www.MegaLab.it

[grogbc]

Ciao a tutti!
Ho preso un virus via muletto! Maledizione.
Ho fatto Kasper on line e questo è il log:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, September 10, 2007 10:56:07 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.1
Kaspersky Anti-Virus database last update: 11/09/2007
Kaspersky Anti-Virus database records: 412011
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\Giulia\IMPOST~1\Temp\

Scan Statistics:
Total number of scanned objects: 5292
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:04:37

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\exefld\105000.exe Infected: Trojan-Downloader.Win32.Bagle.df skipped

Scan was interrupted by user!

L'ho interrotto io perché era di una lentezza snervante e in più mi sa che senza antivus sul pc (Il bagle me li ha azzerati tutti) non è poi così sano stare in rete.
Ecco invece un altro log fatto con Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 7.12.08, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programmi\fswsclds.exe
C:\WINDOWS\Explorer.EXE
c:\Programmi\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
D:\Programmi\lwbwheel.exe
D:\Programmi\Shield.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
D:\Programmi\Eraser\eraser.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
D:\Programmi\Webshots\webshots.scr
C:\DOCUME~1\Giulia\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199.zip\HijackThis.exe
C:\Programmi\File comuni\Ahead\lib\NMIndexStoreSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programmi\lwbwheel.exe
O4 - HKLM\..\Run: [SpyWare Shield] D:\Programmi\Shield.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] D:\Programmi\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Webshots.lnk = D:\Programmi\Webshots\Launcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: F-Secure Anti-Virus (BackWeb Client - 2376288) - Unknown owner - D:\PROGRA~1\backweb\2376288\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - D:\Programmi\Common\FSAA.EXE (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - D:\Programmi\fswsclds.exe
O23 - Service: Hard Disk Noise Control (HDDFC) - Fujitsu Siemens Computers - c:\Programmi\Fujitsu Siemens\Hard Disk Noise Control\HDDFC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Programmi\File comuni\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

Personalmente vorrei formattare tutto (e a questo proposito, non avendolo mai fatto prima se qualcuno mi potesse aiutare magari con un link o qualcosa di simile), però a questo punto potrebbe essere anche una questione di principio: voglio riuscire a togliere dal mio pc questa SCHIFEZZA.
Il mio antivirus era F-Secure; dico era in quanto ora non risponde più grazie al BAGLE così come ogni altro tentativo d'installare un antivirus nuovo. Il pc non si avvia in modalità provvisoria.
Ho trovato su internet alcuni Tools per la rimozione del BAGLE ma nessuno di quesi ha funzionato.
Visto che F-Secure ha lasciato passare il BAGLE lo vorrei sostituire con un altro antivirus: quale?
Altro problema: quando ho acquitato il pc ho fatto una partizione: c per il sistema e d per i dati. C è da 10 GB è POCO 10 GB?
Il disco è da 160 quindi 10 GB per WINDOWS e il resto per i dati; che dite meglio riformattare tutto?
Come si fa?
I cd originali li ho tutti...boh che rabbia

[crazy.cat]

Mi serve la scansione di tutto il disco, altrimenti è inutile.
Una volta avviata, dopo aver scaricato tutti gli aggiornamenti puoi anche scollegarti da internet, ho visto che continua lo stesso.
Quale antivirus prendere?
E' difficile dirlo, se guardi la lista di post, ormai li ha colpiti più o meno tutti.
Bagle in due o tre varianti alla volta e non c'è antivirus che tenga.
Forse kaspersky è l'unico con cui salvarsi.
E poi controllare in anticipo quello che si scarica.

[marcolova]

Ciao, ho avuto anche io lo stesso problema. Ho risolto con elibagla di Satinfo e con la coppia GMER+Avenger (vedi http://www.MegaLab.it/2657).
Io ho avuto problemi ad eseguire la scansione on line di Kaspersky.

Senza le guide di MegaLab sarei ancora in panne.

Buona fortuna
Marco

[grogbc]

Mi serve la scansione di tutto il disco, altrimenti è inutile.
Una volta avviata, dopo aver scaricato tutti gli aggiornamenti puoi anche scollegarti da internet, ho visto che continua lo stesso.
Quale antivirus prendere?
E' difficile dirlo, se guardi la lista di post, ormai li ha colpiti più o meno tutti.
Bagle in due o tre varianti alla volta e non c'è antivirus che tenga.
Forse kaspersky è l'unico con cui salvarsi.
E poi controllare in anticipo quello che si scarica.

Ciao. In effetti hai ragione; funziona anche con internet scollegato una volta avviato... Per fare le cose giuste che tipo di scansione gli faccio fare?
AREE CRITICHE O cosa? Ci sono diverse varianti.
Io ho un disco con due partizioni; è necessario scansionare solo "c" doce c'è WINDOWS o anche D dove ci sono foto, musica e altro?
Grazie, GROGBC

[crazy.cat]

Fai il controllo di tutto il disco C:

[grogbc]

--------------------------------------------------------------------------------

Grazie a tutti per i preziosi consigli!
Purtroppo ieri sera il pc si è IMBALLATO DEFINITIVAMENTE e non riuscivo più a riavviarlo in nessun modo!
Morale, ho inserito il cd originale di XP e ho formattato la partizione primaria C e reinstallato tutto!
Spero che quella schifezza non si sia spalmata anche in D dove ho i dati (foto, musica, ecc.) ma dopo aver fatto una scansione con l'ultima versione di avast (quella gratuita per intenderci) direi che è pulito e tutto pare girare bene!
Complimenti a questo forum perché siete veramente efficienti!
Ciao, Grog !!

[SteelBolter]

Adesso come sei messo a partizioni?

[grogbc]

Adesso come sei messo a partizioni?

Ciao.

Adesso ho una partizione primaria "c" da 10 giga per WINDOWS, driver + programmi; una partizione "D" 140 giga documenti foto musica filmati ecc.

Ho formattato solo "c" dove c'era - e spero fosse solo lì - il Bagle.

Stasera magari faccio partie AVAST in scansione approfondita su tutto il disco c e d .... che dite?,