Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Bagle, versione che non riesco a eliminare.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 10:37 am

E' la seconda volta che riscontro un bagle ma quetsa volta non riesco a risolvere.
Non mi permette di aprire nessuna versione di avanger e con gmer lo blocca dicendomi che manda una presunta dll...
Anche "SDtrestore" non sembra avere riscontri positivi perché tutto rimane come prima del suo utilizzo..

Mi serve il computer e non posso ne formattare ne andare avanti così a lungo...
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda [Claudio] » mer feb 11, 2009 11:39 am

Sistema operativo in uso?
Avatar utente
[Claudio]
Senior Member
Senior Member
 
Messaggi: 307
Iscritto il: ven feb 06, 2009 11:16 pm

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 11:47 am

windows XP
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am


Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 12:00 pm

Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 1:08 pm

Ho provato ma dopo aver fatto la scansione con presunta eliminazione faccio una nuova scansione ed è di nuovo tutto come prima..
Solo che ora mi fa aprire avanger e elibagla che però non funzionano.
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 1:18 pm

Light ha scritto:Ho provato ma dopo aver fatto la scansione con presunta eliminazione faccio una nuova scansione ed è di nuovo tutto come prima..

Fai la scansione in sola lettura, quindi punto 1, e posta il log che ne risulta.
E' probabile che tu non rimuova il file che si trova in esecuzione automatica (che non può essere rimosso da findykill) e che al riavvio del pc ti ricrea poi l'infezione.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 1:24 pm

Codice: Seleziona tutto
############################## [ FindyKill V4.716 ]

# User : user (Administrators) # USER-C4BD2E0F42
# Update on 10/02/09 by Chiquitine29
# Start at: 13.27.08 | 11/02/2009

# AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : CyberDefender Internet Security 2008 [ Enabled | Updated ]
# FW : ActiveArmor Firewall[ (!) Disabled ]1.0

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # NTFS
# D:\ # Disco CD-ROM (N96) # CDFS
# F:\ # Disco CD-ROM
 
############################## [ Active Processes ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\cryptainersrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Vidalia Bundle\Tor\tor.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Infected Files / Folders C:\ ]
 
Found ! - "C:\Muestras"
Found ! - C:\InfoSat.txt
 
################## [ C:\WINDOWS ]
 
 
################## [ C:\WINDOWS\Prefetch ]
 
 
################## [ C:\WINDOWS\system32 ]
 
 
################## [ C:\WINDOWS\system32\drivers ]
 
 
################## [ C:\Documents and Settings\user\Dati applicazioni ]
 
Found ! - "C:\Documents and Settings\user\Dati applicazioni\m\flec006.exe"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\m\shared"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\m"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\drivers"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\drivers\wfsintwq.sys"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\drivers\winupgro.exe"
Found ! - "C:\Documents and Settings\user\Dati applicazioni\drivers\downld"
 
################## [ C:\DOCUME~1\user\IMPOST~1\Temp ]
 
 
################## [ Registry / Infected keys ] 
 
Found ! - HKEY_USERS\S-1-5-21-1715567821-1935655697-725345543-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1715567821-1935655697-725345543-1003\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-1715567821-1935655697-725345543-1003\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit   
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe   
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key   
 
# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
 
################## [ States / Services ]
 
# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup = 3
 
EapHost # Type of startup = 2
 
Ip6Fw # Type of startup = 4
 
SharedAccess # Type of startup = 2
 
wuauserv # Type of startup = 2
 
wscsvc # Type of startup = 4
 
 
################## [ Searching in removable drives ]
 
 
# Contents of autorun : D:\autorun.inf 

[AutoRun]
OPEN=NokiaInstaller.exe
# Presence of files : 

Found ! [08/05/2008 09.04][-r-------] - D:\autorun.inf
 
################## [ Registry / Mountpoint2 ]
 
# -> Not found !
 
################## [ ! End of report # FindyKill V4.716 ! ]   
 

Ecco..
cosa devo andare a cancellare?
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 1:47 pm

Sembra non trovare quello che cercavo e il virus sembra essere una diversa mutazione.
Questo è nuovo C:\Documents and Settings\user\Dati applicazioni\drivers\wfsintwq.sys.

Prova a fare la scansione con questo cd di boot
http://www.MegaLab.it/3591/avira-antivir-rescuecd
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 2:37 pm

Non mi fa effettuare la scansione perché quando parte il CD c'è un caricamento dei muduli che si blocca ogni volta al 98%
sono davvero disperato....
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 2:42 pm

Cominciamo ad andare sul difficile...
Vediamo il log della scansione di findykill scegliendo il 2 per la rimozione dei problemi, subito dopo fai la scansione di findikyll, prova ad usare combofix e kaspersky tool http://www.MegaLab.it/2894/kaspersky-virus-removal-tool.

Se non li ammazzi tutti i questo modo...
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 2:48 pm

Allora kaspersky già provato e non si installa..
tra breve ti posto i log
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 2:57 pm

Codice: Seleziona tutto
############################## [ FindyKill V4.716 ]

# User : Administrator (Administrators) # USER-C4BD2E0F42
# Update on 10/02/09 by Chiquitine29
# Start at: 14.53.53 | 11/02/2009

# AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : CyberDefender Internet Security 2008 [ Enabled | Updated ]
# FW : ActiveArmor Firewall[ (!) Disabled ]1.0

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # NTFS
# D:\ # Disco CD-ROM
# F:\ # Disco CD-ROM
 
############################## [ Active Processes ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\cryptainersrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\rundll32.exe
 
################## [ Infected Files / Folders C:\ ]
 
Deleted ! - "C:\Muestras" 
Deleted ! - C:\InfoSat.txt 
 
################## [ C:\WINDOWS ]
 
 
################## [ C:\WINDOWS\Prefetch ]
 
 
################## [ C:\WINDOWS\system32 ]
 
 
################## [ C:\WINDOWS\system32\drivers ]
 
 
################## [ C:\Documents and Settings\Administrator\Dati applicazioni ]
 
 
################## [ Cleaning Temp Files... ]
 
 
################## [  Registry / Infected keys ] 
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
 
################## [ States / Restarting of services ] 
 
# Safe boot mode restored !
# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup  = 3
 
EapHost # Type of startup  = 2
 
Ip6Fw # Type of startup  = 2
 
SharedAccess # Type of startup  = 2
 
wuauserv # Type of startup  = 2
 
wscsvc # Type of startup  = 2
 
 
################## [ Cleaning Removable drives ] 
 
# Deleting files :
 
 
################## [ Registry / Mountpoint2 ]
 
# -> Not found !
 
################## [ Searching Other Infections ]
 
# -> Nothing found ! .. 
 
################## [ ! End of Report # FindyKill V4.716 ! ]
                   


ecco qui!
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 2:59 pm

Findykill non ha trovato niente.
Adesso il kaspersky tool che ti ho indicato nell'articolo (non è il vero antivirus) si installa?
Light ha scritto:Allora kaspersky già provato e non si installa..
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 3:02 pm

Stesso errore di prima
"Applicazione non correttamente inizializzata"
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 3:23 pm

Non per approfittare della disponibilità...ma...
Ci abbiamo rinunciato?!? [V]
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am

Re: Bagle, versione che non riesco a eliminare.

Messaggioda crazy.cat » mer feb 11, 2009 3:56 pm

Hai riscaricato e reinstallato il programma dopo aver fatto la pulizia con findykill?
Light ha scritto:"Applicazione non correttamente inizializzata"

Prova a installarlo dalla modalità provvisoria e fare la scansione da li.

Light ha scritto:Ci abbiamo rinunciato?!? [V]

No, ma cominciano a scarseggiare le idee.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Bagle, versione che non riesco a eliminare.

Messaggioda Light » mer feb 11, 2009 5:05 pm

Ho risolto! [rotolo]
Non avete idea di come vi sono grato...
Ecco come ho eliminato questa ulteriore vicissitudine del malwere (che a quanto pare fin'ora ho beccato solo io [...] ) :
Ho creato un nuovo account di windows.
Poi da lì ho fatto una scansione con findikill e eliminato le minaccie.
Al riavvio del pc ho configurato in modo da far accedere automaticamente al nuovo account.
Da lì ho rifatto la stessa procedura con findikill che per oscuri motivi non aveva funzionato.
E sono quindi riuscito a installare kaskpersky alnuovo riavvio e ho eliminato gran parte del bagle.
Installo Antivir, scansione completa..
E poi posso quindi eliminare questo account e tornare nel mio che per ora sembra pulito.. speriamo bene
Ah ovviamente ho usato bagle restore per sicurezza.


Grazie mille per il supporto. [:)]
Avatar utente
Light
Neo Iscritto
Neo Iscritto
 
Messaggi: 19
Iscritto il: mer feb 11, 2009 10:30 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising