www.MegaLab.it

[JohnRambo]

raga aiutatemi ho preso da un bel po di tempo il virus bagle al mio portatile con vista....
nn posso formattarlo perché perdo la garanzia, ho provato un sacco di guide ma niente.....AIUTATEMI!

[ste_95]

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:

Codice: Seleziona tutto

[LOG]qui va inserito il log[/LOG]

[pietruz]

hai già provato a scaricare qualche programma per la rimozione? comq tranquillo l'ho avuto anche io su vista.. basta scaricare un programma che avevo trovato su un forum e sei a posto.. prova con avenger 2 la cosa più importante è che devi eseguirlo come amministratore sennò prova con elibagla anche questo come amministratore..

[JohnRambo]

ho gia provato con alcuni programmi, ma niente forse perché ho la versione aggiornata del virus

[ste_95]

Hai già provato sia ComboFix che FIndyKill?

[JohnRambo]

con combofix ho provato

[JohnRambo]

quindi con quale tool devo provare?

[ste_95]

Usa FindyKill:
http://www.MegaLab.it/3724/3/il-worm-ba ... -rimozione

[Epa91]

raga aiutatemi ho preso da un bel po di tempo il virus bagle al mio portatile con vista....
nn posso formattarlo perché perdo la garanzia, ho provato un sacco di guide ma niente.....AIUTATEMI!

Sicuro che perdi la garanzia se lo formatti? Mi sembra piuttosto strano, solitamente la garanzia decade nel momento in cui fai modifiche al livello hardware, o eventualmente se cambi sistema operativo.
Comunque se hai un cd di ripristino o un DVD pulito di Vista utilizzalo pure senza problemi

[JohnRambo]

ho ftt con findykill, e mi sa che lo tolto perché mi ha ripristinato la linea wireless, comunque nn sono del tutto sicuro, nn mi fa cancellare alcuni file k sono infetti...
cm ccio a capire se il virus c'è ancora?

[JohnRambo]

comunque dopo il findykill devo fare a nche una scansione con combofix?

[ste_95]

Posta il log di FindyKill.

[JohnRambo]

dov'è che lo ha salvato? perché lo kiuso e nn osso piu trovarlo

[JohnRambo]

trovato:

############################## [ FindyKill V4.722 ]

# User : Fusaro Cosmo (Administrators) # PC-FUSAROCOSMO
# Update on 04/04/09 by Chiquitine29
# Start at: 12.37.47 | 10/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
# Microsoft® Windows Vista™ Home Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disco rigido locale # 111,19 Go (36,33 Go free) [PC] # NTFS
# D:\ # Disco rigido locale # 107,69 Go (58,19 Go free) [DATI] # NTFS
# E:\ # Disco CD-ROM
# F:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\OGAVerify.exe
C:\Windows\system32\conime.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\WerCon.exe

################## [ C:\Windows # C:\Windows\Prefetch ]

Deleted ! C:\Windows\Prefetch\A-PATCH140RC2B31_WLM.EXE-BAE8818F.pf
Deleted ! C:\Windows\Prefetch\A-PATCH143B2_WLM9.EXE-EDBE60EE.pf
Deleted ! C:\Windows\Prefetch\CRACK.EXE-B181B634.pf

################## [ C:\Windows\System32... ]


################## [ C:\Users\...\AppData\Roaming ]

Deleted ! "C:\Users\Fusaro Cosmo\AppData\Roaming\drivers"

################## [ Cleaning .. Temp Files... ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1579413883-3332599400-2803917119-1000\Software\Ubisoft

################## [ Cleaning Removable drives ]

# Deleting Files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Qoobox\Quarantine\C\Users\Fusaro Cosmo\AppData\Roaming\drivers\winupgro.exe.vir
CRC32 .. : e7d08797
MD5 .... : 0dd95f7cad549a33bbeac3128b055fc5

Deleted ! : C:\Qoobox\Quarantine\C\Program Files\Windows Live\Messenger\msnmsgr.exe.vir
# Taille : 872448 # MD5 : 0DD95F7CAD549A33BBEAC3128B055FC5

Deleted ! : C:\Qoobox\Quarantine\C\Users\Fusaro Cosmo\AppData\Roaming\drivers\winupgro.exe.vir
# Taille : 872448 # MD5 : 0DD95F7CAD549A33BBEAC3128B055FC5

Deleted ! : C:\Qoobox\Quarantine\C\Users\Fusaro Cosmo\AppData\Roaming\m\data.oct.vir
# Taille : 864256 # MD5 : CBDC9ED044B6F463FC4AE80232331E4F

Deleted ! : C:\Users\Fusaro Cosmo\Desktop\emule\Shock 4Way 3D 1.29.zip
Contain keygen.exe [872448] with Bagle CRC32 : E7D08797

Deleted ! : D:\Programmi\Crack\keygen.exe
# Taille : 872448 # MD5 : 0DD95F7CAD549A33BBEAC3128B055FC5


################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Acer GameZone\Agatha Christie Death on the Nile\Launch.exe
C:\Program Files\Acer GameZone\Alice Greenfingers\Launch.exe
C:\Program Files\Acer GameZone\Azada\Launch.exe
C:\Program Files\Acer GameZone\Backspin Billiards\Launch.exe
C:\Program Files\Acer GameZone\Big Kahuna Reef\Launch.exe
C:\Program Files\Acer GameZone\Bricks of Egypt\Launch.exe
C:\Program Files\Acer GameZone\Cake Mania\Launch.exe
C:\Program Files\Acer GameZone\Chicken Invaders 3\Launch.exe
C:\Program Files\Acer GameZone\Chuzzle\Launch.exe
C:\Program Files\Acer GameZone\Diner Dash Flo on the Go\Launch.exe
C:\Program Files\Acer GameZone\Jewel Quest Solitaire\Launch.exe
C:\Program Files\Acer GameZone\Kick N Rush\Launch.exe
C:\Program Files\Acer GameZone\Mahjong Escape Ancient China\Launch.exe
C:\Program Files\Acer GameZone\Mahjongg Artifacts\Launch.exe
C:\Program Files\Acer GameZone\Mystery Case Files - Huntsville\Launch.exe
C:\Program Files\Acer GameZone\Mystery Solitaire - Secret Island\Launch.exe
C:\Program Files\Acer GameZone\Turbo Pizza\Launch.exe
C:\Program Files\Acer GameZone\Zuma Deluxe\Launch.exe
C:\Program Files\Common Files\McAfee\McProxy\McProxy.exe
C:\Program Files\Common Files\McAfee\MNA\McNASvc.exe
C:\Program Files\McAfee\MSC\mcmscsvc.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\Program Files\McAfee\VirusScan\Mcshield.exe
C:\Program Files\McAfee\VirusScan\mcsysmon.exe
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

################## [ ! End of Report # FindyKill V4.722 ! ]

[ste_95]

Dovresti trovarlo in C:\Programmi\FindyKill.

[JohnRambo]

lo postato....allora?

[ste_95]

Dai una passata con Combofix e poi prova a scaricare e reinstallare il tuo antivirus

[JohnRambo]

se no riprovo con il findykill?

[ste_95]

FindyKill mi sembra abbia tolto quello che ha trovato. Usa Combofix e poi reinstalla l'antivirus.

[JohnRambo]

senti un altra cosa strana... è apparso un altro processo, conime.exe...ora alcuni dicono che è un componente di windows, altri che è un virus pericolosissimo k permette ad altri di connetterti al tuo pc x rubare dti personali....AIUTO