www.MegaLab.it

[Amantide]

Direi che è andata benissimo Questo nuovo tool di rimozione di Bagle, FindyKill, si è rivelato molto efficace
Per sicurezza rifai la scansione con Malwarebytes e vedi se trova ancora qualcosa.

[paulinho]

Complimenti ho ripassato con malwarebytes non ha trovato nessun malware.Ho reinstallato antivrus sembra tutto a posto.Grazie

[Amantide]

Ottimo

[cyberdado]

aiutatemi!!! vi prego

KASPERSKY ONLINE SCANNER 7 REPORT
Friday, October 31, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Thursday, October 30, 2008 13:58:11
Records in database: 1360858
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Scan statistics
Files scanned 193425
Threat name 10
Infected objects 22
Suspicious objects 0
Duration of the scan 07:57:33

File name Threat name Threats count
C:\Documents and Settings\Dado\Documenti\Download\HaPPy-EaGLeS\HaPPy-EaGLeS\HaPPy-EaGLeS\Happy-eagles script\mIRC.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.632 1
C:\Documents and Settings\Dado\Documenti\Download\HaPPy-EaGLeS.zip Infected: not-a-virus:Client-IRC.Win32.mIRC.632 1
C:\Documents and Settings\Dado\Documenti\Download\puazzo.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1
C:\Documents and Settings\Dado\Documenti\Download\puazzo.exe Infected: not-a-virus:NetTool.Win32.Scan.12 1
C:\Documents and Settings\Dado\Impostazioni locali\Temp\NERO14411\Toolbar.exe Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1
C:\PuAzZo\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1
C:\PuAzZo\Progs\PortScan.exe Infected: not-a-virus:NetTool.Win32.Scan.12 1
D:\Documents and Settings\Milena\Dati applicazioni\Sun\Java\Deployment\cache\6.0\15\20f80fcf-7eb07e00 Infected: Trojan-Downloader.Java.OpenConnection.aq 1
D:\Documents and Settings\Milena\Dati applicazioni\Sun\Java\Deployment\cache\6.0\54\2d0d07b6-6edc5006 Infected: Trojan-Downloader.Java.OpenConnection.aq 1
D:\Documents and Settings\Milena\Dati applicazioni\Sun\Java\Deployment\cache\6.0\58\6478a13a-460da271 Infected: Trojan-Downloader.Java.OpenConnection.aq 1
D:\Documents and Settings\Milena\Impostazioni locali\Temp\NERO14411\Toolbar.exe Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1
D:\Programmi\MessengerSkinner\MessengerSkinner.exe Infected: not-a-virus:AdWare.Win32.BHO.cyx 1
D:\Programmi\MessengerSkinner\MessengerSkinnerDll.dll Infected: not-a-virus:AdWare.Win32.NaviPromo.ec 1
D:\Programmi\MessengerSkinner\uninst.exe Infected: not-a-virus:AdWare.Win32.Agent.few 1
D:\Programmi\Picasa2\PicasaMediaDetector.exe Infected: Trojan-Downloader.Win32.Bagle.aeu 1
D:\RECYCLER\S-1-5-21-1960408961-1972579041-682003330-1003\Dc22.zip Infected: Trojan-Downloader.Win32.Bagle.aeu 1
D:\WINDOWS\system32\drivers\winfilse.exe Infected: Trojan-Downloader.Win32.Bagle.aeu 1
L:\Dado\Documenti\download\installer-70245-34it-YouTube-Downloader-Italian.exe Infected: not-a-virus:AdWare.Win32.FakeInstaller.a 1
L:\Dado\Documenti\software\HaPPy-EaGLeS\HaPPy-EaGLeS\HaPPy-EaGLeS\Happy-eagles script\mIRC.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.632 1
L:\Dado\Documenti\software\puazzo.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1
L:\Dado\Documenti\software\puazzo.exe Infected: not-a-virus:NetTool.Win32.Scan.12 1
L:\Dado\Documenti\software\[App - ITA] - Nero Ultra Edition 8.2.8.0 + Plug-ins + Serial [Test OK]\[NERO 8] - Nero Burning Rom 8.2.8.0 + Serial\Nero-8.2.8.0_ita_trial.exe Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1
The selected area was scanned.

[Amantide]

Scarica FindyKill ed installalo (è in francese però è di facile comprensione).
Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione ed il riavvio e posta qui il log che trovi in C:\FindyKill.txt

[kiai969]

ciao sono nuovissimo, anche io non riesco a installare nessun antivirus, ho utilizzatofindykill, ma niente, ecco il log report.txt . ho provato a installare avira free in modalità provvisoria, ma si è bloccato scrivendo :CRC failed in basic\mfc71u.dll
the file"???"header is corrupt

[Amantide]

Ciao e benvenuto
Il log che hai postato è quello di Systemscan e non di FindyKill

Scarica ComboFix con un nome di fantasia, per esempio Combofixy.exe o Pincopallino.exe ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG.

[enzo83]

ciao a tutti sono nuovo....auguri di buon anno cm prima cosa, sto impazzendo con bagle... mi ha rovinato le feste:) nn riesco a cancellarlo definitivamente.....adesso uso findykill, poi?

[Amantide]

adesso uso findykill, poi?

Intanto usa Findykill e posta qui il suo log

[enzo83]

mio fratello in qualche modo pare abbia risolto...avira ad esempio funziona e tutto il resto...ora finisco lo scan con malwarebytes e posto il log...comunque prima avira aveva trovato e poi li ho deletati 2 virus trojan bagle....comunque ripeto vi posto fra poco il log e mi dite, nn vorrei che al riavvio sia punto e a capo, e poi 1 altra cosa la connessione a internet va lenta x aprire una pagina ci mette un po'...che fare????
scusate lo spoloquio:)

[enzo83]

Malwarebytes' Anti-Malware 1.31
Versione del database: 1456
Windows 5.1.2600 Service Pack 3

02/01/2009 22.59.21
mbam-log-2009-01-02 (22-59-21).txt

Tipo di scansione: Scansione completa (C:\|E:\|G:\|)
Elementi scansionati: 193306
Tempo trascorso: 29 minute(s), 40 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)



nn ha trovato nulla...però la connessione resta lenta...

[Amantide]

Fai allora la scansione con Combofix e posta qui il suo report.

[ambra8891]

ciao a tutti, scrivo anche io per una richiesta d'aiuto.
le ho provate veramente tutte.. ho seguito tutte le guide possibili e immaginabili, ma niente.

[ho win xp service pack 2]

i programmi che sono riuscita a installare sono:

avenger, ccleaner, malwarebytes, kaspersky, elibagla, beagled, SDTrestore, Findykill, systemscan, xp tcpip repair e non ricordo se qualche altro. L'UNICO che funziona (o almeno parte) è systemscan, con cui ho fatto una scansione (ma non ha trovato nulla) e inserito uno script.
ma non è servito a nulla perché i problemi ci sono ancora, esempi:

- la connessione funziona bene ma non mi fa accedere a molti siti (quelli di antivirus neanche a dirlo sempre bloccati)
mi dà l'errore: errore caricamento pagina, oppure si aprono siti che non c'entrano nulla.

- kaspersky durante l’installazione mi da questo errore:
“Errore 1304.Errore di scrittura nel file C:/Programmi/Kaspersky Lab/Kaspersky Abti-Virus 7.0/avp.exe. Verificare di godere dei privilegi di accesso a quella cartella.”

non posso neanche fare la scansione on line perché non mi fa accedere ai siti di antivirus…

- nella riattivazione dei servizi ho questi messaggi d’errore:
“Impossibile avviare servizio Aggiornamenti Automatici su computer locale. Errore 1058: impossibile avviare il serizio. il servizio è disabilitato oppure non è associato ad alcuna periferica attiva”

“Impossibile avviare servizio Avvisi su computer locale. Errore 1079: l’account specificato per questo servizio è diverso da quello specificato per altri servizi eseguiti nello stesso processo”

“Impossibile avviare servizio Windows Firewall su computer locale. Errore 1058: impossibile avviare il serizio. il servizio è disabilitato oppure non è associato ad alcuna periferica attiva”

questo è uno degli ultimi log:

log2.doc

cosa posso tentare ancora?

[Amantide]

Scarica ComboFix, salvandolo sul PC con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG.

[ambra8891]

non mi fa accedere alla pagina per scaricarlo....

[crazy.cat]

non mi fa accedere alla pagina per scaricarlo....

Prova con questo http://www.wikifortio.com/844540/ZIPArchive.zip gli ho cambiato nome io.

[ambra8891]

grazie crazy.cat, sono riuscita a scaricarlo... ma non parte (strano!)
si apre una finestra dos blu, ma non compare nessun messaggio, niente di niente, è vuota...

[ambra8891]

poco fa ho riprovato di nuovo e mi si è aperta una finestra che diceva che era disponibile un aggiornamento. l'ho aggiornato e quando l'ho cliccato per aprirlo mi ha dato errore: non un'applicazione win32 valida...
e pra ovviamente non si apre più...

[Saddy4]

Salve a tutti, anche io ho un problema con il bagle.
Mi sono accorto della sua esistenza da un processo che non conoscevo nel task manager, quando ho capito che il bagle mi aveva colpito ho cerca come eliminarlo online e infatti prima di approdare ad avanger e a questo forum ho fatto alcune operazioni:
_ fatto partire elibagle in modalità provvisoria che ha cancellato 32 file infetti
_ eliminato una decina(non ricordo precisamente quanti) file con Malwarebytes' Anti-Malware
_ disinstallato antivir poichè era stato bloccato, poi reinstallato, aggiornato, fatto scansione completa e eliminato 162 file infetti.
Purtroppo però dopo tutto questo l'audio non torna quindi suppongo di essere ancora infetto dal virus.
Per favore aiutatemi, non so più cosa fare.

Ringrazio fin da ora chi mi aiuterà qualunque sia il risultato e allego il log di the avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\trusted.exe" not found!
Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\pci32.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\pci32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: folder "C:\WINDOWS\exefnd" not found!
Deletion of folder "C:\WINDOWS\exefnd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: folder "C:\WINDOWS\exefld" not found!
Deletion of folder "C:\WINDOWS\exefld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\pci32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[crazy.cat]

Bagle è mutato un altra volta, gli script e i metodi vecchi a quanto pare non funzionano più.
Se qualcuno riesce passarmi il file che genera l'infezione posso anche mettermi a studiarlo, altrimenti diventa difficile darvi una mano.
Se avete il file originale, caricatelo su un sito di hosting dati e passatemi il link con un messaggio privato.
Grazie