www.MegaLab.it

[lubumba]

Salve a tutti
incomincio con un GRAZIE a tutti gli admin del forum. Mi sono iscritto proprio perché ho un problema Bagle e questo forum mi ha dato le risposte ancor prima di capire quale fosse realmente il mio problema.
Ieri serà il mio PC funzionava egregiamente ma dopo un incauto download e ancor piu' incauta esecuzione di un file mi sono ritrovato improvvisamente all'inferno. ( IO che predico a tutti ... ho razzolato proprio male!!!)
Primo sintomo il PC si è spento improvvisamente!
al riavvio non avevo piu' la connessione WiFi e non trovava le reti senza fili ( mentre l'altro PC nella stanza di mio figlio navigava regolarmente )
Pensando ad un improvviso calo di tensione che avesse arrecato danno ai drivers della connessione ho reinstallato Alice e ho ripreso a navigare , ma... il firewall era disattivato; l'antivirus era disattivato e non si riavviava ( applicazione non valida ) ; la scheda audio non funzionava , il servizio Zero Configuration non funzionava , non mi faceva vedere le cartelle nascoste ( mancava addirittura l'opzione ), non trovavo piu' la cartella drivers in system32 ne tantomento la etc in essa contenuta dove avrei voluto verificare il file hosts.
In Taskmanager ho trovato un file sospetto in esecuzione : 3191468.exe
ovviamente disattivato ( ma anche inutilmente ).
Allora ho effettuato un ripristino del sistema alla giornata precedente ... ma le anomalie sono rimaste tali. Nel fare un backup di sicurezza di un database access su una drive-pen mi sono accorto che ogni tanto lampeggiava un file ( icona stile dos ) chiamato : nideiect.com che comunque rimaneva nascosto ( apparivano solo dei flash ).
Solo a questo punto ( da notare la sagacia ) mi sono reso conto che ero nei guai. Ho lanciato la scansione online con Kaspersky e dopo 5 ore mi ha rilevato il virus Bagle ( non ho salvato il log ) . Poi ho lanciato Bitdefender e me ne sono venuto in uffico. ( mio figlio mi ha comunicato per telefono che "pare" che l'abbia disinfettatto ...ma leggendo i vostri rapporti e in particolar modo l'articolo http://www.MegaLab.it/2657/5 di crazy.cat mi riservo dei dubbi... ) comunque stasera al rientro a casa saro' piu' preciso e grazie a voi sapro esattamente cosa fare!!!!

Sarà mio dovere e mio piacere (spero) potervi informare della riuscita dell'operazione anti Bagle.

dati: P4 3Gh - XP pro - AV Antivir ( aggiornato qualche minuto prima ) ...

come mai l'AV non mi ha allertato? e si è fatto escludere come un pivello alle prime armi? .... fino ad oggi mi era sembrato davvero serio ma ora ho dei dubbi!!! ... cambiarlo o no?

[ste_95]

Puoi comprimere in un archivio il file che ti ha dato problemi, caricarlo su www.freefilehosting.net e mandarmi il link che ti viene assegnato, cortesemente?

[crazy.cat]

mi riservo dei dubbi

Difficilmente ti ha rimosso tutto quanto.
Per quello ci affidiamo a Kaspersky online ed avenger (anche se con l'ultima versione uscita in questi giorni non basta più neanche quello)

come mai l'AV non mi ha allertato? cambiarlo o no?

Il virus bagle è uno dei più fetenti e furbi mai creati, gli autori continuano a modificarlo e con l'ultima versione (che sembra la tua) siamo arrivati vicini al top dell'efficenza.
Pochi antivirus resistono a bagle, forse solo un kaspersky aggiornatissimo.

Se leggi l'articolo è spiegato come rimediare ai vari problemi (wi-fi, cartelle nascoste, etc...).

Rifai lo scan online di kaspersky se dopo la scansione di bit defender non ti lascia reinstallare l'antivirus.

[lubumba]

Grazie per l'attenzione.
L'articolo me lo sono letto e riletto svariate volte : ottimo.
Fra vedere e non vedere in ufficio me lo sono stampato .
Comunque stasera rientato a casa mi sono messo d'impegno e ho scaricato tutto quello che indicate nell'articolo.
Come hai detto tu il "mio" Bagle è del tipo ultimo modello ... ma i programmi "Tools-Anti-Bagle-nuovo" non funzionano : Gmer non trova una dll su system32 ; avenger invece da una serie di errori e si chiude da solo dopo una decina di secondi. Ccleaner parte e si chiude.
Allora ho provato con Tools-Anti-Bagle-vecchio e : Gmer continua a non funzionare mentre Avenger HA FUNZIONATO!!!
Ho ripristinato le cartelle nascoste e come vedi sto' navigando.
Lo scan di kaspersky è in funzione ( spero che finisca presto per postarvi il log ) , intanto allego quello di avenger.
http://www.freefilehosting.net/download/3g195
contiene la cartella del backup di avenger ( non sono riuscito a copiare il file avenger.txt ... me lo cancella ogni volta che ci provo ).
Come inizio non c'è male ma resto in attesa di un vostro cortese aiuto per completare l'opera.
Intanto kaspersky dopo un quarto d'ora è a questo punto : http://www.freefilehosting.net/show/3g199

Haaaaiutatemi....


p.s. non mi permette di reinstallare Antivir.

e sono scomparse nuovamente le cartelle nascoste ( ma ho reinstallato il .reg e sono tornate . Inoltre è tornato anche l'audio )

[lubumba]

... mi sa che il log di kaspersky lo postero' domattina ...

Scan Progress [9%]:

Total number of scanned objects: 15918
Number of viruses found: 5
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 02:06:20

lo lascio andare tutta la notte e poi ... speriamo bene.

inoltre sulla drive-pen ho ancora i files nideiect.com e autorun.inf
cosa devo fare per eliminarli, visto che provo a cancellarli ma ricompaiono immediatamente???

Buonanotte !

[ste_95]

inoltre sulla drive-pen ho ancora i files nideiect.com e autorun.inf
cosa devo fare per eliminarli, visto che provo a cancellarli ma ricompaiono immediatamente??

Finchè l'infezione è attiva, no nci puoi fare nulla... Da penna collegata poi dovrai lanciare il Perlovga Removal Tool. per Kaspersky non preoccuparti, ad alcuni ha impiegato giorni.

[lubumba]

Eccomi!

Buongiorno a tutti ... il txt di Kaspersky : http://www.freefilehosting.net/download/3g1f5

[ste_95]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\Documents and Settings\user.USER-128A820BF5\Impostazioni locali\Temporary Internet Files\Content.IE5\T69G47KI\b64_2[1].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\avenger\backup.zip

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[lubumba]

Fatto!

ho dovuto usare la "vecchia" versione di Avenger
http://www.freefilehosting.net/download/3g1fk (avenger.txt)

e ora?

sono pulito?

[lubumba]

Finalmente ho potuto eseguire C Cleaner ....

ho poi reinstallato Antivir .... ma continua a dirmi che non è una applicazione valida w32 ...

lo reinstallo e seleziono l'opzione repair ... ora pare che funzioni
( prima posto questo mesaggio e poi riavvio dinuovo la macchina )

per la drive-pen infetta ora che faccio?
la inserisco lancio l'applicazione Perlovga dalla penna o dal Desktop?



riavvio ok ... la connessione mi blocca e inchioda sistema

riavvio .... ora è tutto a posto
aggiornato AV e avviato AV-Guard

resta solo la drive-Pen infetta
Siete Grandi!

non appena sarà tutto a posto invierò a tutti i miei contatti un invito a visitare il vostro sito e magari ad iscriversi a questo fantastico forum.

[ste_95]

Con Antivir scansioni la penna e rileverà il file infetto, poi usi il Perlovga Removal Tool per pulirla completamente.

[lubumba]

ok!
solo alcune precisazioni :

- inserisco la penna USB e scansiono con Antivir , quindi presumo che se ci fosse un contagio L'Avir lo dovrebbe beccare!!!!

- Perlovga Removal Tool deve essere sulla penna USB o lo posso usare dal Desktop dove ora si trova?

Ancora grazie!

[ste_95]

- Perlovga Removal Tool deve essere sulla penna USB o lo posso usare dal Desktop dove ora si trova?

Eseguilo dal desktop.

[lubumba]

PERFETTO!!!!

Tutto funzionante!

Affettuata scansione con Antivir
nessuna infezione!!!

GRAZIE

[ste_95]

Ripristina anche la modalità provvisoria utilizzando questo file.

[lubumba]

[lubumba]

E' NECESSARIO RIATTIVARE IL RIPRISTINO DEL SISTEMA?

considerando che fino ad oggi non mi ha mai creato problemi ed in alcuni casi mi ha anche salvato...

o mi consigliate di lasciarlo disattivato?...

a quel punto mi faccio un Ghost ogni tanto ... e via !

Che faccio?

[ste_95]

Puoi riattivarlo, se vuoi, alla fine della rimozione, quindi se lo usavi, puoi ripristinarlo.

[dominus]

dunque...ho lo stesso identico problema del signore che ha aperto questo topic....e ho eseguito tutte le operazioni descritte, ho scaricato la nuova e vecchia versione di avenger...ma solo la vecchia partiva...ho inserito le righe di codice scritte in verde nel topic...e mi è uscito un file txt al riavvio del pc...
ora ho provato a reinstallare zone alarm ma mi dà sempre errore...mi dice che potrebbe essere attivo true vector o roba simile....come faccio a reinstallarlo?e soprattutto....sono pulito da nideiect dopo che ho fatto quella procedura di avenger? aiutatemi vi prego....

[ste_95]

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.