Worm Bagle, infettato

**LucaALLCLEAR** · 12-03-2010 20:59

Salve a tutti, Sono nuovo del forum e voglio ringraziare in anticipo chiunque mi aiuterà.
Credo di essere stato infettato dal worm bagle..
I sintomi sono:
- Scheda audio non funzionante dopo 10 secondi del caricamento del desktop all'avvio del PC..
- Quando tento di aprire Avira mi esce un messaggio con scritto che Avira non è un applicazione di Win32 valida
- L'installazione di Avira da errori e non si conclude
- L'installazione di AVG sparisce da sola prima di iniziare.. XD
- Kaspersky si è volatilizzato.. O.o
- Msn mi ignora completamente e si comporta come se io non ci fossi.. XDXD
- Non posso utilizzare i punti di ripristino

Cercando un po' su internet mi sono imbattuto in questo forum e allora mi sono scaricato combofix e ho fatto la scansione...

Riporto in allegato il file log..

Cosa devo fare ora?

Grazie in anticipo..

**LucaALLCLEAR** · 12-03-2010 22:38

Sono sempre io..
Ho eseguito una scansione rapida con malwarebytes antimalware e riporto il file log..
Ho eliminato i file infetti..
Gli antivirus non funzionano ancora.. non si disinstallano e non si installano..

Nota: Al riavvio del PC, dopo il termine della scansione di antimalware non funzionavano più i browser (IE,mozilla e anche chrome) non si disinstallavano e non si installavano.. il pannello di controllo non si apriva più... antimalware non funzionava più e si bloccava prima di iniziare la scansione..

Al secondo riavvio del PC ( stavolta col bottoncino del case) ho notato delle strane finestre in stile Win32 ma non sono riuscito a leggere perchè sono sparite subito. antimalware funziona ancora e crhome funziona ( per adesso ho controllato solo quello)

**R16** · 12-03-2010 22:52

Buonasera
Elimina quello che ha trovato Malwarebytes, cliccando "Rimuovi selezionati".

Scarica Findykill:
http://pagesperso-orange.fr/NosTools...ne29/Setup.exe
installa FindyKill .
chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
disconnettiti da Internet
sconnetti, fisicamente, il modem dal computer.
avvia il tool e digita F per impostare la lingua;
clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)
al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop, e postalo qui , con le solite modalità

**LucaALLCLEAR** · 13-03-2010 12:12

Inanzitutto grazie mille per aver risposto.
Devo premettere che prima di usare findykill sono riuscito finalm,ente ad installare Avira e la scheda audio a riiniziato a funzionare.
Ho fatto come ha detto solamente che prima di fare l'eliminazione (2) ho fatto anche la ricerca (1).
La ricerca mi ha salvato un file di testo Fyk sul disco C.
Ma l'eliminazione non mi ha lasciato niente...
Ho lasciato fare il PC senza stare a tenerlo d'occhio perchè è stata un operazione lunga e alla fine si è avviato il PC e non mi è uscita nessuna notifica di nessun log.
Ho ripetutto l'operazione, stavolta anche con una chiavetta che USB che avevo usato in sti giorni.
Ancora nessun log.

Nota: All'avvio del PC compare un messaggio di nome DTProAgent con scritto: This program requires at least windows 2000 with SPTD 1.45 or higher. Kernel debugger must be deactivated.

Allego il file Fyk con la speranza che possa servirvi.

**R16** · 13-03-2010 12:27

Buongiorno.
Il log è quello, ma è incompleto.
Con questo tipo di infezione, tutti i vari software che non funzionano, bisogna disistallarli, in quanto danneggiati, e reistallarli.
Naturalmente, bisogna anche eliminare il Crack, che probabilmente hai scaricato dai P2P, e svuotare il cestino.
Fai questa scansione:
Scarica Elibagla:
EliBagla 13.70
Clicca in fondo alla pagina "Descargar Elibagla".
clicca sulla icona di Elibagla per avviare il tool
spunta la voce Eliminar ficheros automaticamente
clicca su Explorar
lascia completare la scansione.
al termine dell'operazione verrà rilasciato un log in Disco Locale C: dal nome InfoSat.txt
Postalo qui.

**LucaALLCLEAR** · 13-03-2010 13:39

Ho eseguito la scansione dei ficheros ( che non ho ancora capito bene cosa sono) e ne ha trovato e rimossi 3 infetti.
Allego il file Infostat.txt

Nota: In concomitanza con la scansione dei ficheros Antivir Guard mi ha segnalato che sono stati trovati numerosi file dannosi e si chiamavano tutti o Worm/Bagle.Gen oppure Tyrcript.exe (o qualcosa di simile) La maggiorparte dei file infetti avevano tutti un nome numerico.. ( es. 128459, 456128, etc. etc. )
Ho notato che antivir guard li trovava solo quando Elibagla li stava scansionando.
Ho proceduto a eliminarli tutti.

**R16** · 13-03-2010 13:49

Buongiorno.
Mi servirebbe tanto, il log completo di FindKill.
Puoi eliminare il tooll EliBagle.
Fai una nuova scansione con Combofix, e posta il log.
Non dovesse funzionare, lo disistalli, e lo reistalli.
Attenzione, a NON postare lo stesso log della prima scansione.

**LucaALLCLEAR** · 13-03-2010 14:43

Ecco qui il log della secoda scansione di combofix.

Con finfykill ho eseguito l'eliminazione 2 volte e non ho trovato nessun log.
L'unico che ho si è creato con l'analisi (1).
Rifaccio l'analisi sperando in un log completo?

Nota: Alla fine della scansione ho dovuto far ripartire explorer attraverso il tasm manager>nuova operazione.
Nota: i file dannosi numerici di cui parlavo prima si trovavano tutti ( o quasi ) nella cartella Qoobox in C.

**R16** · 13-03-2010 15:03

Buongiorno.
Apri un file di testo con il Block Note sul Desktop
Incollaci il codice che vedi qui sotto, e salvi il file di testo, con il nome CFScript.txt (estensione .txt)

E lo trascini sull'icona di Combofix.
Posta il log che verrà rilasciato, a fine scansione.

**LucaALLCLEAR** · 13-03-2010 19:10

Ecco il file log.

**R16** · 13-03-2010 20:24

Buonasera.
Riferisci i problemi che riscontri.
Poi posta un log di hijackthis.
[Guida] HiJackThis: come creare e allegare il log

**LucaALLCLEAR** · 13-03-2010 21:34

Per adesso noto solo uno strano messaggio all'avvio del PC di nome DTProAgent e dice : This program requires at least windows 2000 with SPTD 1.45 or higher. Kernel debugger must be deactivated.
Però mezz'ora fa con una breve scansione sulla cartella incoming di emule ho trovato ancora un worm Bagle..
Inoltre durante la scansione con hijackthis mi sono uscite due notifiche di errori uguali.
Allego l'immagine della notifica.

**LucaALLCLEAR** · 13-03-2010 21:40

Allego il log di hijackthis.

**R16** · 13-03-2010 22:21

Buonasera.
Bisognerebbe sapere a quale programma si riferisce quel messaggio:

Questo programma richiede almeno Windows 2000 con SPTD 1,45 o superiore. Debugger del kernel deve essere disattivato.

Se nella cartella incoming di emule , trovi ancora, file o cartelle con il Beagle, eliminale.
Hai continuato a scaricare file da E-Mule?
Hai eliminato hijackthis, e hai fatto, una nuova installazione?

Dovresti aggiornare il Sistema Operativo, al SP3:
Dettagli download: Pacchetto di installazione di rete di Windows XP Service Pack 3 per sviluppatori e professionisti IT

E aggiornare IE:
Dettagli download: Windows Internet Explorer 8 per Windows XP

Da "Installazione Applicazioni" disistalla tutte le versioni Java che trovi, e installa l'ultima versione:
Download gratuito del software Java - Sun Microsystems

Queste operazioni, sono necessarie, per avere un minimo di protezione.

Per eliminare Combofix, e fare un pò di pulizia segui queste indicazioni:
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

**LucaALLCLEAR** · 14-03-2010 14:43

Ho disinstallato tutte le versioni di java e ho installato quella nuova..
Non installo l'SP3 perchè non funziona bene con alcuni programmi per per l'home recording.
Però ieri era in preda al panico perchè ho ancora visto malfunzionamenti (in quanto aprendo IE mi si sono aperte infinite finestre fino al blocco del programma.. ) ho tentato di disinstallare IE credendo fosse un programma come tutti gli altri.. e quando non ho trovato la disinstallazione come a volte succede ho cancellato la cartella in programmi. L'unico problema è che ade non si può installare IE8. ad un certo punto dell'installazione mi chiede di scaricare alcune file, mi sembra che servano per ripristainare il tutto ma mi dice che è impossibile accedere al browser predefinito (IE) L'unico problema è che IE non è il mio browser predefinito.
Ad ogni avvio di firefox lo imposto come predefinito ma ad ogni avvio me lo richiede come se non fosse il predefinito.
Sono anche andato su avvio>impostazioni accesso ai programmi e ho messo mozilla firefox come predefinito. Però la storia non cambia.
Scusate per la mia imcompetenza.

C'è qualcosa che potrei fare?
Se riinstallo windows XP da capo perdo i file che ho nel PC?

Discussione: Worm Bagle, infettato

LinkBack

Strumenti Discussione

Valuta Questa Discussione

Visualizzazione

Worm Bagle, infettato

anti-malware

é questo il log?

Ancora worm

Informazioni Discussione

Utenti che Stanno Visualizzando Questa Discussione

Discussioni Simili

infettato con HACKTOOL.ROOTKIT!!!

Windows 7: bagle nel sistema!!!

aiuto rimozione bagle

Worm Bagle

mi ha infettato un rootkit???

[Risolto] Pulizia dopo rimozione Bagle

Virus Bagle Aiuto

infettato da spyware

Infettato da virus e/o spyware cosa fare?

Credo che mi si sia infettato il pc

Vista infettato da un virus di 13 anni fa

Worm.Bagle e Win Vista!!! Help!!!

worm bagle

Pc infettato da un trojan

file infettato

Tag per Questa Discussione

Permessi di Scrittura