MegaLab.it

Si è infiltrato un beagle nel computer, cerco di installare un'antivirus e non me lo permette, ultimamente il computer si riavvia ogni 5 minuti e non mi permette di avviare Hijackthis per creare un report log, non mi permette di avviare nessuna versione di avenger, non mi permette di finire la scansione con nessun anti beagle...
In più ogni volta che inserisco una chiavetta crea in automatico un file infetto di nome Recycled nascosto sulla stessa
aiutatemi please...
posso fare ancora qualcosa o meglio, è troppo tardi per fare qualcosa...ringrazio anticipatamente chiunque mi dia una mano...qui sotto quel poco che sono riuscito a estrapolare dai registri con e beagle...


Thu Jul 31 12:23:29 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Jul 31 12:23:48 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\Winamp\WINAMPA.EXE Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\SROSA.SYS Acceso Denegado, Bagle (rootkit) (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7287
Nº Total de Ficheros: 128937
Nº de Ficheros Analizados: 10065
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Thu Jul 31 12:28:36 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\SROSA.SYS Acceso Denegado, Bagle (rootkit) (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7285
Nº Total de Ficheros: 128931
Nº de Ficheros Analizados: 10063
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Thu Jul 31 12:32:52 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Jul 31 12:33:30 2008
EliBagle v11.65 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\SROSA.SYS Acceso Denegado, Bagle (rootkit) (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7292
Nº Total de Ficheros: 128956
Nº de Ficheros Analizados: 10073
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Elibagle però è andato.
Visto che dal suo log rimane solo questo attivo di bagle C:\WINDOWS\system32\drivers\SROSA.SYS prova a scaricare systemscan www.suspectfile.com/systemscan
poi avvialo e dopo aver accettato il contratto di licenza clicca in basso su removal script. Nella casella copia/incolla:

Files to delete:
C:\WINDOWS\system32\drivers\SROSA.SYS

clicca su proceed with removal e aspetta che il pc si riavvia. Poi posta il log che comparirà.

gio! ha scritto:Elibagle però è andato.
Visto che dal suo log rimane solo questo attivo di bagle C:\WINDOWS\system32\drivers\SROSA.SYS prova a scaricare systemscan www.suspectfile.com/systemscan
poi avvialo e dopo aver accettato il contratto di licenza clicca in basso su removal script. Nella casella copia/incolla:

Files to delete:
C:\WINDOWS\system32\drivers\SROSA.SYS

clicca su proceed with removal e aspetta che il pc si riavvia. Poi posta il log che comparirà.

scusa non avevo specificato ho provato già anche con quello, ma niente di niente, cioè arriva ad un punto si ferma e riavvia il computer poi appena si riavvia (4 minuti) esce una schermata di e beagle che mi avverte della presenza di un beagle...il problema è che arrivato ad un certo punto ogni scansione viene bloccata e il sistema riavviato...non so più che fareeeeeeeeeeeeeeeeeeeeeeeeeee

Ciao, una soluzione possibile è l'avira rescue CD, segui queste istruzioni e crealo http://www.hwupgrade.it/forum/showthread.php?t=1689812
Non preoccpuarti, è facile da fare e veloce e soprattutto solitamente riesce nel suo scopo. Segui però per bene quelle istruzioni.

Andy94 ha scritto:I LOG VANNO ALLEGATI ALLE DISCUSSIONI SEGUENDO LE REGOLE DI SEZIONE CHE VANNO LETTE

si si lo so...il problema è che non me lo lascia allegare...per questo non l'ho fatto...

gio! ha scritto:Ciao, una soluzione possibile è l'avira rescue CD, segui queste istruzioni e crealo http://www.hwupgrade.it/forum/showthread.php?t=1689812
Non preoccpuarti, è facile da fare e veloce e soprattutto solitamente riesce nel suo scopo. Segui però per bene quelle istruzioni.

gio! sei davvero di grandissimo aiuto .....mi sono scaricato tutto il forum....ora mi puoi dire dove trovo avira???
grazie ancora...se risolverò il problema giuro ti mando un chilo di dolcetti a casa

acems ha scritto:ora mi puoi dire dove trovo avira???

http://www.free-av.com/en/tools/12/avir ... ystem.html

crazy.cat ha scritto:

acems ha scritto:ora mi puoi dire dove trovo avira???

http://www.free-av.com/en/tools/12/avir ... ystem.html

grazieeeeeeeeeeeeeeee....stasera appena torno a casa provo immediatamente.....poi faccio sapere...grazie mille per ora

crazy.cat ha scritto:

acems ha scritto:ora mi puoi dire dove trovo avira???

http://www.free-av.com/en/tools/12/avir ... ystem.html

grazie....e invece sul fatto che crea un file infetto ogni volta che inserisco una chiavetta Recycled, può aiutare al fine dell'eliminazione di questo beagle???

acems ha scritto:

crazy.cat ha scritto:

acems ha scritto:ora mi puoi dire dove trovo avira???

http://www.free-av.com/en/tools/12/avir ... ystem.html

grazie....e invece sul fatto che crea un file infetto ogni volta che inserisco una chiavetta Recycled, può aiutare al fine dell'eliminazione di questo beagle???

Se usi il rescue cd e l'infezione viene debellata, anche questo problema dovrebbe risolversi. Facci sapere

gio! ha scritto:

acems ha scritto:

crazy.cat ha scritto:

acems ha scritto:ora mi puoi dire dove trovo avira???

http://www.free-av.com/en/tools/12/avir ... ystem.html

grazie....e invece sul fatto che crea un file infetto ogni volta che inserisco una chiavetta Recycled, può aiutare al fine dell'eliminazione di questo beagle???

Se usi il rescue cd e l'infezione viene debellata, anche questo problema dovrebbe risolversi. Facci sapere

allora sono riuscito a rimuovere l'applicazione dannosa che faceva riavviare il computer ogni 5 minuti, e ad installare l'antivirus ora sto cercando di rimuovere tutti i bagle, c'è una procedura in particolare da seguire?, ora il mio file log è ripulito provo postare vari log file... resto in attesa di ulteriori indicazioni...
per adesso grazie mille Gio!
un ultima cosa, come mai non mi permette di eseguire hijackthis???

Bagle sembra non essere più presente. Però esegui una scansione on-line con Kaspersky e posta il report.

gio! ha scritto:Bagle sembra non essere più presente. Però esegui una scansione on-line con Kaspersky e posta il report.

BENE ORA MI SEMBRA DI AVER SISTEMATO TUTTO...ho ripulito anche tutti i registri e i vari cookie, quanta sporcizia che avevo su
comunqe provo a postare gli ultimi log, anche quello di hijackthis che ha cominciato a rifunzionare...
ora dovrebbe essere tutto a posto giusto???

Da hijackthis fixa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O23 - Service: SmartTag Recognizer (strecog) - Unknown owner - C:\WINDOWS\system32\strecog.exe (file missing)

Direi che sei a posto.

gio! ha scritto:Da hijackthis fixa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O23 - Service: SmartTag Recognizer (strecog) - Unknown owner - C:\WINDOWS\system32\strecog.exe (file missing)

Direi che sei a posto.

ok stasera provo....poi faccio sapere, grazie mille per ora gio! mi hai salvato il computer

L'importante è non reinserire la chiavetta infetta. Scarica il Perlovga Removal Tool e inserisci le periferiche infette tenendo premuto Shift mentre lo fai. Fai una scansione con il Perlovga Removal Tool.

Poi, segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

ste_95 ha scritto:L'importante è non reinserire la chiavetta infetta. Scarica il Perlovga Removal Tool e inserisci le periferiche infette tenendo premuto Shift mentre lo fai. Fai una scansione con il Perlovga Removal Tool.

Poi, segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

funziona,

ok grazie mille