Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus Bagle Vi prego aiutatemi!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus Bagle Vi prego aiutatemi!

Messaggioda erraimo » gio feb 28, 2008 3:06 pm

Lo so che probabilmente c'è già la risposta ma sono disperato perché sto rischiando il posto di lavoro, ho infettato il pc della ditta dove lavoro con il virus ed ho un contratto a tempo determinato e se mi scoprono.....
Vi allego la scansione on line fatta con kaspersky vi prego aiutatemi ho già provato in qualche modo ad eliminare il virus ma non sono riuscito potreste darmi il codice esatto per Avenger? Grazie a chi mi vorrà aiutare.
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Thursday, February 28, 2008 2:59:05 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 28/02/2008
Kaspersky Anti-Virus database records: 585247
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 29919
Number of viruses found: 3
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 02:05:38

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\ckpNotify.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\mdelk.exe Infected: Email-Worm.Win32.Bagle.of skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked skipped
C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe Object is locked skipped
C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Vegom\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Vegom\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Vegom\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Vegom\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Vegom\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Vegom\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5/BnnnnBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5/VaannnaaBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5/Bnnnnn.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5 ZIP: infected - 3 skipped
C:\Documents and Settings\Vegom\ntuser.dat.LOG Object is locked skipped
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe Infected: Trojan-Downloader.Win32.Bagle.kh skipped
C:\Programmi\CheckPoint\SecuRemote\tmp\CKP_shmem_vpnstat_vpnd_shmem Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\SR_Service-000000.log Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\SR_Service-000000.logptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\SR_Service-000000.loginitial_ptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\SR_Service-000000.logaccount_ptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\SR_Service-000000.logLuuidDB Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\default-000000.log Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\default-000000.logptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\default-000000.loginitial_ptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\default-000000.logaccount_ptr Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\log\default-000000.logLuuidDB Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\sr_service_tde.log Object is locked skipped
C:\Programmi\CheckPoint\SecuRemote\sr_gui_tde.log Object is locked skipped
C:\System Volume Information\_restore{6DCD7524-052D-4043-BF0D-4052983C74DE}\RP1\A0000024.sys Infected: Trojan-Downloader.Win32.Bagle.kh skipped
C:\System Volume Information\_restore{6DCD7524-052D-4043-BF0D-4052983C74DE}\RP1\change.log Object is locked skipped
C:\System Volume Information\_restore{6DCD7524-052D-4043-BF0D-4052983C74DE}\RP1\A0000032.sys Infected: Trojan-Downloader.Win32.Bagle.kh skipped

Scan process completed.
Avatar utente
erraimo
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio feb 28, 2008 2:38 pm

Messaggioda crazy.cat » gio feb 28, 2008 3:35 pm

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger http://www.MegaLab.it/forum/viewtopic.p ... 172#325172
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA



Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

Dovrai, quasi sicuramente, riscaricare i file d'installazione dei programmi di sicurezza perché danneggiati dal virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda erraimo » gio feb 28, 2008 4:17 pm

Ciao, qualche passettino avanti l'abbiamo fatto ora ti mando quello che mi è uscito. Ora mi ha lasciato reinstallare l'antivirus AVG free però non mi lascia completare l'update ed ho ancora il sound max disattivato.
Ti prego continua ad aiutarmi!!!
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bnmhxycd

*******************

Script file located at: \??\C:\WINDOWS\system32\cmsqprum.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Documents and Settings\Vegom\Dati applicazioni\Sun\Java\Deployment\cache\6.0\25\575b3459-2f92a7e5 deleted successfully.
File C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe deleted successfully.
Folder c:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
erraimo
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio feb 28, 2008 2:38 pm


Messaggioda crazy.cat » gio feb 28, 2008 4:52 pm

Reinstalla i driver della scheda audio, uno dei suoi file era infetto ed è stato rimosso
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

Per avg prova ad aspettare un ora e prova a vedere se poi si aggiorna.
Già se sei riuscito a reinstallarlo vuol dire che bagle se ne è andato via.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda erraimo » gio feb 28, 2008 5:05 pm

Adesso sono riuscito a fare l'update non vorrei dirlo troppo presto ma forse mi hai risolto il problema. Volevo chiederti ancora due cose, la prima è che ho letto che bisogna ripristinare anche la modalità provvisoria, puoi dirmi come posso fare? La seconda serve a me per il pc di casa secondo te AVG free va bene o è meglio usare un'altro antivirus ad esempio ho letto su questo forum cose positive su avira antivir. Ora per vedre se è sparito tutto faccio un'altra scansione con kaspersky on line?
P.S. io non so chi tu sia, ma se è tutto ok so soltanto che sei un grande un grazie immenso con tutto il cuore.
Avatar utente
erraimo
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio feb 28, 2008 2:38 pm

Messaggioda crazy.cat » gio feb 28, 2008 5:16 pm

erraimo ha scritto:la prima è che ho letto che bisogna ripristinare anche la modalità provvisoria, puoi dirmi come posso fare?

http://www.MegaLab.it/3250

Codice: Seleziona tutto
La seconda serve a me per il pc di casa secondo te AVG free va bene o è meglio usare un'altro antivirus ad esempio ho letto su questo forum cose positive su avira antivir.

Preferiamo in molti antivir pe, più efficace.

Codice: Seleziona tutto
Ora per vedre se è sparito tutto faccio un'altra scansione con kaspersky on line?

Se vuoi farla, cancella prima di farla la cartella c:\avenger e tutti i file al suo interno.

Codice: Seleziona tutto
P.S. io non so chi tu sia

http://www.MegaLab.itstaff/crazy.cat
Prego e torna pure a trovarci quando hai bisogno.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda erraimo » gio feb 28, 2008 5:38 pm

Posso riattivare il ripristino di sistema?
Avatar utente
erraimo
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio feb 28, 2008 2:38 pm

Messaggioda crazy.cat » gio feb 28, 2008 5:42 pm

erraimo ha scritto:Posso riattivare il ripristino di sistema?

Se lo utilizzi riattivalo pure.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda erraimo » gio feb 28, 2008 6:03 pm

Ho scaricato safeboot come mi hai detto basta soltanto che lo eseguo?
Io non sono in possesso dei driver soundmax 4.0 posso trovarli su internet? Devo prima disinstallare quello che è rimasto di quelli vecchi o posso installarli sopra? scusa ma ho il terrore di fare altre cavolate
Grezie mille
Avatar utente
erraimo
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio feb 28, 2008 2:38 pm

Messaggioda crazy.cat » ven feb 29, 2008 9:36 am

erraimo ha scritto:Ho scaricato safeboot come mi hai detto basta soltanto che lo eseguo?

Doppio click sopra il file e confermi due volte quando te lo chiede

erraimo ha scritto:Io non sono in possesso dei driver soundmax 4.0 posso trovarli su internet? Devo prima disinstallare quello che è rimasto di quelli vecchi o posso installarli sopra?

Puoi trovarli su internet, in base al modello del pc, se è di marca, oppure a quello della scheda audio sul sito del produttore.
Puoi anche disinstallare quelli vecchi così fai una reinstallazione pulita dell'audio, se non te li lascia disinstallare sovrascrivi la vecchia installazione.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising