Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

DI NUOVO Bagle!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

DI NUOVO Bagle!!!

Messaggioda alvin » lun feb 12, 2007 10:54 pm

Non ci posso credere!!! Come dimostra il post di stanotte, dopo aver seguito i vostri consigli, tutto funzionava a meraviglia... fino a questo pomeriggio,o meglio,a questa mattina!
Mi è apparsa alcune volte una segnalazione d'errore GENERIC HOST PROCESS FOR WIN32 SERVICES..inizialmente,non le ho dato peso ma poi è diventata sempre più frequente e rendeva la connessione praticamente inutile perché non potevo ne navigare ne usare emule!
Ho letto allora,che per bloccarlo era necessario un firewall così ho installato Sygate..sembrava che tutto andasse bene a questo punto, così ho lasciato la connessione attiva e mi sono allontanato dal computer..quando torno un altro messaggio di errore: il pc era stato riavviato senza il mio volere,mi dice che il computer è stato ripristinato in seguito ad un grave errore!!!
a questo punto ho riusato la dicitura, che mi ha gentilmente fornito Amantide, su Avenger e al riavvio è apparso avast ma DISATTIVO!!! E quando ho provato ad attivarlo mi è apparso questo "il sottosistema AAVM ha trovato un errore RPC"

ed ora che faccio??? [acc]
vi allego di seguito un file .rar contenente il risultato di Avenger e la scansione fatta con Gmer di Autostart e Rootkit...
Per favore, AIUTATEMI!!! Non so che fare!!! [sadbye]
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm

Messaggioda alvin » mar feb 13, 2007 12:43 pm

Che bello!!!
Sono riuscito a risolvere tutto da solo! Grazie logicamente all'aiuto di vecchi post e alla vostra magnifica guida! [:)]
Speriamo che duri!!! [^]
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm

Messaggioda Amantide » mar feb 13, 2007 2:00 pm

Ottimo [^] , anche perché oggi sono un po' incasinata.
Mi posti anche il log di Hijackthis, che cè' una cosina da fixare oltre al Bagle...

Per il fatto di Bagle... controlla tutti i file scaricati dal p2p. Se trovi un archivio con all'interno oltre al file .exe anche ul file .dll con il nome strano, è il candidato come il veicolo di Bagle. In questo caso fai la scansione del file su www.virustotal.com
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda alvin » mar feb 13, 2007 9:41 pm

Questo è il log di Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 20.34.39, on 13/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\eurobarre\eurobarre.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Logitech\QuickCam10\QuickCam10.exe
C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe
C:\Programmi\Babylon\Babylon-Pro\Babylon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Alberto\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Eurobarre] C:\Program Files\eurobarre\eurobarre.lnk
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Europa Universalis 3
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Eurobarre.lnk = C:\Documents and Settings\Alberto\Desktop\Eurobarre\eb.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.75\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F470393-4D68-4874-A734-C3145F3C83F6}: NameServer = 151.99.125.1 151.99.0.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Plisrrakmfaa - Logitech Inc. - (no file)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Per quando riguarda la seconda parte del post non ho capito proprio tanto... c'è un programmino che mi permetta direttamente di fare la scansione senza che sia io a cercare quel file di cui mi parli?
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm

Messaggioda Amantide » mar feb 13, 2007 10:49 pm

Fixa questa:
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Europa Universalis 3
Anche queste, che sono superflue:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O23 - Service: Plisrrakmfaa - Logitech Inc. - (no file)

alvin ha scritto:Per quando riguarda la seconda parte del post non ho capito proprio tanto... c'è un programmino che mi permetta direttamente di fare la scansione senza che sia io a cercare quel file di cui mi parli?

Ora vedo di spiegarmi meglio.
Al 99% sul pc hai un file scaricato dal p2p /emule ecc. che ha le assemblanze di un programma o qualcos'altro, ma sempre qualcosa che hai scaricato di tua spontanea volonta, e questo file è veicolo di Bagle.
Purtroppo non tutti software virali riescono ad individuare il file in questo stato, quando ancora non è stato eseguito, quindi o devi fare la scansione online con tutti antivirus possibili, e non ti garantisco il risultato, oppure devi cercare di ricordare i file eseguibili che hai maneggiato dal momento della rimozione del Bagle a quello della sua riapparizione.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alvin » mer feb 14, 2007 3:59 pm

Cercherò di trovare un modo per fare la scansione di quella cartella perché ricordarmi di un file in particolare che posso aver aperto è alquanto difficile..

Spero non mi abbia frainteso quando ti ho detto di non aver capito bene..non sei tu che non ti sai spiegare, al contrario sono io piuttosto ignorante su questi argomenti! [:-H]
Per cui..quando mi dici fixare quel log,intendi eseguirlo tramite avenger?
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm

Messaggioda Amantide » mer feb 14, 2007 4:32 pm

alvin ha scritto:Spero non mi abbia frainteso quando ti ho detto di non aver capito bene..non sei tu che non ti sai spiegare, al contrario sono io piuttosto ignorante su questi argomenti! [:-H]

Ma no [:)] è che non essendo io italiana, ogni tanto mi vengono i dubbi di non essermi espressa abbastanza chiaramente [rolleyes]
Per cui..quando mi dici fixare quel log,intendi eseguirlo tramite avenger?

No. Rifai la scansione con Hijackthis, spunta le caselline accanto alle voce che ti avevo indicato e premi Fix Checked.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda alvin » gio feb 15, 2007 6:50 pm

Ti esprimi PERFETTAMENTE! Se non sei italiana poi.. [applauso+] Complimenti!
Io grazie a i tuoi consigli,ho eseguito la scansione e penso di avere trovato il file veicolo del quale mi parlavi che ho prontamente cancellato..spero anche che la scansione con Hijackthis abbia dato i suoi frutti..
Per ora sembra che vada tutto bene..speriamo bene! [^]
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm

Messaggioda Ices_Eyes » gio feb 15, 2007 6:56 pm

alvin ha scritto:Ti esprimi PERFETTAMENTE! Se non sei italiana poi.. [applauso+] Complimenti!

Shhhhhhhhhhhhh!!! Non dirglielo, che poi si monta la testa!!! [devil]
Avatar utente
Ices_Eyes
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5543
Iscritto il: ven ott 24, 2003 10:37 am
Località: Prov. di Venezia

Messaggioda alvin » gio feb 15, 2007 9:11 pm

E fa bene! perché è la verità!

Molto bella comunque la frase "Le critiche...aiutano a migliorarsi...Gli elogi...ti fanno sapere che l'hai fatto... " [^]
Avatar utente
alvin
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: dom feb 11, 2007 7:27 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising