penso di aver preso bagle

[Sly1]

..penso di essere nei guai, nl scaricare un applicazione tramite p2p nel lanciare un file(tra l'altro analizzato prima con un antivirus senza risultato ) penso di aver preso un bagle. Il sistema si è riavviato e nn mi fa partire gli antivirus!! Non vorrei formattare che procedura dovrei seguire? Aiutatemi sono disperato!

[Conetti]

Ciao, scarica System Scan e salva il file .exe sul desktop.
Eseguilo, disattiva antivirus/connessione, spunta tutte le voci e clicca su "Scan Now".
Al termine della scansione verrano creati due file nella cartella creata sul desktop: allega il file con estensione .txt su MegaUpload e scrivi, nel tuo prossimo post, il link da cui effettuare il download.
Non eseguire alcuna operazione durante la scansione
P.S.: System Scan viene riconosciuto come malware da alcuni antivirus, è un falso-positivo.

[Sly1]

ciao connetti...ho fatto come dicevi, ti posto il link...ciao speriamo bene

http://www.megaupload.com/?d=JMSJ71TM

[Sly1]

..ragazzi, novita' al riguardo??

[Sly1]

..ho provato anche a scaricare un tool di avira per rimuovere sti file, ma se provo a collegarmi mi interrompe la connessione bruscamente,cosi come pure un altro software antimalaware..sembra che sia organizzato per nn farti scaricare tool per la rimozione, mi ha disattivato anche la pen drive dove avevo caricato i tool da un altro pc...come devo fare?non vorrei formattare!!

[R16]

Buonasera.
Prova questo programma:
Scarica Findykill:
http://pagesperso-orange.fr/NosTools...ne29/Setup.exe
installa FindyKill .
chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
disconnettiti da Internet
sconnetti, fisicamente, il modem dal computer. (non inserire nessuna periferica esterna)
avvia il tool e digita F per impostare la lingua;
clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti )
al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop , e postalo qui.(se non lo trovi sul desktop, lo trovi in C:\FindyKill.txt )
P.S:
Potranno esserci dei riavvii, non preoccuparti, è il programma che stà lavorando.

[Sly1]

ecco il report:

############################## | FindyKill V5.043 |

# User : Administrator (Administrators) # UTENTE-8329A989
# Update on 12/05/2010 by El Desaparecido
# Start at: 21.35.04 | 26/05/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Processore Intel Pentium III Xeon
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | (!) Outdated ]
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disco rigido locale # 74,24 Go (56,73 Go free) # NTFS
# D:\ # Disco CD-ROM # 65,71 Mo (0 Mo free) [Nuovo] # CDFS
# E:\ # Disco rigido locale # 74,81 Go (68,23 Go free) # NTFS

################## | Infected File |

Deleted ! C:\WINDOWS\ban_list.txt
Deleted ! C:\Documents and Settings\Administrator\Dati applicazioni\drivers

################## | Reference of comparaison Bagle MD5 : |

File : C:\Qoobox\Quarantine\C\Documents and Settings\Administrator\Dati applicazioni\drivers\winupgro.exe.vir
-> Crc32 : c5894968 | Md5 : d8e0363f5d8091c54270135ad2b2c840


################## | MD5 ... |

Deleted ! "C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0035146.exe"
-> Size : 1058816 | Crc32 : c5894968 | Md5 : d8e0363f5d8091c54270135ad2b2c840

Deleted ! "C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0035154.exe"
-> Size : 1058816 | Crc32 : c5894968 | Md5 : d8e0363f5d8091c54270135ad2b2c840


################## | CRC32 ... |

[R16]

Scarica elibagla : http://www.zonavirus.com/datos/desca...5/elibagla.asp
scorri a fondo pagina e clicca su "descargar elibagla ".
Salva il file sul desktop
IMPORTANTE : Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona Elibagla.exe per avviare il programma.
Assicurati che la casella "Eliminar Ficheros Automaticamente " sia spuntata, e clicca sul pulsante "Explorar ".

Usa Elibagla in modalità provvisoria ,se funziona.Altrimenti usa la Modalità Normale.
Al termine della scansione DEVI RIAVVIARE il pc,e postare il log che si trova in: C:\InfoSat.txt

[Sly1]

fatto ecco il report:
(26-5-2010 21:39:45 (GMT))
EliBagle v13.91 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):

(26-5-2010 21:41:48 (GMT))
EliBagle v13.91 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Qoobox\Quarantine\C\Documents and Settings\Administrator\Dati applicazioni\drivers\downld\75093.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\SROSA2.SYS .VIR --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP67\A0029751.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP67\A0029906.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030158.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030174.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030203.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030480.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030490.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030525.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030697.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030866.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0030898.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0031733.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0031903.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0032727.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0032796.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0033785.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0033793.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0034722.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0034918.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0035132.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{3274D7E1-F579-4104-B729-FA5B659A286F}\RP68\A0035157.SYS --> Eliminado Bagle(rootkit)

Nº Total de Directorios: 3495
Nº Total de Ficheros: 61718
Nº de Ficheros Analizados: 10645
Nº de Ficheros Infectados: 23
Nº de Ficheros Limpiados: 23

[R16]

Disattiva il ripristino configurazione di sistema , e tienilo disattivato, fino alla soluzione del problema

Se qualche software ( Antivirus, Firewall, insomma qualsiasi programma) non ti funziona, dovrai disistallarlo, e poi reistallarlo.
Prima però fai questa scansione:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop .

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.