nel giro di qualche ora).

impostare questi serrver è importante perchè così puoi procedere con gli aggiornamenti online richiesti da malwarebytes senza incorrere nel rischio di rigenerare l'infezione.


nel log di combofix noto questa voce:
D:\Autorun.inf
l'unità D: è una chiavetta? se non lo fosse allora devi sapere che devi ripulire anche la chiavetta usb ;)

ok grazie.
La chiavetta non ricordo se è E o F comunque non è D, il programma mi permette di ripulire solo C D ed E non F. Comunque non ho mai inserito la chiavetta da quando ho preso il virus.

ottimo trova una bella voce di registro da eliminare, ricordati di eliminarla quando finisce la scansione perchè da solo lui non fa nulla :)

ottimo trova una bella voce di registro da eliminare, ricordati di eliminarla quando finisce la scansione perchè da solo lui non fa nulla :)

Sì dopo che ha finito la scansione ho cliccato su elimina file infetto.

Quindi non c'è bisogno di rifare la scansione con gli aggiornamenti online, basta quella che ho già fatto con gli aggiornamenti offline?

Posso passare allo step successivo?

Poi ci sono un altro paio di cosette da fare ma attendiamo il log di MBAM con le definizioni aggiornate

sì sarebbe meglio che lo aggiornassi e farne una nuova scansione, tanto da non lasciare nulla al caso :)

Ho fatto la scansione con mbam aggiornato e ha trovato 1 solo file infetto che è sempre lo stesso di prima. Ho cliccato anche stavolta dal mbam su " rimuovi file selezionati", spero lo abbia rimosso. Il log purtroppo ho dimenticato di salvarlo.
La novità al riavvio del PC è che mi segnala che il computer potrebbe essere a rischio in quanto norton internet security potrebbe non essere aggiornato.

Ho avviato Prev CSI e mi trova 2 file infetti che possono essere rimossi solo con la licenza. Ecco l'immagine:

http://img16.imageshack.us/img16/8049/immagineprevxcsi.th.jpg (http://img16.imageshack.us/my.php?image=immagineprevxcsi.jpg)


Ancora però l' antivirus e l'antispyware non funzionano.
Se clicco su norton internet security mi dice sempre che è un' applicazione non valida di win32.

Che faccio adesso ?

Abbiamo l'esigenza di vedere i log, altrimenti non se ne viene a capo quindi:

Apri MBAM - File Tab di Log ed allega l'ultimo in ordine di tempo

Prevx CSI - Terminata la scansione clicca Tools - Salva file di log

Per quanto concerne il Norton è normale che non riparte in quanto compromesso, dal momento che si parla di Norton 2006 che è come non averlo prima disinstallalo da Pannello di controllo - Installazione applicazioni poi fai girare questo tool http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/it_docid/20050407160511924

Grazie chilly-out sono riuscito a trovare i log.
Log mbam
http://wikisend.com/download/477066/mbam-log-2009-03-17 (17-08-27).txt

Log prevx csi ( formato log )
http://wikisend.com/download/508806/logPrevxCSI.log


Se ho capito bene devo prima rimuovere dal pannello di controllo il norton internet security 2006 ( che non è tutto l'antivirus norton, giusto? );
Ho anche il superantispyware, rimuovo anche quest'ultimo?
Quindi dopo averli rimossi devo scaricare l'utilità di disinstallazione Norton appropriata per la versione di Windows in uso.
Io ho Windows XP media center edition e scarico la versione per windows XP.

Oppure scarico direttamente l'utilità di disinstallazione Norton appropriata per la versione di Windows in uso senza fare niente da pannello di controllo?

Come indicato, da Pannello di controllo - Installazione applicazioni dopodichè fai girare il Removal Tool, nell'eventualità di stampi un errore fai girare direttamente il Removal Tool

Stesso discorso per SAS se non funziona

Poi come anticipato ci sono altre cose da fare, come sistemare l'infezione che ha trovato Prevx e che avevo già visto nel log di Combo, appena posso/possiamo :stordita:

Come indicato, da Pannello di controllo - Installazione applicazioni dopodichè fai girare il Removal Tool, nell'eventualità di stampi un errore fai girare direttamente il Removal Tool

Stesso discorso per SAS se non funziona

Ok grazie ora provo prima con il SAS solo da pannello di controllo e poi con NortonInterntSecurity con entrambi.
Importante ho rifatto la scansione con il Prevx CSi e il numero di file infetti è aumentato fino a 14.
Questo è il nuovo log:
http://wikisend.com/download/578938/lognewprevcsi.log

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to move:
c:\programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe
c:\programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
c:\programmi\Hewlett-Packard\Default Settings\bak\cpqset.exe | c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe
c:\programmi\HP\HP Software Update\bak\HPWuSchd2.exe | :\programmi\HP\HP Software Update\HPWuSchd2.exe
c:\programmi\HP\QuickPlay\bak\QPService.exe | c:\programmi\HP\QuickPlay\QPService.exe
c:\programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | c:\programmi\Java\jre1.5.0_06\bin\jusched.exe
c:\programmi\Synaptics\SynTP\bak\SynTPEnh.exe | c:\programmi\Synaptics\SynTP\SynTPEnh.exe
c:\windows\ehome\bak\ehtray.exe | c:\windows\ehome\ehtray.exe
c:\windows\SMINST\bak\RecGuard.exe | c:\windows\SMINST\RecGuard.exe
c:\windows\system32\bak\hkcmd.exe | c:\windows\system32\hkcmd.exe
c:\windows\system32\bak\igfxpers.exe | c:\windows\system32\igfxpers.exe
c:\windows\system32\bak\igfxtray.exe | c:\windows\system32\igfxtray.exe

Registry keys to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D


clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx CSI

Ho disinstallato e reinstallato il SAS, è consigliabile fargli fare una scansione rapida per vedere se funziona bene?


Avenger appena ho preso bagle non funzionava, quando cliccavo sull'eseguibile scompattato si bloccava il PC. Spero che ora funzioni. Lo provo ugualmente ?


Posso ora riabilitare i puti di ripristino ? Lo chiedo visto che una volta dopo la scansione con SAS non mi funzionava il PC e ho dovuto riavviare da un punto di ripristino.

Ho disinstallato e reinstallato il SAS, è consigliabile fargli fare una scansione rapida per vedere se funziona bene?


Adesso provo prima Avenger , che però appena ho preso bagle non funzionava, quando cliccavo sull'eseguibile scompattato si bloccava il PC. Spero che ora funzioni.


Posso ora riabilitare i puti di ripristino ? Lo chiedo visto che una volta dopo la scansione con SAS non mi funzionava il PC e ho dovuto riavviare da un punto di ripristino.

Facciamo che mi fai una domanda per volta :D

- Hai provveduto a disinstallare il Norton?

- Inserisci in Avenger lo Script sopra indicato, ovviamente lo devi riscaricare in quanto compromesso

Ok scusa per le numerose domande.
Ancora non ho disinstallato Norton, vorrei provare prima avenger. Va bene se faccio così ?


EDIT: Sto provando Avenger, che adesso parte, dopo aver cliccato su execute e poi su confir execution segnala questo errore :
http://img12.imageshack.us/img12/1631/immaginepvp.th.png (http://img12.imageshack.us/my.php?image=immaginepvp.png)
Vado avanti comunque?

Ok scusa per le numerose domande.
Ancora non ho disinstallato Norton, vorrei provare prima avenger. Va bene se faccio così ?


EDIT: Sto provando Avenger, che adesso parte, dopo aver cliccato su execute e poi su confir execution segnala questo errore :
http://img12.imageshack.us/img12/1631/immaginepvp.th.png (http://img12.imageshack.us/my.php?image=immaginepvp.png)
Vado avanti comunque?

Errore mio inserisci questo Script

Files to move:
c:\programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe
c:\programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
c:\programmi\Hewlett-Packard\Default Settings\bak\cpqset.exe | c:\programmi\Hewlett-Packard\Default Settings\cpqset.exe
c:\programmi\HP\HP Software Update\bak\HPWuSchd2.exe | :\programmi\HP\HP Software Update\HPWuSchd2.exe
c:\programmi\HP\QuickPlay\bak\QPService.exe | c:\programmi\HP\QuickPlay\QPService.exe
c:\programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | c:\programmi\Java\jre1.5.0_06\bin\jusched.exe
c:\programmi\Synaptics\SynTP\bak\SynTPEnh.exe | c:\programmi\Synaptics\SynTP\SynTPEnh.exe
c:\windows\ehome\bak\ehtray.exe | c:\windows\ehome\ehtray.exe
c:\windows\SMINST\bak\RecGuard.exe | c:\windows\SMINST\RecGuard.exe
c:\windows\system32\bak\hkcmd.exe | c:\windows\system32\hkcmd.exe
c:\windows\system32\bak\igfxpers.exe | c:\windows\system32\igfxpers.exe
c:\windows\system32\bak\igfxtray.exe | c:\windows\system32\igfxtray.exe

OK grazie.
Nel frattempo ho disintallato Norton sia dal pannello di controllo, sia con il tool.
Adesso eseguo avenger e poi installo un nuovo antivirus free dato che il PC adesso non è per niente protetto.

OK grazie.
Nel frattempo ho disintallato Norton sia dal pannello di controllo, sia con il tool.
Adesso eseguo avenger e poi installo un nuovo antivirus free dato che il PC adesso non è per niente protetto.

Esatto, sarebbe stato il passo successivo l'AV da installare è Avira Antivir, qui http://www.hwupgrade.it/forum/showthread.php?t=1514684 trovi le info necessarie su dove scaricarlo, come installarlo e configuralo, dopodichè scansione completa e produci il log.

Prima di tutto questo è il link del log di avenger:
http://wikisend.com/download/209546/avengerlog.txt

Ho installato Avira Antivirus e durante la scansione sta trovando virus nella cartella system32 e sempre durante la scansione mi chiede se eliminarli, ignorarli o muovere in quarantena, cosa devo scegliere?
Siccome sono tanti dici di muoverli in quarantena?

Prima di tutto questo è il link del log di avenger:
http://wikisend.com/download/209546/avengerlog.txt

Ho installato Avira Antivirus e durante la scansione sta trovando virus nella cartella system32 e sempre durante la scansione mi chiede se eliminarli, ignorarli o muovere in quarantena, cosa devo scegliere?
Siccome sono tanti dici di muoverli in quarantena?

Non l'hai configurato come da Guida :mbe: in ogni caso sempre in quarantena.

Terminata la scansione con Avira inserisci in Avenger questo Script

Files to move:
c:\programmi\HP\HP Software Update\bak\HPWuSchd2.exe|c:\programmi\HP\HP Software Update\HPWuSchd2.exe

Ho inserito in Avenger lo Script e successivamente ho effettuato una scansiona completa con avira antivirus.
questo è il log di avira
http://wikisend.com/download/519990/AVIRASCAN-LOG.txt

Dopo ho fatto anche una scansione con Prevx CSI
questo è il log di prevx
http://wikisend.com/download/963280/LOG_PREV_CSI.log

Posso riabilitare adesso la funzione di ripristino del sistema o ancora è rischioso?

Ho inserito in Avenger lo Script e successivamente ho effettuato una scansiona completa con avira antivirus.
questo è il log di avira
http://wikisend.com/download/519990/AVIRASCAN-LOG.txt

Dopo ho fatto anche una scansione con Prevx CSI
questo è il log di prevx
http://wikisend.com/download/963280/LOG_PREV_CSI.log

Posso riabilitare adesso la funzione di ripristino del sistema o ancora è rischioso?

Il ripristino configurazione sistema è già riabilitato, lo si evince dal log di Avira

C:\System Volume Information\_restore{24E79716-F0B0-4755-B863-29B97FEC1C3C}\RP297\A0076985.exe
[DETECTION] Is the TR/Killav.oe Trojan

per quanto concerne il Bagle abbiamo terminato, ti suggerisco di leggere bene questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

NB: è molto probabile che tu abbia supporti removibili USB infetti, quindi collegali al PC tenendo premuto il tasto SHIFT (freccia in alto) onde evitare l'esecuzione in Autoplay, a questo punto puoi decidere se formattare o disinfettare scansionando in sequenza con i seguenti software:
Antivir
MBAM
A2
CureIt

Grazie mille per il prezioso aiuto.

Mi ritrovo su C una cartella chiamata Qoobox con dentro alcuni file in quarantena ,cosa devo farne? lascio la cartella o la cancello?
Inoltre è stata creata un'altra cartella chiamta Spoolerlogs con un file "Spooler.XML", cos'è, cosa ne faccio di questa?

Per quanto riguarda la pennetta USB non la ho mai inserita da quando sono stato infettato da Bagle, per caso è ancora rischioso inserirla?

Grazie mille per il prezioso aiuto.

Mi ritrovo su C una cartella chiamata Qoobox con dentro alcuni file in quarantena ,cosa devo farne? lascio la cartella o la cancello?
Inoltre è stata creata un'altra cartella chiamta Spoolerlogs con un file "Spooler.XML", cos'è, cosa ne faccio di questa?

Per quanto riguarda la pennetta USB non la ho mai inserita da quando sono stato infettato da Bagle, per caso è ancora rischioso inserirla?

Prego, per quanto concerne Qoobox come indicato in precedenza leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383, mentre la cartella Spoolerlogs c'è sempre stata in quanto relativa alla tua stampante.

E' pericoloso inserire la chiavetta per il Pc in quanto potrebbe essere infetta nel post precedente ti ho spiegato il da farsi

Salve a tutti...ho anch'io un problema con bagle...ho eseguito le procedure ma non riesco comunque ad aprire alcuni file.
Al momento sto provando con il Kaspersky Rescue Disk...
I log sono questi:

FxBeagle.log (http://www.fileqube.com/file/lXYCdct181462)

log_combofix.txt (http://www.fileqube.com/file/BDvneuVzr181463)

mbam-log-2009-03-18 (16-16-16).txt (http://www.fileqube.com/file/hxLiklmp181464)

Grazie a tutti

Salve a tutti...ho anch'io un problema con bagle...ho eseguito le procedure ma non riesco comunque ad aprire alcuni file.
Al momento sto provando con il Kaspersky Rescue Disk...
I log sono questi:

FxBeagle.log (http://www.fileqube.com/file/lXYCdct181462)

log_combofix.txt (http://www.fileqube.com/file/BDvneuVzr181463)

mbam-log-2009-03-18 (16-16-16).txt (http://www.fileqube.com/file/hxLiklmp181464)

Grazie a tutti

Ok attendiamo il respondo del Rescu Disk del Kaspersky ma il tuo problema non sembra il Bagle

whitewolf85 visto che hai il bagle, puoi fare una prova?
premi start->esegui e scrivi mrt.exe

mi dici se và? Rileva il bagle...


mrt.exe è un antimalware incorporato e già installato su tutti i pc...casomai lo aggiuniamo alla guida...

whitewolf85 visto che hai il bagle, puoi fare una prova?
premi start->esegui e scrivi mrt.exe

mi dici se và? Rileva il bagle...


mrt.exe è un antimalware incorporato e già installato su tutti i pc...casomai lo aggiuniamo alla guida...

Non si tratta del Bagle ed il Malware Removal Tool by Microsoft non ha mai rimosso nulla :)

Ora i vari spyware, malware, antivrus ecc non mi indicano più nulla...ma la connessione internet va per 5 secondi sì e poi smette...

ps: il bagle c'era ma ora è stato rimosso...è probabile che sia qualche suo rimasuglio?

Ora i vari spyware, malware, antivrus ecc non mi indicano più nulla...ma la connessione internet va per 5 secondi sì e poi smette...

ps: il bagle c'era ma ora è stato rimosso...è probabile che sia qualche suo rimasuglio?

Ribadisco nei log allegati non ce traccia del Bagle, se il tuo SO è XP

Se dovessero essere rimasti dei problemi con la connessione (solo per Win XP):
scarica XP TCP/IP Repair (http://www.xp-smoker.com/downloads/xptcprep.exe), avvia l'installazione e clicca su Reset TCP/IP, poi su su Repair Winsock, infine riavvia il pc.

Ribadisco nei log allegati non ce traccia del Bagle, se il tuo SO è XP

Ho provato con TCP repair, ma non funziona ancora...skype e filezilla funzionano...ma appena lavoro online non si connette alle pagine (ping e tracert funzionano)...

Mi correggo e chiedo scusa...ora funziona anche internet...una scansione successiva di spybot mi ha rivelato ancora il bagle e l'ha rimosso...ora funziona tutto. Grazie ancora


edit: mi ri-correggo :( la rete va per qualche minuto...poi magicamente non carica più le pagine e devo riavviare...

scusate x la domanda stupida ma qualcuno può passarmi il file d'installazione del bagle (beagle)?
O darmi il link così lo scarico dal cell?

Vorrei poi analizzarlo...

ragazzi non riesco a scaricare elibagla , mi dice che non è freeware
come posso fare?
grazie mille
allego il log di prevx



http://wikisend.com/download/455438/PrevxCsi.log

Hai il bagle segui passo passo la Guida in prima pagina

sto seguendo la guida, elibagla non trova niente (mi dice impossibile accedere a c/win/../cardspace 8210), nemmeno in provvisoria
combofix non si apre dice : non è un applicazione win32 valida.

Quando sono ritornato a xp normale dalla modalità provvisoria mi è uscita questa schermata

http://wikisend.com/download/454298/bo.JPG

mi sa che è quella m***a che ho sbagliato a scaricare:muro: :muro:

sto seguendo la guida, elibagla non trova niente (mi dice impossibile accedere a c/win/../cardspace 8210), nemmeno in provvisoria
combofix non si apre dice : non è un applicazione win32 valida.

Quando sono ritornato a xp normale dalla modalità provvisoria mi è uscita questa schermata

http://wikisend.com/download/454298/bo.JPG

mi sa che è quella m***a che ho sbagliato a scaricare:muro: :muro:

ciao

hai provato a rinominare combofix direttamente durante il download oppure a portarlo sul pc già rinominato?

sono riuscito a far partire combofix :) , poi posto tutti log
domai prob

ecco i log,solo prev mi trova il virus:

http://wikisend.com/download/453150/ComboFix.txt

http://wikisend.com/download/606264/mbam-log-2009-03-23 (09-32-07).txt



http://wikisend.com/download/551908/prevx.log

ecco i log,solo prev mi trova il virus:

http://wikisend.com/download/453150/ComboFix.txt

http://wikisend.com/download/606264/mbam-log-2009-03-23 (09-32-07).txt



http://wikisend.com/download/551908/prevx.log

prova a cancellare manualmente i file segnalati da prevx
c:\documents and settings\administrator\desktop\sys30543.exe
c:\programmi\babylon\babylon-pro\babylon.exe
c:\documents and settings\administrator\desktop\beagled.exe

ho cancellato manualmente ora prevx non trova + niente ed il pc va normalmente ,hijackthis mi dava ancora errore poi reinstallato e ora va,faccio lo stesso con avir

:muro:
chi mi puo'aiutare?

:muro:
chi mi puo'aiutare?

ciao

segui la guida del primo post e carica i log di controllo richiesti secondo le regole di sezione

questo bagle non mi fà connettere in nessun modo ad internet:mad:

questo bagle non mi fà connettere in nessun modo ad internet:mad:

non hai la possibilità di portare i tool necessari sul pc infetto con una chiavetta

Ho eseguito la guida inserita nel primo post e i log alla fine sono questi
http://wikisend.com/download/754862/ComboFix.txt
http://wikisend.com/download/758954/InfoSat.txt
http://wikisend.com/download/538020/prevx.log
http://wikisend.com/download/532134/mbam-log-2009-03-24 (11-33-16).txt
Ora che devo fare?

Ho eseguito la guida inserita nel primo post e i log alla fine sono questi
http://wikisend.com/download/754862/ComboFix.txt
http://wikisend.com/download/758954/InfoSat.txt
http://wikisend.com/download/538020/prevx.log
http://wikisend.com/download/532134/mbam-log-2009-03-24 (11-33-16).txt
Ora che devo fare?

ciao


Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


File::
c:\luk1ylq.com
c:\xdw.com
c:\cb.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0108c4d5-5246-11dc-a152-000c6eb878d9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ade21f9-f93f-11dd-9466-000c6eb878d9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ade21fa-f93f-11dd-9466-000c6eb878d9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d4e896-f9b5-11dd-9467-000c6eb878d9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d4e8a2-f9b5-11dd-9467-000c6eb878d9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1f10236-de92-11d9-9a79-000c6eb878d9}]




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


poi nuova scansione con prevx e scansione completa con avast (anche se noi preferiremmo antivir)

Ho eseguito la guida inserita nel primo post e i log alla fine sono questi
Ora che devo fare?

ciao
poi nuova scansione con prevx e scansione completa con avast (anche se noi preferiremmo antivir)

A parte il Rootkit dov'è il Bagle?

A parte il Rootkit dov'è il Bagle?
se non ci fosse stato nulla avrei rediretto in questo caso vedi tu :)

se non ci fosse stato nulla avrei rediretto in questo caso vedi tu :)

Vedo che c'è un Trojan suggerirei almeno un'altro paio di scansioni di controllo :)

me l'ero preso pure io....ma grazie a voi :D gli ho fatto cosi :Prrr:

purtoppo i log me li ha cancellati :rolleyes:

preso dal log di combofix

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\dd\Dati applicazioni\drivers\downld
C:\InfoSat.txt
C:\Muestras
c:\muestras\WINUPGRO.EXE.Muestra EliBagle v12.38
c:\programmi\Messenger\msmsgs.exe
c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))


perchè mi ha "eliminato" messenger e nokia pc suite? però oggi msn và....strano:confused:

ho pigliato bagle, ora sto provando con elibagla, ma non si avvia, appare la schermata e poi si blocca.?

me l'ero preso pure io....ma grazie a voi :D gli ho fatto cosi :Prrr:

purtoppo i log me li ha cancellati :rolleyes:

preso dal log di combofix




perchè mi ha "eliminato" messenger e nokia pc suite? però oggi msn và....strano:confused:

ciao

forse i file da te citati sono stati trovati corrotti da un altra infezione o forse sono stati cancellati per errore, ma non mi era mai capitato di vederlo prima

msn ti va perchè hai installato la versione live o altro ;)

ho pigliato bagle, ora sto provando con elibagla, ma non si avvia, appare la schermata e poi si blocca.?

ciao

prova con combo

ciao

prova con combo

mi da non è applicazione win32 valida !:muro:

mi da non è applicazione win32 valida !:muro:

rinominalo durante il download o portalo sul pc con una chiavetta che lascerai collegata durante la scansione

rinominalo durante il download o portalo sul pc con una chiavetta che lascerai collegata durante la scansione

ma se faccio un backup dell'hd, come faccio, cioè posso trasferire il contenuto dell'hd su uno di rete o su uno usb o rischi di trasferire pure bagle ?

ma se faccio un backup dell'hd, come faccio, cioè posso trasferire il contenuto dell'hd su uno di rete o su uno usb o rischi di trasferire pure bagle ?

se copi solo alcuni file no, se cloni il disco ovviamente si

non ho clonato nulla, comunque ora " pare " che vada, ho fatto la scansione con eglibagla, e mab, e mi ha trovato un po di roba, ora ho riavviato e ho rifatto la scansione con eglibla e mab e non mi ha trovato nulla, adesso faccio con hijackthis e vediamo, però quando ho riavviato in esecuzione automatica mi è comparso un file sospetto desktop.ini ?

non ho clonato nulla, comunque ora " pare " che vada, ho fatto la scansione con eglibagla, e mab, e mi ha trovato un po di roba, ora ho riavviato e ho rifatto la scansione con eglibla e mab e non mi ha trovato nulla, adesso faccio con hijackthis e vediamo, però quando ho riavviato in esecuzione automatica mi è comparso un file sospetto desktop.ini ?

dobbiamo vedere i log per capire
desktop.ini non è nulla di sospetto

dobbiamo vedere i log per capire
desktop.ini non è nulla di sospetto

hijack log



http://rapidshare.de/files/46389455/Nuovo_Documento_di_testo.txt.html

x Scalor

i log caricati secondo le regole di sezione, grazie ;)

Quando vado qui: http://www.zonavirus.com/datos/descargas/95/elibagla.asp per scaricare l'elibagla, non trovo il link per il download... qualcuno può inviarmelo?

Quando vado qui: http://www.zonavirus.com/datos/descargas/95/elibagla.asp per scaricare l'elibagla, non trovo il link per il download... qualcuno può inviarmelo?

ciao

da problemi anche a me, procedi con il punto successivo

allego i log delle mie scansioni, ma premetto che quello di mbam è la scansione rapida, l'unica che sono riuscita a fare...
ci sono delle cartelle che non riesce a scansionare....

http://freefilehosting.net/download/46d11
http://freefilehosting.net/download/46d12
http://freefilehosting.net/download/46d14
http://freefilehosting.net/download/46d15

allego i log delle mie scansioni, ma premetto che quello di mbam è la scansione rapida, l'unica che sono riuscita a fare...
ci sono delle cartelle che non riesce a scansionare....

http://freefilehosting.net/download/46d11
http://freefilehosting.net/download/46d12
http://freefilehosting.net/download/46d14
http://freefilehosting.net/download/46d15

il tuo problema non era bagle, se riscontri altri problemi fatti riaprire un 3d che andiamo avanti in quello

Salve ragazzi sono nuovo di questo forum. Qualche giorno fà ho per sbaglio scaricato un programmino da emule con dentro sto odiatissimo virus BAGLE!!!da quel momento il mio pc è come impazzito. Stasera mi sono deciso di stampare la vostra guida per cercare di eliminare l'ospite indesiderato. Tutto è andato ok fino al punto in cui bisogna far analizzare il pc con Elibagla, infatti dopo aver aperto il programma questo si chiude automaticamente da solo dopo pochi secondi, sia che avvio la scansione sia no. Allora ho provato a riavviare il pc e prima della schermata del desktop mi è tornato fuori il programma (elibagla) e ho provato a farlo rifunzionare, solo ke il programmino questa volta si blocca prima della partenza della scansione. Come faccio????Aiutatemi!!!

Salve ragazzi sono nuovo di questo forum. Qualche giorno fà ho per sbaglio scaricato un programmino da emule con dentro sto odiatissimo virus BAGLE!!!da quel momento il mio pc è come impazzito. Stasera mi sono deciso di stampare la vostra guida per cercare di eliminare l'ospite indesiderato. Tutto è andato ok fino al punto in cui bisogna far analizzare il pc con Elibagla, infatti dopo aver aperto il programma questo si chiude automaticamente da solo dopo pochi secondi, sia che avvio la scansione sia no. Allora ho provato a riavviare il pc e prima della schermata del desktop mi è tornato fuori il programma (elibagla) e ho provato a farlo rifunzionare, solo ke il programmino questa volta si blocca prima della partenza della scansione. Come faccio????Aiutatemi!!!

Ciao e benvenuto, passa al Punto successivo ;)

Ciao e benvenuto, passa al Punto successivo ;)

ok provo:)

Ciao e benvenuto, passa al Punto successivo ;)

non riesco a far funzionare nemmeno combofix!!!mi dice ke è un applicazione win32 nn valida.

non riesco a far funzionare nemmeno combofix!!!mi dice ke è un applicazione win32 nn valida.

L'hai rinominato ?

L'hai rinominato ?

io appena firefox l'ha scaricato sul kesktop ho cambiato da "combofix" a "prova".Ho sbagliato?:confused:

io appena firefox l'ha scaricato sul kesktop ho cambiato da "combofix" a "prova".Ho sbagliato?:confused:

No, passa a MBAB se non dovesse funzionare bisogna necessariamente intervenire con 1 dei 2 Rescue Disk

No, passa a MBAB se non dovesse funzionare bisogna necessariamente intervenire con 1 dei 2 Rescue Disk

scusa l'ignoranza...cos'è MBAB?

scusa l'ignoranza...cos'è MBAB?

Malwarebytes Anti-Malware ed in successione Prevx CSI ;)

io appena firefox l'ha scaricato sul kesktop ho cambiato da "combofix" a "prova".Ho sbagliato?:confused:

devi rinominarlo prima di averlo già scaricato oppure portarlo con una chiavetta, già rinominato e lasciare inserita la chiavetta per la disinfezione perchè potrebbe venire infettata

devi rinominarlo prima di averlo già scaricato

Cosa cambia?

Cosa cambia?

se rinominato prima del download, mi sembra riesca a non essere corrotto