Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

virus bagle Opzioni
stefanofragliasso10
Inviato: Wednesday, January 06, 2010 9:42:08 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
questa è la ricerca dei file sospetti con finkill

############################## | FindyKill V5.023 |

# User : Stefano (Users) # MARIA-9D7CCB16B
# Update on 31/12/2009 by El Desaparecido
# Start at: 14.33.52 | 06/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 14,65 Go (4,81 Go free) # NTFS
# D:\ # Disco rigido locale # 61,67 Go (39,74 Go free) # NTFS
# E:\ # Disco CD-ROM

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\wov\WheelsOfVolume\WheelsOfVolume.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wscntfy.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Stefano\Dati applicazioni |


################## | Temporary Internet Files |


################## | Registry / Infected keys |


################## | State / Service / Information |

# Showing of hidden files : OK

# Safe boot mode : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |

"D:\My Downloads\[PC GAME ITA] - ROME TOTAL WAR [TNT VILLAGE]\rome total war\Crack\RomeTW.exe"
25/09/2004 01.01 |Size 8884224 |Crc32 55ae300d |Md5 3667a1484937fe9ce12bff32b0c749f7

"D:\Programmi\SpeederXP Speeder Xp v 1.60 + 1.80\SpeederXp v1.60+KG's\KeyGens\KeyGen TSZ\Keygen.exe"
11/02/2003 12.03 |Size 11968 |Crc32 be170902 |Md5 a9f65b55c73709e4e81b22735f9459ca

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\Base\TSBin\Sims2.exe"
03/12/2007 16.06 |Size 5352448 |Crc32 67452165 |Md5 2b6380e8fdc025197289109bed14854d

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\EP2\TSBin\Sims2EP2.exe"
03/12/2007 16.06 |Size 5723648 |Crc32 6b305f6c |Md5 25f62c6608cb0ea6f5c4303143e1318f


################## | End of Report # FindyKill V5.023 ! |

stefanofragliasso10
Inviato: Wednesday, January 06, 2010 9:42:51 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
mentre questa è la cancellazione dei file sospetti

############################## | FindyKill V5.023 |

# User : Stefano (Users) # MARIA-9D7CCB16B
# Update on 31/12/2009 by El Desaparecido
# Start at: 14.44.38 | 06/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Sempron(tm) Processor 2800+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 14,65 Go (4,85 Go free) # NTFS
# D:\ # Disco rigido locale # 61,67 Go (39,74 Go free) # NTFS
# E:\ # Disco CD-ROM

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |

Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Stefano\Dati applicazioni |


################## | Other deleting ... |

################## | Temporary Internet Files |


################## | Registry / Infected keys |


################## | State / Service / Information |

# Safe boot mode : OK


# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |

Corrupted : C:\Programmi\Alwil Software\Avast4\ashAvast.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashChest.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashDisp.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashLogV.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashPopWz.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashQuick.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashServ.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashSimp2.exe
[Offset = 0000011C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
[Offset = 00000124 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashSkPcc.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashSkPck.exe
[Offset = 00000114 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashUpd.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
[Offset = 00000114 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\aswRegSvr.exe
[Offset = 000000D4 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
[Offset = 00000114 - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\sched.exe
[Offset = 000000FC - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\VisthLic.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Programmi\Alwil Software\Avast4\VisthUpd.exe
[Offset = 000000F4 - Value = 0x0001]


################## | Cracks / Keygens / Serials |

"D:\My Downloads\[PC GAME ITA] - ROME TOTAL WAR [TNT VILLAGE]\rome total war\Crack\RomeTW.exe"
25/09/2004 01.01 |Size 8884224 |Crc32 55ae300d |Md5 3667a1484937fe9ce12bff32b0c749f7

"D:\Programmi\SpeederXP Speeder Xp v 1.60 + 1.80\SpeederXp v1.60+KG's\KeyGens\KeyGen TSZ\Keygen.exe"
11/02/2003 12.03 |Size 11968 |Crc32 be170902 |Md5 a9f65b55c73709e4e81b22735f9459ca

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\Base\TSBin\Sims2.exe"
03/12/2007 16.06 |Size 5352448 |Crc32 67452165 |Md5 2b6380e8fdc025197289109bed14854d

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\EP2\TSBin\Sims2EP2.exe"
03/12/2007 16.06 |Size 5723648 |Crc32 6b305f6c |Md5 25f62c6608cb0ea6f5c4303143e1318f


################## | End of Report # FindyKill V5.023 ! |

stefanofragliasso10
Inviato: Wednesday, January 06, 2010 9:44:53 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
poi dopo questi passaggi ho fatto una scnsione completa con norman,poi dopo norman ho eseguito la scansione con superantispywer e ora so facendo una scnsione con cclearn sperando che vada tutto bene
stefanofragliasso10
Inviato: Wednesday, January 06, 2010 9:48:59 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
poi ne devo fare un'altra con hijack...e credo che per oggi di scansioni basta così
stefanofragliasso10
Inviato: Wednesday, January 06, 2010 9:50:56 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
comunque devo un grazie a paolo che mi ha formito davvero una buonissima guida
grazie di tutto e speriamo x il meglio
r16
Inviato: Wednesday, January 06, 2010 10:02:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Lascia perdere Norman.
Disistalla Avast! ( è danneggiato)
In seguito, se sei d'accordo, si può installare un'altro antivirus più valido.
Esegui questa scansione:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Questi Crack, dovresti eliminarli:
Code:
D:\My Downloads\[PC GAME ITA] - ROME TOTAL WAR [TNT VILLAGE]\rome total war\Crack\RomeTW.exe"
25/09/2004 01.01 |Size 8884224 |Crc32 55ae300d |Md5 3667a1484937fe9ce12bff32b0c749f7

"D:\Programmi\SpeederXP Speeder Xp v 1.60 + 1.80\SpeederXp v1.60+KG's\KeyGens\KeyGen TSZ\Keygen.exe"
11/02/2003 12.03 |Size 11968 |Crc32 be170902 |Md5 a9f65b55c73709e4e81b22735f9459ca

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\Base\TSBin\Sims2.exe"
03/12/2007 16.06 |Size 5352448 |Crc32 67452165 |Md5 2b6380e8fdc025197289109bed14854d

"D:\RECYCLER\S-1-5-21-861567501-1682526488-1417001333-1007\Dd1\crack\EP2\TSBin\Sims2EP2.exe"
03/12/2007 16.06 |Size 5723648 |Crc32 6b305f6c |Md5 25f62c6608cb0ea6f5c4303143e1318f

stefanofragliasso10
Inviato: Wednesday, January 06, 2010 10:08:39 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
grazie r16 per il tuo intervento...grazie mille devo anche dire di aver risolto il problema....per ora...soerando che non rispunti dinuovo...grazie a tutti
r16
Inviato: Wednesday, January 06, 2010 10:15:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Io ti avverto, poi vedi tu....
Anche se il pc , ti sembra vada bene, è opportuno completare la bonifica.
Alle volte, con il Beagle, restano dei "rimasugli" che riattivano l'infezione.
E ricominci da capo.
paolopa
Inviato: Thursday, January 07, 2010 8:59:01 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@stefanofragliasso10:se vuoi dar retta ad un consiglio spassionato segui le indicazioni che ti sono state date,una guida,per quanto ben fatta,non puo' tener conto di troppe "varie ed eventuali",e dell evoluzione costante di virus e infezioni varie.hai la fortuna di essere assistito da una persona competente,ma se non segui i suoi consigli ti troverai presto punto e a capo.poi fai un po come credi.
monsee
Inviato: Thursday, January 07, 2010 11:55:27 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Non posso che associarmi a quel che ha scritto Paolo: il fatto che tu abbia l'impressione che ogni cosa sia risolta NON sta a significare che le cose stian così. Di fatto, non si può negare che le voci indicate da r16 sembrino dimostrare che, invece, il problema (benché, a tutti gli effetti, lo sembri) non è ancora risolto (si può risolvere, magari, ma serve un altro sforzo)...
stefanofragliasso10
Inviato: Thursday, January 07, 2010 4:17:20 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
rispondo dicendo che si è vero che ho completato la disinfettazione ma è anche vero che continuerò a fare dei controlli...tutto sommato per ora il pc va bene e se così non fosse spero solo di contare su di voi....a proposito all'avvio di windows alla schermata precedente a quella della scelta degli account, va un po lento nel caricamento....rimane soffermato per un po sulla scritta "avvio di windows" cosa posso fare?
paolopa
Inviato: Thursday, January 07, 2010 4:37:26 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
quello che ti ha suggerito r16!
stefanofragliasso10
Inviato: Thursday, January 07, 2010 4:43:05 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
ricominciare tutto da capo?a questo punto formatto?che ne pensate
paolopa
Inviato: Thursday, January 07, 2010 4:55:48 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
devi fare solo una scansione con combofix,come ti ha indicato,ed eliminare i crack,altrimenti non ne verrai fuori.le istruzioni per combofix sono poco sopra.
stefanofragliasso10
Inviato: Thursday, January 07, 2010 5:00:07 PM
Rank: AiutAmico

Iscritto dal : 1/6/2010
Posts: 37
si gia l' ho fatta la scansione con combofix...in pratica alla fine della ricerca di findkill è partito da solo combofix e mi ha cancellato i crack... e gli altri restanti cioè giochi ecc li ho eliminati manualmente svuotando poi il cestino
paolopa
Inviato: Thursday, January 07, 2010 5:24:12 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
se ti ha chiesto di vedere il log stai tranquillo che un motivo c è,e stai certo che sa che cosa succede con findkill.poi,ti ripeto,fai un po tu....
gracius
Inviato: Monday, December 06, 2010 9:56:23 PM
Rank: Newbie

Iscritto dal : 12/6/2010
Posts: 3
Salve sono nuovo del forum, e in data 4 dicembre 2012 ho preso una bella infezione da Bagle...ora, i sintomi che riscontro sono gli stessi descritti su tutti i forum che ho spulciato in questi 3 giorni (no antivirus attivi, no scheda audio, no modalità provvisoria, ecc...), ho seguito circa una diecina di guide (compresa la vostra), ma senza successo...Il problerma fondamentale, è che il virus non solo mi blocca l'antivirus (AVG Business Edition 2011), ma mi blocca l'avvio di qualsiasi file exe; ne consegue quindi che tutti i tool reperibili on-line (eccetto EliBagle e Baglegui, che restano cmq inutili in quanto mi avvisano e basta della presenza ma non rimuovono nulla, almeno nel mio caso), non possono essere installati/disinstallati o eseguiti...Io francamente non sò più da che parte farmi: non posso formattare perchè ho progetti di lavoro troppo grandi da backuppare e/o spostare in un hd esterno, e francamente ho delle scadenze di lavoro che non mi possono permettere di perdere ulteriore tempo dietro a questo cavolo di virus....se qualcuno può aiutarmi mi farebbe un enorme favore, premetto però che l'unico log che posso postare o fornire è quello di EliBagle: sfortunatamente stò cavolo di bagle non mi fà installare FindyKill , per cui no-FindyKill, no-Log relativo. Se riuscissi almeno ad avviare la macchina in modalità provvissoria sarebbe un gran successo, ma non c'è verso neppure di fare quello, dato che dopo la scansione di EliBagle, faccio riavviare la macchina, e appena scelgo la modalità provvisoria (qualunque delle 3 è irrilevante, dato che le ho provate tutte e tre) la macchina si riavvia e si riporta nel menù di scelta della modalità provvisoria.
r16
Inviato: Monday, December 06, 2010 10:37:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
@gracius
Apri un topic tutto tuo.
Spiega meglio che puoi il problema.
Sarà più semplice aiutarti.
Intanto prova a ripristinare la Modalità provvisoria con questa Utility:
Salvala sul Desktop.
http://wikisend.com/download/563082/utility.zip
Scompatta la cartella.
Nell'elenco di voci, clicca su "Restore SafeBoot".
Riavvia il pc e prova a vedere se funziona.
Il risultato scrivilo nel nuovo topic che aprirai.
gracius
Inviato: Monday, December 06, 2010 11:39:17 PM
Rank: Newbie

Iscritto dal : 12/6/2010
Posts: 3
Grazie, appena riesco a ripristinare "winzozz" provo subito questa opzione che mi hai consigliato, dato che adesso Windows s'è impallato: dopo l'ultimo scan di EliBagle si è riavviato in automatico, e dopo aver caricato il bios, mi chiede di scegliere se partire in modalità provvisoria o normale, e anche in modalità normale non si avvia....Appena sono in grado di rimetterlo in piedi in maniera decente, apro un topic con la descrizione dettagliata di quello che è successo.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.