Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

BAGLE!!!!!!!! help me

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

BAGLE!!!!!!!! help me

Messaggioda stracchino » dom lug 27, 2008 5:12 pm

ciao a tutti,
ho un grave problema con il mio pc. Il virus bagle si è insidiato all'interno del pc e adesso è un casino. Ho letto i vari topic e mi sembra di avr capito che la prima cosa da fare è quella di avviare al modalità provvisoria. Dopo vari tentativi, nessuno dei quali andato in porto, ho provato ad attivare il campo "safeboot" da esegui->msconfig per cercare di entrare in modalità provvisoria. Adesso però il sistema che continua a non volerne sapere non mi accetta neanche quella normale. Praticamente il pc si riavvia continuamente... Cosa devo fare? Aiutatemi vi prego!

Stefania
Avatar utente
stracchino
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: dom lug 27, 2008 5:01 pm

Messaggioda linux4ever » lun lug 28, 2008 8:25 am

prova a scaricare da un altro pc uno di questi "rescue cd", sono antivirus che si avviano da cd e permettono di fare una scansione. allego i link da dove ne puoi scaricare alcuni:

http://www.avira.com/it/support/support_downloads.html

http://ftp.kaspersky.com/devbuilds/RescueDisk/

http://www.f-secure.com/linux-weblog/20 ... -released/
Visita gratisoft.altervista.org
Avatar utente
linux4ever
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: sab giu 07, 2008 3:25 pm

Messaggioda ste_95 » mar lug 29, 2008 9:10 am

Riesci ad avviare la modalità normale premendo F8 all'avvio?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Messaggioda Randall » mar lug 29, 2008 9:35 am

Ciao a tutti! Temo anch'io di avere Bagle, il fatto è che oltre ad avermi fatto fuori l'antivirus nn vanno neanche progs come avenger e la scansione online di Kaspersky. In pratica nn posso fare alcun tipo di scansione e quindi presumo solo che sia Bagle.
Aiuto!
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda gio! » mar lug 29, 2008 9:50 am

Randall ha scritto:Ciao a tutti! Temo anch'io di avere Bagle, il fatto è che oltre ad avermi fatto fuori l'antivirus nn vanno neanche progs come avenger e la scansione online di Kaspersky. In pratica nn posso fare alcun tipo di scansione e quindi presumo solo che sia Bagle.
Aiuto!

Prova a scaricare systemscan www.suspectfile.com/systemscan e se si avvia clicca in basso su removal tool.
Nella casella bianca copia/incolla:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Premi execute, accetta gli avvisi, fai riavviare il pc e alla fine posta il log avenger che comparirà.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Randall » mar lug 29, 2008 9:57 am

Che velocità!
Cercando nel forum ho trovato una versione funzionante di avenger, solo che nn so quali altri file aggiungere allo script manuale. Nn riesco a fare alcun tipo di scansione tranne panda online che nn ti da il report...
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda gio! » mar lug 29, 2008 10:08 am

Randall ha scritto:Che velocità!
Cercando nel forum ho trovato una versione funzionante di avenger, solo che nn so quali altri file aggiungere allo script manuale. Nn riesco a fare alcun tipo di scansione tranne panda online che nn ti da il report...

Per adesso esegui quello script, poi se qualcosa si risolve proviamo con una scansione on-line dei file rimasti.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Randall » mar lug 29, 2008 10:14 am

Script eseguito, in effetti sembra funzionare!
Ora provo a reinstallare l'antivir, ti faccio sapere nel pomeriggio. (tra poco devo uscire...)
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 10:31 am

Come nn detto, nn va....
E' tornato l'audio che nn funzionava ma anche kasperky online nn va....
Altre idee?
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda gio! » mar lug 29, 2008 10:51 am

Randall ha scritto:Altre idee?

Si, elibagle http://www.zonavirus.com/datos/descarga ... ibagla.asp clicca in basso su descargar elibagla.
Avvialo assicurati che sia spuntato eliminar ficheros automaticamente e clicca su explorar (disconnettiti e non avviare altre applicazioni) poi posta il log che comparirà in C:\Infosat.txt

Edit: posta anche il log avenger che hai eseguito prima.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Randall » mar lug 29, 2008 3:13 pm

Niente elibagle si chiude dopo pochi secondi, temo che il virus lo blocchi....
Nn so davvero cosa fare, tutte le soluzioni standard trovate in rete sono aggirate... Deve essere una versione del virus molto evoluta.
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 3:28 pm

Allora, dopo qlc tentativo con elibagle ho lasciato perdere ed ho rilanciato avenger per poter postare il log.
Al riavvio Elibagle si è inserito prima di avenger (magari funziona così ma io nn lo sapevo...) ed ha portato a termine la scansione.
Posto di seguito il log di avenger, provo a cricare quello di elibagle...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bmhefudu

*******************

Script file located at: \??\C:\owlpalcl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\WINDOWS\system32\drivers\downld deleted successfully.
Folder C:\Documents and Settings\Randall_Flag\Dati applicazioni\m deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 3:30 pm

Nn vedo il file di Elibagle, lo posto a mano....


Tue Jul 29 16:10:43 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle

Tue Jul 29 16:11:27 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.

Tue Jul 29 16:12:21 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Jul 29 16:13:14 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Jul 29 16:13:19 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Jul 29 16:13:33 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\RANDALL_FLAG\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Jul 29 16:13:36 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Jul 29 16:21:17 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jul 29 16:21:54 2008
EliBagle v11.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\avenger\downld\1460343.EXE --> Eliminado Bagle
C:\avenger\m\FLEC006.EXE --> Eliminado Bagle

Nº Total de Directorios: 2749
Nº Total de Ficheros: 54489
Nº de Ficheros Analizados: 9275
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 6:53 pm

Nuovo aggiornamento sulla situazione:
Ora kaspersky online sembra andare, attendo il risultato e vedo se fare un'ulteriore esecuzione di avenger con i nuovi files da cancellare...
Speriamo... se avete consigli nel frattempo...
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 10:00 pm

Ecco il report di kaspersky, scuste ma nn rieso a caricare il file...

Tuesday, July 29, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, July 29, 2008 16:40:54
Records in database: 1023241


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
D:\
E:\
F:\
H:\

Scan statistics
Files scanned 68923
Threat name 11
Infected objects 204
Suspicious objects 5
Duration of the scan 01:30:17

File name Threat name Threats count
C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Email-Worm.Win32.Bagle.vr 1

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Backdoor.Win32.Hupigon.cjai 2

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Trojan-Downloader.Win32.Bagle.ij 1

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Email-Worm.Win32.Bagle.of 3

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Trojan-Downloader.Win32.Bagle.vv 38

C:\avenger\backup-29.07.2008-16.25.06,10.zip Infected: Email-Worm.Win32.Bagle.of 2

C:\avenger\backup-29.07.2008-16.25.06,10.zip Infected: Backdoor.Win32.Hupigon.cjai 1

C:\avenger\backup.zip Infected: Backdoor.Win32.Hupigon.cjai 1

C:\avenger\backup.zip Infected: Trojan-Downloader.Win32.Bagle.vv 129

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta eliminata.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 2

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta eliminata.dbx Infected: Trojan-Spy.HTML.Bankfraud.tt 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta in arrivo.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 2

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\0Q6TBD4B\b64_2[1].jpg Infected: Email-Worm.Win32.Bagle.vr 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\55W3GDC1\b64[1].jpg Infected: Email-Worm.Win32.Bagle.of 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\55W3GDC1\b64_1[1].jpg Infected: Backdoor.Win32.Hupigon.cjai 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\55W3GDC1\b64_1[2].jpg Infected: Backdoor.Win32.Hupigon.cjai 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\55W3GDC1\b64_2[1].jpg Infected: Email-Worm.Win32.Bagle.vr 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\BMUBSL3S\b64_1[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ij 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\GXSP0DLI\b64[1].jpg Infected: Email-Worm.Win32.Bagle.of 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\GXSP0DLI\b64[2].jpg Infected: Email-Worm.Win32.Bagle.of 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\KWSIYWMX\b64_2[1].jpg Infected: Email-Worm.Win32.Bagle.vr 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\PVM33IEF\b64[1].jpg Infected: Email-Worm.Win32.Bagle.of 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\PVM33IEF\b64_2[1].jpg Infected: Email-Worm.Win32.Bagle.vr 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\R3PYF0MD\b64_1[1].jpg Infected: Backdoor.Win32.Hupigon.cjai 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\R3PYF0MD\b64_2[1].jpg Infected: Email-Worm.Win32.Bagle.vr 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Temporary Internet Files\Content.IE5\ZZNLIMF6\b64_1[1].jpg Infected: Backdoor.Win32.Hupigon.cjai 1

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64 Infected: Trojan-Downloader.Win32.Bagle.vv 1

C:\WINDOWS\system32\drivers\mdelk.exe Infected: Trojan-Downloader.Win32.Bagle.vv 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.2 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.s 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.d 2

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.2 1

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.s 1

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.d 2

E:\Hd save\saminside\SAMInside.exe Infected: not-a-virus:PSWTool.Win32.SAMInside.2551 1

E:\Identities\{F84AB6EE-3505-496A-9D84-44D591244CAF}\Microsoft\Outlook Express\Posta in arrivo.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 1

The selected area was scanned.
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda gio! » mar lug 29, 2008 10:06 pm

La maggior parte dei rilevamenti si riferisce a backup o a posta eliminata o ancora a file temporanei. Ripulisci questi ultimi con Ccleaner o AtfCleaner e in avenger scrivi:

Files to delete:
C:\WINDOWS\system32\drivers\mdelk.exe

e posta il log.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Randall » mar lug 29, 2008 11:24 pm

Ho fatto, pulizia con ccleaner ed ho lanciato avenger aggiungendo il file.
Ecco il report, nn ha trovato il file e le stringhe di "srosa" è buon segno?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mpjoxngj

*******************

Script file located at: \??\C:\WINDOWS\system32\fgwcwfwy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.


File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\windows\system32\drivers\hldrrr.exe not found!
Deletion of file C:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\windows\system32\drivers\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\mdelk.exe
Status: 0xc0000034



File C:\windows\system32\hldrrr.exe not found!
Deletion of file C:\windows\system32\hldrrr.exe failed!

Could not process line:
C:\windows\system32\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\system32\drivers\downld not found!
Deletion of folder C:\WINDOWS\system32\drivers\downld failed!

Could not process line:
C:\WINDOWS\system32\drivers\downld
Status: 0xc0000034



Folder C:\Documents and Settings\Randall_Flag\Dati applicazioni\m not found!
Deletion of folder C:\Documents and Settings\Randall_Flag\Dati applicazioni\m failed!

Could not process line:
C:\Documents and Settings\Randall_Flag\Dati applicazioni\m
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mar lug 29, 2008 11:35 pm

L'antivirus nn si installa, ho lanciato di nuovo kaspersky e già sono saltati fuori dei files infetti.
Domani posto il log.
Grazie ancora....

Una domanda, ci sono rischi di infettare i contatti di outlook?
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda Randall » mer lug 30, 2008 6:21 am

Posto il log dell'ultima scansione di kaspersky... AIUTO!

Wednesday, July 30, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, July 29, 2008 19:51:46
Records in database: 1023975


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
D:\
E:\
F:\
H:\

Scan statistics
Files scanned 48389
Threat name 11
Infected objects 190
Suspicious objects 5
Duration of the scan 01:28:45

File name Threat name Threats count
C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Email-Worm.Win32.Bagle.vr 1

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Backdoor.Win32.Hupigon.cjai 2

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Trojan-Downloader.Win32.Bagle.ij 1

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Email-Worm.Win32.Bagle.of 3

C:\avenger\backup-29.07.2008-11.31.30,29.zip Infected: Trojan-Downloader.Win32.Bagle.vv 38

C:\avenger\backup-29.07.2008-16.25.06,10.zip Infected: Email-Worm.Win32.Bagle.of 2

C:\avenger\backup-29.07.2008-16.25.06,10.zip Infected: Backdoor.Win32.Hupigon.cjai 1

C:\avenger\backup-30.07.2008- 0.24.57,90.zip Infected: Backdoor.Win32.Hupigon.cjai 1

C:\avenger\backup-30.07.2008- 0.24.57,90.zip Infected: Trojan-Downloader.Win32.Bagle.vv 129

C:\avenger\backup.zip Infected: Trojan-Downloader.Win32.Bagle.vv 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta eliminata.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 2

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta eliminata.dbx Infected: Trojan-Spy.HTML.Bankfraud.tt 1

C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Identities\{35BE9477-4EA7-4D01-B7DA-8152B966D781}\Microsoft\Outlook Express\Posta in arrivo.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 2

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.64 Infected: Trojan-Downloader.Win32.Bagle.vv 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.2 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.s 1

E:\Download\Ophcrack LiveCD 1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.d 2

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.2 1

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.s 1

E:\Download\ophcrack-livecd-1.1.4.iso Infected: not-a-virus:PSWTool.Win32.PWDump.d 2

E:\Hd save\saminside\SAMInside.exe Infected: not-a-virus:PSWTool.Win32.SAMInside.2551 1

E:\Identities\{F84AB6EE-3505-496A-9D84-44D591244CAF}\Microsoft\Outlook Express\Posta in arrivo.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 1

The selected area was scanned.
Avatar utente
Randall
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: mar lug 29, 2008 9:23 am

Messaggioda gio! » mer lug 30, 2008 8:13 am

Bagle non è presente dal report di Kaspersky (solo backup di avenger, se vuoi eliminali).
Poi vai in outlook express ed elimina tutta la posta dalla cartella posta eloiminata.
Che errore ti restituisce l'AV? Bagle sembra sia stato rimosso.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising