www.MegaLab.it

[danibaan]

Ciao a tutti.
Ho avuto a che fare con Bagle (purtroppo - ho lanciato l'antivirus per un file .exe sospetto, non ha rilevato nulla, l'ho lanciato e... Ed eccomi qui!). Credo d'averlo rimosso. Alcune domande:

- come faccio ad esser sicuro della pulizia del sistema? Avira e Windows Defender dicono sia tutto a posto... Però...
- mi sa che s'è incasinato il registro: come posso ripristinarlo? Ho trovato tanti tool ma tutti @ 32bit
- problema: non riesco a togliere il controllo utente! risulta già tolto, ma in relatà è attivo... Le ho provate tutte, senza successo.

Idee?

GRAZIE!!!

[gioia271965]

Ciao a tutti.
Ho avuto a che fare con Bagle (purtroppo - ho lanciato l'antivirus per un file .exe sospetto, non ha rilevato nulla, l'ho lanciato e... Ed eccomi qui!). Credo d'averlo rimosso. Alcune domande:

- come faccio ad esser sicuro della pulizia del sistema? Avira e Windows Defender dicono sia tutto a posto... Però...
- mi sa che s'è incasinato il registro: come posso ripristinarlo? Ho trovato tanti tool ma tutti @ 32bit
- problema: non riesco a togliere il controllo utente! risulta già tolto, ma in relatà è attivo... Le ho provate tutte, senza successo.

Idee?

GRAZIE!!!

Per eliminare il controllo utente hai eseguito queste operazioni?
-1) Clicca su start e apri il pannello di controllo;
-2) Ti apparira' il pannello di controllo e selezionerai: account utente;
-3) Dentro il controllo dell'account utente scorrI fino a trovare la frase <<attiva disattiva controllo account utente>>;
-4) Togli la spunta dalla voce: Per proteggere il computer utilizzare il controllo dell'account utente;
-5) Ti verra' chiesto di riavviare il pc, premi su riavvia ora;
Quando riavii il pc ti dovrebbe apparire in basso uno scudo rosso , quelli sono gli avvisi di protezione di windows che notificano se il pc non e' aggiornato oppure se le impostazioni non sono consigliate o ancora se non vengono rilevati antivirus.
In questo caso l'impostazione di protezione (che si consiglia ad utenti non esperti di non sbloccare) riguarda il controllo dell'account utente.
Se ritieni di aver abbastanza esperienza e quindi essere in grado di prevenire eventuali rischi che si corrono dallo sblocco di questo non preoccuparti dello scudo rosso.


Per il problema legato al registro non mi sento di consigliarti nulla. Troppo rischioso dirti di usare un qualsiasi programma. Io uso, a parte CCleaner, NT Registry Optimizer per l'ottimizzazione dello stesso. Però il mio sistema è a 32bit.

[crazy.cat]

Ciao a tutti.

Intanto butta windows defender, non vale un fico secco.
Cosa vuole dire mi ha incasinato il registro?
Che sintomi hai?
Se l'antivirus funziona vuole dire che bagle non c'è.

[danibaan]

Ed al posto di Windows Defender cosa metto?

In ogni caso ho eseguito la procedura per segare l'uac, ma non va! MI chiede i permessi per fare tutto, ma la spunta già non c'è! Al che provo a metterla, riaccedo, e di nuovo non c'è, pur chiedendomi l'ok per ogni operazione. Da questo dico che mi s'è incasinato il registro...

Non conoscete un buon programmino di analisi-cura registro? Non un semplice compattatore-ottimizzatore...

[crazy.cat]

Ed al posto di Windows Defender cosa metto?

Spywareterminator piuttosto.

[manero478]

proseguo qui ..(non so' se va bene)
perche anche io ho trovato il virus BAGLE....
ieri sera tardi..3 di notte. non funzionava piu nulla... (errore 193: 0xc1) e mi diceva che non erano programmi win32
tutti i programmi di protezione annullati.. avira e anche una istallazione disabilitata di norton
che usavo interattivamente ogni tanto....
e anche HijackThis, S&D... cclener...
con una ricerca veloce ho trovato alcune istruzioni e mi rimandavano a scaricare

vnlt6565.exe che pero ..non me lo faceva installare.
avenger.zip ( che pero deve essere usato con istruzioni prese da qualche log che non so)
e EliBaglA.exe... che e' partito ed ha trovato sto BAGLE e mi diceva che lo aveva rimosso

stamattina sono ripartito... e EliBaglA.exe. e' partito in automatico..e non trovava piu nulla---
allego il log delle 2 scansioni...prima infetto poi pulito:

(13-1-2010 1:28:15)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\SROSA2.SYS Eliminado Bagle(rootkit)
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS Bagle(rootkit) Acceso Denegado.
Eliminado Servicio, "srosa"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(13-1-2010 1:28:34)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0012861.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0012862.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013842.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013843.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013977.EXE Eliminado Bagle
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013979.EXE Eliminado Bagle
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014568.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014569.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014934.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014935.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015084.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015085.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015105.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015106.SYS Eliminado Bagle(rootkit)

Nº Total de Directorios: 12154
Nº Total de Ficheros: 102906
Nº de Ficheros Analizados: 19373
Nº de Ficheros Infectados: 14
Nº de Ficheros Limpiados: 14



(13-1-2010 10:55:21)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Eliminado Bagle
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\167031.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\183984.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\194875.EXE Eliminado Bagle
Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\Gilberto\Dati applicazioni\drivers\winupgro.exe"
Restaurada Clave: "SafeBoot\Minimal y Network"

(13-1-2010 10:55:51)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12144
Nº Total de Ficheros: 100921
Nº de Ficheros Analizados: 17395
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(13-1-2010 11:15:56)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "E:\"

Nº Total de Directorios: 692
Nº Total de Ficheros: 5277
Nº de Ficheros Analizados: 247
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(13-1-2010 11:16:15)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "G:\"

Nº Total de Directorios: 10355
Nº Total de Ficheros: 69330
Nº de Ficheros Analizados: 7099
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

ed infatti diciamo che tutto riparte... meno l'antivirus
con un prob su S&D e vi posto anche qui il log:

Suggerimento del giorno: Clic sulla barra a destra per visualizzare ulteriori informazioni! ()


Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Impostazioni (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

SpyArsenal.Watcher: [SBI $524AC6D2] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Audiert

SpyArsenal.Watcher: [SBI $BC8BB192] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-1960408961-329068152-725345543-1003\Software\Audiert

SpyArsenal.Watcher: [SBI $BC8BB192] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Audiert

SpyArsenal.Watcher: [SBI $4B549B50] Cartella di programma (Cartella, nothing done)
C:\Programmi\Digi-Watcher.com\

Errore durante la scansione!: Virtumonde.sci [74149 - $] (Access violation at address 005031A3 in module 'SpybotSD.exe'. Read of address 1C5D4D57) ()


Errore durante la scansione!: Virtumonde.sci [92209 - $] (Access violation at address 005031A3 in module 'SpybotSD.exe'. Read of address 1D119D57) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address 055A6F40) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address E250F5E7) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address F5523C70) ()



--- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) ---

2010-01-12 blindman.exe (1.0.0.8)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-08-14 SDFiles.exe (1.6.0.4)
2008-08-14 SDMain.exe (1.0.0.6)
2008-08-14 SDShred.exe (1.0.2.3)
2008-08-14 SDUpdate.exe (1.6.0.9)
2008-08-14 SDWinSec.exe (1.0.0.12)
2008-07-30 SpybotSD.exe (1.6.0.31)
2010-01-13 TeaTimer.exe (3.0.0.0)
2007-01-07 unins000.exe (51.41.0.0)
2008-09-03 unins001.exe (51.49.0.0)
2008-08-14 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2009-10-08 Includes\Adware.sbi (*)
2010-01-12 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-01-12 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-01-12 Includes\HijackersC.sbi (*)
2009-12-15 Includes\Keyloggers.sbi (*)
2010-01-12 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-12-30 Includes\Malware.sbi (*)
2010-01-12 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-01-12 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-01-12 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2010-01-12 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2010-01-12 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

poi ho fatto il log di HijackThis , che posto anche se con un controllo sul sito http://www.ilsoftware.it/hijackthis.asp , non ha trovato nulla di sospetto..

Logfile of Trend Micro v2.0.2
Scan saved at 12.24.55, on 13/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\File comuni\Portrait Displays\Drivers\pdisrvc.exe
C:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe
C:\Programmi\Acer Display\eDisplay Management\DTHtml.exe
C:\Programmi\Portrait Displays\Pivot Software\floater.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Portrait Displays\Shared\HookManager.exe
C:\Programmi\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\taskmgr.exe
E:\HijackThis2.02.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.DLL
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programmi\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programmi\WOT\WOT.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT ACR] C:\Programmi\File comuni\Portrait Displays\Shared\DT_startup.exe -ACR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [BootRacer] "C:\Programmi\BootRacer\Bootrace.exe" /2
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gillo-cesa.spaces.live.com//Phot ... nPUpld.cab
O16 - DPF: {60E33102-59F1-44DA-BA3D-494BB9A80514} (Iphona) - https://servizi.inps.it/servizi/ParlaCo ... IPhona.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 2500236234
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2500216609
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol ... _en_dl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programmi\WOT\WOT.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Programmi\File comuni\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10238 bytes

e al momento vnlt6565.exe si e' installato e mi chiede di riavviare per eseguirlo...
pero' ho preferito prima inviare la segnalazione... e ora riavvio e faccio la scansione..poi vi diro'..

Ora per L'antivirus ..avevo letto che comunque avrei dovuto reinstallarlo...
e' vero?? o e' possibile fare qualche altra cosa?

in attesa...vi saluto..
ciaoooooooooooooo

[gioia271965]

proseguo qui ..(non so' se va bene)
perche anche io ho trovato il virus BAGLE....
ieri sera tardi..3 di notte. non funzionava piu nulla... (errore 193: 0xc1) e mi diceva che non erano programmi win32
tutti i programmi di protezione annullati.. avira e anche una istallazione disabilitata di norton
che usavo interattivamente ogni tanto....
e anche HijackThis, S&D... cclener...
con una ricerca veloce ho trovato alcune istruzioni e mi rimandavano a scaricare

vnlt6565.exe che pero ..non me lo faceva installare.
avenger.zip ( che pero deve essere usato con istruzioni prese da qualche log che non so)
e EliBaglA.exe... che e' partito ed ha trovato sto BAGLE e mi diceva che lo aveva rimosso

stamattina sono ripartito... e EliBaglA.exe. e' partito in automatico..e non trovava piu nulla---
allego il log delle 2 scansioni...prima infetto poi pulito:

(13-1-2010 1:28:15)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\SROSA2.SYS Eliminado Bagle(rootkit)
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS Bagle(rootkit) Acceso Denegado.
Eliminado Servicio, "srosa"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(13-1-2010 1:28:34)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0012861.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0012862.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013842.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013843.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013977.EXE Eliminado Bagle
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0013979.EXE Eliminado Bagle
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014568.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014569.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014934.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0014935.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015084.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015085.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015105.SYS Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{A0B3238A-BDC4-4883-AEC2-9EA3B2D3EE8C}\RP27\A0015106.SYS Eliminado Bagle(rootkit)

Nº Total de Directorios: 12154
Nº Total de Ficheros: 102906
Nº de Ficheros Analizados: 19373
Nº de Ficheros Infectados: 14
Nº de Ficheros Limpiados: 14



(13-1-2010 10:55:21)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\WINUPGRO.EXE Eliminado Bagle
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\167031.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\183984.EXE Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\GILBERTO\DATI APPLICAZIONI\DRIVERS\DOWNLD\194875.EXE Eliminado Bagle
Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\Gilberto\Dati applicazioni\drivers\winupgro.exe"
Restaurada Clave: "SafeBoot\Minimal y Network"

(13-1-2010 10:55:51)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12144
Nº Total de Ficheros: 100921
Nº de Ficheros Analizados: 17395
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(13-1-2010 11:15:56)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "E:\"

Nº Total de Directorios: 692
Nº Total de Ficheros: 5277
Nº de Ficheros Analizados: 247
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(13-1-2010 11:16:15)
EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "G:\"

Nº Total de Directorios: 10355
Nº Total de Ficheros: 69330
Nº de Ficheros Analizados: 7099
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

ed infatti diciamo che tutto riparte... meno l'antivirus
con un prob su S&D e vi posto anche qui il log:

Suggerimento del giorno: Clic sulla barra a destra per visualizzare ulteriori informazioni! ()


Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Impostazioni (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

SpyArsenal.Watcher: [SBI $524AC6D2] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Audiert

SpyArsenal.Watcher: [SBI $BC8BB192] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-1960408961-329068152-725345543-1003\Software\Audiert

SpyArsenal.Watcher: [SBI $BC8BB192] Impostazioni (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Audiert

SpyArsenal.Watcher: [SBI $4B549B50] Cartella di programma (Cartella, nothing done)
C:\Programmi\Digi-Watcher.com\

Errore durante la scansione!: Virtumonde.sci [74149 - $] (Access violation at address 005031A3 in module 'SpybotSD.exe'. Read of address 1C5D4D57) ()


Errore durante la scansione!: Virtumonde.sci [92209 - $] (Access violation at address 005031A3 in module 'SpybotSD.exe'. Read of address 1D119D57) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address 055A6F40) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address E250F5E7) ()


Errore durante la scansione!: Virtumonde.sci [101612 - $] (Access violation at address 005059E0 in module 'SpybotSD.exe'. Read of address F5523C70) ()



--- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) ---

2010-01-12 blindman.exe (1.0.0.8)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-08-14 SDFiles.exe (1.6.0.4)
2008-08-14 SDMain.exe (1.0.0.6)
2008-08-14 SDShred.exe (1.0.2.3)
2008-08-14 SDUpdate.exe (1.6.0.9)
2008-08-14 SDWinSec.exe (1.0.0.12)
2008-07-30 SpybotSD.exe (1.6.0.31)
2010-01-13 TeaTimer.exe (3.0.0.0)
2007-01-07 unins000.exe (51.41.0.0)
2008-09-03 unins001.exe (51.49.0.0)
2008-08-14 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2009-10-08 Includes\Adware.sbi (*)
2010-01-12 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-01-12 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-01-12 Includes\HijackersC.sbi (*)
2009-12-15 Includes\Keyloggers.sbi (*)
2010-01-12 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-12-30 Includes\Malware.sbi (*)
2010-01-12 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-01-12 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-01-12 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2010-01-12 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2010-01-12 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

poi ho fatto il log di HijackThis , che posto anche se con un controllo sul sito http://www.ilsoftware.it/hijackthis.asp , non ha trovato nulla di sospetto..

Logfile of Trend Micro v2.0.2
Scan saved at 12.24.55, on 13/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\File comuni\Portrait Displays\Drivers\pdisrvc.exe
C:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe
C:\Programmi\Acer Display\eDisplay Management\DTHtml.exe
C:\Programmi\Portrait Displays\Pivot Software\floater.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Portrait Displays\Shared\HookManager.exe
C:\Programmi\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\taskmgr.exe
E:\HijackThis2.02.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.DLL
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programmi\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programmi\WOT\WOT.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT ACR] C:\Programmi\File comuni\Portrait Displays\Shared\DT_startup.exe -ACR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [BootRacer] "C:\Programmi\BootRacer\Bootrace.exe" /2
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gillo-cesa.spaces.live.com//Phot ... nPUpld.cab
O16 - DPF: {60E33102-59F1-44DA-BA3D-494BB9A80514} (Iphona) - https://servizi.inps.it/servizi/ParlaCo ... IPhona.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 2500236234
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2500216609
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol ... _en_dl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programmi\WOT\WOT.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Programmi\File comuni\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10238 bytes

e al momento vnlt6565.exe si e' installato e mi chiede di riavviare per eseguirlo...
pero' ho preferito prima inviare la segnalazione... e ora riavvio e faccio la scansione..poi vi diro'..

Ora per L'antivirus ..avevo letto che comunque avrei dovuto reinstallarlo...
e' vero?? o e' possibile fare qualche altra cosa?

in attesa...vi saluto..
ciaoooooooooooooo

Per la rimozione più o meno sicura del virus bagle devi usare Findykill, che puoi scaricare da qui:
http://forum.zeusnews.com/viewtopic.php?t=42446

[danibaan]

Per l'antivirus se non riparte sì, reinstallalo. Magari prima disinstallandalo con un tool apposito.

Per il mio problema con l'UAC nessuna idea?!?!?!

[gioia271965]

Per gli eventuali problemi di registro ti consiglio di leggere attentamente quest'articolo:
http://www.dreambox.it/news/view.php?id=13722

[manero478]

allora... volevo comunque ringraziarti....

Sono andato sul link e ho provato a fare tutte le procedure descritte...
purtroppo..Findykill .. andava a buon fine solo con la prima opzione "Recherche des fichiers infectieux (Ricerca dei file infetti) "
sulla seconda ho provato 2 volte... dopo circa 2 ore si bloccava e dicendo che non poteva risolvere non so' che cosa...
in quanto i mess sulla finestra dos andavano veloci e si chiudeva subito dopo...
aprendo di fatto windows xp... ma non era possibile fare quasi nulla
dando il mess "risorse di sitema esaurite"
quindi ripartivo normale e tutto tornava a posto...
ccleaner.. ok
ho fatto comunque la scansione con NORMAN.. che pero' non e' molto attendibile... perche vede trojan da per tutto
anche in bittorent....
comunque non ha trovato tracce di BAGLE
E visto che L'antivirus non ripartiva ..dando sempre lo stesso errore....l'ho disinstallato e reinstallato...
e tutto rifunziona correttamente...
Almeno sembra... ;)

Ciao al prossimo problema... (che tanto ci sara')

[gioia271965]

Ciao al prossimo problema... (che tanto ci sara')

Vabbè dai..speriamo di no. Già il fatto che il tuo antivirus si sia installato senza problemi è positivo.