Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione

[hinojky]

per hwupgrade sto usando FF. Per lo scan ho usato IE. Comunque sto provando con Panda e la scansione sta procedendo.
Per BugsBunny: gmer l'ho fatto girare e non mi da nessuna riga in rosso.
Appena finisco lo scan online faccio girare anche HiJackThis e posto il log.

[Chill-Out]

Quote:

Originariamente inviato da hinojky

per hwupgrade sto usando FF. Per lo scan ho usato IE. Comunque sto provando con Panda e la scansione sta procedendo.
Per BugsBunny: gmer l'ho fatto girare e non mi da nessuna riga in rosso.
Appena finisco lo scan online faccio girare anche HiJackThis e posto il log.

in ogni caso serve il log della scansione online

[hinojky]

Appena Panda finisce vedo se genera il log e lo posto. Ho però l'impressione che sarà una cosa lunghetta... sono a quasi 200k file e la barra sarà si e no al 15%!!!
Comunque sia tu che bunny fatemi avere un indirizzo che una cassa di birre a testa non ve la toglie nessuno!!!!! E' da stamattina che mi state dietro!

edit: a quota 250k file panda mi ha trovato un file infetto. Trattasi di "strumenti di hacking e rootkit". A breve nuovi sviluppi

[hinojky]

La situazione peggiora... A quota 600k file gli infetti ora sono 3. Tutti nella stessa categoria... Ad occhio i file da analizzare saranno poco meno di 2M.

[hinojky]

Scansione Completata!
Il log in allegato. Mi stavo preoccupando invece mi sa che è tutto ok. Aspetto comunque una vostra conferma

[Chill-Out]

infatti nulla di preoccupante, log di HJT per favore.

[hinojky]

ti ho scritto un msg privato... puoi dargli un'occhiata?

[Chill-Out]

Quote:

Originariamente inviato da hinojky

ti ho scritto un msg privato... puoi dargli un'occhiata?

risposto

[hinojky]

Ecco il log di hijack.

[Nuz]

Edit...Ad evitare che altri perdano tempo sul log di hinojky, c'è da sapere che è già stato fatto da Chill-Out in privato per motivi di privacy.

[Dreamer4135]

posto qui, giusto?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.14.02, on 22/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodtray.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\md\amd.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\MANUEL~1\IMPOST~1\Temp\Rar$EX00.234\PAVARK.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD2835C-A644-490A-9223-D50ED8419717}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

[Gulliver_69]

Quote:

Originariamente inviato da xcdegasp

Per quanto riguarda Acrobatreader io ti consiglio di disinstallarlo in favore del potente e gratuito FoxitReader

Wow, non sapevo di questo tool... Già scaricato, appena mi libero di Bagle lo provo
Ieri sera ho scaricato da emule un file: immaginavo fosse un virus ma, visto ke Ad-Aware e NOD32 non avevano rilevato nulla, ho deciso di lanciarlo ugualmente... Quando ho riavviato il PC, ho notato che erano stati cancellati sia NOD32 che Spybot (Ad-Aware non è stato toccato e non so perchè). Chiaramente la modalità provvisoria (che di solito uso sempre in caso di malware) ha dato una BSOD ma sono riuscito a far partire il computer tramite MS-Dos (ho preferito questa procedura solo per eccessiva prudenza, visto che sotto DOS i files non hanno nessuna protezione) e, utilizzando NTFSPRO per accedere alla partizione NTFS, ho cancellato Hidr.exe dalla cartella system32 oltre al file scaricato da emule... Naturalmente ora procederò alla completa pulitura del sistema.
Però vi posto una info che non ho visto postata da nessuno: il file che avevo scaricato era lungo 501564 bytes, con data di luglio 2006 (se non ricordo male): prima di riavviare il computer avevo effettuato una ricerca tramite la funzione avanzata di SEARCH di Total Commander (non uso mai quella di Windows) e ho trovato che Googletoolbarnotifier.exe era stato sostituìto dal malware bastardo, avendo stessa data e lunghezza...
Quindi, fate attenzione perchè mi sembra di aver capito che l'infezione crea un suo backup sostituendosi a qualcosa che avete installato sul computer... Potrebbe accadere che tra qualche tempo, senza rendervene conto, veniate di nuovo infettati.

[mabocrack]

Quote:

Originariamente inviato da lancetta

naturalmente si perchè il bagle ti ha danneggiato i file del soft

credo di averlo preso pure io, e non mi funziona piu internet in LAN da questo pc, in piu mi ha cancellato i file seguibili di zone alarm e se le rimitteo dentro pure dalla chiavetta usb me li cancella

ciao

[Chill-Out]

Quote:

Originariamente inviato da mabocrack

credo di averlo preso pure io, e non mi funziona piu internet in LAN da questo pc, in piu mi ha cancellato i file seguibili di zone alarm e se le rimitteo dentro pure dalla chiavetta usb me li cancella

ciao

segui la guida

[Gulliver_69]

Quote:

Originariamente inviato da Chill-Out

segui la guida

Ciao Chill, scusa se ti disturbo: ma tutto quel bordello di istruzioni che si trova nella guida è NECESSARIO? Mi spiego meglio: visto che di solito (tranne ieri notte, eheheh...) sono prudente e molto attento a cosa scarico o dove navigo, sono anche sicuro che il mio XP è pulito (a parte bagle). Ora, per non perdere tutto il pomeriggio a fare scansioni inutili, nel mio caso è sufficiente cancellare i files con EliBaglA1073 e poi pulire il registro oppure DEVO ESEGUIRE tutte le operazioni della guida per eliminare questo fottuto bagle?!?
Ti ringrazio fin da ora per l'eventuale risposta

[Chill-Out]

Secondo te la guida l'abbiamo redatta perchè non sappiamo come passare il tempo in mezzo a questo mare di utenti infetti, certo che devi eseguire tutta la procedura, ciao.

[mabocrack]

scusate la mia ignoranza in questo campo, ma se questo bigul m ha tolto la connessione come faccio a fare la scansione online? altra cosa Karspersky mi dice di disinstallare avast ma non essendoci gli exe ovviamente si blocca, come mi devo comportare?

saluti

[mabocrack]

Ciao a tutti!

Ho eseguito la guida, spero di aver sistemato tutto.

Ho installato Kpersky 7.0.0.125 , è molto carino, ma funziona anche da firewall? Mi ha disinstallato Zone Alarm. Devo affiancare Outpost o non ne vale la pena? Questo è un pc in DMZ sempre connesso, quindi abbastanza esposto e ci gira emule 24h al giorno 7 giorni su 7 , praticamente riavvio una volta ogni 2/3 settimane.

Vi lascio alcuni log , se gentilmente me li controllaste

E hijackthis :

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.21.35, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FlashFXP\flashfxp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Program Files\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?8c0dbc5f687f4a76bae1c1977e972fc3
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Program Files\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?8c0dbc5f687f4a76bae1c1977e972fc3
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B56D70AA-BFEB-46E0-848F-393B7AAE808D}: NameServer = 151.99.125.1,151.99.0.100
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 7885 bytes

Grazie a tutti

[kayra]

salve a tutti.
credo di avere il computer infettato da bagle...il mio pc ha windows vista, ho fatto la scansione con Elibagla e mi ha confermato che il bagle era in un file zip scaricato da Emule.
ecco il link del mio file InfoSat.txt

infosat.txt - 0.00MB

aspetto impaziente vostre notizie!

grazie!

[Bugs Bunny]

pulita