holzbau
00mercoledì 6 agosto 2008 17:18
chi mi sa dire se Bagle è un virus? da dove arriva e sopratutto il metodo più semplice per toglierlo...
problemi riscontrati
- impossibilità di far partire nod32 e/o avast
- problemi con scheda audio ( noto che dopo aver fatto girare ad-aware e riavviato il pc la scheda funziona altrimenti no, non ne sono sicuro della causa)
Grazie a chi lascia info utili
boyuniversity
00mercoledì 6 agosto 2008 17:35
è un virus davvero tosto che ho levato ad un mio amico un paio di settimane fa,a lui aveva disattivato antivirus centro di sicurezza e task manager in più non caricava più nulla
ora segui questa
guida e fammi sapere
holzbau
00giovedì 7 agosto 2008 14:23
per ora ho provato ma non ne ho ricavato alcun che:
- l'antivirus non parte, ho provato ad installarne di diversi tipi,
- la scheda audio x ora va...
- credo che riformattando tutto torni ok
mi confermate??
grazie
=telemann=
00giovedì 7 agosto 2008 14:46
Re:
boyuniversity, 06/08/2008 17.35:
è un virus davvero tosto che ho levato ad un mio amico un paio di settimane fa,a lui aveva disattivato antivirus centro di sicurezza e task manager in più non caricava più nulla
ora segui questa
guida e fammi sapere
L'ho beccato anch'io, infatti sia Kerio che Kaspersky erano inattivi.
Ho seguito la guida che ha indicato Boy ed ho risolto
Grazie Boy.
Però, forse, era una versione meno virulenta, perchè a parte kerio e kaspersky tutto il resto funzionava.
boyuniversity
00giovedì 7 agosto 2008 16:53
Re:
holzbau, 07/08/2008 14.23:
per ora ho provato ma non ne ho ricavato alcun che:
- l'antivirus non parte, ho provato ad installarne di diversi tipi,
- la scheda audio x ora va...
- credo che riformattando tutto torni ok
mi confermate??
grazie
non è detto che il format lo debelli.. postami un log di hijackthis e poi ti dico cosa fare bisogna capire che bagle è
@telemann
di nulla figurati
![[SM=x53911]](http://www.aessenet.org/forum/emoticon/01.gif)
holzbau
00giovedì 7 agosto 2008 17:48
questo il mio log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.38.12, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Microsoft Office\Office12\EXCEL.EXE
C:\Programmi\Opera\opera.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\Rar$EX00.734\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.leggo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\RarSFX0\8agle.cmd"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Rinera Streaming Control) - http://portal3.rinera.com/download/RineraProxy-1.4.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) - http://89.26.127.100:16300/download/jinit1319.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6162 bytes
boyuniversity
00giovedì 7 agosto 2008 21:05
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\RarSFX0\8agle.cmd"
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) - http://89.26.127.100:16300/download/jinit1319.exe
vai in modalità provvisoria e fai una scansione completa con spybot e avast e poi postami tutto ciò che hano trovato e tolto
holzbau
00venerdì 8 agosto 2008 10:12
ora la modalità provvisoria parte ma
- ne avast
- ne il nod32
vengono caricati, solita finestra con scritto
....... non è un' applicazione di Win32 valida..
che fare?
grazie
antonpaco
00venerdì 8 agosto 2008 15:02
purtroppo hai preso uno dei virus piu' tosti da eliminare, beagle e link optimizer sono una piaga della rete. Il problema del beagle e' che ce ne sono di vari tipi, un buon programma e' avenger, pero' ti suggerisco di fare cosi', fai una ricerca si google inserendo questo virus, troverai molto tools di rimozione con procedure suggerite da tipi esperti.
boyuniversity
00venerdì 8 agosto 2008 17:15
Re:
antonpaco, 08/08/2008 15.02:
purtroppo hai preso uno dei virus piu' tosti da eliminare, beagle e link optimizer sono una piaga della rete. Il problema del beagle e' che ce ne sono di vari tipi, un buon programma e' avenger, pero' ti suggerisco di fare cosi', fai una ricerca si google inserendo questo virus, troverai molto tools di rimozione con procedure suggerite da tipi esperti.
se non conosci il nome esatto del virus che tool di rimozione usi?no no non funziona così
il link optimizer era una piaga 2-3 anni fa non certo ora anche perchè qua e in altri forum lo abbiamo già tolto da anni
avenger non te lo elimina il bagle credimi lo rintraccia ma non lo toglie dal registro(ossia da dove si rigenera)
@holzbau
il tuo antivirus ti avrà rilevato il bagle se sai di averlo puoi scrivere esattamente il nome di questo virus ossia ad esempio
bagle.aaw