Ho preso bagle ("winfilse.exe" voleva connettersi a internet, ma l'ho bloccato con look 'n stop). Ho letto vari posts su questo sito su bagle e ho fatto quanto segue.
(premessa: avevo nod32, che si e' fermato. kaspersky online scan si blocca. avenger (entrambe le versioni) non partono)
ho eseguito FindyKill:
----------------- FindyKill V4.095 ------------------
* User : Sandro - HOME-FUJPEALBRD
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/11/08 par Chiquitine29
* Recherche effectuée à 1:03:51 le Thu 06/11/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\QuickCam 11.5\Quickcam.exe
C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WebDrive\wdService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! [06/11/2008 00:51] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [06/11/2008 00:51] - C:\WINDOWS\system32\drivers\srosa2.sys
Présent ! [08/10/2004 04:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [06/11/2008 00:51] - "C:\WINDOWS\system32\drivers\downld"
»»»» Presence des fichiers dans C:\Documents and Settings\Sandro\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\Sandro\LOCALS~1\Temp
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\Eye_Patch_{72A388DF-9888-46A6-BDF0-984514656AAD}.xml
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\PatchByFile.tmp
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\jkos-Sandro\binaries\03988373.key
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TkBellExe REG_SZ "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
sealmon REG_SZ C:\Program Files\SealedMedia\sealmon.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RunDLL32.exe NvMCTray.dll,NvTaskbarInit
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Maxthon Access Update REG_SZ C:\Program Files\Maxthon Access\Maxthon Access_updater.exe
Look 'n' Stop REG_SZ "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam 11.5\Quickcam.exe" /hide
LogitechCommunicationsManager REG_SZ "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
egui REG_SZ "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
PC Suite Tray REG_SZ "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
Google Update REG_SZ "C:\Documents and Settings\Sandro\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
AnyDVD REG_SZ C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2025429265-839522115-725345543-1003\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-2025429265-839522115-725345543-1003\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
--------------- [ Etat / Services ] ----------------
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
-> Mode sans echec non fonctionnel !!
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Fixed Drive
D: - Fixed Drive
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
-> Recherche négative.
------------------- ! Fin du rapport ! --------------------
* User : Sandro - HOME-FUJPEALBRD
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/11/08 par Chiquitine29
* Recherche effectuée à 1:03:51 le Thu 06/11/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\QuickCam 11.5\Quickcam.exe
C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WebDrive\wdService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! [06/11/2008 00:51] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [06/11/2008 00:51] - C:\WINDOWS\system32\drivers\srosa2.sys
Présent ! [08/10/2004 04:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [06/11/2008 00:51] - "C:\WINDOWS\system32\drivers\downld"
»»»» Presence des fichiers dans C:\Documents and Settings\Sandro\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\Sandro\LOCALS~1\Temp
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\Eye_Patch_{72A388DF-9888-46A6-BDF0-984514656AAD}.xml
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\PatchByFile.tmp
Présent ! - C:\DOCUME~1\Sandro\LOCALS~1\Temp\jkos-Sandro\binaries\03988373.key
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TkBellExe REG_SZ "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
sealmon REG_SZ C:\Program Files\SealedMedia\sealmon.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RunDLL32.exe NvMCTray.dll,NvTaskbarInit
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Maxthon Access Update REG_SZ C:\Program Files\Maxthon Access\Maxthon Access_updater.exe
Look 'n' Stop REG_SZ "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam 11.5\Quickcam.exe" /hide
LogitechCommunicationsManager REG_SZ "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
egui REG_SZ "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
PC Suite Tray REG_SZ "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
Google Update REG_SZ "C:\Documents and Settings\Sandro\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
AnyDVD REG_SZ C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2025429265-839522115-725345543-1003\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-2025429265-839522115-725345543-1003\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
--------------- [ Etat / Services ] ----------------
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
-> Mode sans echec non fonctionnel !!
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Fixed Drive
D: - Fixed Drive
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
-> Recherche négative.
------------------- ! Fin du rapport ! --------------------
poi ho eseguito Malwarebytes' Anti-Malware:
Malwarebytes' Anti-Malware 1.30
Database version: 1306
Windows 5.1.2600 Service Pack 3
6/11/2008 9:40:33
mbam-log-2008-11-06 (09-40-21).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 312955
Time elapsed: 3 hour(s), 16 minute(s), 33 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.
Files Infected:
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.
Database version: 1306
Windows 5.1.2600 Service Pack 3
6/11/2008 9:40:33
mbam-log-2008-11-06 (09-40-21).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 312955
Time elapsed: 3 hour(s), 16 minute(s), 33 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.
Files Infected:
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.
Potete dirmi che fare adesso? Mi sembra che OtMoveIt3 funzioni... ma che script devo usare?
Grazie mille!
Diodorus