www.MegaLab.it

[thedead]

Ho un problema, qualche virus non mi fa aprire nessun antivirus (superantispyware, avira..) perche mi compare "non è un'applicazione win32 valida", inoltre ho notato che le icone sulla barra vicino all'orologio sono sparite.
E' Bagle come me ne accerto, procedo con FindyKill???
Grazie

[crazy.cat]

procedo con FindyKill???

si.

[thedead]

Ho usato findykill e qustoè il log:

############################## [ FindyKill V4.729 ]

# User : utente (Administrators) # PC
# Update on 19/05/09 by Chiquitine29
# Start at: 20.31.56 | 19/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Celeron(R) CPU 2.20GHz
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 57,26 Go (9,09 Go free) # NTFS
# D:\ # Disco CD-ROM
# E:\ # Disco CD-ROM
# F:\ # Disco rigido locale # 38,29 Go (2,5 Go free) # NTFS

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\Prefetch\1047109.EXE-32D3E0B0.pf
Deleted ! C:\WINDOWS\Prefetch\1081281.EXE-15E30F77.pf
Deleted ! C:\WINDOWS\Prefetch\312546.EXE-16C0D372.pf
Deleted ! C:\WINDOWS\Prefetch\329171.EXE-07FE4999.pf
Deleted ! C:\WINDOWS\Prefetch\375750.EXE-1788EED3.pf
Deleted ! C:\WINDOWS\Prefetch\5963921.EXE-001281CF.pf
Deleted ! C:\WINDOWS\Prefetch\6384343.EXE-1E483BA8.pf
Deleted ! C:\WINDOWS\Prefetch\6398390.EXE-04DC1E9A.pf
Deleted ! C:\WINDOWS\Prefetch\661718.EXE-1F8D56A0.pf
Deleted ! C:\WINDOWS\Prefetch\666593.EXE-06E06C7B.pf
Deleted ! C:\WINDOWS\Prefetch\6834421.EXE-285BC69B.pf
Deleted ! C:\WINDOWS\Prefetch\691734.EXE-32DC98C9.pf
Deleted ! C:\WINDOWS\Prefetch\708265.EXE-32BC4F53.pf
Deleted ! C:\WINDOWS\Prefetch\717234.EXE-14C45552.pf
Deleted ! C:\WINDOWS\Prefetch\731234.EXE-32513942.pf
Deleted ! C:\WINDOWS\Prefetch\759453.EXE-304F308D.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-2554840C.pf
Deleted ! C:\WINDOWS\Prefetch\KEYGEN.EXE-125127FA.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\SALON.IRIS.7.1.4-PATCH.EXE-39B13976.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-194E3FFA.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! C:\WINDOWS\system32\drivers\down
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\data.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\flec006.exe"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\list.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers\downld"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\drivers"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m\shared"
Deleted ! "C:\Documents and Settings\utente\Dati applicazioni\m"

################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\keygen
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-583907252-562591055-682003330-1003\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-583907252-562591055-682003330-1003\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

Deleted ! C:\Avenger

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\utente\Dati applicazioni\drivers\winupgro.exe
CRC32 .. : 45e8db58
MD5 .... : b33e5fc671d9c53698a4eeaca3460e1b

Deleted ! : C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
# Taille : 847872 # MD5 : B33E5FC671D9C53698A4EEACA3460E1B


################## [ Corrupted files # Re-Installation required ]

C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.729 ! ]

se apro su n antivirus mi da ancora non è un'applicazione win32 valida", che faccio? devo rinstallare i programmi corrotti?
grazie

[thedead]

nel task manager cè winlogon.exe non so se è sempre bagle

[gioia271965]

nel task manager cè winlogon.exe non so se è sempre bagle

Si tratta di un processo di Windows assolutamente legittimo. Sempre che si trovi in c/Windows/System32.

[thedead]

ma dal log findykill ha cancellato bagle???Sono apposto?! Adesso devo riinstallare gli antivirus??? Grazie

[crazy.cat]

Adesso devi reinstallare i vari programmi di sicurezza perché sono stati danneggiati
################## [ Corrupted files # Re-Installation required ]
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

Lascia perdere ad-aware, non ne vale la pena.

Il bagle dovrebbe essere stato rimosso completamente.
Riscarica i file di installazione dai siti ufficiali.

[thedead]

Perfetto grazie mille crazy.cat e grazie a MegaLab per l'ottimo servizio che offrite

[gabry87]

Ciao....anche io penso di aver avuto lo stesso problema....
Ieri avevo scaricato un file su emule, dopo averlo scansionato con nod32 ed essere risultato pulito, l'ho aperto e subito dopo si è riavviato il pc.
Una volta riacceso non funzionavano più nod32 e neanche spybot dicendomi come errore "non è un'applicazione di Win32 valida". Le icone in basso a dx non c'erano più, e non funzionava neanche la modalità provvisoria....ma almeno internet funzionava.
Cosi ho scaricato Findykill ed utilizzato 2 volte per essere sicuro...Stamattina l'ho fatto partire un'altra volta, e poi ho riavviato facendolo partire in modalità provvisoria (che ritornava nel frattempo a funzionare). A quel punto ho fatto una scansione con kaspersky removal tool anche se praticamente non ha trovato niente...a parte un file.
infine sono andato nelle chiavi di registro per cercare quelle indicate dalla guida da eliminare....anche se a dir la verità l'unica cosa che c'era e che quindi ho eliminato è stata:
11. %appdata%\drivers
12. %appdata%\drivers\downld
Tutto il resto non c'era...
Ho fatto partire Bagle_Restore...
Ho scaricato nuovamente spybot, istallato e fatto partire e mi ha eliminato un paio di cose, anche se teatimer non mi è partito perché diceva la solita cosa "non è un'applicazione di Win32 valida". Le icone in basso a dx ancora non ci sono...
Che altro devo fare?

[gabry87]

Ah...questo è il log della ricerca effettuata con findykill in modalità provvisoria prima di aver fatto partire kaspersky:

############################## [ FindyKill V4.729 ]

# User : user () # PC-01
# Update on 19/05/09 by Chiquitine29
# Start at: 9.21.36 | 20/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Sistema Antivirus NOD32 2.70 2.70 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 74,5 Go (27,4 Go free) [XP] # NTFS
# D:\ # Disco rimovibile
# E:\ # Disco rimovibile
# F:\ # Disco rimovibile
# G:\ # Disco CD-ROM
# H:\ # Disco CD-ROM
# I:\ # Disco rigido locale # 74,52 Go (23,14 Go free) # NTFS
# J:\ # Disco rimovibile
# K:\ # Disco rimovibile
# L:\ # Disco CD-ROM

############################## [ Active Processes ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders ]


################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft


################## [ Searching in removable drives ]


################## [ Registry / Mountpoints2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.729 ! ]

[crazy.cat]

Ah...questo è il log della ricerca effettuata con findykill in modalità provvisoria prima di aver fatto partire kaspersky:

Rifai findykill adesso e dalla modalità normale, poi prova anche combofix e se non basta malwarebytes.

[gabry87]

ho istallato nod32 e fatto la scansione: trovati 17 file infetti.
Ho riavviato e ho notato che è ripartito anche teatimer.
Ho fatto una nuova ricerca con fidykill e mi ha dato questo

############################## [ FindyKill V4.729 ]

# User : user (Administrators) # PC-01
# Update on 19/05/09 by Chiquitine29
# Start at: 16.35.34 | 20/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 74,5 Go (31,27 Go free) [XP] # NTFS
# D:\ # Disco rimovibile
# E:\ # Disco rimovibile
# F:\ # Disco rimovibile
# G:\ # Disco CD-ROM
# H:\ # Disco CD-ROM
# I:\ # Disco rigido locale # 74,52 Go (18,58 Go free) # NTFS
# J:\ # Disco rimovibile
# K:\ # Disco rimovibile
# L:\ # Disco CD-ROM

############################## [ Active Processes ]

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\ntvdm.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\system32\rundll32.exe
I:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
I:\Programmi\HP\HP Software Update\HPWuSchd2.exe
I:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\Java\jre6\bin\jusched.exe
I:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\WINDOWS\system32\ctfmon.exe
I:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
I:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
I:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
I:\Programmi\Java\jre6\bin\jqs.exe
I:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
I:\WINDOWS\system32\HPZipm12.exe
I:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\WINDOWS\SYSTEM32\WOWEXEC.EXE

################## [ Infected Files / Folders ]


################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft


################## [ Searching in removable drives ]


################## [ Registry / Mountpoints2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.729 ! ]

cosa dici di fare con questi 2??
Found ! HKEY_USERS\S-1-5-21-796845957-412668190-725345543-1004\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\bisoft
dici di eliminarli io manualmente?

[crazy.cat]

Elimina pure, ci pensa findykill o fallo manualmente.