Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Anche io col maledetto BAGLE!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Anche io col maledetto BAGLE!!!

Messaggioda Chalys » mar gen 15, 2008 11:10 pm

Ragazzi buonasera innanzi tutto.
Mi sento perso! Anche io ho beccato questo demonio di virus, ma quando vado a fare la scansione direttamente sul web con kaspersky su tutto C:\ questa mi si è bloccata al file 5837 anche se il tempo continua a scorrere da più di 50 minuti!

Ho la possibilità di usare (ho salvato sul PC) anche HijackThis, gmer e Avenger, ma non ho la minima idea di come si usino.

Sono alla frutta! Spero possiate darmi una mano.
Ultima modifica di Chalys il mer gen 16, 2008 9:03 am, modificato 1 volta in totale.
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda Chalys » mar gen 15, 2008 11:31 pm

E' ANCHE PEGGIO: mi si riavvia il PC!!!!!!!!!!

Allucinante...
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda ste_95 » mer gen 16, 2008 6:59 am

Sai il file in cui ti si blocca?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Re: Anche io col maledetto BAGLE, ma kaspersky mi si blocca!

Messaggioda crazy.cat » mer gen 16, 2008 8:36 am

Chalys ha scritto:Ho la possibilità di usare (ho salvato sul PC) anche HijackThis, gmer e Avenger, ma non ho la minima idea di come si usino.

Purtroppo ci servono a poco o niente.

Non è che la scansione si blocca su un qualche file video o immagine iso molto grande?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

File scan di kaspersky

Messaggioda Chalys » mer gen 16, 2008 8:56 am

OK, era come dicevi tu.
Ecco il file della scansione di Kaspersky su tutto il mio pc.
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda crazy.cat » mer gen 16, 2008 9:22 am

Disattiva il ripristino della configurazione e riavvia il pc
http://www.MegaLab.it/2330

Poi applichi questo script ad avenger.

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-5aa38e03-197fc209.class
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\omfge.class-11116b8e-2cf68aad.class
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_1[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[1].jpg 
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[2].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[3].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\DKCVZ2D4\b64_3[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[2].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[3].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[2].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[3].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[4].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[2].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[3].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[4].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_2[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[1].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[2].jpg
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[3].jpg 
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.85  Infected: Email-Worm.Win32.Bagle.of  skipped 
C:\Programmi\Help and Support Additions\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe
C:\WINDOWS\S626F7868.tmp
C:\WINDOWS\system32\mdelk.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Dopo il riavvio reinstalli l'antivirus.

Poi è strano che questi file ti vengano dati come locked, per sicurezza li fai analizzare sul sito www.virustotal.com e vediamo cosa sono.
C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\system32\dllcache\ntkrnlpa.exe Object is locked skipped
C:\WINDOWS\system32\ntkrnlpa.exe Object is locked skipped
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Chalys » mer gen 16, 2008 10:37 am

NON riesco ad installare Avanger!!!
Mi dice:

Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda crazy.cat » mer gen 16, 2008 10:43 am

Avenger non deve essere installato.
http://www.MegaLab.it/2656

cosa hai scaricato?
Avg antispyware per caso?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Chalys » mer gen 16, 2008 10:57 am

Da Virustotal:

Risposta 1° file:
0 bytes size received / Se ha recibido un archivo vacio

Questa directory non esiste:
C:\WINDOWS\system32\dllcache

Risposta 3° file:
0 bytes size received / Se ha recibido un archivo vacio
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda Chalys » mer gen 16, 2008 11:21 am

Gentilissimo Crazy, ho fatto come dicevi. Di seguito di incollo il log di Avenger dopo il riavvio.
Mi ha dato dei messaggi di errore alla fine.
Ora provo a reinstallare un antivirus.

----------------------------------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xvuuwvun

*******************

Script file located at: \??\C:\Program Files\mhvacipj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.ex_ failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.ex_
Status: 0xc0000034

File C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-5aa38e03-197fc209.class deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\omfge.class-11116b8e-2cf68aad.class deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[2].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\B12Y1MXX\b64_3[3].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\DKCVZ2D4\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_1[3].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[3].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_2[4].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[2].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[3].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\KH3CDWY7\b64_3[4].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[2].jpg deleted successfully.
File C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\T1TO6SQ9\b64_3[3].jpg deleted successfully.


File C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.85 Infected: Email-Worm.Win32.Bagle.of skipped not found!
Deletion of file C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.85 Infected: Email-Worm.Win32.Bagle.of skipped failed!

Could not process line:
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.85 Infected: Email-Worm.Win32.Bagle.of skipped
Status: 0xc0000034

File C:\Programmi\Help and Support Additions\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe deleted successfully.
File C:\WINDOWS\S626F7868.tmp deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.


Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda Chalys » mer gen 16, 2008 1:19 pm

AVAST sono riuscito a reinstallarlo, ma ora che sto facendo un nuovo SCAN on line, Kaspersky continua a trovare numerosi file infetti e vari virus.

Purtroppo io sto partendo per l'estero e tornerò solo giovedì sera: appena arrivo a casa allego di nuovo l'ultimo scan completo di Kaspersky.

Incomincio a perdere le speranze: ce ne sono?

Un saluto e un ringraziamento a tutto lo staff di un forum eccezionale.

Enzo
Avatar utente
Chalys
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mar gen 15, 2008 10:09 pm

Messaggioda crazy.cat » mer gen 16, 2008 1:21 pm

se i file infetti sono nella cartella c:\avenger li puoi cancellare tutti senza problemi.

Se hai reinstallato l'antivirus bagle non c'è più.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda ste_95 » mer gen 16, 2008 2:29 pm

Ti troverai comunque con la modalità provvisoria disabilitata:

Per ripristinare la modalità provvisoria scarica ed esegui questo file:

http://www.MegaLab.it/3250
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising