Pagina 1 di 3

PC infetto da Bagle e chissà cos'altro

MessaggioInviato: mar nov 06, 2007 4:18 pm
da edoluz
Ciao ragazzi! Innanzi tutto i complimenti sono doverosi! Questo sito è utilissimo!

Ora le cose "pallose" per voi che le sentite dire e ridire.
Sono stato infettato dal Bagle che mi ha impedito di installare gli antivirus come da prassi.
Ho messo così il mio disco su un altro pc e da lì scansionato con Norton Internet Security 2007 che mi ha rilevato 3 infezioni di livello alto. Riparato, rimesso nel case d'origine... e sono riuscito a reinstallarci il Nod.
Il problema è che sto cercando di installare per sicurezza il Norton Internet Security 2007 ma l'installazione è ancora bloccata all'avvio del CD, il che mi fa pensare che il mio PC sia ancora infetto.
Facendo una scansione con Kaspersky mi sono ritrovato:

Number of viruses found: 42
Number of infected objects: 181
Number of suspicious objects: 53


Alcuni di questi sono poi dentro ad alcuni miei documenti che non vorrei assolutamente eliminare, in una partizione dati che ho chiamato D.
Il mio disco ha infatti 2 partizioni: "C" con Windows e Programmi, "D" con i dati vari.

Ora come ora vorrei solamente sistemare i files nella partizione C:, quella dove ho programmi e sistema operativo.

Incollo di seguito il resoconto di c:, sperando che mi possiate dare una dritta su come sistemare la situazione.

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\edo1\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\cert8.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\formhistory.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\GoogleToolbarData\googlesafebrowsing.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\history.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\key3.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\parent.lock Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\search.sqlite Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\398fcce2-6514de4a/HiPointInstallShieldRT.class Infected: Trojan-Downloader.Java.OpenConnection.ap skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\398fcce2-6514de4a ZIP: infected - 1 skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-41b68eed-25d0fe73.zip/HiPointInstallShieldRT.class Infected: Trojan-Downloader.Java.OpenConnection.ap skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-41b68eed-25d0fe73.zip ZIP: infected - 1 skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\abook.mab Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\cert8.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\impab.mab Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\key3.db Object is locked skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip/setup.exe/file1 Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip/setup.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip ZIP: infected - 2 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Cronologia\History.IE5\MSHist012007110620071107\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar/vnc-E4_2_6-x86_win32.exe/file3 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar/vnc-E4_2_6-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx Mail MS Outlook 5: infected - 4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\edo1\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\edo1\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\mIRC\backup\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\mIRC\backup\mirc32.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.591 skipped
C:\mIRC\download\mirc616.exe.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\mIRC\download\mirc616.exe.exe mIRC: infected - 1 skipped
C:\mIRC\Mirc 6.16 ITA\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\Programmi\ESET\cache\CACHE.NDB Object is locked skipped
C:\Programmi\ESET\logs\virlog.dat Object is locked skipped
C:\Programmi\ESET\logs\warnlog.dat Object is locked skipped
C:\Programmi\ESET\nod32fix.reg Object is locked skipped
C:\Programmi\Super Fast Shutdown\shutdown.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Programmi\SWF Decompiler\MySearch\MySetp.exe Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035795.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035796.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035836.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035837.sys Infected: Trojan-Downloader.Win32.Bagle.fg skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_61c.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log


Un'ultima cosa: nella cartella DOCUMENT AND SETTINGS/UTENTE/IMPOSTAZIONI LOCALI/TEMP/ trovo alcuni files un po' sospetti... primi tra tutti diversi ".exe" con nomi simili a "19exhmunml14.exe".
Virus Total mi ha detto questo a tal proposito:

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.6.1 2007.11.06 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 -
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 -
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5156 2007.11.05 -
Microsoft 1.3007 2007.11.06 -
NOD32v2 2640 2007.11.06 -
Norman 5.80.02 2007.11.06 -
Panda 9.0.0.4 2007.11.06 Trj/Proxy.AD
Prevx1 V2 2007.11.06 Heuristic: Suspicious File With Outbound Communications
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 Worm.Win32.ModifiedUPX.gen!84 (suspicious)

Informazioni addizionali
File size: 209408 bytes
MD5: 9d34822cf71bed3edb192ec4c3573336
SHA1: bf37bb85e73592ae59d523f8c0905c0309676a4f
packers: UPX_LZMA
Prevx info: http://fileinfo.prevx.com/fileinfo.asp? ... 0050FB1538

Re: PC infetto da Bagle e chissà cos'altro

MessaggioInviato: mar nov 06, 2007 5:23 pm
da crazy.cat
Intanto disattiva il ripristino della configurazione e riavvia il pc, così togliamo qualche virus.

Non ho letto tutto il log, ma mi sembra che manchi qualche virus???
Number of infected objects: 181


cancella pure tutto
Codice: Seleziona tutto
Un'ultima cosa: nella cartella DOCUMENT AND SETTINGS/UTENTE/IMPOSTAZIONI LOCALI/TEMP/ trovo alcuni files un po' sospetti... primi tra tutti diversi ".exe" con nomi simili a


Più tardi vedo di leggere il resto, adesso ho finito di lavorare e torno a casa.

MessaggioInviato: mar nov 06, 2007 5:44 pm
da edoluz
Ciao Crazy! Ho una maglietta simile al tuo avatar ;)
Beh, senza andare OT...

Ho omesso i virus trovati nella partizione D perché prima vorrei sistemare la partizione C... così da rimettere in pista il norton...

Mi hai detto che posso cancellare... di cosa parlavi? Del contenuto della cartella temp? Posso eliminare completamente?
Tutto quanto? Qualsiasi file?
Avevo provato a cancellare quegli exe sospetti ma sembrano risorgere...

Ora riavvio il pc... resto in attesa di nuovi ordini del tipo

"cancella il contenuto della cartella temp"

oppure

"usa avengere così e cosà"

o ancora

"mangiati una banana"...

Grazie!!!

Edo

MessaggioInviato: mar nov 06, 2007 7:11 pm
da crazy.cat
Svuota tutto il contenuto della cartella temp (usa ccleaner) poi dai questo script ad avenger.
dopo il riavvio esce un txt e postalo qui, poi prova a reinstallare l'antivirus.
Se però nel disco d: c'è un bagle attivo è facile che ti reinfetti il pc rendendo inutile il lavoro, per quello volevo il log di d:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

MessaggioInviato: mer nov 07, 2007 7:27 pm
da edoluz
Grande Crazy. Fatto con cccleaner e avanger.
Al riavvio purtroppo avanger non ha cancellato nulla perché non ha trovato i files (che norton li abbia cancellati alla prima scansione dall'altro pc??).
in ogni caso non riesco a installare norton internet secrity sul mio pc e non saprei come eliminare quei file infetti trovati da kasper...
invece il nod riesco a installarlo...

MessaggioInviato: mer nov 07, 2007 7:35 pm
da crazy.cat
allora tieni nod, tanto di guadagnato in salute per il tuo pc.
Però settalo bene altrimenti è quasi inutile
http://www.MegaLab.it/2775

C'è un tools specifico per la rimozione completa di norton, forse ti è rimasto qualche chiave che ti impedisce anhe la reinstallazione.

MessaggioInviato: mer nov 07, 2007 9:02 pm
da H.J
crazy.cat ha scritto:Però settalo bene altrimenti è quasi inutile
http://www.MegaLab.it/2775


Complimenti per la guida crazy [^]

MessaggioInviato: gio nov 08, 2007 8:29 am
da crazy.cat
H.J ha scritto:Complimenti per la guida crazy [^]

Grazie

MessaggioInviato: ven nov 09, 2007 11:47 pm
da Phoemon88
Mi chiamo Mattia e sono nuovo, anche io ho un problema con un virus Bagle (spero sia solo uno, ho provato i vari script che ho trovato su questo sito, e sono riuscito a cancellare qualcosa, ma non riesco ancora ad installare un antivirus(nod32), prima m dava l'errore 108 cioè che non è riuscito ad aprire un archivio, ora invece mi da l'errore 116, cioè che c'è un conflitto di lingua, ho provato avenger ma dice che i file sono inesistenti.Ho fatto la scansione con Kasperky e Panda online e questi sono i report:

Kaspersky report:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, November 09, 2007 11:40:08 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 9/11/2007
Kaspersky Anti-Virus database records: 455575
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
G:\

Scan Statistics:
Total number of scanned objects: 61268
Number of viruses found: 2
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 01:00:09

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\CnxDslWz.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_634.dat Object is locked skipped
C:\WINDOWS\Temp\sqlite_hSM2v0zIQ6wLsyz Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_c4.dat Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows Defender\Support\MPLog-11092007-110305.log Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Mattia\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_c68.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_12e0.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_12f0.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Cronologia\History.IE5\MSHist012007110920071110\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Acer Arcade\Log\Trace20071109.log Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\ePresentation.exe.e70224e9.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\cli.exe.af01e8cc.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.68 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.68 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
D:\Mattia\VA-Italy_is_Burning-IT-2007-by Thermaltake_.rar Object is locked skipped
D:\Mattia\apps_NOD32_3.0.414_RC1.rar Object is locked skipped
D:\Mattia\Limewire Pro 4.13.8\Limewire Pro 4.13.8.exe Object is locked skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar/SKS110R/Spytech - Keystroke Spy v1.10 Retail/setup.exe/kimg.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar/SKS110R/Spytech - Keystroke Spy v1.10 Retail/setup.exe Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar RAR: infected - 2 skipped

Scan process completed.

Panda report:

Incidente Stato Percorso

Spyware:Cookie/Tribalfusion Non Disinfettato C:\Documents and Settings\Mattia\Cookies\mattia@tribalfusion[2].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.tradedoubler.com/]
Spyware:Cookie/ademails Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.www.ademails.com/]
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.serving-sys.com/]
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.fastclick.net/]
Spyware:Cookie/Apmebf Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.apmebf.com/]
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.fastclick.net/]
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.bs.serving-sys.com/]
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\cookies-1.txt[.tradedoubler.com/]
Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\cookies-1.txt[.statcounter.com/]

E' tutto il giorno che provo a disinstallarlo, spero in un vostro aiuto, non vorrei formattare il pc.Ah dimenticavo, ho anche disattivato il ripristino della configurazione.

Grazie a chi mi può aiutare.

MessaggioInviato: sab nov 10, 2007 7:23 am
da ste_95
con avenger esegui questo script:

Files to delete:
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

Folders to delete:
C:\Muestras



Per questo non saprei...

D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar

MessaggioInviato: sab nov 10, 2007 8:55 am
da Phoemon88
grazie per l'aiuto, ma purtroppo, non riesco ancora ad installare il nod, il file in D è un programma ora allego il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dvvwuxut

*******************

Script file located at: \??\C:\Program Files\btrgjocc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe deleted successfully.
Folder C:\Muestras deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

allego la foto dell'errore che mi da il nod

MessaggioInviato: sab nov 10, 2007 8:57 am
da ste_95
elimina la cartella di installazione di nod e fai una pulizia del registro, vedi se va avanti

MessaggioInviato: sab nov 10, 2007 9:27 am
da Phoemon88
Ci ero quasi riuscito, l'installazione era partita, poi mi ha dato questo nuovo errore.

(120)Si è verificato un errore durante la registrazione del servizio di sistema. NOD32MOD_WINNT_ITALIAN_STANDARD

MessaggioInviato: sab nov 10, 2007 9:37 am
da ste_95
prova a disinatallarlo con MyUnistaller o con CCleaner

MessaggioInviato: sab nov 10, 2007 9:49 am
da Phoemon88
non me lo segnala più nell'elenco, provo di nuovo ad installarlo...speriamo

sempre lo stesso errore..provo in modalità provvisoria

non mi fa neanche entrare in modalità provvisoria, mi da una schermata blu di errore

MessaggioInviato: sab nov 10, 2007 10:30 am
da ste_95
scarica elibagla e fai la scansione con lui, alla fine riprova a fare tutto

qui una guida:

http://softnews.altervista.org/pg020.html

MessaggioInviato: sab nov 10, 2007 10:49 am
da Phoemon88
Elibagla l'ho già usato anche ieri, ma non mi trova niente, ora ho scaricato GMER che sta facendo una scansione e poi cosa devo fare?

MessaggioInviato: sab nov 10, 2007 10:51 am
da ste_95
fai le scansioni con gmer delle sezioni autostart e rootkit e poi mettile su www.freefilehosting.net, a questo punto dacci il primo link che vedi

MessaggioInviato: sab nov 10, 2007 11:20 am
da Phoemon88
Ho dovuto dividere il file di teste in due parti, perché superava i 3 mega.

http://www.freefilehosting.net/download/MzQ1MzY=

http://www.freefilehosting.net/download/MzQ1Mzg=

MessaggioInviato: sab nov 10, 2007 11:24 am
da ste_95
fai anche autostart

queste mi sono sospette:

fdllliod.sys
csbmuvle.sys
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe