Olimpo Informatico

[Blax]

Salve a tutti,
ho il problema di un virus che mi cancella i file .exe di ogni antivirus che tento di installare, rendendone impossibile l'installazione o il successivo funzionamento. Gli antivirus che ho provato a installare sono AVG Anti-virus, Avast e Spyware-doctor, tutti con lo stesso risultato, impossibile installarli o caricarli x mancanza del file exe.
Ho provato a fare più volte lo scan con Ad-Aware SE Personal (che funziona regolarmente) e con AVG Anti-Spyware (a cui non funzionano gli aggiornamenti e la protezione permanente) ma non è cambiato nulla.
L'antivirus che mi interessa installare comunque è AVG, che prima avevo regolarmente installato e funzionante sul pc, e che da un giorno all'altro ha smesso di funzionare per la mancanza di un file. Così dopo averlo rimosso, non mi è piu stato possibile reinstallarlo xchè mi appariva a fine installazione il seguente messaggio:

Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory

Ho visto che era già stato postato un topic da kefes con il mio stesso problema, ma visto che magari il mio virus è diverso, vorrei che analizzaste anche il mio caso. Vi ho inserito il log di Hijackthis.
Grazie e spero possiate aiutarmi.


Logfile of HijackThis v1.99.1
Scan saved at 19.22.03, on 02/03/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmi\Winamp\winampa.exe
C:\Programmi\Firebird15\bin\fbguard.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Firebird15\bin\fbserver.exe
D:\PROGRA~1\SONICS~1\SsAAD.exe
C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\hidr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
F:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mousegex.dll
O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programmi\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Firebird] C:\Programmi\Firebird15\bin\fbguard.exe -a
O4 - HKLM\..\Run: [YUVGV11v] C:\PROGRA~1\ruvsxsox\fEwDCghN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\PROGRA~1\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Soundlibs] C:\WINDOWS\soundlib.exe
O4 - HKLM\..\Run: [Bend Each Corn Win] C:\Documents and Settings\All Users\Dati applicazioni\procpurebendeach\dumbreal.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [drv_st_key] C:\Documents and Settings\Rocco.HOME\Dati applicazioni\hidn\hidn2.exe
O4 - HKCU\..\Run: [thunkrdr] C:\DOCUME~1\ROCCO~1.HOM\DATIAP~1\CHICTI~1\01realheart.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Rocco.HOME\Menu Avvio\Programmi\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.moove.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.thinplaces.com/harlibr/castello/index.html
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/ZwinkyInitialSetup1.0.0.15.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://crystalstefy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 8Signs Firewall (8SignsFirewall) - 8Signs Ltd. - C:\Programmi\8SignsFirewall\DFW.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Servizio di indicizzazione (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Dialogic SS7 Service (DlgcS7Srv) - Unknown owner - C:\PROGRA~2\Dialogic\bin\DlgcS7Srv.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - c:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Orange]

ciao Blax e benvenuto nel forum

mi dispiace darti cattive notizie, ma il tuo virus è identico a quello di Kefes. si tratta sempre di worm Bagle(o Beagle), lo puoi vedere da te: (nel tuo log: C:\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\hidr.exe e anche nel task manager dovrebbe essere presente lo stesso processo hidr.exe) E a parte questo hai parecchie altre schifezze nel tuo PC. segui questa guida per ripulirti da maggior parte dei malware, dopo di che

scarica GMER ed esegui lo scan (salva il log!) i file segnati in rosso sono individuati come rootkit o files nascosti (hidden)

scarica THE AVENGER
e decomprimilo sul desktop.

- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla quanto segue: ( ricorda di disattivare prima il ripristino di configurazione del sistema)

ATTENZIONE lo script è generico, i nomi dei files potrebbero variare... fai riferimento al log di GMER per il loro nome esatto..

[Blax]

Purtroppo non ho potuto iniziare a fare le scansioni in modalità provvisoria xchè sono sorti dei problemi durante il percorso!

Innanzitutto non sono riuscito a installare Spybot Search and Destroy e BitDefender proprio per la natura del virus che non mi permette di intallare gli antivirus. Mentre invece Spyware Blaster (che avevo già), CwShredder, Ad-Aware (che avevo già) e CCleaner li ho installati correttamente.

Il secondo problema è che non riesco ad avviare Windows in Modalità provvisoria!!
Non appena la seleziono mi compaiono una serie di scritte e poi mi si riavvia il computer! Poi dopo appare una schermata che mi dice che non è stato possibile avviare in modalità provvisoria a causa di recenti modifiche al software o all'hardware, poi provo a selezionare "Utilizza ultime impostazioni funzionanti" come consigliato, ma non cambia nulla.

Come faccio a risolvere questi due problemi???

[Orange]

Scusa hai ragione, non ci avevo riflettuto.
comincia direttamente la "seconda parte" (quella di GMER ecc.)

per entrare in mod. provvisoria scarica questo programma
Boot Safe
* Scarica BootSafe e salvalo sul Desktop
* Doppio click sull'icona BootSafe per avviare il programma
* Seleziona la "Modalità Provvisoria" che preferisci - Minima, (<-- consigliata in caso di Virus) con Scheda di Rete, o per Riparare Servizi/Files di sistema
* Clicca sul bottone Riavvia
* Quando hai terminato, simplicemente avvia ancora BootSafee seleziona Riavvio Normale , quindi clicca sul pulsante Riavvia ed il Pc si riavvierà nel Modo Normale

[Smjert]

Se tutte le operazioni scritte da Orange non dovessero ancora funzionare (prima però seguile tutte!) scarica il tool di rimozione del Bagle della Symantec.
Una volta scaricato avvialo e fagli fare una scansione.

Quando ha finito dovrebbe rilasciarti un log (FxBeagle.log), trovalo e posta il suo contenuto.

[Blax]

Altri problemi in vista:

1) Cosa devo fare dopo aver compilato lo script in AVENGER con il codice da te inserito? Devo cliccare sul semaforo verde? Nel tuo post non l'hai scritto. Se esco dal programma mi dice che non ho impostato nessuna azione x il riavvio.

2) Nello script di AVENGER per caso devo sostiruire la scitta "%SystemDrive%" con "C:" ? Oltre che sostituire NomeUtente con il mio nome utente come ho fatto.

3) Io dopo aver compilato lo script di AVENGER ho cliccato sul semaforo verde, ho riavviato e al riavvio di Windows ha iniziato a fare un controllo di coerenza, poi terminato il controllo in Windows sono comparsi dei messaggi nel prompt di Dos che dicevano che non aveva trovato dei file (ad es: reboot.exe e restart.bat) e altri che non ricordo. E dopodichè non mi è stato possibile salvare nessun log.

4) Ho caricato il registro di sistema con il comando "regedit" ma non ho trovato nessuna delle chiavi da te inserite


Come procedo?

[Orange]

ciao

[Blax]

AIUTO!!!!!
Mi è sorto un problema con BootSafe!
Volevo riavviare in Modalità Provvisoria x fare una scansione con gli antispyware e ho utilizzato quel dannato programma xchè non riuscivo a entrare in modalità provvisoria, ma una volta che l'ho fatto partire non permette più a Windows di avviarsi e il pc si riavvia in continuazione e non riesco più a far partire Windows!!
Quando compare la barra di progresso di Windows compare una schermata blu e subito il pc si riavvia!
Ho provato a selezionare premendo il tasto F8 "Utilizza ultime impostazioni funzionanti", "Avvia Windows normalmente" e anche "Modalità provvisoria" ma niente....continua a riavviarsi! Ho provato anche a spegnere e riaccendere il pc ma non è cambiato nulla!
Evidentemente c'è quel programma che continua a cercare di entrare in Modalità provvisoria ma il mio pc che proprio non ne vuole sapere continua a riavviarsi! E così pc e Bootsafe continuano a lottare l'uno contro l'altro!

Come faccio a spegnere Bootsafe??????????

[Orange]

ciao.
è un bel problema il tuo....
questo è quello che ho trovato in merito

Per togliersi il dubbio sul copyright meglio linkare la pagina originale di windows (ho paura che ci sarebbero stati problemi dato che Microsoft ne permette la copia, non parziale, ma solo dell'INTERO testo/pagina).
In più nelle operazioni segnate da te mancava un passaggio.
Ecco la guida - edited by Smjert

[chemicalbit]

Uhm, già era srano che non riuscissi ad entrare in modalità provvisoria normalmente ...
che sia tutto "effetto" del virus?

[Blax]

Orange ma devo eseguire TUTTA l'intera procedura?
O per il mio caso devo seguire solo una specifica parte? Visto che tu ne avevi postato solo una parte.
Se sì mi puoi dire qual'è la porzione di procedura che dovrei eseguire?
Spero che tutto questo non mi faccia perdere dati!

Chemicalbit certo è molto probabile che il fatto che già prima non mi si avviasse in modalità provvisoria fosse dovuto a un virus, magari è stato progettato per fare questo proprio per evitare di fare scan con antivirus in modalità provvisoria.
Però in quest'ultimo caso penso che il problema sia Bootsafe, che mantiene il comando di avvio in modalità provvisoria e non mi lascia avviare in modalità normale. Anche perchè questo problema è sorto dopo che ho fatto partire Bootsafe, prima non era mai successo!

PS: Non ho nessuna configurazione precedente salvata perchè prima di far partire Bootsafe avevo disattivato il Ripristino configurazione di sistema come da voi consigliato! Spero che questo non significhi che eseguendo la procedura Windows verrà riportato alla configurazione della prima installazione e perderò tutti i dati successivi!

[Orange]

[Blax]

Ragazzi ho risolto tutto alla perfezione ora il pc si avvia perfettamente!
Non c'è assolutamente bisogno di reinstallazioni nè di ripristini di registro!
La procedura necessaria è molto semplice e non comporta NESSUNA modifica nè NESSUN danno al sistema. Basta semplicemente intervenire sul file boot.ini e ricreare un nuovo comando di avvio senza il comando di Bootsafe di avvio in modalità provvisoria.
Vi sarei grato se comunicaste questa procedura a tutti coloro che presentassero lo stesso mio problema con Bootsafe, così da non dover più costringere nessuno a fare pericolose modifiche al registro di sistema o altrettanto pericolose reinstallazioni di Windows, che sono operazioni del tutto non necessarie.

Per risolvere il problema con Bootsafe basta fare così:

Avviare in console di ripristino ed usare il comando "boofcfg /rebuild"

1- Accertarsi che il cd sia la prima periferica nella sequenza di avvio
2- Inserire il cd di XP e riavviare il computer eseguendo il boot da cd.
3- Premere un tasto qualsiasi quando verrà chiesto di farlo per fare il boot dal cd.
4- Quando viene proposto di installare Windows premere invece R per
accedere alla Console di ripristino
5- Se si ha un sistema multiboot verrà chiesto di scegliere
l'installazione a cui accedere.
6- Inserire la password dell'utente Administrator (di norma è vuota e
basta dare invio)
7- Digitare il comando "bootcfg /rebuild" (senza virgolette)
8- Premere S per accettare la domanda "Aggiungere installazione
all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)"
9- Alla domanda "Inserire l'identificatore di caricamento" scrivere
un nome a piacimento, di solito il testo deve identificare il sistema
operativo, basta però che si distingua dal nome classico (ad es: "Microsoft Windows XP Home Edition) perchè dopo dovrete riuscire a distinguerlo per poterlo selezionare all'avvio, quindi consiglio qualcosa tipo "Windows XP 2" (senza le virgolette)
10- Premere Invio alla domanda "Inserire l'identificatore di
caricamento"
11- Digitare "exit" (senza virgolette) per uscire dalla console di ripristino.
Il sistema viene riavviato.

A questo punto un nuovo sistema operativo è stato creato nel comando di avvio di boot.ini (tranquilli non è stato installato nulla nel sistema, il sistema operativo è sempre quello che avete già).

12- Quando appare la schermata in cui vi chiede di scegliere il sistema operativo scegliete quello che avete creato al punto 9 identificandolo con il nome da voi scelto. A questo punto Windows dovrebbe avviarsi regolarmente.

Ora se volete potete correggere il file boot.ini eliminando il nuovo comando di avvio e ripristinando quello vecchio, altrimenti a ogni avvio del sistema vi chiederà quale sistema operativo scegliere.

13- Una volta avviato Windows cliccate con il tasto destro su Risorse del computer, poi cliccate su Proprietà -> scheda Avanzate -> sotto "Avvio e ripristino" cliccate su "Impostazioni" -> cliccare sul pulsante "Modifica"
14- Una volta aperto il file boot.ini dovreste di norma leggere le seguenti due righe di comando o qualcosa di simile:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo creato al punto 9"

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

Eliminate la riga di comando in cui è presente il nome del sistema operativo che avete scelto al punto 9 (la prima).

15- Ora cancellate dalla riga di comando con il sistema operativo originario (la seconda) la dicitura "/safeboot:minimal".
16- Chiudete il file boot.ini e salvate, poi cliccate su OK.
17- Fate un riavvio del sistema per provare se Windows si avvia regolarmente.

[Orange]

sicuramente ci tornerà utile, grazie!

ma quell'altro problema l'hai risolto?

[Blax]

Messaggio di test, da cancellare

[Blax]

Messaggio di test, da cancellare

[Blax]

No ancora non ho risolto il precedente problema di installazione degli antivirus.
Ho ripreso ed effettuato la tua procedura di GMER e AVENGER ma ancora non riesco ad installare AVG. Tra l'altro avrei anche questi due altri problemi da risolvere:
- il pc non mi si avvia in modalità provvisoria (come visto in precedenza)
- mi si aprono in continuazione pop-up nonostante abbia attivo il blocco pop-up di Explorer e le protezioni di Spyware Blaster, succede anche se non apro Explorer

Comunque, come da te richiesto in precedenza, ti posto il log di AVENGER e HIJACK. Il log di GMER invece non me lo fa postare perchè è troppo lungo. Magari ditemi se esiste un modo per inviare direttamente il file.
La procedura di Smjert di rimozione del Bagle ancora non l'ho effettuata.


LOG DI AVENGER

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\scbeukju

*******************

Script file located at: \??\C:\vwmkllwr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C::\WINDOWS\system32\wintems.exe for deletion
Deletion of file C::\WINDOWS\system32\wintems.exe failed!

Could not process line:
C::\WINDOWS\system32\wintems.exe
Status: 0xc000003a



Could not open file C::\WINDOWS\system32\hldrrr.exe for deletion
Deletion of file C::\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C::\WINDOWS\system32\hldrrr.exe
Status: 0xc000003a



Could not open folder C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires for deletion
Deletion of folder C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires failed!

Could not process line:
C::\Documents and Settings\Rocco.HOME\Dati applicazioni\hidires
Status: 0xc000003a



Could not open folder C::\WINDOWS\exefld for deletion
Deletion of folder C::\WINDOWS\exefld failed!

Could not process line:
C::\WINDOWS\exefld
Status: 0xc000003a

Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



LOG DI HIJACK

Logfile of HijackThis v1.99.1
Scan saved at 18.58.54, on 11/03/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmi\Winamp\winampa.exe
C:\Programmi\Firebird15\bin\fbguard.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
D:\PROGRA~1\SONICS~1\SsAAD.exe
C:\Programmi\Firebird15\bin\fbserver.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\hldrrr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Java\jre1.5.0_09\bin\jucheck.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mousegex.dll
O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programmi\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Firebird] C:\Programmi\Firebird15\bin\fbguard.exe -a
O4 - HKLM\..\Run: [YUVGV11v] C:\PROGRA~1\ruvsxsox\fEwDCghN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\PROGRA~1\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Soundlibs] C:\WINDOWS\soundlib.exe
O4 - HKLM\..\Run: [Bend Each Corn Win] C:\Documents and Settings\All Users\Dati applicazioni\procpurebendeach\dumbreal.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [drv_st_key] C:\Documents and Settings\Rocco.HOME\Dati applicazioni\hidn\hidn2.exe
O4 - HKCU\..\Run: [thunkrdr] C:\DOCUME~1\ROCCO~1.HOM\DATIAP~1\CHICTI~1\01realheart.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Rocco.HOME\Menu Avvio\Programmi\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.moove.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.thinplaces.com/harlibr/castello/index.html
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/ZwinkyInitialSetup1.0.0.15.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/it/filesharingctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://crystalstefy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 8Signs Firewall (8SignsFirewall) - 8Signs Ltd. - C:\Programmi\8SignsFirewall\DFW.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Servizio di indicizzazione (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Dialogic SS7 Service (DlgcS7Srv) - Unknown owner - C:\PROGRA~2\Dialogic\bin\DlgcS7Srv.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - c:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Orange]

ciao!
sei stato fortunato (si fà per dire ) con questo "intoppo"!
è stato trovato un TOOL DI RIMOZIONE di Bagle, che ti elimina ogni traccia.
Scaricalo, avvialo, spunta la casella "eliminare automaticamente", e fai la scansione.
riposta il log da C:/InfoSat.txt e quello di GMER( fatto DOPO la passata con il tool. Magari solo della scheda rootkit)

[Blax]

Ok perfetto ho fatto lo scan con EliBagle e Gmer e (dopo aver riavviato) ora funziona tutto alla perfezione, sono riuscito ad installare AVG e anche la modalità provvisoria si avvia regolarmente.
L'unica cosa è che ora il mio pc mi sembra leggermente più lento. E inoltre ho ancora quel problema con i pop-up.
Comunque ora farò un po' di scan in modalità provvisoria e vedremo come vanno le cose.
Posto qui il log di EliBagle come da te richiesto, il log di Gmer ripeto che non me lo fa postare perchè troppo lungo (anche se ho copiato solo la scheda rootkit).

Grazie!


Tue Mar 13 00:35:51 2007
EliBagle v10.27 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\LDR64.DLL.Muestra EliBagle v10.27
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\LDR64.DLL --> Bagle Renombrado a .VIR
C:\DOCUMENTS AND SETTINGS\ROCCO.HOME\DATI APPLICAZIONI\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROCCO.HOME\DATI APPLICAZIONI\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
C:\DOCUMENTS AND SETTINGS\ROCCO.HOME\DATI APPLICAZIONI\HIDN\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.27
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\ROCCO.HOME\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\EDLM.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\EDLM2.EXE --> Eliminado Bagle
C:\WINDOWS\ELIST.XPT --> Eliminado Bagle
C:\ERROR.TXT --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Mar 13 00:45:10 2007
EliBagle v10.27 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Mar 13 00:56:28 2007
EliBagle v10.27 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\EDLM.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\EDLM2.EXE --> Eliminado Bagle
Eliminada Carpeta "%AppData%\Hidires"

Tue Mar 13 00:56:37 2007
EliBagle v10.27 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Tue Mar 13 00:59:27 2007
EliBagle v10.27 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\File scaricati\NO SPAM TODAY FOR SERVERS 2.3.5.2(1).ZIP --> Eliminado Bagle.dldr
F:\File scaricati\NO SPAM TODAY FOR SERVERS 2.3.5.2(2).ZIP --> Eliminado Bagle
F:\File scaricati\NO SPAM TODAY FOR SERVERS 2.3.5.2(4).ZIP --> Eliminado Bagle.dldr
F:\NoSpamToday\ns3\NO SPAM TODAY FOR SERVERS 2.3.5.2.EXE --> Eliminado Bagle.dldr
F:\NoSpamToday\ns4\NO SPAM TODAY FOR SERVERS 2.3.5.2.EXE --> Eliminado Bagle

[Orange]

il log di GMER lo puoi mettere QUI
scegli "sfoglia" trovi il log e dai "apri" e poi seleziona "host it"
alla fine metti qui il link.

vedi se c'è bisogno di riattivare i servizi terminati da Bagle: