Guida Rimozione virus Bagle (antivirus disattivato) - leggere le Regole di Sezione - Pagina 33

**Chill-Out** · 12-01-2008, 11:46

Quote:

Originariamente inviato da Matteo6252

Si ora sono loggato come amministratore...Quale log devo mandarvi?
Precedentemente avevo mandato sia quello di alibagla che di kaspersky...

Ti chiedo una cortesia, potresti rilanciare EliBagla ed allegare il log
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
Usate Elibagla in modalità provvisoria,se funziona.
Sei riuscito a reinstallare l'antivirus, se si qual'è?

alxcom · 13-01-2008, 16:33

Ciao,
premetto: non capisco un'acca.
Ho provato ad eseguire la procedura descritta all'inizio del forum.
Ho lanciato elibagla e la scansione mi ha dato questi risultati:

Sun Jan 13 16:33:58 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Jan 13 16:34:42 2008
EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 6059
Nº Total de Ficheros: 56622
Nº de Ficheros Analizados: 11480
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

ora però l'installazione di kaspersky antivirus, arrivata ad un certo punto si blocca.
C'è qualcuno che puo darmi una mano, vi prego sono disperato!!!

saluti da Agropoli (SA)

**Chill-Out** · 13-01-2008, 19:58

@alxcom

Sistema Operativo in uso?

alxcom · 13-01-2008, 20:09

XP

**Chill-Out** · 13-01-2008, 20:11

Quote:

Originariamente inviato da alxcom

XP

Per il momento lascia perdere l'installazione di Kaspersky e passa direttamente al punto 4

Link93 · 14-01-2008, 11:40

Allora, credo (sono sicuro) di essere stato infettato da Bagle. Mio fratello stava cercando un programma su eMule e credo abbia lanciato qualche eseguibile infetto. Il kaspersky Antivirus ha smesso di funzionare, non riesco a reinstallarlo (mi dice che non riesce a creare avp.exe o qualcosa del genere). Nei processi c'è un cero wintems.exe che però non riesco a cancellare, non lo trovo nella cartella C:/WINDOWS/system32. Ho lanciato Elibagla, che mi ha cancellato alcuni file infetti, ma non riesco ad installare Kaspersky come al solito. Che mi consigliate di fare? posto il log di Elibagla:

Codice:

	  Mon Jan 14 12:12:12 2008
EliBagle v10.84  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon Jan 14 12:13:03 2008
EliBagle v10.84  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\1100343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\118406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\132406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\144265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\170250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\207546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\45671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\48890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\49156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58703.EXE --> Eliminado Bagle

Nº Total de Directorios:   5672
Nº Total de Ficheros:      55716
Nº de Ficheros Analizados: 7250
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados:  10

	  Mon Jan 14 12:18:05 2008
EliBagle v10.84  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

	  Mon Jan 14 12:18:41 2008
EliBagle v10.84  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5671
Nº Total de Ficheros:      55702
Nº de Ficheros Analizados: 7238
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Jan 14 12:33:38 2008
EliBagle v10.84  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.84
 a "[email protected]".  Gracias.
C:\DOCUMENTS AND SETTINGS\GIUSEPPE\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

**Chill-Out** · 14-01-2008, 11:43

@Link93

passi direttamente al punto 4)

Link93 · 14-01-2008, 12:10

Questo è il log di Avenger:

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fawcbuao

*******************

Script file located at: \??\C:\WINDOWS\ncmoysin.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\System32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

Non so se abbia sortito gli effetti sperati. Non ha cancellato niente.

alxcom · 14-01-2008, 13:47

Quote:

Originariamente inviato da Chill-Out

Per il momento lascia perdere l'installazione di Kaspersky e passa direttamente al punto 4

questo è quanto mi visualizza in una finestra dos:

c:\avenger\1.reg

c:\avenger\11.reg

c:\avenger\2.reg

c:\avenger\9.reg

1 file copiati.
zip warning: c:/backup.zip not found or empty
adding: avenger/avenger.txt (104 bytes security) (deflated 91%)
adding: avenger/backup.reg (104 bytes security) (deflated 68%)
adding: avenger/down/ (104 bytes security) (stored 0%)
adding: avenger/hldrrr.exe (104 bytes security) (deflated 2%)
adding: avenger/srosa.sys (104 bytes security) (deflated 59%)

in oltre mi compare un avviso

windows - Disco non presente

Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c

....che fare?
-Annulla - Riprova - Continua -

lancetta · 14-01-2008, 13:47

Quote:

Originariamente inviato da Link93

Questo è il log di Avenger:

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fawcbuao

*******************

Script file located at: \??\C:\WINDOWS\ncmoysin.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\rosa.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\data.oct
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\m\flec006.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Giuseppe\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\System32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

Non so se abbia sortito gli effetti sperati. Non ha cancellato niente.

Per favore allega ( clicca su l'concina a forma di spilletta per fogli in alto nel reply) gli altri log dei soft di pulizia e scansione in un unico post e aggiungici anche in ordine di scansione

1) Scarica questo toolCombofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

2) scarica prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà

3) log di hijackthis.....

se hai problemi con qualche soft passa al successivo e poi nel post di allegaggio log spieghi il problema.......
grazie

alxcom · 14-01-2008, 15:00

Dato che alla fine ho solo le foto e qualche documento da salvare, quindi potrei procedere col ripristino del sistema originario, vorrei chiedervi:

Se riesco a salvarmi queste foto e documenti, potrei portarmi dietro anche i virus con essi?

Se procedo col ripristino del sistema, verranno cancellati anche i virus?

grazie

foolemon · 14-01-2008, 17:39

ciao ragazzi ho un'infezione d beagle in corso e river m ha detto d kiedere aiuto qui...

vi allego anke i log ke avevo già pubblicato x assistenza sul virus naked d msn...qlc1 può dirmi ke devo fare? grazie

http://www.zshare.net/download/6507464865758d/ (log kaspersky)

lancetta · 14-01-2008, 17:54

Quote:

Originariamente inviato da alxcom

Dato che alla fine ho solo le foto e qualche documento da salvare, quindi potrei procedere col ripristino del sistema originario, vorrei chiedervi:

Se riesco a salvarmi queste foto e documenti, potrei portarmi dietro anche i virus con essi?

Se procedo col ripristino del sistema, verranno cancellati anche i virus?

grazie

fai attenzione a cosa ti porti, falli scnsionare ed attenzione alle estensioni

Quote:

Originariamente inviato da foolemon

ciao ragazzi ho un'infezione d beagle in corso e river m ha detto d kiedere aiuto qui...

vi allego anke i log ke avevo già pubblicato x assistenza sul virus naked d msn...qlc1 può dirmi ke devo fare? grazie

http://www.zshare.net/download/6507464865758d/ (log kaspersky)

segui la procedura in prima pagina ed allega i log poi...il tempo di esaminarli

foolemon · 14-01-2008, 18:24

ok lancetta ecco fatto t posto il log

devo andare già cl punto 3 o devo aspettare ke sia tu a dirmelo?

io avevo già scaricato kaspersky in precedenza...dal link ke aveva scritto river nell'altra discussione...va bene se la scansione la faccio cn qllo?

jhonny1888 · 14-01-2008, 19:00

io ho fatto la scansione cn gmer ma non trova nulla di rosso, però ho i sintomi di questo virus, anche se sono solo le funzione "real-time" che non funzionano, più l'asus pc probe, è sempre questo virus o devo cercare altrove?

lancetta · 14-01-2008, 19:00

Quote:

Originariamente inviato da foolemon

ok lancetta ecco fatto t posto il log

devo andare già cl punto 3 o devo aspettare ke sia tu a dirmelo?

io avevo già scaricato kaspersky in precedenza...dal link ke aveva scritto river nell'altra discussione...va bene se la scansione la faccio cn qllo?

si il punto 3 saltalo e fai direttamente il resto con avenger ecc..elibagla già ha cancellato quealcosa....poi mi posti in ordine di scansione:

1 Dr.Web Cure It (non richiede installazione ed è meglio se la fai in Modalità provvisoria)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2 Combofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

3 prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà

militico · 14-01-2008, 19:01

ragazzi buonasera a tutti....sono incappato anche io in questo virus...
come richiesto posto il log di elibagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

la prossima mossa qual è?
grazie a tutti...buonasera

Bugs Bunny · 14-01-2008, 19:06

In avenger immetti questo script:

Quote:

Files to delete:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\WINTEMS.EXE

lancetta · 14-01-2008, 19:10

Quote:

Originariamente inviato da jhonny1888

io ho fatto la scansione cn gmer ma non trova nulla di rosso, però ho i sintomi di questo virus, anche se sono solo le funzione "real-time" che non funzionano, più l'asus pc probe, è sempre questo virus o devo cercare altrove?

segui la procedura in prima pagina e poi in ordine ed allegando i log
:
1 Dr.Web Cure It (non richiede installazione ed è meglio se la fai in Modalità provvisoria)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

2 Combofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

3 prevxCSI (è solo un rilevatore) ed allega il log che ti rilascerà

Quote:

Originariamente inviato da militico

ragazzi buonasera a tutti....sono incappato anche io in questo virus...
come richiesto posto il log di elibagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

la prossima mossa qual è?
grazie a tutti...buonasera

anche per te vale quello detto a jhonny1888 e per favore modifica il tuo post allegando o hostando i log (per allegare icona in alto a forma di spilletta per documenti nella finestra post)

foolemon · 14-01-2008, 19:14

ok già fatto ora t posto il log

13-01-2008, 16:33	#642
alxcom Junior Member Iscritto dal: Jan 2008 Città: Agropoli (SA) Messaggi: 5	sono stato infettato anch'io da bagle! Ciao, premetto: non capisco un'acca. Ho provato ad eseguire la procedura descritta all'inizio del forum. Ho lanciato elibagla e la scansione mi ha dato questi risultati: Sun Jan 13 16:33:58 2008 EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Sun Jan 13 16:34:42 2008 EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 6059 Nº Total de Ficheros: 56622 Nº de Ficheros Analizados: 11480 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 ora però l'installazione di kaspersky antivirus, arrivata ad un certo punto si blocca. C'è qualcuno che puo darmi una mano, vi prego sono disperato!!! saluti da Agropoli (SA)

13-01-2008, 19:58	#643
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@alxcom Sistema Operativo in uso? __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

13-01-2008, 20:09	#644
alxcom Junior Member Iscritto dal: Jan 2008 Città: Agropoli (SA) Messaggi: 5	S.O. XP

14-01-2008, 11:43	#647
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@Link93 passi direttamente al punto 4) __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

14-01-2008, 15:00	#651
alxcom Junior Member Iscritto dal: Jan 2008 Città: Agropoli (SA) Messaggi: 5	2 domande in merito Dato che alla fine ho solo le foto e qualche documento da salvare, quindi potrei procedere col ripristino del sistema originario, vorrei chiedervi: Se riesco a salvarmi queste foto e documenti, potrei portarmi dietro anche i virus con essi? Se procedo col ripristino del sistema, verranno cancellati anche i virus? grazie

14-01-2008, 19:00	#655
jhonny1888 Member Iscritto dal: Aug 2007 Messaggi: 124	io ho fatto la scansione cn gmer ma non trova nulla di rosso, però ho i sintomi di questo virus, anche se sono solo le funzione "real-time" che non funzionano, più l'asus pc probe, è sempre questo virus o devo cercare altrove?

14-01-2008, 19:01	#657
militico Junior Member Iscritto dal: Mar 2006 Messaggi: 28	ragazzi buonasera a tutti....sono incappato anche io in questo virus... come richiesto posto il log di elibagle C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.84 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.84 a "[email protected]". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado. la prossima mossa qual è? grazie a tutti...buonasera

14-01-2008, 19:14	#660
foolemon Junior Member Iscritto dal: Jan 2008 Messaggi: 20	ok già fatto ora t posto il log Ultima modifica di foolemon : 14-01-2008 alle 19:21.

Strumenti
Mostra una versione stampabile Invia questa pagina per email