www.MegaLab.it

[drago1986]

Ciao crazy.cat,
ti ringrazio per l'interessamento.

Ho scaricato crazykill e fatto quello che mi hai scritto:

cliccato e, poi 1 e scansione regolarmente effettuata ti posto il log-

--------------- [ Active Processes ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\HiYo\Bin\HiYo.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Windows\WindowsMobile\wmdcBase.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conime.exe

--------------- [ Infected files / folders ] ----------------


»»»» Presence Files in C:

Found ! [11/01/2009 15.41] - "C:\Muestras"
Found ! [11/01/2009 15.41] - C:\InfoSat.txt

»»»» Presence Files in C:\Windows


»»»» Presence Files in C:\Windows\Prefetch


»»»» Presence Files in C:\Windows\system32

Found ! [11/01/2009 02.22] - C:\Windows\system32\mdelk.exe
Found ! [11/01/2009 01.18] - C:\Windows\system32\wintems.exe
Found ! [11/01/2009 19.25] - C:\Windows\system32\ban_list.txt

»»»» Presence Files in C:\Windows\system32\drivers


»»»» Presence Files in C:\Users\user\AppData\Roaming

Found ! [09/01/2009 23.46] - "C:\Users\user\AppData\Roaming\m\flec006.exe"
Found ! [11/01/2009 19.23] - "C:\Users\user\AppData\Roaming\m\list.oct"
Found ! [11/01/2009 00.51] - "C:\Users\user\AppData\Roaming\m\data.oct"
Found ! [11/01/2009 00.51] - "C:\Users\user\AppData\Roaming\m\srvlist.oct"
Found ! [11/01/2009 19.24] - "C:\Users\user\AppData\Roaming\m\shared"
Found ! [11/01/2009 19.23] - "C:\Users\user\AppData\Roaming\m"
Found ! [11/01/2009 03.37] - "C:\Users\user\AppData\Roaming\drivers"
Found ! [11/01/2009 02.21] - "C:\Users\user\AppData\Roaming\drivers\srosa.sys"
Found ! [11/01/2009 15.41] - "C:\Users\user\AppData\Roaming\drivers\downld"

»»»» Presence Files in C:\Users\user\AppData\Local\Temp


»»»» Presence Files in C:\Users\user\Local Settings\Temporary Internet Files\Content.IE5

Found ! [27/04/2007 00.35] - C:\Program Files\Hp\QuickPlay\SlingSDK\Remotes\_RemoteDB\SkyPlus.spr\filelisting.txt
Found ! [19/10/2007 05.28] - C:\SwSetup\Drivers\IMSM\Files\32\license.txt
Found ! [30/09/2007 12.06] - C:\SwSetup\Drivers\IMSM\Files\32\readme.txt
Found ! [19/10/2007 05.28] - C:\SwSetup\Drivers\IMSM\Files\64\license.txt
Found ! [30/09/2007 12.06] - C:\SwSetup\Drivers\IMSM\Files\64\readme.txt
Found ! [11/01/2009 19.25] - C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\860O09SF\file[1].txt

--------------- [ Registry / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
WindowsWelcomeCenter=rundll32.exe oobefldr.dll,ShowWelcomeCenter
HPAdvisor=C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
msnmsgr=~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IgfxTray=C:\Windows\system32\igfxtray.exe
HotKeysCmds=C:\Windows\system32\hkcmd.exe
Persistence=C:\Windows\system32\igfxpers.exe
Apoint=C:\Program Files\Apoint2K\Apoint.exe
IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
QPService="C:\Program Files\HP\QuickPlay\QPService.exe"
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
UCam_Menu="C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HP Health Check Scheduler=[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
HP Software Update=C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
hpWirelessAssistant=C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
Acrobat Assistant 7.0="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
<NO NAME>=
Hiyo=C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
SweetIM=C:\Program Files\SweetIM\Messenger\SweetIM.exe
Windows Mobile-based device management=%windir%\WindowsMobile\wmdcBase.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\run]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registry / Infected keys ] ----------------


Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-2154095226-3952560167-2009753171-1000\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\FFC

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

--------------- [ States / Services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

/!\ Ndisuio - Type of startup = 4

EapHost - Type of startup = 3

Wlansvc - Type of startup = 2

/!\ SharedAccess - Type of startup = 4

/!\ wuauserv - Type of startup = 4

/!\ wscsvc - Type of startup = 4

WinDefend - Type of startup = 2

/!\ UAC is Disable

--------------- [ Searching in removable drives ] ----------------


+- Informations :

C: - Unità fissa

+- Presence of files :



--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


------------------- ! End of report ! --------------------

Ho successivamente fatto l'operazione cliccando 2, il pc si è riavviato e al riavvio mi da una finestra con scritto:

IS-J9Q31.EXE Impossibile individuare un componente

Impossibile avviare l'applicazione specificata prremote.dll non è stato trovato.
Una nuova installazione potrebbe risolvere il problema

il file è keygen.exe

come procedo??[sadbye]

[kaneda73]

Allora ho provato findkill da safeboot facendo 2 ha cancellato alcune cose ma ora al riavviop non parte piu vista rimane bloccato dopo il welcome con schermata nera e mouse funzionante.
domani mattina provo il nuovo findkill da safe boot e vediamo speriamo bene.
cia e grazie

[kaneda73]

allora ho fatto partire crazykill e si è bloccato dopo un po che stava cancellando i file ho chiuso e riavviato in modalita normale dopo un po al riavvio mi è apparsa la finestra di fyndkill e mi ha riavviato da solo all riavvio ora tutto ok solo che non posso comnq riavviare windows firewall mi dice se provo ad avviare il servizio dalla shermata dei servizi mi dice che è impossibbile avviare il servizio su computer locale!. posto cmnq il log che ho trovato in c di findkill

----------------- FindyKill V4.711 ------------------

* User : kaneda - KANEDA
* executed from : C:\Program Files\FindyKill
* Update on 05/01/09 par Chiquitine29
* Start at 8:19:20 the 2009-01-12
* Windows Vista - Internet Explorer 7.0.6001.18000


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\AASP\1.00.46\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\CpuLevelUpHookLaunch.exe
C:\Program Files\ASUS\Ai Suite\CpuLevelUpHook32.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Windows\system32\AEADISRV.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\locator.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\iashost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\runonce.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91AgentS1.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Windows\system32\conime.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:\Windows


»»»» Supression files in C:\Windows\Prefetch


»»»» Supression files in C:\Windows\system32


»»»» Supression files in C:\Windows\system32\drivers


»»»» Supression files in C:\Users\kaneda\AppData\Roaming


»»»» Supression files in C:\Users\kaneda\AppData\Local\Temp


»»»» Supression files in C:\Users\kaneda\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe

--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Wlansvc - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

WinDefend - Type of startup = 2

-> UAC is Enable

[kaneda73]

ho fatto partire malwarebytes e dopo la scansione mi ha trovato bagle ho fatto rimuovi si è riavviato il pc ma dopo un riavvio molto lungo ancora non riesco ad avviare il firewall unico servizio che ancora non va posto il log di malware grazie ancora se mi puoi aiutare.

Malwarebytes' Anti-Malware 1.32
Versione del database: 1645
Windows 6.0.6001 Service Pack 1

2009-01-12 08:53:55
mbam-log-2009-01-12 (08-53-55).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 58245
Tempo trascorso: 3 minute(s), 38 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\utiymjgz (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utiymjgz (Worm.Bagel) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Windows\System32\drivers\utiymjgz.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\Users\kaneda\My Documents\My Music\My Music.url (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\kaneda\My Documents\My Pictures\My Pictures.url (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\kaneda\My Documents\My Videos\My Video.url (Trojan.Zlob) -> Quarantined and deleted successfully.

[ambra8891]

ho fatto una scansione con kaspersky removal tool, che ha trovato altri 128 file infetti (presi con emule!)

nonostante l'ennesima scansione, certi problemi restano....

[crazy.cat]

nonostante l'ennesima scansione, certi problemi restano....

Quali problemi?

[kaneda73]

come non detto dopo il riavvio è di nuovo come all'inizio il firewall non parte l'icona della connessione di rete da errore e il pc rimane bloccato sul dektop come se provasse ad a far partire qualche servizio che rimane bloccato e l'unico modo anche dopo attese bibicle e resettare e partire in safe mode. aiuto può essere che lunica soluzione sia formattare tutto?

[crazy.cat]

come non detto dopo il riavvio è di nuovo come all'inizio il firewall non parte l'icona della connessione di rete da errore e il pc rimane bloccato sul dektop come se provasse ad a far partire qualche servizio che rimane bloccato e l'unico modo anche dopo attese bibicle e resettare e partire in safe mode. aiuto può essere che lunica soluzione sia formattare tutto?

Dalla modalità provvisoria, estrai il file http://www.wikifortio.com/799754/Download.zip e lancia il rimuovi.cmd e vediamo se ti riparte il desktop regolarmente.

[kaneda73]

ciao crazycat ho fatto come hai detto e ora è ripartito ma tutto come prima cioe centro servizi di sicurezza disabilitato ed impossibile da riavviare, se provo ad avviare manualmente il servizio di sicurezza mi da un errore che dice"errore 1086: avvio del gruppo o del servizio di dipendenza non riuscito"

[kaneda73]

cercando un po in rete ho letto che poteva essere un problema di account del servizio cosi cambiando in local service ora è partito il centro servizi di sicurezza ma il firewall non ne vuole sapere il resto ora va tutto.
qualche idea
e se montassi un firewall di terxìze parti , suggeritemene uno!!
grazie per la pazienza e per la disponibilita.

[drago1986]

Ciao crazy.cat

Aiutami per favore mi dici come rimuovere il bagle.

HO WINDOWS VISTA

TI HO POSTATO IL LOG NEI MESSAGGI PRECEDENTI

[crazy.cat]

e se montassi un firewall di terxìze parti , suggeritemene uno!!

Se rinuncia al firewall di xp che è pessimo ci guadagni soltanto.
Nell'ordine di preferenza personale, Online armor (in italiano), comodo firewall (in inglese), pct tools firewall (in italiano).
Dei primi due ci sono articoli sul sito.

[crazy.cat]

avei installato kaspersky removeal tool?

Impossibile avviare l'applicazione specificata prremote.dll non è stato trovato.

Se si disinstallalo.

Quale file?

il file è keygen.exe

Sei riuscito a reinstallare l'antivirus?

[drago1986]

Scusa keygen era una ca**ata.

Si sono riuscito a far ripartire l'antivirus.

Ora??

[ambra8891]

Quali problemi?

nel ripristino dei servizi ho questi errori:

- avvisi: errore 1079 (l'account specificato per questo servizio è deiverso da quello specificato per altri servizi.....)
-defender: errore 0x80092003 (errore durante la scrittura o lettura del file)
-kaspersky antivirus 7.0: impossibile trovare il percorso specificato


nell'installazione di certi programmi come combofix e qualche altro mi salta ancora fuori l'errore: "non è un'applicazione di Win32 valida"

[kaneda73]

Aggiornamento, come nulla fosse dopo un giorno di funzionamento con firewall( sunbelt personal firewall) tutto è ricominciato con mancato avvio di avast e del firewall nonchè del servizio di sicurezza, ringrazio crazy cat per la pazienza ma giunto a questo punto credo non mi resti che buttare giu tutto e ricominciare da capo. stavolta con vista 64b che almeno mi dicono dovrebbe gestire i 4giga di ram.

[ambra8891]

Ho provato a fare un'altra scansione con findykill e questo è cioò che ha trovato di infetto:

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe

[ziobello]

Ragazzi sono in crisi con sto virus....per favore analizzatemi il log!!!!

###################### [ FindyKill V4.714 ]

# User : Administrator - MATTEO-EBC167CE
# Executed from : C:\Programmi\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 20:16:52 the 28/01/2009
# Windows XP - Internet Explorer 7.0.5730.13

# [ FindyKill V4.714 - Deleting ] ###############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\OGAVerify.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe

\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////


################## [ C:\ ]

Deleted ! - "C:\Muestras"

################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\Prefetch ]

Deleted ! - C:\WINDOWS\prefetch\INSTALL_PATCH.EXE-32BF7C7E.pf
Deleted ! - C:\WINDOWS\prefetch\SERIAL.EXE-08BC6C13.pf
Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-040DDF25.pf

################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]

Deleted ! - "C:\WINDOWS\system32\drivers\down"
Deleted ! - "C:\WINDOWS\system32\drivers\downld"

################## [ C:\Documents and Settings\Administrator\Dati applicazioni ]

Deleted ! - "C:\Documents and Settings\Administrator\Dati applicazioni\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\Administrator\Dati applicazioni\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\Administrator\Dati applicazioni\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\Administrator\Dati applicazioni\drivers\downld"
Deleted ! - "C:\Documents and Settings\Administrator\Dati applicazioni\drivers"

################## [ C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp ]


################## [ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 ]


\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\hldrrr
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\mdelk
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\serial
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\Stellar Phoenix FAT Data Recovery Software 10.01 Key+Serial
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\Stellar Phoenix Novel NWFS 3.1 [Key+Serial]
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\Stellar_Phoenix_Solaris-Intel_1.0_(KeyGen)
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\Stellar_Phoenix_Windows_Data_Recovery_3.0.0.1_(Key+Serial)
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\uiytuhjy
Deleted ! - HKEY_USERS\S-1-5-21-1645522239-2049760794-839522115-500\Software\Local AppWizard-Generated Applications\winupgro

\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////

# Safe boot mode restored !

# Showing of hidden files has been repaired !


# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - # Type of startup = 3

EapHost - # Type of startup = 2

Ip6Fw - # Type of startup = 2

SharedAccess - # Type of startup = 2

wuauserv - # Type of startup = 2

wscsvc - # Type of startup = 2

WinDefend - # Type of startup = 2


\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

# Informations :

C: - Unit… fissa

D: - Unit… CD-ROM

I: - Unit… fissa

J: - Unit… fissa

K: - Unit… fissa


# deleting files :

Not deleted !! - D:\autorun.inf

\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////


-> Not found !


\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

Références de comparaison Bagle MD5 :

aef6aa2f C:\Documents and Settings\Administrator\Dati applicazioni\drivers\winupgro.exe
415fc83995272b36248ff9df0e8cc95d C:\Documents and Settings\Administrator\Dati applicazioni\drivers\winupgro.exe

Suspect ! - 415fc83995272b36248ff9df0e8cc95d C:\Programmi\NVIDIA Corporation\nTune\nTuneCmd.exe

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\just_a_louser@hotmail.it\Sharing Folders\alessio.romanista@hotmail.it\CRACK E SERIAL
C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\just_a_louser@hotmail.it\Sharing Folders\alessio.romanista@hotmail.it\CRACK E SERIAL\Istruzioni.txt
C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\just_a_louser@hotmail.it\Sharing Folders\alessio.romanista@hotmail.it\CRACK E SERIAL\Seriale.txt

################## [ ! End of report # FindyKill V4.714 ! ]

non so perché ma durante la scansione di questo programma mi dava anch alcuni errori di file nn trovati io davo annulla e lui proseguiva

[Amantide]

Dal log sembra che il Bagle sia stato rimosso completamente.
Per sicurezza scarica ComboFix, salvandolo su desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.

[ziobello]

Dal log sembra che il Bagle sia stato rimosso completamente.
Per sicurezza scarica ComboFix, salvandolo su desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.

Grazie 1000 scansiono domani se hai tempo passa per cnrollare