Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Kaspersky: Your computer is infected

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Kaspersky: Your computer is infected

Messaggioda alessiomu » lun nov 26, 2007 11:01 pm

Ho fatto una scansione online con kaspersky perché pensavo di avere una partizione infettata da qualche virus, ma il risultato è peggio di quanto immaginassi.
Vi spiego in breve la configurazione del sistema.
Ho partizionato il disco in 4 parti e in 2 ho installato win xp.
Oggi mi sono accorto che l'antivirus nod32 non era in esecuzione in e che la connessione senza fili non era attiva.

[cry+] Help!!!

Dopo avere tentato inutilmente di installare diversi antivirus ho fatto la scansione online con kaspersky ed il risultato è questo:


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, November 26, 2007 10:42:31 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 26/11/2007
Kaspersky Anti-Virus database records: 466085
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 218177
Number of viruses found: 3
Number of infected objects: 12
Number of suspicious objects: 0
Duration of the scan process: 01:24:37

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 Infected: Trojan.Win32.Agent.qc skipped
C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\UI_Upd_SYS.exe.bac_a03916 Infected: Trojan.Win32.Agent.qc skipped
F:\WINDOWS\system32\drivers\hidr.exe Infected: Trojan-Downloader.Win32.Bagle.ga skipped
F:\WINDOWS\system32\drivers\srosa.sys Infected: Trojan-Downloader.Win32.Bagle.ga skipped
G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip/Outlook Password Recovery Master 1.0.0.7.exe Infected: Trojan-Downloader.Win32.Bagle.ga skipped
G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip ZIP: infected - 1 skipped

Scan process completed.
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm

Messaggioda ste_95 » mar nov 27, 2007 6:52 am

scarica elabagla e fai una scansione del sistema, alal fine in C:\InfoSat.txt riporta il log
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda alessiomu » mar nov 27, 2007 9:28 am

Anzitutto grazie per la tua risposta.... [:)]
Ho fatto 2 scansioni differenti con elibagla, una per C e una per F. I file infetti in G li ho eliminati manualmente (erano contenuti in un file .zip e l'unità è solo una partizione senza S.O. installato).
I log di elibagla sono:


****** C:


Tue Nov 27 09:07:42 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Nov 27 09:07:56 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7444
Nº Total de Ficheros: 77929
Nº de Ficheros Analizados: 8590
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


******F:


Tue Nov 27 09:26:11 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Nov 27 09:26:15 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 6082
Nº Total de Ficheros: 65753
Nº de Ficheros Analizados: 9925
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm


Re: Kaspersky: Your computer is infected

Messaggioda crazy.cat » mar nov 27, 2007 9:36 am

Usa avenger e questo script per rimuovere il virus
In questo articolo trovi le istruzioni per ripristinare la rete
http://www.MegaLab.it/2657

Files to delete:
f:\WINDOWS\system32\drivers\hidr.exe
f:\WINDOWS\system32\drivers\srosa.sys
f:\WINDOWS\system32\wintems.exe
f:\WINDOWS\system32\hldrrr.exe
f:\WINDOWS\system32\trusted.exe
f:\WINDOWS\system32\drivers\pci32.sys
C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\UI_Upd_SYS.exe.bac_a03916
G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip

folders to delete:
f:\WINDOWS\exefnd
f:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda alessiomu » mar nov 27, 2007 9:51 am

Ho lanciato lo script ed il log risultante è questo:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dmrvveog

*******************

Script file located at: \??\C:\kaxoyxuj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File f:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File f:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File f:\WINDOWS\system32\wintems.exe not found!
Deletion of file f:\WINDOWS\system32\wintems.exe failed!

Could not process line:
f:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File f:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file f:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
f:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File f:\WINDOWS\system32\trusted.exe not found!
Deletion of file f:\WINDOWS\system32\trusted.exe failed!

Could not process line:
f:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File f:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file f:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
f:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Could not open file C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\UI_Upd_SYS.exe.bac_a03916 for deletion
Deletion of file C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\UI_Upd_SYS.exe.bac_a03916 failed!

Could not process line:
C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\UI_Upd_SYS.exe.bac_a03916
Status: 0xc0000033



File G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip not found!
Deletion of file G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip failed!

Could not process line:
G:\EMULE\Incoming\Outlook Password Recovery Master 1.0.0.7.zip
Status: 0xc0000034



Folder f:\WINDOWS\exefnd not found!
Deletion of folder f:\WINDOWS\exefnd failed!

Could not process line:
f:\WINDOWS\exefnd
Status: 0xc0000034

Folder f:\WINDOWS\exefld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm

Messaggioda alessiomu » mar nov 27, 2007 9:58 am

Scusa ma io lo script l'ho lanciato così come me lo hai dato da C:
E' giusto o devo laciarlo anche da F:?
[uhm]
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm

Messaggioda alessiomu » mar nov 27, 2007 11:37 am

Ho rifatto la scansione con kaspersky ed il risultato è questo (mimmi che ora è tutto OK [^] ):


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, November 27, 2007 11:33:42 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 27/11/2007
Kaspersky Anti-Virus database records: 466316
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 217381
Number of viruses found: 3
Number of infected objects: 11
Number of suspicious objects: 0
Duration of the scan process: 01:29:49

Infected Object Name / Virus Name / Last Action
C:\3b456988a504b99c6cf95647\msxml4-KB927978-enu.log Object is locked skipped
C:\avenger\backup.zip/avenger/hidr.exe Infected: Trojan-Downloader.Win32.Bagle.ga skipped
C:\avenger\backup.zip/avenger/srosa.sys Infected: Trojan-Downloader.Win32.Bagle.ga skipped
C:\avenger\backup.zip ZIP: infected - 2 skipped
C:\Documents and Settings\Alessio\.housecall6.6\Quarantine\AdvertPop.dll.bac_a03916 Infected: Trojan.Win32.Agent.qc skipped

Scan process completed.
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm

Messaggioda crazy.cat » mar nov 27, 2007 11:50 am

alessiomu ha scritto:Scusa ma io lo script l'ho lanciato così come me lo hai dato da C:
E' giusto o devo laciarlo anche da F:?
[uhm]

Se hai un sistema operativo anche nel disco f devi lanciarlo da li con quel windows attivo, perche' mi sembra non siano state cancellate la chiavi nel registro di windows.

dopo di questo cancella le cartelle di backup che ho lasciato visibili nel log di kaspersky.

Poi reinstalla l'antivirus se non hai gia' provato a farlo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda alessiomu » mar nov 27, 2007 1:30 pm

adesso sto facendo un'ultima (spero) scansione con kaspersky.
Poi ti dico...
Però ho un altro problema credo causato sempre dal virus..
Nella partizione F: non riesco a connettermi alla rete senza fili...
Guardando un po in giro ho visto che potrebbe dipendere dal registro, ma lanciando il file registry.reg trovato in MegaLab non ho risolto..
Un'idea?
Grazie ancora... [;)]
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm

Messaggioda ste_95 » mar nov 27, 2007 2:07 pm

per la rete guarda qui:

http://www.MegaLab.it/2657/4
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda alessiomu » mar nov 27, 2007 3:39 pm

[applauso+] [applauso+] [applauso+]
TORNATO TUTTO COME PRIMA!!!!!
Ragazzi siete grandi!!!!
[rotolo] [rotolo] [rotolo]
Per il file di registro dovevo solamente riavviare il sistema ma il file andava!!!
Altra cosa che magari serve a qualcuno...
Non andava la posta con outlook, quindi leggendo l'ultima guida che mi hai suggerito ho riavviato tuti i servizi ed è andato a posto anche quello.
BRAVI, BRAVI, BRAVI....
[:D] [:D] [:D]
Avatar utente
alessiomu
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun nov 26, 2007 10:47 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising