MegaLab.it


http://www.megalab.it/forum/

Ho Bagle, e il Kaspersky non va

./viewtopic.php?f=33&t=37275&start=0

Pagina 1 di 1

Ho Bagle, e il Kaspersky non va

MessaggioInviato: lun nov 26, 2007 11:39 pm
da Nelson Coffee
Buona sera a tutti, anche se non è una bella serata. [acc2]

Ho seguito la procedura di questa pagina http://www.MegaLab.it/2657/5, ma quando avvio il Kaspersky mi dice questo:


Update process FAILED. No further antivirus actions can be performed!

Attention, you must be online to activate Kaspersky Online Scanner, since the latest Anti-Virus bases version must be downloaded prior to scan. Otherwise we cannot guarantee detection of latest viruses. [21]



Cosa posso fare? [cry] Grazie!

MessaggioInviato: mar nov 27, 2007 12:08 am
da Nelson Coffee
Allego anche il log di Hijackthis.


Logfile of HijackThis v1.99.1
Scan saved at 23.53.34, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\khooker.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\computer\Documenti\Pdf\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://194.244.16.123/g_bin/eng/roulette_2_0_0_27.cab
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://194.244.16.123/g_bin/eng/cards_2_0_0_75.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_34.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mimmoval.spaces.live.com/PhotoUp ... nPUpld.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://194.244.16.123/g_bin/eng/demon_2_0_0_30.cab
O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://194.244.16.123/g_bin/eng/breakout_2_0_0_29.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssi ... 0_0_48.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games ... er_v10.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

MessaggioInviato: mar nov 27, 2007 7:05 am
da ste_95
scarica elibagla e fai una scansione con lui, al termine in C:\InfoSat troverai il log, postalo

MessaggioInviato: mar nov 27, 2007 10:27 am
da Nelson Coffee
Tue Nov 27 02:08:03 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.73
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.73
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Nov 27 02:09:00 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1393
Nº Total de Ficheros: 7901
Nº de Ficheros Analizados: 91
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Tue Nov 27 02:15:44 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Nov 27 02:15:46 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\RECYCLER\S-1-5-21-1659004503-764733703-1343024091-1003\Dc1\191795.EXE --> Eliminado Bagle
C:\RECYCLER\S-1-5-21-1659004503-764733703-1343024091-1003\Dc2\188691.EXE --> Eliminado Bagle

Nº Total de Directorios: 4039
Nº Total de Ficheros: 31998
Nº de Ficheros Analizados: 7211
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Tue Nov 27 02:18:54 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 192
Nº Total de Ficheros: 1993
Nº de Ficheros Analizados: 46
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Tue Nov 27 10:20:59 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Drivers\HIDR.EXE.VIR --> Eliminado

Tue Nov 27 10:21:02 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4044
Nº Total de Ficheros: 32029
Nº de Ficheros Analizados: 7216
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

MessaggioInviato: mar nov 27, 2007 11:43 am
da crazy.cat
Hai provato a reinstallare l'antivirus?

MessaggioInviato: mar nov 27, 2007 1:13 pm
da Nelson Coffee
Si, e funziona! [rotolo]

Che belloooooooooooo, grazie!!!!!!!!

Scusate l'euforia [:D]

Un'ultima domanda: devo effettuare qualche altro controllo per assicurarmi che sia tutto ok? Cosa posso fare?

MessaggioInviato: mar nov 27, 2007 2:05 pm
da ste_95
[ciao]

sono contento che sia tutto ok!

ma per sicurezza Collegati a Kaspersky on-line scanner e fai la scansione estesa.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehostinge posta qui il link che ti viene assegnato.

MessaggioInviato: mar nov 27, 2007 4:41 pm
da Nelson Coffee
Ecco qua [^]

http://www.freefilehosting.net/files/NDE4MDg=

MessaggioInviato: mar nov 27, 2007 4:45 pm
da ste_95
Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
C:\Programmi\eMule\Incoming\PDF to DXF JPG TIFF Converter 1.0 With Crack.zip

Folders to delete:
C:\avenger
C:\Muestras

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

MessaggioInviato: mar nov 27, 2007 5:09 pm
da Nelson Coffee
Il blocco note di Avenger era vuoto, ha aperto solo il file desktop.ini:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Che vuol dire? [...]

MessaggioInviato: mar nov 27, 2007 5:09 pm
da ste_95
prova a rieseguire lo script...

e controlla la presenza di quei files e cartelle...

MessaggioInviato: mar nov 27, 2007 5:22 pm
da Nelson Coffee
Ecco qua:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hmfqvkbv

*******************

Script file located at: \??\C:\tjpingfk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe deleted successfully.
File C:\Programmi\eMule\Incoming\PDF to DXF JPG TIFF Converter 1.0 With Crack.zip deleted successfully.


Could not delete folder C:\avenger
Deletion of folder C:\avenger failed!

Could not process line:
C:\avenger
Status: 0xc0000043

Folder C:\Muestras deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qp^ljaho

*******************


Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!

MessaggioInviato: mar nov 27, 2007 9:01 pm
da ste_95
i tuoi problemi sono finiti ormai, esegui ancora questo script in modalità provvisoria:

Folders to delete:
C:\avenger

MessaggioInviato: mer nov 28, 2007 12:19 am
da Nelson Coffee
Ecco qua:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nokwvvmj

*******************

Script file located at: \??\C:\Documents and Settings\sivpdxgk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not delete folder C:\avenger
Deletion of folder C:\avenger failed!

Could not process line:
C:\avenger
Status: 0xc0000043


Completed script processing.

*******************

Finished! Terminate.



In compenso, all'avvio di Windows mi apre ancora desktop.ini con questo messaggio:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


E' tutt'ok ora? [8)]

MessaggioInviato: mer nov 28, 2007 7:06 am
da ste_95
non riesce a eliminare la cartella dei backup di avenger, prova a farlo manualmente in modalità provvisoria...

MessaggioInviato: mer nov 28, 2007 9:22 am
da crazy.cat
Nelson Coffee ha scritto:In compenso, all'avvio di Windows mi apre ancora desktop.ini con questo messaggio:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787



Sintomi
All'avvio del computer viene avviato il Blocco note e uno o più documenti di testo contenenti le seguenti righe vengono visualizzati sul desktop di Windows:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


Cause
Questo comportamento può verificarsi nelle seguenti circostanze:
• Un file Desktop.ini è presente in una o più delle cartelle elencate di seguito, dove unità è l'unità in cui è installato Windows.
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi
• unità:\Documents and Settings\All Users\Menu Avvio
• Il file Desktop.ini contiene le righe seguenti:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


Risoluzione
Per risolvere il problema, utilizzare uno dei metodi descritti di seguito:


Metodo 1: eliminare il file Desktop.ini
1. Avviare Esplora risorse.
2. Scegliere Opzioni cartella dal menu Strumenti, quindi fare clic sulla scheda Visualizza.
3. Nella casella Impostazioni avanzate deselezionare la casella di controllo Nascondi le estensioni per i tipi di file conosciuti e la casella di controllo Nascondi i file protetti di sistema (consigliato) se non ancora selezionate, quindi scegliere OK.
4. Eliminare qualsiasi occorrenza del file Desktop.ini contenente le righe precedentemente descritte nella sezione "Sintomi" di questo articolo. Per effettuare questa operazione:
a. Individuare ognuna delle seguenti cartelle, fare clic con il pulsante destro del mouse sul file Desktop.ini, se presente nella cartella, quindi scegliere Apri:
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi
• unità:\Documents and Settings\All Users\Menu Avvio
dove unità è l'unità in cui è installato Windows.
b. Verificare che il file contenga le righe seguenti:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Se il file contiene tali righe, fare clic con il pulsante destro del mouse sul file, scegliere Elimina, quindi Sì alla richiesta di confermare l'eliminazione.
5. Riavviare il computer e verificare che il problema sia stato risolto.


Metodo 2: utilizzare l'Utilità Configurazione di sistema (Msconfig.exe) per disabilitare l'elemento di avvio
1. Fare clic sul pulsante Start e scegliere Esegui.
2. Nella casella Apri digitare msconfig e scegliere OK.
3. Fare clic sulla scheda Esecuzione automatica.
4. Fare clic per deselezionare la casella di controllo accanto a ogni voce del desktop nella colonna Elemento di avvio elencata in Esecuzione automatica (Comune), nella colonna Percorso e presente anche nei seguenti percorsi indicati nella colonna Comando:
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
• unità:\Documents and Settings\All Users\Menu Avvio\Programmi
• unità:\Documents and Settings\All Users\Menu Avvio
5. Scegliere OK per chiudere l'Utilità Configurazione di sistema.
6. Riavviare il computer e verificare che il problema sia stato risolto.

MessaggioInviato: mer nov 28, 2007 7:15 pm
da Nelson Coffee
ste_95 ha scritto:non riesce a eliminare la cartella dei backup di avenger, prova a farlo manualmente in modalità provvisoria...


Fatto! Non ci sono più!

Ora posso dire che il mio pc è guarito? [boh]

MessaggioInviato: mer nov 28, 2007 7:19 pm
da ste_95
Sì! [;)]

[^]
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/