Mi manca la cartella hidden nel registro

[brunorox]

Ciao Deifobe, scusami, ma sono nuovissimo di questo forum!!
Ho scaricato elibagla e l'ho avviato, è comparsa una piccolissima finestra con una barra di avanzamento che mi dice che stà processando 116, il tutto è durato circa 10 secondi e poi più nulla, non ho potuto cliccare su explorar, perchè non mi è comparso.
Cmq questo è il rapporto che ne è uscito:

Sun Apr 27 18:45:23 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 18:46:06 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 18:50:29 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 18:51:50 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 18:53:08 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 18:53:25 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

[Deifobe]

ti mando la password con un pm

http://www.sendmefile.com/00621325
puoi scaricare il file zip usando la password che ti ho inviato.

Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\

Scompatta il file hidden.zip e trascina il file hidden.reg sul desktop.
Esegui il file cliccandoci sopra 2 volte ed accetta le modifiche al registro


entra in modalità provvisoria, visualizza files e cartelle nascoste ed elimina i file residui indicati da elibagle.

[brunorox]

Ora ci provo, poi ti dico,
intanto ti ringrazio per la tua pazienza e cortesia
Grazi, davvero tante grazie!

[brunorox]

Scusa, ma i file da eliminare sono questi:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
o devo rieseguire il programma Elibagla, e poi eliminare manualmente quello che mi indica il rapporto?

[Deifobe]

hai riavviato dopo averlo eseguito?
vai in provvisoria ed eliminali manualmente (all'avvio premi F8)

[brunorox]

Ciao, eccomi qua, questo è il rapporto di elibagla:

Sun Apr 27 21:28:29 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Sun Apr 27 21:34:17 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Apr 27 21:34:25 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 11956
Nº Total de Ficheros: 137463
Nº de Ficheros Analizados: 15636
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

aveva trovato 8 file maledetti ma io non ho dovuto eliminare nulla, ha fatto tutto da se!
Devo eliminare questi 3 file qui sotto elencati??
WINTEMS.EXE
SROSA.SYS
HLDRRR.EXE
non riesco ad avviare facilmente il pc in modalità provvisoria, ci devo provare più volte poi alla fine si accende,
mi è comparsa due vote una schermata blu, ma non riesco a leggere, in quanto il pc si spegne troppo in fretta, ma credo si tratti di un errore grave del sistema!
ora sto facendo la scansione con kaspersky, spero che non mi si spenga il pc.
Dopo pochi minuti che il pc è acceso, mi si attiva la connessione remota, senza nessun motivo apparente, anche adesso c'è la finestra che chiede di connettermi, ma di fatto io sono già connesso.
Mi sa che sta volta ho un grosso guaio!!!
ho provato anche a reinstallare il Norton, in quanto sul desktop, c'è l'icona per la sua installazione, ma ad un certo punto mi dice che non è un'applicazione valida!

[brunorox]

altra cosa, le chiavi di registro sono al suo posto, ma per vedere le cartelle nascoste dopo che riavvio il pc, devo cliccare 2 volte sul file che mi hai mandato, se no è tutto come prima

[Deifobe]

se ottieni il rapporto di kaspersky postalo.
si, elimina quei files, se presenti (visualizza files nascosti)
elimina questa cartella, se presente, C:\WINDOWS\system32\drivers\down

Scarica SystemScan, disconnetti il pc da internet => esegui systemscan => clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

visto che il pc si riavvia, ti conviene fare la scannsione in due sessioni, prima la colonna a dx e poi quella a sinistra

poi.. il problema del norton direi che è normale, è il problema che comporta il bagle.
riguardo la provvisoria e la schermata blu, poi vediamo.

[brunorox]

Ciao, dopo 22 ore e 34 min sono al 96% della scansione di kaspersky (mi sa che anche la connessione ad internet subisca il negativo influsso del sistema malmesso), sembra aver trovato 4 virus e 44 oggetti infetti! cmq appena finisce riavvio il pc, cancello quei 3 file e poi ti invio il rapporto.
Ancora 1000 grazie!

[Deifobe]

22 ore e 34 min sono al 96% della scansione di kaspersky
sembra aver trovato 4 virus e 44 oggetti infetti!
ah mamma.. ok..
salva il rapporto come file di testo