Computer infetto da Bagle

**haidi8** · 16-03-2009, 17:25

Ciao a tutti,

ho il pc infetto

..... ho seguito passo passo tutto il procedimento della Guida rimozione malware tranne la scansione on line perchè si bloccava.

Quando ho eseguito Malwarebytes' Anti-Malware all'inizio mi dava 14infezioni poi dopo varie cancellazioni sono arrivata a 3 e il filelog è

http://www.savefile.com/files/2043320

Poi ho eseguito SystemScan(sempre rispettando tutti i pasaggi) ed ho ottenuto

http://www.savefile.com/files/2043323

All'inizio dato che avevo problemi con l'apertura di ccleaner, antivirus, anti-spayware
credevo fosse solo il virus Bagle....invece non è il solo

vi sarei molto grata se poteste indicarmi cosa fare a questo punto

grazie mille

P.s.: ora non ho nessun antivirus sul pc perchè dato che nn si apriva più l'ho disistallato, ma nn so se è stata una mossa giusta!!!

**amvinfe** · 16-03-2009, 20:25

invece avevi visto giusto, si tratta di Bagle.... se per te è "solo"

Ti preparo la procedura di rimozione.

**amvinfe** · 16-03-2009, 20:41

Iniziamo a ripulire il grosso, poi metteremo a posto tutto il resto.

scarica sul desktop ComboFix

NB
quando lo scarichi cambiagli nome in 123.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disconnettiti da internet.

Esegui il programma appena scaricato, segui le istruzioni.

NB2
non usare il pc durante la scansione, nemmeno il mouse.

========
1.
Finita la scansione portati in C:\ e carica su http://www.freefilehosting.net
il file ComboFix.txt, scrivi l'URL per poter scaricare il rapporto.
2.
esegui un nuovo SystemScan e carica il rapporto su http://www.freefilehosting.net

**haidi8** · 17-03-2009, 13:29

Hai ragione forse ho nominato Bagle con molta "leggerezza"....infatti non ho nemmeno iniziato ad eliminare il grosso....ho scaricato sul desktop ComboFix...cambiato nome....ma l'esecuzione non parte mi dice "...../123.exe non è un'applicazione di Win32 valida".

é sempre Bagle che impedisce l'esecuzione!?

come posso fare?

Cmq grazie mille siete gentilissimi

**amvinfe** · 17-03-2009, 19:14

sicuramente mi sono espresso male io

vai sul link che ti ho indicato ( http://download.bleepingcomputer.com/sUBs/ComboFix.exe )... se no guarda facciamo prima, dammi due minuti che ti dò il link già bello e pronto per scaricare ComboFix già rinominato.
Una volta scaricato sul desktop segui le indicazioni che ti ho dato precedentemente.

**amvinfe** · 17-03-2009, 19:20

il servizio di file hosting lo rinomina in automatico... va bene lo stesso

eccolo
http://freefilehosting.net/download/464ac

**haidi8** · 17-03-2009, 21:32

Allora ho fatto tutto...ho eseguito comboFix, ecco il file

http://freefilehosting.net/download/464bd

poi ho eseguito SystemScan, ecco il file

http://freefilehosting.net/download/464bj

aspetto tue notizie....

**amvinfe** · 18-03-2009, 00:19

Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto

files to move:
C:\Programmi\Adobe\Acrobat 7.0\Distillr\bak\Acrotray.exe | C:\Programmi\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Roxio Shared\System\bak\EngUtil.exe | C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\bak\UsrPrmpt.exe | C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jdk1.5.0_06\jre\bin\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LAUNCH~1.EXE | C:\Programmi\Nokia\Nokia PC Suite 6\LAUNCH~1.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe
C:\Programmi\Yahoo!\Messenger\bak\YahooMessenger.e xe | C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\vsnpstd2.exe | C:\WINDOWS\bak\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe | C:\WINDOWS\system32\bak\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S 4I0S2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S 2.EXE

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)

Scarica
http://www.mvps.org/winhelp2002/DelDomains.inf

click di dx su DelDomains.inf seleziona "Installa"
riavvia.

Posta un nuovo report di SystemScan

Ciao

**haidi8** · 18-03-2009, 01:47

fatto tutto finalmente....posto il file di Systemscan

http://freefilehosting.net/download/464e4

posto tra un pò il contenuto di avenger.txt perchè non lo trovo più

**amvinfe** · 18-03-2009, 01:53

se il report di SystemScan che hai allegato è quello corretto, l'ultimo che hai effettuato, il pc è ancora infetto.

Discussione: Computer infetto da Bagle

Strumenti discussione

Ricerca discussione

Visualizza

Computer infetto

Permessi di invio