Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

AIuto Problema Bagle Script

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

AIuto Problema Bagle Script

Messaggioda firemanmm » sab feb 24, 2007 7:44 pm

Salve come faccio a vedere il log di avnger?
Ultima modifica di firemanmm il sab feb 24, 2007 7:52 pm, modificato 1 volta in totale.
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm

Messaggioda crazy.cat » sab feb 24, 2007 7:51 pm

Se ci posti il log della scansione di gmer della sezione autostart nel tuo pc magari ci possiamo riuscire.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

scusa...

Messaggioda firemanmm » sab feb 24, 2007 7:59 pm

eccolo...
Ultima modifica di firemanmm il sab feb 24, 2007 8:12 pm, modificato 2 volte in totale.
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm


Messaggioda crazy.cat » sab feb 24, 2007 8:06 pm

Scarichi gmer
http://www.gmer.net/gmer.zip
lanci il file gmer.exe e premi le doppie >> che vedi nella prima schermata.

Nell'altra schermata c'è la sezione autostart, metti il flag nella casellina Show all e poi premi scan, ti appaiono una serie di righe, premi Copy, riapri questa discussione e poi premi Ctrl V per incollare il testo che ti eri salvato in precedenza.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » sab feb 24, 2007 8:07 pm

Scarica Gmer ed estrailo sul desktop. Avvia gmer.exe, clicca sul >>>, poi vai su tab Autostart, spunta la vose Show all e clicca su Scan. A scansione terminata clicca su Copy ed incolla il risultato sul blocco note o direttamente qui (tasto destro --> Incolla).
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

log

Messaggioda firemanmm » sab feb 24, 2007 8:13 pm

scusate quello nn era della sezione autostart...ora vi do quello giusto...
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm

Messaggioda cannai » sab feb 24, 2007 8:20 pm

GMER 1.0.12.12027 - http://www.gmer.net
Autostart scan 2007-02-24 19:12:49
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SunJavaUpdateSched"C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe" = "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
@PC-CAM 300 STI App RegistrationRunDLL32.exe Pd016pin.dll,RunDLL32EP 513 = RunDLL32.exe Pd016pin.dll,RunDLL32EP 513
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@TkBellExe"C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
@Outpost Firewall"C:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice /*file not found*/ = "C:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice /*file not found*/
@OutpostFeedBackC:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup /*file not found*/ = C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup /*file not found*/
@CnxTrApprundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network" = rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@MsnMsgr"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background = "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
@hldrrrC:\WINDOWS\system32\hldrrr.exe /*file not found*/ = C:\WINDOWS\system32\hldrrr.exe /*file not found*/
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" = "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@drvsyskitC:\Documents and Settings\CBR\Dati applicazioni\hidires\hidr.exe = C:\Documents and Settings\CBR\Dati applicazioni\hidires\hidr.exe
@german.exeC:\WINDOWS\system32\wintems.exe /*file not found*/ = C:\WINDOWS\system32\wintems.exe /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@WPDShServiceObj = C:\WINDOWS\system32\WPDShServiceObj.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealPlayer\rpshell.dll = C:\Programmi\Real\RealPlayer\rpshell.dll
@{B327765E-D724-4347-8B16-78AE18552FC3} /*NeroDigitalIconHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{7F1CF152-04F8-453A-B34C-E609530A9DC8} /*NeroDigitalPropSheetHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} /*TuneUp Shredder Shell Extension*/C:\Programmi\TuneUp Utilities 2007\SDShelEx-win32.dll = C:\Programmi\TuneUp Utilities 2007\SDShelEx-win32.dll
@{44440D00-FF19-4AFC-B765-9A0970567D97} /*TuneUp Theme Extension*/%SystemRoot%\system32\uxtuneup.dll = %SystemRoot%\system32\uxtuneup.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\Programmi\Agnitum\Outpost Firewall\op_shell.dll
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
TuneUp Shredder Shell Extension@{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} = C:\Programmi\TuneUp Utilities 2007\SDShelEx-win32.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\Programmi\Agnitum\Outpost Firewall\op_shell.dll
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
TuneUp Shredder Shell Extension@{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} = C:\Programmi\TuneUp Utilities 2007\SDShelEx-win32.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
ASW@{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A} = C:\Programmi\Agnitum\Outpost Firewall\op_shell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
@{9030D464-4C02-4ABF-8ECC-5164760863C6}C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll = C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar3.dll = c:\programmi\google\googletoolbar3.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

ciao a tutti sono uno nuovo ed amche io ho lo stesso problema del cattivissimo virus,ho gia eseguito parte di quello elencato nel forum ma non riesco ancora a installare un antivirus.

chia mi puo aiutare?

queelo sotto e quello che gmer a rilevato.



HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.tiscali.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = TMMonitor.lnk

---- EOF - GMER 1.0.12 ----
Avatar utente
cannai
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: sab feb 24, 2007 8:17 pm

Messaggioda Amantide » sab feb 24, 2007 8:23 pm

@ firemanmm

Andava bene anche quello per aiutarti a rimuovere Bagle, ma con quello di Autostart posso vedere anche se c'è qualche altro malware.

Scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
C:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\user\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt

Dopo, seguendo questa guida, elimina i residui del Bagle e ripristina l'uso della modalità provvisoria ed alcuni servizi terminati.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » sab feb 24, 2007 8:28 pm

Ciao e benvenuto cannai [:)] ...ah! benvenuto anche a firemanmm [;)]

Esegui questo script per Avenger e poi segui la guida dell'articolo.

Files to delete:
C:\Documents and Settings\CBR\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\CBR\Dati applicazioni\hidires\hidr.exe

folders to delete:
C:\Documents and Settings\CBR\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda crazy.cat » sab feb 24, 2007 8:30 pm

Amantide ha scritto:Esegui questo script per Avenger e poi segui la guida dell'articolo.

Sei troppo veloce, non faccio neanche in tempo a leggere i log che tu hai già risposto... [bleh]
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

fatto...

Messaggioda firemanmm » sab feb 24, 2007 8:34 pm

ti do quel file...e ora faccio quella guida...comunque perché ti serve?
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm

Messaggioda Amantide » sab feb 24, 2007 8:34 pm

crazy.cat ha scritto:
Amantide ha scritto:Esegui questo script per Avenger e poi segui la guida dell'articolo.

Sei troppo veloce, non faccio neanche in tempo a leggere i log che tu hai già risposto... [bleh]

Oramai mi districo in mezzo ai log vari come un pesce nell'acqua. [bleh]

P.S. Se non aspettavi 3-4 mesi per iniziare a fare l'amicizia con Gmer, sarebbe stato cosi anche per te [sh]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

boh...

Messaggioda firemanmm » sab feb 24, 2007 8:36 pm

In quella guida che mi hai dato c'è scritto solo cosa fa il virus...no cosa devo fare io...me lo potesti dire tu?
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm

Re: fatto...

Messaggioda Amantide » sab feb 24, 2007 8:38 pm

firemanmm ha scritto:ti do quel file...comunque perché ti serve?

Per sapere se l'esecuzione dello script è andata a buon fine [;)]
Ah! Avenger.exe non mi serviva.... ce l'ho già [fischio]

P.S. Ti pregherei anche io di non scrivere con K e X ove non serve... se riesco a farlo io, che non sono nemmeno italiana... potete farlo anche voi [std]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: boh...

Messaggioda Amantide » sab feb 24, 2007 8:40 pm

firemanmm ha scritto:In quella guida che mi hai dato c'è scritto solo cosa fa il virus...no cosa devo fare io...me lo potesti dire tu?

Vedo che non ti sei spinto oltre alla prima pagina [nonono] , devi leggere ultima pagina, Cenni finali.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Grazie..

Messaggioda firemanmm » sab feb 24, 2007 8:54 pm

Grazie ho risolto quasi tutto...non trovo il file allegato a quell'articolo necessario per l'avvio della modalità provvisoria...il file .reg
Avatar utente
firemanmm
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab feb 24, 2007 7:40 pm

Re: Grazie..

Messaggioda Amantide » sab feb 24, 2007 9:36 pm

firemanmm ha scritto:Grazie ho risolto quasi tutto...non trovo il file allegato a quell'articolo necessario per l'avvio della modalità provvisoria...il file .reg

Si trova proprio sotto al titolo dell'articolo, c'è scritto SafeBoot.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 28 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising