Prima di tutto un saluto al forum, mi sono appena iscritto per tentare di risolvere il mio problema con questo dannato virus che mi sta facendo impazzire.
Cronologicamente ho agito così;
-scansione con mbam, log: http://www.wikisend.com/download/780652/malwarebytes
-scansione con combofix, log: http://wikisend.com/download/467300/combofixlog.txt
-scansione con prevx3.0, log: http://wikisend.com/download/518406/prevx3.0

Di seguito ho eseguito il removal tool di kaspersky che ha dato come risultato:win32.bagle.ceu.
Di questa scansione non ho il log perchè dopo avere cancellato gli elementi malevoli kaspersky ha riavviato il pc automaticamente ed io sono soltanto riuscito a leggere di che infezione si trattasse.

Oggi, dopo varii tentativi, sono riuscito a fare uno scanning con elibagla.
Preciso che nella scansione è comparso l'avviso "accesso negato" a queste due cartelle:

c:\documents and settings\mionome\impostazioni locali\dati applicazioni\microsoft\cardspace(8210)
c:\programmi\adobe\reader8.0\resource\cmap(16)

Questo è il log: http://www.wikisend.com/download/442036/elibaglalog.

Dopo lo scanning con elibagla spengo e riaccendo e si apre il notepad con questo messaggio:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Tenete presente che ad ogni scansione con elibagla si riattiva il ripristino configurazione di sistema, precedentemente disattivato.

Che dire, proprio un bel ca***o!!!!

http://forum.zeusnews.com/viewtopic.php?t=42446
non sono un esperto,e sembra che il nostro maggior esperto sia sparito(sicuramente lo ha rapito qualche pirata informatico),prova a vedere se quel link ti puo' aiutare

Si può sapere che programma antivirus utilizzi?

Se non utilizzi un antivirus, il sistema ormai è compromesso ti conviene formattare e reinstallare tutto.

Se utilizzi un antivirus, disattiva il ripristino di configurazione, riavvia il sistema in modalità provvisora e fai una scansione antivirus completa.

---

alfonso_aiutamici@hotmail.it

La variante, pare sia abbastanza recente (F-Secure l'ha aggiunta al proprio database soltanto da due giorni, per esempio).

Prova, innanzitutto, a fare quanto segue (non servirà, magari, ma comunque è da fare):

1) disabilita il Ripristino configurazione di sistema;
2) aggiorna il tuo NOD32;
3) vai in Modalità Provvisoria;
4) giunto in Modalità Provvisoria, lancia in scansione il tuo NOD32;
5) dopo il termine della scansione, eliminate le eventuali voci infette trovate, controlla che il Ripristino configurazione di sistema sia sempre disabilitato; qualora non lo fosse, disabilitalo;
6) riavvia il computer.

Un'altra cosa che potresti provare a fare è di effettuare una scansione con l'Avira AntiVir RescueCD (clicca sul nome, per andare alla pagina di download della ISO e alle istruzioni d'uso).

Dopo di che, direi che restano da fare, per adesso, altre due cosette:

a) postare un bel LOG di HijackThis (fatto in Modalità Normale!) qui sul Forum;
b) aggiornare Malwarebytes' AntiMalware e poi fare una bella scansione per ricavare, anche da essa, un LOG: LOG che dovrai postare, poi, qui sul Forum.

Non mi pare che l'antiirus gli avesse detto del problema.
Ma questo può anche non valer più adesso: trattandosi di una variante che sta cominciando soltanto in queste ore ad essere inserita nei vari database, non è da escludersi che ora il NOD32, debitamente aggiornato, possa rilevare il "cattivone"...

Lo ha rilevato kaspersky removal tool, anche io ho visto che è stato appena aggiunto da F-SECURE, anzi ho scaricato stamattina un tool proprio dif-secure per la rimozione di tutte le varianti del virus bagle ma giunti ad un certo punto si blocca per un errore.
Pensate che in più di dieci anni non ho mai preso un virus e, nonostante sia piuttosto pratico di computer, non avevo mai effettuato tutte queste procedure prima.
Ma il fatto che mi fa girare i "cosidetti" è che avevo controllato il file rar all'interno del quale si annidava il virus, sia con nod che con mbam, che sempre mi aveva rilevato eventuali minacce.
Quando ho visto partire il programmino, in una lingua che doveva essere tailandese, coreana, cinese o simili ho detto...ADDIO!!!!

quoto assolutamente monsee:)

Ciao, scusate la mia intromissione, ma mi sorge una domanda, che senza pretesa nè offesa alcuna, mi pongo:
Nod32 è autentico o craccato?
Se è autentico perchè non provare a reinstallarlo completamente? Mi sembra dal log di Kaspesky che sia compromesso.

Ovviamente quoto in pieno i suggerimenti di A.Roselli e Monsee: a mali estremi, estremi rimedi: formattare o ritornare ad un'immagine precedente l'infezione.

Ne aprofitto per Augurare a Tutti gli Amici del forum:
BUON NATALE

.. mi sembrava....

Installa piuttosto un antivirus gratuito, ma crack keygen e quantaltro sono fonte di guai ed aggiungo anche cercati.

Ciao Monsee. (sono io che devo ringraziare te e tanti altri Amici che ho conosciuto qui)

Siamo qui tutti per aiutare ed io sono il primo ad averne bisogno e tu mi hai dato spesso delle dritte fantastiche anche soltanto leggendoti qui dentro.
Poi io credo sia importante mandare un messaggio importante a chi legge: meglio un buon free che un programma craccato che avrà sempre e comunque della feccia al suo interno.

Ancora tanti AUGURI.