www.MegaLab.it

[Codex]

Salve

Avevo (e forse ho ancora) lo stesso problema. Quando avvio Windows ,Avira mi saluta con un "Beep" (Virus Trovato) e se ne va...almeno non muore del tutto, poi il systema rallenta in una maniera paurosa, la causa e il processo "Winfilse.exe".Quando lo termino, Avira riparte, ma senza il Mailguard e l'OnlineGuard...quelli sono morti
Io ho risolto (almeno credo) con una scansione con Baglefix, e Elibagla, e poi Malwarebytes, poi un altra volta con Avira e al ultimo con Nod32 Online Scanner.......il PC ha funzionato per due giorni in rete senza problemi, ma appena ho lanciato un qualsiasi Video con il Mediaplayer (ero Offline) eccoci che torna il "NTSBA Flight Decoder Analyzer" in pratica Bagle.....
Questo Virus si "collega " apparentemente casualmente a dei Programmi che partono al avvio di Windows, oppure aspetta pazientemente dentro il Media Player (o anche come nel mio caso in Sandra Lite, oppure addirittura nel Programma del Mouse della Microsoft).
Comunque il mio Pc e tornato pulito con i programmini sopra elencati, vi consiglio di provare piu Scanner possibili, perche uno solo non trova tutto, a me solo NOD32 mi ha trovato le "Rampe di lancio" di Bagle.

Buona Fortuna

[Amantide]

C:\Documents and Settings\Sandro\Desktop\bag\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

C:\Program Files\FindyKill\Tools\hldrrr.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

findykill??

Se leggi bene sono definiti come not-a-virus: RiskTool, quindi non sodo definiti come dei virus ma come i tool potenzialmente pericolosi.
Mentre il primo è l'eseguibile di FindyKill stesso, il secondo, hldrrr.exe penso che serva al tool per sostituire il vero file infetto ed imbrogliare il Bagle.
Ma ora che hai terminato la disinfettazione puoi anche disinstallare FindyKill.

e questi online scanner, trovano solo, o puliscono anche?

Kaspersky online trova soltanto, ma visto che è il migliore nel suo genere, gli si può pure perdonare questa mancanza ed usare i vari tool di rimozione per terminare il lavoro.

Elimina anche questo file in rosso:
C:\WINDOWS\system32\wdcl32.dll

[diodorus]

ho eliminato wdcl32.dll

adesso, per esempio, safemode rifunziona.

adesso findykill da' questo:

----------------- FindyKill V4.095 ------------------

* User : Sandro - HOME-FUJPEALBRD
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/11/08 par Chiquitine29
* Recherche effectuée à 23:25:12 le Fri 07/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WebDrive\wdService.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\wscntfy.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Sandro\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\Sandro\LOCALS~1\Temp

Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\jkos-Sandro\binaries\03988373.key

--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RunDLL32.exe NvMCTray.dll,NvTaskbarInit
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Look 'n' Stop REG_SZ "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 2

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Fixed Drive
D: - Fixed Drive

+- presence des fichiers :



--------------- [ Registre / Moutpoint2 ] ----------------


-> Recherche négative.


------------------- ! Fin du rapport ! --------------------

e' tutto ok??? o la parte "Fichiers/Dossiers infectieux" dovrebbe essere vuota?

ps: non importantissimo, ma adesso quando in windows explorer clicco su c:, invece di aprire c: mi apre "my documents"... se poi riclicco su c: allora apre c: correttamente...

(amantide, non so come ringraziarti... se posso fare qualcosa fammi sapere!!)

[Amantide]

adesso, per esempio, safemode rifunziona.

Lo ha ripristinato FindyKill.

adesso findykill da' questo:
.........
e' tutto ok??? o la parte "Fichiers/Dossiers infectieux" dovrebbe essere vuota?

Tutto ok, non ti preoccupare

(amantide, non so come ringraziarti... se posso fare qualcosa fammi sapere!!)

Se continui a frequentare il nostro forum, per me sarà il miglior ringraziamento

ps: non importantissimo, ma adesso quando in windows explorer clicco su c:, invece di aprire c: mi apre "my documents"... se poi riclicco su c: allora apre c: correttamente...

Non è che ho capito molto bene, puoi postare uno screenshot per vedere dove esattamente clicchi?

[diodorus]

grazie!!
continuero' a frequentare sicuramente, ho gia' letto alcuni articoli interessanti su questo sito (che non conoscevo)... almeno bagle e' servito a qualcosa!

ecco lo screenshot:



se clicco (ma lo stesso accade se eseguo start -> run -> "c:\") si apre questo:

[img=http://img411.imageshack.us/img411/2145/scr2hk3.th.gif][img=http://img411.imageshack.us/images/thpix.gif]

[Amantide]

Hai guardato se nelle opzioni dell'unità C:\ c'è qualcosa di strano?
Prova magari a fare la pulizia del registro con CCleaner.