Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto bagle aiutatemi!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto bagle aiutatemi!!!

Messaggioda Makuta92 » lun ago 04, 2008 1:00 pm

Intanto salve a tutti e grazie in anticipo per l'aiuto che mi darete sono nuovo del forum e ho un problema con un bagle ho provato a seguire le vostre guide ma nn riesco a trovare lo script giusto da usare e neanche la versione avenger adatta. poi ho letto che in certe occasioni il virus crea due file nideiect.com e autorun.inf in hard disk esterni e chiavette e siccome io ho due hard disk esterni con dati inportantissimi vorrei sapere come eliminarli.

Specifiche tecniche: sistema operativo: windows xp sp2, antivirus: kaspersky v.7.0.1.325, anti spyware: spybot search e destrory.


Note: il virus non mi ha disattivato ne l'antivirus ne l'antispyware. kaspersky ad ogni accensione del pc trova i seguenti file:


Processo in esecuzione: C:\Documents and Settings\Andrea\Impostazioni locali\Temp\Rar$EX00.752\DVDpedia_2.1.1.exe

eliminato: Trojan program Trojan-Downloader.Win32.Bagle.vj File: C:\WINDOWS\system32\drivers\srosa.sys

rilevato: Trojan program Backdoor.Win32.Hupigon.cjai URL: h**p://citroviqui.altervista.org/b64_1.jpg

rilevato: virus Email-Worm.Win32.Bagle.of URL:h**p://www.nancycroes.com/b64_3.jpg

rilevato: virus Email-Worm.Win32.Bagle.vr URL: h**p://joker06.altervista.org/b64_2.jpg

evato: Trojan program Backdoor.Win32.Hupigon.cjai URL: h**p://paulinekoehorst.com/b64_1.jpg

rilevato: Trojan program Backdoor.Win32.Hupigon.cjai URL: h**p://www.nancycroes.com/b64_1.jpg

rilevato: virus Email-Worm.Win32.Bagle.of URL: h**p://www.kopcom.cz/b64_3.jpg

rilevato: virus Email-Worm.Win32.Bagle.vr URL: h**p://accessimmo.org/b64_2.jpg

rilevato: Trojan program Backdoor.Win32.Hupigon.cjai URL: h**p://kunstfoto-engel.com/b64_1.jpg
Avatar utente
Makuta92
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun ago 04, 2008 12:40 pm

Messaggioda ste_95 » lun ago 04, 2008 1:24 pm

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Makuta92 » lun ago 04, 2008 2:27 pm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jfrssaus

*******************

Script file located at: \??\C:\WINDOWS\system32\eobjctaw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\downld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Aug 04 15:26:30 2008

15:26:30: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Aug 04 15:26:43 2008

15:26:43: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Makuta92
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun ago 04, 2008 12:40 pm


Messaggioda ste_95 » lun ago 04, 2008 2:44 pm

Kaspersky segnala ancora i malware?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda gio! » lun ago 04, 2008 2:45 pm

Bagle non si è attivato del tutto.
Fai una scansione con elibagla http://www.zonavirus.com/datos/descarga ... ibagla.asp clicca in basso su descargar elibagla.
Poi avvialo, assicurati che sia spuntato eliminar ficheros automaticamente e clicca su explorar.
Al termine della scansione posta il log che si trova in C:\Infosat.txt [;)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda ste_95 » lun ago 04, 2008 2:46 pm

gio! ha scritto:Bagle non si è attivato del tutto.
Fai una scansione con elibagla http://www.zonavirus.com/datos/descarga ... ibagla.asp clicca in basso su descargar elibagla.
Poi avvialo, assicurati che sia spuntato eliminar ficheros automaticamente e clicca su explorar.
Al termine della scansione posta il log che si trova in C:\Infosat.txt [;)]

Scorri il log, e noterai che Bagle non si era praticamente attivato...
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda gio! » lun ago 04, 2008 2:50 pm

Appunto cosa ho detto?
Non si è del tutto attivato.
Qualcosa comunque c'era:

Codice: Seleziona tutto
File C:\WINDOWS\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\downld deleted successfully.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda ste_95 » lun ago 04, 2008 2:52 pm

Makuta92 ha scritto:Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Questo è l'ultimo log del programma, e l'unica cosa eliminata è questa:

Codice: Seleziona tutto
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda gio! » lun ago 04, 2008 2:54 pm

Si ma evidentemente aveva già eseguito lo script prima e quindi qualcosa c'era.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Makuta92 » lun ago 04, 2008 6:08 pm

Quindi cosa devo fare adesso??????
Avatar utente
Makuta92
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun ago 04, 2008 12:40 pm

Messaggioda ste_95 » lun ago 04, 2008 6:35 pm

ste_95 ha scritto:Kaspersky segnala ancora i malware?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Makuta92 » lun ago 04, 2008 7:04 pm

No nn rivela più niente comunque cosa devo fare se gli hard disk esterni sono infetti?
Avatar utente
Makuta92
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun ago 04, 2008 12:40 pm

Messaggioda gio! » lun ago 04, 2008 7:17 pm

Makuta92 ha scritto:No nn rivela più niente comunque cosa devo fare se gli hard disk esterni sono infetti?

Sei sicuro che sono infetti? In tal caso effettua una scansione di essi con il tuo Kaspersky [;)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda Makuta92 » lun ago 04, 2008 7:33 pm

No non sono sicuro che sono infetti comunque ora gli faccio una scansione. Spero solo di non infettare il computer un'altra volta. [std] e grazie mille per quello che hai fatto se non mi aiutavi ero ancora la a cercare di capire come fare sei stato un aiuto prezioso.
Avatar utente
Makuta92
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun ago 04, 2008 12:40 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising