un nuovo bagle^?

[windandfreedom]

in accensione si apre la cartella documenti e ora anche kaspersky.
in questo pc mi sono gia salvato da un bagle(spariti anti virus)usando vostra procedura e sucessivamente da un gromozon)con prevx csi.
altre anomalie che riscontro adesso sono
avenger non siapre
c cleaner neppure
non mi fa entrare in alcuni siti compreso il vostro)scrivo da altro pc)
se clicco avenger in ricerca mi disconnette
qualcuno mi sa dire se e' un nuovo bagle e come eliminarlo
Grazie

[xcdegasp]

segui questa semplice guida: http://www.hwupgrade.it/forum/showthread.php?t=1562611

questo lo chiudo perevitare doppioni

[xcdegasp]

forse hai altre cose nel pc, segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[windandfreedom]

Codice:

Malwarebytes' Anti-Malware 1.24
Versione del database: 1038
Windows 5.1.2600 Service Pack 3

21.04.53 10/08/2008
mbam-log-8-10-2008 (21-04-01).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 159769
Tempo trascorso: 41 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

fsecure

Scanning Report
Monday, August 11, 2008 08:11:09 - 10:06:04
Computer name: PCMACO001 
Scanning type: Scan system for malware, rootkits 
Target: C:\ D:\ 


--------------------------------------------------------------------------------

Result: 2 malware found
RemoteAdmin.Win32.WinVNC (spyware) 
System 
Tracking Cookie (spyware) 
System 

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 87208 
System: 6307 
Not scanned: 10 
Actions:
Disinfected: 0 
Renamed: 0 
Deleted: 0 
None: 2 
Submitted: 0 
Files not scanned:
C:\PAGEFILE.SYS 
C:\HIBERFIL.SYS 
C:\WINDOWS\TEMP\SQLITE_DHFHMKII2A9UPJI 
C:\WINDOWS\SYSTEM32\CSRRNNKN.EXE 
C:\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS 
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY 
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE 
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM 
C:\WINDOWS\SYSTEM32\CONFIG\SAM 

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0 
F-Secure Hydra: 2.8.8110, 2008-08-10 
F-Secure AVP: 7.0.171, 2008-08-11 
F-Secure Pegasus: 1.20.0, 2008-04-15 
F-Secure Blacklight: 1.0.68 
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR 
Use Advanced heuristics

[Chill-Out]

I log vanno allegati secondo le Regole di sezione grazie per la collaborazione

[windandfreedom]

http://www.fileqube.com/shared/CWtueoR79285
http://www.fileqube.com/shared/aGuWwuWR79286
http://www.fileqube.com/shared/uiuhdRdA79287
http://www.fileqube.com/shared/lFDMlouL79289
http://www.fileqube.com/shared/lodggdVZn79290
http://www.fileqube.com/shared/MhRNZcQ79292
http://www.fileqube.com/shared/kOiquTsz79293

vi ringrazio fin da ora per le risposte

[xcdegasp]

rifai la scansione con malwarebytes dando poi l'azione da eseguire "esempio elimina", hai pubblicato il link ad un file "asq.dat" che non si sa cosa sia, manca il log di dr.web cureit...
magari rifalle entrambe (malwarebytes e a-squared) così vediamo se trovano altro

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\maco001\Impostazioni locali\Temporary Internet Files\Content.IE5\8JAFAAOW\EE9F3B2[1].exe" -scan
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

manca il log di kaspersky-tool e la scansione con f-secure l'hai fatta dopo il log di hijackthis... forse è il caso che segui alla lettera le cose scritte visto che ho scritto un avvertimento chiaro nel mantenere l'ordine d'esecuzione, il tutto perchè ha un motivo be preciso!

[windandfreedom]

ciao
asq.dat e quello che mi da a a square che comunque ho postato anche con un jpeg incollandolo
l'altro che devo rifare lo riposto ma era chiaro
http://www.fileqube.com/shared/xFbfHUaaV79304

[windandfreedom]

a square non mi fa salvare se non quel file dat.... ho usato lo strtatagemma dell'immagine
malware la sto rifacendo in ogni caso

[windandfreedom]

Quote:

Originariamente inviato da xcdegasp

rifai la scansione con malwarebytes dando poi l'azione da eseguire "esempio elimina", hai pubblicato il link ad un file "asq.dat" che non si sa cosa sia, manca il log di dr.web cureit...
magari rifalle entrambe (malwarebytes e a-squared) così vediamo se trovano altro

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\maco001\Impostazioni locali\Temporary Internet Files\Content.IE5\8JAFAAOW\EE9F3B2[1].exe" -scan
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

manca il log di kaspersky-tool e la scansione con f-secure l'hai fatta dopo il log di hijackthis... forse è il caso che segui alla lettera le cose scritte visto che ho scritto un avvertimento chiaro nel mantenere l'ordine d'esecuzione, il tutto perchè ha un motivo be preciso!

immagino
guarda che e fatto tutto nellordine preciso

[windandfreedom]

ricapitolo..
ho seguito l'ordine preciso
malware avevo elimiato e postato come da guida )la sto rifacendo
a square non mi da il file da salvare )vedi immagine jpeg
poi fatto f secure
poi dr web)non ha trovato nulla
poi inspector
poi gmer
hjack
e prev csi non ha trovato nulla )ti ho inviato ultimi virus trovati)
appena rifa malware faccio e rimetto anche l'ultimo hjack

[windandfreedom]

http://www.fileqube.com/shared/FeDarIAT79316 malaware
http://www.fileqube.com/shared/hQLuLHVbs79317 hjackh dopo aver fixato

[xcdegasp]

io non vorrei apparire pedante ma nei log che hai pubblicato di HijackThis ci sono inequivocabili tracce di kaspersky-tool in esecuzione e mi attendevo anche delle tracce dello scaner online di f-secure..

fixa:

Codice:

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

puoi rifarmi una scansione con dr.web cureit, una con kaspersky-tool e una con prevxcsi?

[windandfreedom]

scherzi non penso tu sia pedante.
all'apertura del pc si aprono la finestra documenti due di blocco note e kaspersky tool)che sia per quello che lo vedi?
io sono stato attento a fare in ordine cio che chiedi.
peralro nella guida non viene neanche chiesto kaspersky.
se devo rifare qualcosa dimmi pure

[xcdegasp]

kaspersky-tool è sostitutivo di f-secure nella guida mavisto che lo possiedi perchè non farne una anche con quello?
ok

[windandfreedom]

posso rifarle.
dr curei ha fatto scansione per 3 ore ...nulla
kaspersky riprovo
e anche prevx csi )lo ho installato e non trova nulla .
se vuoi o ser aiuta ho l'immagine di quando avenger ha trovato 17 virus in un giorno..
le varie anomali avenger c cleaner e anche alcuni siti come il vostro che vanno in vìcrash persistono

[xcdegasp]

dr web puoi fare a meno a sto punto ma degli altri servono i log!

[windandfreedom]

ok.. se vuoi ho anche panda.. on line ma non ha trovato nulla fatta stasera allego... http://www.fileqube.com/shared/rjRzdDyz79346

[windandfreedom]

se aiuta.. tempo fa ho avuto unn bagle risolto con la vostra guida...
poi un altroio credo fosse un gromozon mi impediva egualmente di andare su pagine di aiuto.. poi ho acquistato prevx sembrava fosse l'unico assieme a symantec a vederlo e in effetti aveva risolto..a fine mese alla consueta scansione avg ha trovato 17 virus e prev 3 da li ha ricominciato adaver il problema delle cartellle che si aprono e deoi crash quando cerchi soluzioni per debellarlo.
sinceramente mi ricorda piu gli edffetti del gromozon che del bagle... ma parlo solo per darvi delle impressioni

[Chill-Out]

Quote:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> Quarantined and deleted successfully.

Gromozon

Serve come già detto una scansione con Prevx CSI per salvare il log procedi così: terminata la scansione per ottenere il log cliccare su Options - Save a Log File

Scansione con Kaspersky Removal Tool

Successivamente fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Allega tutti e 3 i log