Disastro Bagle

[Ltnick]

Come richiesto apro una una nuova discussione.
La situazione è complessa:
1. Antivr non è più eseguibile (Errore di applicazione non win 32);
2. tutti gli altri Antivirus installati successivamente hanno lo stesso probelma;
3. CCcleaner non si avvia: dopo il doppio click compare a video una schermata per una frazione di secondo e poi scompare. Ho provato (trovato nei vari forum di discussione) anche con ATF-Cleaner;
4. la connessione Wi-Fi è stata disabilitata (Errore segnalato): esiste un altro programma per la gestione della rete.
5. elibagla scansione riavvia ma dopo il reset il PC cresha con schermata blu e successivo riavvio;
6. i Fix si symantec non rileva nulla;
7. Il rapporto di avenger lo trovi in http://www.sendmefile.com/00609695 (non tutte le verisoni di avenger funzionano l'unica che funziona si chiama MegaLab_The_Avenger.exe)
8. tutte le applicazioni di windows sembrano funzionare;
9. credo di essermi infettato con emule;
10 . i primi sintomi di malfunzionamento sono stati la rete Wi-Fi morta, poco dopo una schemraa blu e CCleaner inutilizzabile.

Spero di non aver fatto troppi danni tra i vari tentativi. Adesso sto provando con un Bagle removal tool della Bitdefender.

Grazie.

[Deifobe]

Da qui non posso scaricare il rapporto.. lo faro' non appena arrivo a casa.

Quando hai finito la scansione, se vedi che non hai risolto scarica SistemScan e riavvia il pc.

Senza connetterti ad internet => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan.

Se, invece, le cose migliorano, esegui una scansione con BAGLEGUI => Toll_rimoz_Bagle Sophos

[Ltnick]

Pessime notizie:
Sistemscan si blocca (runme.exe) quando arriva a

SeDebugRestore seganala che

"\cscript.exe" non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch.
Please reboot your machine

Press any key to exit"

Questo invece è il report di EliBagle output id ieri

Wed Jan 30 12:23:35 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 30 12:27:12 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1837
Nº Total de Ficheros: 16546
Nº de Ficheros Analizados: 558
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Wed Jan 30 12:27:58 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 9238
Nº Total de Ficheros: 93009
Nº de Ficheros Analizados: 11742
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Wed Jan 30 12:37:14 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Wed Jan 30 12:37:29 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 48
Nº Total de Ficheros: 394
Nº de Ficheros Analizados: 218
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Wed Jan 30 12:46:00 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Wed Jan 30 12:46:19 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 9238
Nº Total de Ficheros: 93030
Nº de Ficheros Analizados: 11742
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

[Deifobe]

Dovresti poter entrare in provvisoria.
trova ed elimina:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

esegui BAGLEGUI (vedi il precedente post)

[Ltnick]

niente da fare, non mi permette di entrare in provvisortia

[Ltnick]

Aggiungo che ad ogni riavvio, una volta logato in windows si visualizza una finetsra di notebook con il seguente messaggio:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

Il file nel quale è contenuto il testo è un fili .ini (desktop.ini)

[Demonios@]

Disattivazione ripristino config. di sitema (spunta la voce Disattiva ripristino configurazione di sistema)

Scarica avenger da qui:
http://www.wikifortio.com/817201/avenger.rar

lo salvi in una cartella, scompatti il file .zip. individua avenger.exe, lo avvii.

- Seleziona "Input Script Manually"- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla quanto segue:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.exe

folders to delete:
C:\WINDOWS\exefqd
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\temp
C:\WINDOWS\Tasks

registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\s rosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32

drivers to unload:
srosa
pci32

Clicca sul tasto Done
- Poi sull'icona del semaforo
- Rispondi Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

Ora scaricati Combofix
http://www.techsupportforum.com/sect...s/ComboFix.exe
Salvalo sul desktop.

1. Doppio click su combofix.exe
2. Digita 1, premi Invio e segui le indicazioni.
3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
4. Posta il log creato

Nota: Durante l'operazione di scansione non usare il PC e attendi la fine delle operazioni.


Scarica ELIBAGLA
http://www.zonavirus.com/datos/desca...5/elibagla.asp
Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar
Posta il log C:\InfoSat.txt

[Ltnick]

Ho eseguito avenger... posto il log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\ikyecven

*******************

Script file located at: \??\C:\cjlcsqvd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\hldrrr.exe deleted successfully.


Folder C:\WINDOWS\exefqd not found!
Deletion of folder C:\WINDOWS\exefqd failed!

Could not process line:
C:\WINDOWS\exefqd
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Folder C:\WINDOWS\temp deleted successfully.
Folder C:\WINDOWS\Tasks deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet003\Services\s rosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Service s\srosa not found!
Unload of driver srosa failed!

Could not process line:
srosa
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Service s\pci32 not found!
Unload of driver pci32 failed!

Could not process line:
pci32
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Non riesco però a scaricare Combo Fix, il file che downlodo è di dimensioni 0 kb...

[Ltnick]

Ho trovato in rete ComboFix ma purtroppo anche questa non è una applicazione win32...
Credo sia il caso di iniziare a preoccuparsi adesso

[Deifobe]

tranquillo, combofix non va davvero (anche a me 0Kb). In verità lo avevano anche tolto da alcuni siti...

Torniamo al pc. I files sono stati eliminati. Se la provvisoria non funziona, riesegui EliBagle.