Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus forse Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus forse Bagle

Messaggioda thedead » mar mag 19, 2009 1:47 pm

Ho un problema, qualche virus non mi fa aprire nessun antivirus (superantispyware, avira..) perche mi compare "non è un'applicazione win32 valida", inoltre ho notato che le icone sulla barra vicino all'orologio sono sparite.
E' Bagle come me ne accerto, procedo con FindyKill???
Grazie
Avatar utente
thedead
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: dom nov 30, 2008 5:05 pm

Re: Virus forse Bagle

Messaggioda crazy.cat » mar mag 19, 2009 2:04 pm

thedead ha scritto:procedo con FindyKill???

si.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Virus forse Bagle

Messaggioda thedead » mar mag 19, 2009 8:04 pm

Ho usato findykill e qustoè il log:

############################## [ FindyKill V4.729 ]

# User : utente (Administrators) # PC
# Update on 19/05/09 by Chiquitine29
# Start at: 20.31.56 | 19/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Celeron(R) CPU 2.20GHz
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 57,26 Go (9,09 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM
# F:\ # Disco rigido locale # 38,29 Go (2,5 Go free) # NTFS

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\Prefetch\1047109.EXE-32D3E0B0.pf
Deleted ! C:\WINDOWS\Prefetch\1081281.EXE-15E30F77.pf
Deleted ! C:\WINDOWS\Prefetch\312546.EXE-16C0D372.pf
Deleted ! C:\WINDOWS\Prefetch\329171.EXE-07FE4999.pf
Deleted ! C:\WINDOWS\Prefetch\375750.EXE-1788EED3.pf
Deleted ! C:\WINDOWS\Prefetch\5963921.EXE-001281CF.pf
Deleted ! C:\WINDOWS\Prefetch\6384343.EXE-1E483BA8.pf
Deleted ! C:\WINDOWS\Prefetch\6398390.EXE-04DC1E9A.pf
Deleted ! C:\WINDOWS\Prefetch\661718.EXE-1F8D56A0.pf
Deleted ! C:\WINDOWS\Prefetch\666593.EXE-06E06C7B.pf
Deleted ! C:\WINDOWS\Prefetch\6834421.EXE-285BC69B.pf
Deleted ! C:\WINDOWS\Prefetch\691734.EXE-32DC98C9.pf
Deleted ! C:\WINDOWS\Prefetch\708265.EXE-32BC4F53.pf
Deleted ! C:\WINDOWS\Prefetch\717234.EXE-14C45552.pf
Deleted ! C:\WINDOWS\Prefetch\731234.EXE-32513942.pf
Deleted ! C:\WINDOWS\Prefetch\759453.EXE-304F308D.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-2554840C.pf
Deleted ! C:\WINDOWS\Prefetch\KEYGEN.EXE-125127FA.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\SALON.IRIS.7.1.4-PATCH.EXE-39B13976.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-194E3FFA.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! C:\WINDOWS\system32\drivers\down
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\data.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\flec006.exe"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\list.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\downld"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\shared"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m"

################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\keygen
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-583907252-562591055-682003330-1003\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-583907252-562591055-682003330-1003\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

Deleted ! C:\Avenger

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe
CRC32 .. : 45e8db58
MD5 .... : b33e5fc671d9c53698a4eeaca3460e1b

Deleted ! : C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
# Taille : 847872 # MD5 : B33E5FC671D9C53698A4EEACA3460E1B


################## [ Corrupted files # Re-Installation required ]

C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.729 ! ]


se apro su n antivirus mi da ancora non è un'applicazione win32 valida", che faccio? devo rinstallare i programmi corrotti?
grazie
Avatar utente
thedead
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: dom nov 30, 2008 5:05 pm


Re: Virus forse Bagle

Messaggioda thedead » mar mag 19, 2009 8:07 pm

nel task manager cè winlogon.exe non so se è sempre bagle
Avatar utente
thedead
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: dom nov 30, 2008 5:05 pm

Re: Virus forse Bagle

Messaggioda gioia271965 » mar mag 19, 2009 8:35 pm

thedead ha scritto:nel task manager cè winlogon.exe non so se è sempre bagle

Si tratta di un processo di Windows assolutamente legittimo. Sempre che si trovi in c/Windows/System32.
"Nulla di finito, nemmeno l'intero mondo, può soddisfare l'animo umano che sente il bisogno dell'eterno"
Avatar utente
gioia271965
Silver Member
Silver Member
 
Messaggi: 1422
Iscritto il: ven ott 24, 2008 9:40 am
Località: Taranto

Re: Virus forse Bagle

Messaggioda thedead » mar mag 19, 2009 9:08 pm

ma dal log findykill ha cancellato bagle???Sono apposto?! Adesso devo riinstallare gli antivirus??? Grazie
Avatar utente
thedead
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: dom nov 30, 2008 5:05 pm

Re: Virus forse Bagle

Messaggioda crazy.cat » mer mag 20, 2009 6:55 am

Adesso devi reinstallare i vari programmi di sicurezza perché sono stati danneggiati
################## [ Corrupted files # Re-Installation required ]
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

Lascia perdere ad-aware, non ne vale la pena.

Il bagle dovrebbe essere stato rimosso completamente.
Riscarica i file di installazione dai siti ufficiali.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Virus forse Bagle

Messaggioda thedead » mer mag 20, 2009 9:09 am

Perfetto grazie mille crazy.cat e grazie a MegaLab per l'ottimo servizio che offrite [^]
Avatar utente
thedead
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: dom nov 30, 2008 5:05 pm

Re: Virus forse Bagle

Messaggioda gabry87 » mer mag 20, 2009 11:08 am

Ciao....anche io penso di aver avuto lo stesso problema....
Ieri avevo scaricato un file su emule, dopo averlo scansionato con nod32 ed essere risultato pulito, l'ho aperto e subito dopo si è riavviato il pc.
Una volta riacceso non funzionavano più nod32 e neanche spybot dicendomi come errore "non è un'applicazione di Win32 valida". Le icone in basso a dx non c'erano più, e non funzionava neanche la modalità provvisoria....ma almeno internet funzionava.
Cosi ho scaricato Findykill ed utilizzato 2 volte per essere sicuro...Stamattina l'ho fatto partire un'altra volta, e poi ho riavviato facendolo partire in modalità provvisoria (che ritornava nel frattempo a funzionare). A quel punto ho fatto una scansione con kaspersky removal tool anche se praticamente non ha trovato niente...a parte un file.
infine sono andato nelle chiavi di registro per cercare quelle indicate dalla guida da eliminare....anche se a dir la verità l'unica cosa che c'era e che quindi ho eliminato è stata:
11. %appdata%\drivers
12. %appdata%\drivers\downld
Tutto il resto non c'era...
Ho fatto partire Bagle_Restore...
Ho scaricato nuovamente spybot, istallato e fatto partire e mi ha eliminato un paio di cose, anche se teatimer non mi è partito perché diceva la solita cosa "non è un'applicazione di Win32 valida". Le icone in basso a dx ancora non ci sono...
Che altro devo fare?
Avatar utente
gabry87
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mag 20, 2009 10:43 am

Re: Virus forse Bagle

Messaggioda gabry87 » mer mag 20, 2009 11:19 am

Ah...questo è il log della ricerca effettuata con findykill in modalità provvisoria prima di aver fatto partire kaspersky:

############################## [ FindyKill V4.729 ]

# User : user () # PC-01
# Update on 19/05/09 by Chiquitine29
# Start at: 9.21.36 | 20/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Sistema Antivirus NOD32 2.70 2.70 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 74,5 Go (27,4 Go free) [XP] # NTFS
# D:\ # Disco rimovibile
# E:\ # Disco rimovibile
# F:\ # Disco rimovibile
# G:\ # Disco CD-ROM
# H:\ # Disco CD-ROM
# I:\ # Disco rigido locale # 74,52 Go (23,14 Go free) # NTFS
# J:\ # Disco rimovibile
# K:\ # Disco rimovibile
# L:\ # Disco CD-ROM

############################## [ Active Processes ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders ]


################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft


################## [ Searching in removable drives ]


################## [ Registry / Mountpoints2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.729 ! ]
Avatar utente
gabry87
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mag 20, 2009 10:43 am

Re: Virus forse Bagle

Messaggioda crazy.cat » mer mag 20, 2009 11:57 am

gabry87 ha scritto:Ah...questo è il log della ricerca effettuata con findykill in modalità provvisoria prima di aver fatto partire kaspersky:

Rifai findykill adesso e dalla modalità normale, poi prova anche combofix e se non basta malwarebytes.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Virus forse Bagle

Messaggioda gabry87 » mer mag 20, 2009 3:38 pm

ho istallato nod32 e fatto la scansione: trovati 17 file infetti.
Ho riavviato e ho notato che è ripartito anche teatimer.
Ho fatto una nuova ricerca con fidykill e mi ha dato questo

############################## [ FindyKill V4.729 ]

# User : user (Administrators) # PC-01
# Update on 19/05/09 by Chiquitine29
# Start at: 16.35.34 | 20/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 74,5 Go (31,27 Go free) [XP] # NTFS
# D:\ # Disco rimovibile
# E:\ # Disco rimovibile
# F:\ # Disco rimovibile
# G:\ # Disco CD-ROM
# H:\ # Disco CD-ROM
# I:\ # Disco rigido locale # 74,52 Go (18,58 Go free) # NTFS
# J:\ # Disco rimovibile
# K:\ # Disco rimovibile
# L:\ # Disco CD-ROM

############################## [ Active Processes ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\ntvdm.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\system32\rundll32.exe
I:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
I:\Programmi\HP\HP Software Update\HPWuSchd2.exe
I:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\Java\jre6\bin\jusched.exe
I:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\WINDOWS\system32\ctfmon.exe
I:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
I:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
I:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
I:\Programmi\Java\jre6\bin\jqs.exe
I:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
I:\WINDOWS\system32\HPZipm12.exe
I:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\WINDOWS\SYSTEM32\WOWEXEC.EXE

################## [ Infected Files / Folders ]


################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft


################## [ Searching in removable drives ]


################## [ Registry / Mountpoints2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.729 ! ]


cosa dici di fare con questi 2??
Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft
dici di eliminarli io manualmente?
Avatar utente
gabry87
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mag 20, 2009 10:43 am

Re: Virus forse Bagle

Messaggioda crazy.cat » mer mag 20, 2009 5:14 pm

Elimina pure, ci pensa findykill o fallo manualmente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising