virus Bisoft®

[FedeFuga92]

allora volevo scaricare visual basic 6.0 è ho scaricato un applicazione con un run.exe di una certa Bisoft®...bhè dopo qualche minuto mi appare una delle terribili schermate blu di windows...bhè il computer si riavvia e sembra andare tutto per il verso giusto...appena ho avuto accesso al mio account avast antivirus mi da una serie di file infetti nella cartella system...subito dopo mi si è chiuso avast e fino ad ora non si è più riaperto...

ora...se vado sul pannello di controllo ad esempio per togliere i programmi all'esecuzione mi dice ke il servizio non è disponibile e di consulatare la guida in linea...da notare ke il messaggio di errore sparisce in fretta senza ke abbia fatto niente...

la mia domanda è questa...se riesco a fare un backup di tutti i miei file importanti e inserisco i cd di ripristino di acer torna tutto come prima o avrò problemi anche dopo il ripristino...

graize mille siete gentilissimi..fatemi sapere al più presto

[hell's bells]

Prima di fare ripristini vari vediamo se riusciamo a togliere il cliente, fai questa scansione preliminare:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il report segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

[FedeFuga92]

ti ho scritto nell'altro post xk le dinamiche del problema sono le stesse... io ho rete via cavo ethernet...
io non avrei problemi a formattare tanto farei un pochino di pulizia...ma siamo sicuri ke non mi abbia intaccato il sistema per il ripristino di sistema di acer?? cosa ne pensi?? ti ricordo ke il virus kredo sia lo stesso dove ho postato per sbaglio

[FedeFuga92]

ekko qual il log...
fammi sapere al piu presto

http://www.savefile.com/files/1847181

[hell's bells]

Riesegui malewarebytes e rimuovi tutto, oltre al bagle c'e' altro, poi segui questa procedura:

scarica da questo link il file zip http://www.savefile.com/files/1834854 all'interno troverai 2 files exe, esegui con il tasto destro del mouse (come amministratore) il file pippo, ti si aprirà il programma, disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum.

[FedeFuga92]

ecco qua

Sun Oct 19 21:27:17 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\USERS\PIXEL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\PIXEL\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle

Sun Oct 19 21:27:53 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\USERS\PIXEL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sun Oct 19 21:28:47 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\USERS\PIXEL\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.


la spunta però non l'ho trovata...si avviava da solo il programma

[hell's bells]

Va bene avevo visto giusto il cliente gioca a nascondino con malewarebytes, ora devi eseguire pippo1 (avenger) quando ti si apre segui queste istruzioni:

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\wintems.exe
c:\Windows\System32\drivers\hldrrr.exe
c:\Windows\System32\drivers\mdelk.exe

folders to delete:
c:\Windows\System32\drivers\downld
c:\Windows\exefld
c:\Windows\exefnd
c:\Windows\exefqd

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\s rosa

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

[FedeFuga92]

scusa mi è successa una cosa strana...al riavvio di windows mi è praticamente ripartito il file pippo e stavolta ho visto la schermata dove mettere la spunta...ma di txt in avenger neanke l'ombra...cosa è successo??

[hell's bells]

Prova a scaricare un avenger puro e vediamo, in quanto alla ripartenza di elibagle da solo..misteri di vista..

scarica Avenger

Ripeti la procedura, esegui avenger con il tasto destro con i permessi da amministratore, se continua a darti problemi disattiviamo UAC o usiamo Otmove.

[FedeFuga92]

io aspetto un secondo...faccio rifare la procedura al pippo prima ...xk non so se ha fatto un lavoro completo il processo di prima...quindi ti riposterò il report