www.MegaLab.it

[paolo_fia]

Ciao a tutti,

premetto di aver usato l'opzione "cerca" come da voi consigliato in fase di registrazione senza però riscontrare niente di utile anche perché a differenza degli altri problemi "a schermo blu" che ho riscontrato in passato questa volta nella schermata non ci sono riferimenti a file o applicazioni non funzionanti ma solo una stringa che riporto di seguito.

STOP: 0x0000007E (0xC0000005 , 0x80573CF7, 0xF7A63B3C, 0xF7A63838)

mi succede qualche secondo dopo essermi connesso ad internet e al riavvio nell'avviso "Il sistema è stato riavviato in seguito a un errore grave" mi da le seguenti coordinate



BCCode : 1000007e BCP1 : C0000005 BCP2 : 80573CF7
BCP3 : F79E7B3C BCP4 : F79E7838 OSVer : 5_1_2600 SP : 2_0 Product : 768_1


e se chiedo ulteriori informazioni mi segnala i file su cui il sistema ha crushato (credo)


C:\WINDOWS\TEMP\WERc3f0.dir00\Mini022107-05.dmp
C:\WINDOWS\TEMP\WERc3f0.dir00\sysdata.xml

inoltre al riavvio Avast, il mio antivirus, dice di non poter effettuare la protezione d'accesso in quanto
"Il sottosistema AAVM ha trovato un errore RPC"

Ho Windows Xp Sp2 se puo essere utile

Grazie per l'attenzione e grazie a chi potrà aiutarmi

Paolo F.

[crazy.cat]

Intanto prova a disinstallare avast e poi reinstallarlo.
L'errore 0x0000007E senza un nome di un file è difficile.
Potrebbe essere un driver qualsiasi come lo stesso avast a provocare il problema.
Nel visualizzatore eventi non c'è qualche riferimento più chiaro dell'errore?

[paolo_fia]

Ciao,

andando per tentativi ho sfogliato qualche post e sono arrivato alla guida sui worm bagle e in effetti ho trovato quei maledetti file nella cartella system32 di windows.

sempre per tentativi ho provato ad usare avenger con lo script postato da uno di voi e sembrerebbe tutto a posto adesso.

non si spegne piu'...avast (reinstallato) funziona bene e devo ancora controllare se la mod.provvisoria è tornata come prima.


posto il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gjucsvmr

*******************

Script file located at: \??\C:\WINDOWS\svhcyehq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a

File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.


Could not open folder C:\Documents and Settings\Administrator\Dati applicazioni\hidires for deletion
Deletion of folder C:\Documents and Settings\Administrator\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Administrator\Dati applicazioni\hidires
Status: 0xc000003a

Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




c'è qualche problema secondo te?

alla fine credo di aver risolto ed è solo grazie a questo sito, lo consiglierò ai miei amici perché merita.

Ciao e grazie per l'attenzione

Paolo F.

[Amantide]

Non credo che hai risolto definitivamente, sono stati eliminati alcune chavi di registro ed i file hldrrr.exe e wintems.exe ed è per questo hai notato il miglioramento, resta da eliminare però la cartella hidires che nel tuo caso non credo che si trovi in C:\Documents and Settings\Administrator.
Al posto di Administrator devi inserire il nome del tuo utente e rieseguire lo script.
Dopo leggiti anche questo articolo, sull'ultima pagina trovi le spiegazioni su come eliminare i residui di Bagle e come ripristinare l'uso di alcuni servizi e la modalità provvisoria.

[paolo_fia]

Ciao,

ora ho rieseguito avenger cambiando lo script con il mio nome utente e ciò che è venuto fuori è il seguente log:



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gcnfbeib

*******************

Script file located at: \??\C:\Documents and Settings\npqqienl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Paolo\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\Paolo\Dati applicazioni\hidires\hidr.exe deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034

Folder C:\Documents and Settings\Paolo\Dati applicazioni\hidires deleted successfully.


Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




Tieni conto che avevo già cancellato i file del system32 con il precedente e quindi ora non li trova più ma questo sicuramente già lo sai.

le operazioni sul registro tramite il regedit le avevo già fatte quindi dovrebbe essere tutto a posto.

un ultima logorroica domanda....c'è modo di sapere con certezza di averlo tolto? c'è un tool apposta o un removal che mi confermi la sua assenza?

Ciao e grazie mille davvero

Paolo

[Amantide]

un ultima logorroica domanda....c'è modo di sapere con certezza di averlo tolto? c'è un tool apposta o un removal che mi confermi la sua assenza?

No... hai solo la mia parola... non so se ti basta

Intanto dovresti trovare il file veicolo di Bagle, prima di ricaderci un altra volta.
Al 99% si tratta di un file attorno a 1-2 MB che imita qualche programma o simili ed è un file scaricato dalle reti p2p. Dovrebbe essere un file rar o zip con all'suo interno un file exe ed un altro file dll con il nome casuale.
Per fare le verifiche puoi caricare i file sospetti su www.virustotal.com

[paolo_fia]

Certo che mi basta mi hai salvato il notebook oltre che la mia igiene mentale.

ho caricato il sospetto infame sul sito ed effettivamente era lui il responsabile solo che me lo vedono come tanti tipi diversi di virus..non è che devo debellarli tutti ora vero?

tra parentesi Avast me lo sta ancora cercando......no comment

AntiVir 7.3.1.37 02.21.2007 TR/Crypt.XPACK.Gen
AVG 386 02.20.2007 I-Worm/Bagle
CAT-QuickHeal9.00 02.20.2007 (Suspicious) - DNAScan
eTrust-Vet 30.4.3417 02.21.2007 Win32/Glieder.FB
Fortinet 2.85.0.0 02.21.2007 suspicious
Kaspersky 4.0.2.24 02.21. Trojan-Downloader.Win32.Agent.bgy
Norman 5.80.02 02.21.2007 W32/Agent.BBYU
TheHacker 6.1.6.062 02.21.2007 Trojan/Downloader.Agent.bgy


stavo valutando di cambiare su AVG

Ciao
Paolo

[Amantide]

Potresti caricare questo file su www.mytempdir.com e mandarmi il link tramite PM? Grazie.

Come antivirus ti consiglierei Antivir PE o Active Virus Shield, il fatto che AVG è riuscito a riconoscerti quel file proprio con il nome di Bagle non dire che sia l'antivirus migliore, anche se tra quelli gratuiti occupa il meritevole terzo posto.

[bussola]

Ragazzi mi collego a questa discussione perché ho un problema con qsto IWormBagle che AVG mi trova ad ogni apertura di windows e ogni volta gli dò il comando di "heal" ma nn ha effetti perché nel successivo riavvio si ripresenta la stessa situazione!
ho letto un po di cose su questo Worm ma nn corrispondono alla mia situazione..(ho usato lo strumento "cerca" anche.. )
ora..la situazione non si sblocca di qui..si ripete sempre il tran tran ad ogni avvio io lo "elimino" conAVG ma al riavvio dopo tutto è uguale..
problemi però nn mi sembra che ne crei..
l'unico "sintomo" è un processo: iexplorer.exe che si apre all'avvio da solo e che quando apro le mie pagine di internet explorer mi fa apparire fienstre di siti pubblicitari..
ma non so se le due cose siano collegate..
per il resto il mio antivirus sembra funzionare correttamente..dato che ho letto che la funzione di qsto worm è "congelare" l'antivirus..
qualcuno può illuminarmi sul mio problema?
grazie a tutti anticipatamente!!
Bussola

[gio!]

Hai eseguito le istruzioni nel post in rilievo?
Ci dici il percorso del rilevamento?
Posta anche un log hijackthis.

[Fred]

@ paolo_fia: come AV prendi antivir professionale... c'è la promozione segnalata nella sezione segnalazione siti: 3 mesi gratis