credo il bagle maledetto

[eddy73]

è successo ieri credo dal mulo
non funziona piu l'antivirus
non va in modalita provvisoria e alcuni programmi mi danno come
messaggio applicazione win32 non valida comprese la maggiorparte delle istallazioni di antivirus avenger sys55062 ed altri.
l'unico che è andato finora è stato baglegui che mi ha dato questo log AIUTATEMI GRAZIE:

ESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Bagle

Data Version 1.13

System scan started at 15:31 on 1 February 2008

Checking for W32/Bagle in memory

Checking for files affected by W32/Bagle

Scanning C:

Error opening file C:\Blue_Gui_by_neodesktop\bluegui\miranda\iChat\Ko pyasi iBack.png

Error opening file C:\Documents and Settings\Edi\Cookies\index.dat

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Cronologia\History.IE5\index.dat

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Cronologia\History.IE5\MSHist01200802012008 0202\index.dat

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Temp\IMGB.tmp

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Temp\Perflib_Perfdata_e7c.dat

Error opening file C:\Documents and Settings\Edi\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

Error opening file C:\Documents and Settings\Edi\ntuser.dat

Error opening file C:\Documents and Settings\Edi\ntuser.dat.LOG

Error opening file C:\Documents and Settings\Edi\Preferiti\Utility\musica\??????? ????????? ?????? ? ??????? MP3- ??????????? mp3 ?????? ?? mp3.protonet.ru, ??? ????? ??????? mp3, ???????? mp3 ?????????, mp3 ?????, ??????? ??????, download ??3, ??????? ????????? ??????.url

Error opening file C:\Documents and Settings\LocalService\Cookies\index.dat

Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat

Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat

Error opening file C:\Documents and Settings\LocalService\NTUSER.DAT

Error opening file C:\Documents and Settings\LocalService\ntuser.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT

Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG

Error opening file C:\Downloads\Blue_Gui_by_neodesktop\bluegui\mirand a\iChat\Kopyasi iBack.png

Error opening file C:\pagefile.sys

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[Go.Media&-#39;s.EPS??].Go.Media.Vector.Packs.Set_7.rar

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[Go.Media&-#39;s.EPS??].GoMedia1-3.rar

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[Go.Media&-#39;s.EPS??].gomedia5.rar

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[Go.Media&-#39;s.EPS??].gomedia_set4.zip

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[????].PhotoDisc.-.Designer.Tools.02.-.Clocks,.Instruments.Of.Time.rar

Error opening file C:\Programmi\eMule\Incoming\utility vettoriale\[????].PhotoDisc.-.Signature.Series.009.-.Vintage.Vignettes.rar

Error opening file C:\Programmi\EpsonNet\EpsonNet Print\log\log.txt

Error opening file C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log

Error opening file C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log

Error opening file C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log

Error opening file C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log

Error opening file C:\resolve.log

Error opening file C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

Error opening file C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe

Error opening file C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe

Error opening file C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

Error opening file C:\WINDOWS\SchedLgU.Txt

Error opening file C:\WINDOWS\system32\config\Antivirus.Evt

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\Internet.evt

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\h323log.txt

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Scanning E:


Checking for registry keys affected by W32/Bagle

Deleted registry key HKCU\software\datetime4

System scan finished at 16:24 on 1 February 2008

Processes found : 0
Processes terminated or disinfected : 0
Registry keys affected : 1
Registry keys changed : 1
Files found : 0
Files deleted : 0

[Deifobe]

Hai provato anche con elibagla? se no, scaricalo (elibagla) ed eseguilo. Se trova qualcosa, vedi se poi riesci a usare avenger:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\Temp
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_PCI32

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run | hldrrr

(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)

[eddy73]

Con eliblaga mi sembra di aver risolto, considerando che mi ha fatto reistallare l'antivirus

una cosa ancora non riesco a farla:
non riescoa cancellare questa voce dalla regedit a mano, e neanche con CCcleaner :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA

avete qualche consiglio in merito?
Vi ringrazio

[Deifobe]

che vuol dire "con elibagla mi sembra di aver risolto"? hai lanciato lo script?

[eddy73]

ma come faccio a lanciare lo script?...perdonami ma non riesco!

ho lanciato eliblaga e ha fatto una scansione che ha trovato 2 file col bagla che ho cancellato a mano dopo di che ho rilanciato il pc che mi ha fatto reistallare avast che con una scansione ha trovato altri 2 file col bagla che ho eliminato.
Questo e quello che ho fatto, inoltre lo script che mi hai dato l'ho controllato link per link a mano ed ho trovato solo la crtella nel registro che ti ho indicato nel post precedente!!!

Mi daresti una mano a lanciare lo script?
GRASSSSIIIIEEEE

[Deifobe]

scarica Avenger

Copia la citazione suriportata su un file note e sostituisci i vari "user" (qui in rosso) con il tuo user.

esegui Avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla la citazione che hai modificato.