Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

malware win32/bagle.gen!c

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

malware win32/bagle.gen!c

Postdi petsematary » 12/05/07 16:17

Aiuto ho preso un malware.Ho usato nod32 normalmente che in modalità provvisoria, ma non mi ha trovato nulla.Ho usato strumento di rimozione malware della microsoft mi ha trovato 9 infezioni, ma non riesce a eliminarli.Che cosa posso fare
Ho cercato come un matto su internet, ma non sono giunto a niente
Ringrazio chi mi illuminasse
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Sponsor
 

Postdi Samuamu » 12/05/07 17:46

Allora :

scarica Prevx1 da http://www.prevx.com (parte verde), lo installi, lo aggiorni e fai una bella scansione.

Posta poi un log aggiornato tramite Hijackthis.
Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (Einstein)
Samuamu
Utente Senior
 
Post: 377
Iscritto il: 18/12/06 12:44

Postdi edo_aol » 12/05/07 21:58

concordo con samumau ma oltre a prevx ce un altro pero free a-squared free.buono,leggero,efficiente.ciao e buona fortuna ;)
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi petsematary » 15/05/07 18:36

Ho scaricato Prevx1, ma non riesco ad attivarlo perchè dice che ho o un antivirus o un antispyware che va in conflitto.Io uso nod32, adaware e il firewall di xp.Ho cercato di andare sul sito della trendmicro per fare la scansione online, ma con opera non me la fa e con explorer non mi si connette neanche, forse è il virus che gli da fastidio.
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Samuamu » 15/05/07 19:26

disattiva prima il tuo antivirus e poi installa, aggiorna e fai la scansione mediante Prevx1...
Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (Einstein)
Samuamu
Utente Senior
 
Post: 377
Iscritto il: 18/12/06 12:44

Postdi Luke57 » 15/05/07 21:14

Ciao, scarica hijackthis_v2.exe das qui:
http://www.trendsecure.com/portal/en...ackThis_v2.exe
mettilo in una cartella permanente del disco fisso appositamente dedicata (no desktop), poi lo avvii, premi "do a system scan and save a log file", attendi che si apra un file di testo al cui interno viene elaborato un contenuto. Copi e incolli detto contenuto in un post.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 17/05/07 21:12

scusa l'ignoranza, ma io hijackthis_v2.exe non riesco a trovarlo.
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 18/05/07 08:25

petsematary ha scritto:scusa l'ignoranza, ma io hijackthis_v2.exe non riesco a trovarlo.

Ciao, è vero, vai qui:
http://www.trendsecure.com/portal/en-US ... his_v2.exe
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 18/05/07 10:21

scusate se ci metto un pò di tempo prima di rispondere, ma non riesco più neanche a connettermi, la posta (office outloock) è andata da un pezzo. :cry:
Appena posso provo ad andare dove mi hai detto (luke 57)
Ciao
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi petsematary » 18/05/07 19:07

è così che dicevi?oltre ad aiutarmi a risolvere il mio problema, e di questo ti ringrazio moltissimo, mi potresti spiegare a che serve questo programma?



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.59.13, on 18/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\Hijacthis\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28298447-EA95-417C-A9FB-6C99221CFCB2}: NameServer = 85.37.17.57 85.38.28.80
O17 - HKLM\System\CS1\Services\Tcpip\..\{28298447-EA95-417C-A9FB-6C99221CFCB2}: NameServer = 85.37.17.57 85.38.28.80
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Personal Firewall\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programmi\Prevx1\PXAgent.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7697 bytes
*********************************************************** :aaah
sono riuscito ad installare spybot serch & destroy, ma non riesco a trovare gli aggiornamenti perchè mi da questo errore:
Errore di ricezione del file con le informazioni di aggiornamento!
Socket error #10061 connection refused
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 19/05/07 08:07

Ciao, effettua una scansione on-line con Panda
http://www.nanoscan.com/as/v1/principal.aspx
Metti il puntino nella casella "Full Scan" e clicca su "Scan Now"
Adesso visualizzerai la licenza, clicca su "I Accept"
Installa l'Active X che ti servirà per il coretto funzionamento della scansione, quando ti esce la finestra clicca su "Installa"
Attendi la fine dell'installazione del software e delle firme virali
Inizierà la scansione, finita la scansione, clicca sul pulsante "Save" , salvi il log e poi lo incolli in un post.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 19/05/07 18:57

TotalScan for Firefox... Almost there!
Ho fatto come hai detto, ho messo un puntino nella casella "full Scan" e cliccato su "scan now", ma invece della licenza mi si apre una pagina con scritto:
We aimed to have TotalScan ready for Firefox in April, but we are just a bit behind schedule. Anyway, it is currently undergoing internal quality testing and we expect it to be ready in just a few days.

So don?t worry, you won?t have to wait too long before you can use TotalScan in Firefox!

Meanwhile, if you have Firefox and don't want to open Internet Explorer, here is a temporary workaround:

Install the IE Tab extension for opening Microsoft Internet Explorer tabs in Firefox.

Download IE Tab

che cosa devo fare?
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 19/05/07 19:14

Ciao, ti dice che con firefox non è ancora possibile, però ti dà la possibilità di installare una estensione per IE in firefox, se non vuoi utilizzare direttamente il browser, in modo da poter fare la scansione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 20/05/07 00:10

ho installato i seguenti browser: mozzilla firefox, maxthon,explorer, ma mi dice connessione fallita quindi non posso fare la scansione on-line.l'unico che funziona è opera, ma la scansione on-line non me l'ha mai fatta fare.ho scaricato l'estensione per IE, ma mi chiede con quale programma lo devo aprire.a questo punto devo formattare?
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 20/05/07 10:23

Ciao, vai in questo link:
http://w13.easy-share.com/1078916.html
Inserisci il numero di controllo e premi getfile.
Salvi il file .zip ed estrai l’eseguibile (.exe) nel desktop.
Lo avvii, con le applicazioni chiuse e antivirus disattivato, metti la spunta a tutte le voci e premi "Scan".
Lasci completare la scansione e, al termine, troverai un file, report.txt, nella cartella C:\suspectfile
E’ troppo lungo per incollarlo in un post, allora vai su
http://www.easy-share.com
premi sfoglia, individui il file report.txt e lo carichi nel sito premendo Upload.
Poi metti in un post il link per scaricarlo e poterlo vedere, solo quello per scaricarlo, il primo , non quello per eliminarlo dal sito di hosting.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 20/05/07 17:38

scusa, ma non avendo capito quale link dovevo metterti, li metto tutti:
File: report.txt
Size: 238 KB

Download url:
file url: http://w13.easy-share.com/1107089.html
html code <a target="_blank" href="http://w13.easy-share.com/1107089.html">download</a>
bb code download
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 20/05/07 19:14

petsematary ha scritto:scusa, ma non avendo capito quale link dovevo metterti, li metto tutti:
File: report.txt
Size: 238 KB

Download url:
file url: http://w13.easy-share.com/1107089.html
html code <a target="_blank" href="http://w13.easy-share.com/1107089.html">download</a>
bb code download

Ciao, è illeggibile, se ti ha dato due report, prova a metterci quello zippato, altrimenti rifai la scansione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 21/05/07 17:33

File: 20_05_2007_12_58_report.zip
Size: 32 KB

Download url: file url: http://w13.easy-share.com/1111494.html


html code <a target="_blank" href="http://w13.easy-share.com/1111494.html">download</a>


bb code download
dimmi se va bene, altrimenti rifaccio la scansione
ciao
N.B.
file zippato
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Postdi Luke57 » 21/05/07 19:43

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctrl+v)le scritte in neretto:


files to delete:
C:\WINDOWS\system32\ide21201.vxd
C:\WINDOWS\System32\PATCHER.EXE


folders to delete:
C:\WINDOWS\system32\appmgmt



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il report di Avenger (C:/avenger.txt)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi petsematary » 24/05/07 08:31

questo è quello che è venuto fuori:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvedhawr

*******************

Script file located at: \??\C:\dgldsqlv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ide21201.vxd deleted successfully.
File C:\WINDOWS\System32\PATCHER.EXE deleted successfully.
Folder C:\WINDOWS\system32\appmgmt deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ancora non riesco ad andare su internet e non riesco ad aggiornare spybot, quindi ancora ho il malware?
ciao
petsematary
Utente Senior
 
Post: 157
Iscritto il: 12/03/06 17:32

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "malware win32/bagle.gen!c":

Aiuto Malware
Autore: Stecco
Forum: Sicurezza e Privacy
Risposte: 24
Aiuto Malware
Autore: Stecco
Forum: Sicurezza e Privacy
Risposte: 0
malware log
Autore: rino86
Forum: Sicurezza e Privacy
Risposte: 7
Malware Chromium
Autore: wayward
Forum: Sicurezza e Privacy
Risposte: 9

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti