Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

PC infetto da Bagle e chissà cos'altro

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

PC infetto da Bagle e chissà cos'altro

Messaggioda edoluz » mar nov 06, 2007 4:18 pm

Ciao ragazzi! Innanzi tutto i complimenti sono doverosi! Questo sito è utilissimo!

Ora le cose "pallose" per voi che le sentite dire e ridire.
Sono stato infettato dal Bagle che mi ha impedito di installare gli antivirus come da prassi.
Ho messo così il mio disco su un altro pc e da lì scansionato con Norton Internet Security 2007 che mi ha rilevato 3 infezioni di livello alto. Riparato, rimesso nel case d'origine... e sono riuscito a reinstallarci il Nod.
Il problema è che sto cercando di installare per sicurezza il Norton Internet Security 2007 ma l'installazione è ancora bloccata all'avvio del CD, il che mi fa pensare che il mio PC sia ancora infetto.
Facendo una scansione con Kaspersky mi sono ritrovato:

Number of viruses found: 42
Number of infected objects: 181
Number of suspicious objects: 53


Alcuni di questi sono poi dentro ad alcuni miei documenti che non vorrei assolutamente eliminare, in una partizione dati che ho chiamato D.
Il mio disco ha infatti 2 partizioni: "C" con Windows e Programmi, "D" con i dati vari.

Ora come ora vorrei solamente sistemare i files nella partizione C:, quella dove ho programmi e sistema operativo.

Incollo di seguito il resoconto di c:, sperando che mi possiate dare una dritta su come sistemare la situazione.

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\edo1\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\cert8.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\formhistory.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\GoogleToolbarData\googlesafebrowsing.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\history.dat Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\key3.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\parent.lock Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\search.sqlite Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\398fcce2-6514de4a/HiPointInstallShieldRT.class Infected: Trojan-Downloader.Java.OpenConnection.ap skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\398fcce2-6514de4a ZIP: infected - 1 skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-41b68eed-25d0fe73.zip/HiPointInstallShieldRT.class Infected: Trojan-Downloader.Java.OpenConnection.ap skipped
C:\Documents and Settings\edo1\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\eRT.jar-41b68eed-25d0fe73.zip ZIP: infected - 1 skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\abook.mab Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\cert8.db Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\impab.mab Object is locked skipped
C:\Documents and Settings\edo1\Dati applicazioni\Thunderbird\Profiles\y0yu1ri2.default\key3.db Object is locked skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip/setup.exe/file1 Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip/setup.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Documents and Settings\edo1\Desktop\superfast.zip ZIP: infected - 2 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Cronologia\History.IE5\MSHist012007110620071107\index.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar/vnc-E4_2_6-x86_win32.exe/file3 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar/vnc-E4_2_6-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED/Real.VNC.Enterprise.Edition.v4.2.6.Incl-Keygen.rar Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx/[From ][Date Tue, 30 Jan 2007 12:49:57 +0100]/UNNAMED Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Identities\{C6687080-49E4-43F5-A31B-0FF8D5696191}\Microsoft\Outlook Express\Posta inviata.dbx Mail MS Outlook 5: infected - 4 skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\lpbi76dc.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\edo1\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\edo1\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\edo1\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\mIRC\backup\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\mIRC\backup\mirc32.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.591 skipped
C:\mIRC\download\mirc616.exe.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\mIRC\download\mirc616.exe.exe mIRC: infected - 1 skipped
C:\mIRC\Mirc 6.16 ITA\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\Programmi\ESET\cache\CACHE.NDB Object is locked skipped
C:\Programmi\ESET\logs\virlog.dat Object is locked skipped
C:\Programmi\ESET\logs\warnlog.dat Object is locked skipped
C:\Programmi\ESET\nod32fix.reg Object is locked skipped
C:\Programmi\Super Fast Shutdown\shutdown.exe Infected: not-a-virus:RiskTool.Win32.Shutdown.c skipped
C:\Programmi\SWF Decompiler\MySearch\MySetp.exe Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035795.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035796.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035836.exe Object is locked skipped
C:\System Volume Information\_restore{3DBFC8C5-B172-49A7-94F8-4E7000D748BB}\RP223\A0035837.sys Infected: Trojan-Downloader.Win32.Bagle.fg skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_61c.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log


Un'ultima cosa: nella cartella DOCUMENT AND SETTINGS/UTENTE/IMPOSTAZIONI LOCALI/TEMP/ trovo alcuni files un po' sospetti... primi tra tutti diversi ".exe" con nomi simili a "19exhmunml14.exe".
Virus Total mi ha detto questo a tal proposito:

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.6.1 2007.11.06 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 -
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 -
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5156 2007.11.05 -
Microsoft 1.3007 2007.11.06 -
NOD32v2 2640 2007.11.06 -
Norman 5.80.02 2007.11.06 -
Panda 9.0.0.4 2007.11.06 Trj/Proxy.AD
Prevx1 V2 2007.11.06 Heuristic: Suspicious File With Outbound Communications
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 Worm.Win32.ModifiedUPX.gen!84 (suspicious)

Informazioni addizionali
File size: 209408 bytes
MD5: 9d34822cf71bed3edb192ec4c3573336
SHA1: bf37bb85e73592ae59d523f8c0905c0309676a4f
packers: UPX_LZMA
Prevx info: http://fileinfo.prevx.com/fileinfo.asp? ... 0050FB1538
Avatar utente
edoluz
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar nov 06, 2007 1:03 pm

Re: PC infetto da Bagle e chissà cos'altro

Messaggioda crazy.cat » mar nov 06, 2007 5:23 pm

Intanto disattiva il ripristino della configurazione e riavvia il pc, così togliamo qualche virus.

Non ho letto tutto il log, ma mi sembra che manchi qualche virus???
Number of infected objects: 181


cancella pure tutto
Codice: Seleziona tutto
Un'ultima cosa: nella cartella DOCUMENT AND SETTINGS/UTENTE/IMPOSTAZIONI LOCALI/TEMP/ trovo alcuni files un po' sospetti... primi tra tutti diversi ".exe" con nomi simili a


Più tardi vedo di leggere il resto, adesso ho finito di lavorare e torno a casa.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda edoluz » mar nov 06, 2007 5:44 pm

Ciao Crazy! Ho una maglietta simile al tuo avatar ;)
Beh, senza andare OT...

Ho omesso i virus trovati nella partizione D perché prima vorrei sistemare la partizione C... così da rimettere in pista il norton...

Mi hai detto che posso cancellare... di cosa parlavi? Del contenuto della cartella temp? Posso eliminare completamente?
Tutto quanto? Qualsiasi file?
Avevo provato a cancellare quegli exe sospetti ma sembrano risorgere...

Ora riavvio il pc... resto in attesa di nuovi ordini del tipo

"cancella il contenuto della cartella temp"

oppure

"usa avengere così e cosà"

o ancora

"mangiati una banana"...

Grazie!!!

Edo
Avatar utente
edoluz
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar nov 06, 2007 1:03 pm


Messaggioda crazy.cat » mar nov 06, 2007 7:11 pm

Svuota tutto il contenuto della cartella temp (usa ccleaner) poi dai questo script ad avenger.
dopo il riavvio esce un txt e postalo qui, poi prova a reinstallare l'antivirus.
Se però nel disco d: c'è un bagle attivo è facile che ti reinfetti il pc rendendo inutile il lavoro, per quello volevo il log di d:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda edoluz » mer nov 07, 2007 7:27 pm

Grande Crazy. Fatto con cccleaner e avanger.
Al riavvio purtroppo avanger non ha cancellato nulla perché non ha trovato i files (che norton li abbia cancellati alla prima scansione dall'altro pc??).
in ogni caso non riesco a installare norton internet secrity sul mio pc e non saprei come eliminare quei file infetti trovati da kasper...
invece il nod riesco a installarlo...
Avatar utente
edoluz
Neo Iscritto
Neo Iscritto
 
Messaggi: 11
Iscritto il: mar nov 06, 2007 1:03 pm

Messaggioda crazy.cat » mer nov 07, 2007 7:35 pm

allora tieni nod, tanto di guadagnato in salute per il tuo pc.
Però settalo bene altrimenti è quasi inutile
http://www.MegaLab.it/2775

C'è un tools specifico per la rimozione completa di norton, forse ti è rimasto qualche chiave che ti impedisce anhe la reinstallazione.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda H.J » mer nov 07, 2007 9:02 pm

crazy.cat ha scritto:Però settalo bene altrimenti è quasi inutile
http://www.MegaLab.it/2775


Complimenti per la guida crazy [^]
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda crazy.cat » gio nov 08, 2007 8:29 am

H.J ha scritto:Complimenti per la guida crazy [^]

Grazie
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Phoemon88 » ven nov 09, 2007 11:47 pm

Mi chiamo Mattia e sono nuovo, anche io ho un problema con un virus Bagle (spero sia solo uno, ho provato i vari script che ho trovato su questo sito, e sono riuscito a cancellare qualcosa, ma non riesco ancora ad installare un antivirus(nod32), prima m dava l'errore 108 cioè che non è riuscito ad aprire un archivio, ora invece mi da l'errore 116, cioè che c'è un conflitto di lingua, ho provato avenger ma dice che i file sono inesistenti.Ho fatto la scansione con Kasperky e Panda online e questi sono i report:

Kaspersky report:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, November 09, 2007 11:40:08 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 9/11/2007
Kaspersky Anti-Virus database records: 455575
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
G:\

Scan Statistics:
Total number of scanned objects: 61268
Number of viruses found: 2
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 01:00:09

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked skipped
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\CnxDslWz.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_634.dat Object is locked skipped
C:\WINDOWS\Temp\sqlite_hSM2v0zIQ6wLsyz Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_c4.dat Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows Defender\Support\MPLog-11092007-110305.log Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Mattia\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_c68.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_12e0.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temp\Perflib_Perfdata_12f0.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Cronologia\History.IE5\MSHist012007110920071110\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Acer Arcade\Log\Trace20071109.log Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\ePresentation.exe.e70224e9.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\cli.exe.af01e8cc.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Mattia\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.68 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.68 Infected: Trojan-Downloader.Win32.Bagle.fm skipped
D:\Mattia\VA-Italy_is_Burning-IT-2007-by Thermaltake_.rar Object is locked skipped
D:\Mattia\apps_NOD32_3.0.414_RC1.rar Object is locked skipped
D:\Mattia\Limewire Pro 4.13.8\Limewire Pro 4.13.8.exe Object is locked skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar/SKS110R/Spytech - Keystroke Spy v1.10 Retail/setup.exe/kimg.dll Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar/SKS110R/Spytech - Keystroke Spy v1.10 Retail/setup.exe Infected: not-a-virus:Monitor.Win32.SpyAgent.60006 skipped
D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar RAR: infected - 2 skipped

Scan process completed.

Panda report:

Incidente Stato Percorso

Spyware:Cookie/Tribalfusion Non Disinfettato C:\Documents and Settings\Mattia\Cookies\mattia@tribalfusion[2].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.tradedoubler.com/]
Spyware:Cookie/ademails Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.www.ademails.com/]
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.serving-sys.com/]
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.fastclick.net/]
Spyware:Cookie/Apmebf Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.apmebf.com/]
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.fastclick.net/]
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\COOKIES.TXT[.bs.serving-sys.com/]
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\cookies-1.txt[.tradedoubler.com/]
Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Mattia\Dati applicazioni\Mozilla\Firefox\Profiles\u9seh055.default\cookies-1.txt[.statcounter.com/]

E' tutto il giorno che provo a disinstallarlo, spero in un vostro aiuto, non vorrei formattare il pc.Ah dimenticavo, ho anche disattivato il ripristino della configurazione.

Grazie a chi mi può aiutare.
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 7:23 am

con avenger esegui questo script:

Files to delete:
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

Folders to delete:
C:\Muestras



Per questo non saprei...

D:\Mattia\Spytech - Keystroke Spy v1.10 (Full Version).rar
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Phoemon88 » sab nov 10, 2007 8:55 am

grazie per l'aiuto, ma purtroppo, non riesco ancora ad installare il nod, il file in D è un programma ora allego il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dvvwuxut

*******************

Script file located at: \??\C:\Program Files\btrgjocc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe deleted successfully.
Folder C:\Muestras deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

allego la foto dell'errore che mi da il nod
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 8:57 am

elimina la cartella di installazione di nod e fai una pulizia del registro, vedi se va avanti
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Phoemon88 » sab nov 10, 2007 9:27 am

Ci ero quasi riuscito, l'installazione era partita, poi mi ha dato questo nuovo errore.

(120)Si è verificato un errore durante la registrazione del servizio di sistema. NOD32MOD_WINNT_ITALIAN_STANDARD
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 9:37 am

prova a disinatallarlo con MyUnistaller o con CCleaner
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Phoemon88 » sab nov 10, 2007 9:49 am

non me lo segnala più nell'elenco, provo di nuovo ad installarlo...speriamo

sempre lo stesso errore..provo in modalità provvisoria

non mi fa neanche entrare in modalità provvisoria, mi da una schermata blu di errore
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 10:30 am

scarica elibagla e fai la scansione con lui, alla fine riprova a fare tutto

qui una guida:

http://softnews.altervista.org/pg020.html
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Phoemon88 » sab nov 10, 2007 10:49 am

Elibagla l'ho già usato anche ieri, ma non mi trova niente, ora ho scaricato GMER che sta facendo una scansione e poi cosa devo fare?
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 10:51 am

fai le scansioni con gmer delle sezioni autostart e rootkit e poi mettile su www.freefilehosting.net, a questo punto dacci il primo link che vedi
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Phoemon88 » sab nov 10, 2007 11:20 am

Ho dovuto dividere il file di teste in due parti, perché superava i 3 mega.

http://www.freefilehosting.net/download/MzQ1MzY=

http://www.freefilehosting.net/download/MzQ1Mzg=
Avatar utente
Phoemon88
Aficionado
Aficionado
 
Messaggi: 90
Iscritto il: ven nov 09, 2007 10:58 pm
Località: Pavia

Messaggioda ste_95 » sab nov 10, 2007 11:24 am

fai anche autostart

queste mi sono sospette:

fdllliod.sys
csbmuvle.sys
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising