Come eliminare Bagle? [era:potreste analizzare questo file log?]

[fochina]

Ciao a tutti... Ho avuto la sventura di beccare un bagle... Allego il file log di hjt. Qualcuno potrebbe darmi una mano?
grazie

http://www.savefile.com/files/1762766

Ida

[hell's bells]

Benvenuta sul forum, segui questa procedura:

scarica elibagla
disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus
lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum

per postare il rapporto segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]



[ot] questo è l'ultimo e vado in vacanza...me lo sogno di notte bagle [ot]

[fochina]

Ho fatto quanto mi ha detto; allego i files reletivi alle due partizioni.

http://www.savefile.com/files/1763153

http://www.savefile.com/files/1763157

Resto in attesa di notizie.
Grazie,
Ida

[hell's bells]

Come immaginavo, non c'e' nessuna traccia del bagle su nessuna delle partizioni, fai questa scansione, se non risulta nulla passiamo ad altro metodo, nel mentre scrivimi che problemi denoti con il pc.

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum come gli altri repot

[fochina]

ecco fatto:

http://www.savefile.com/files/1763228

..poi?

[hell's bells]

Abbiamo un bagle burlone, segui questa procedura:

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\wintems.exe
c:\Windows\System32\drivers\hldrrr.exe
c:\Windows\System32\drivers\mdelk.exe

folders to delete:
c:\Windows\System32\drivers\downld

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\s rosa

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.

[fochina]

fatto!

http://www.savefile.com/files/1763273

Ma in che senso burlone?!?

[hell's bells]

Ti spiego, dal log di elibagle non risultava nulla, l'unica cosa che mi faceva pensare che potesse essere presente, visto che l'avevo trovata da poco su un altro utente era una riga in hijackthis, ora vorrei sapere se hai usato combofix prima di postare sul forum qui, quindi i risultati sono che: avenger ha eliminato l'unica cartella del bagle che era presente per cui passiamo oltre, segui questa procedura:

lancia hijackthis, clicca su "do a system scan only" quando ti si apre il log a destra in basso clicca sul pulsante "config" verifica che ci sia il flag o segno di spunta sulla casellina "make backups before fixing items" poi clicca su back e metti il segno di spunta sulla casellina di fianco a questa voce (vedi riga sotto) poi clicca su fix checked.

O4 - HKLM\..\Run: [combofix] cmd /c "C:\DOCUME~1\marra\IMPOST~1\Temp\RarSFX0\8agle.cmd "

poi

scarica Ccleaner

1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte

infine

scansione on line con Kaspersky

1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.

La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.

Posta il report di kaspersky come gli altri.

[fochina]

Rieccomi... Ieri notte è crollata la copertura umts!!
Ti posto il log di kasp:

http://www.savefile.com/files/1764138

Ciao

[hell's bells]

Ha trovato il file che ti ha portato il bagle, esegui la procedura:

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\Programmi\eMule\Temp\009.part

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.

Fatto questo, presta molta attenzione ai file che hai nella temp di emule, questa è una parte di un file che stai scaricando, non è detto che le parti mancanti non siano nuovamente infette.

Per sicurezza vorrei farti fare una scansione in piu':

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo

Il pc ha ancora problemi o ti funziona tutto?