Virus bagle

[patrizio69]

ciao a tutti,
sono poco esperto ma provo sempre a risolvere i guai.
questa volta sono partiti da un rootkit downad.ad preso probabilmente da una chiavetta infetta. con il tool specifico (gmer.exe) l'ho rimosso ma mi resta sempre l'account di windows come se non fossi amministratore e quindi bloccato nelle modifiche.
dalla scansione fatto con il tool ho notato una voce che dovrebbe poi corrispondere al virus bagle.
ho fatto la scansione come consigliato nel post precedente, questo il link del report di scansystem
http://www.megaupload.com/?d=ROE91W8X
Potete darmi una mano?
grazie in anticipo

[Deifobe]

ciao,
ti invio entro le 20 la procedura

da dove sono ora non posso inviarti il tool per la rimozione..

[Deifobe]

dovresti cortesemente caricare anche il rapporto della scansione che hai effettuato.
del bagle non vedo nulla, eccetto non sia stato rilevato un file residuo che non vedo dal rapporto..

riguardo ai poteri di amministratore, ti riferisci proprio all'account administrator?
quali sono le restrizioni che noti?

[patrizio69]

ciao,
ti rispondo dal lavoro senza avere il pc..sottomano quindi vado un pò a memoria.
cmq di base il problema che inizialmente notavo era il fatto di non poter visualizzare i file di sistema, nascosti ecc, insomma le impostazioni delle cartelle che non riuscivo a riportare nell'impostazione desiderata.
Da un paio di giorni sto notando del'instabilità del pc, per cui quando entra in stand-by o anche mentre lo sto usando, si ha una specie di refresh del video e si inchioda e non sente più ne tastiera ne mouse.
inoltre sto notando che anche la cronologia si perde dati ed all'avvio il modem è come se non avesse la linea (questo non so se imputarlo al virus)
se puoi, spiegami meglio quali report devo riprotarti x darti i dati richiesti, ho provato a seguire la procedura letta in un topic analogo (systemscan e log su upload) ma rispiegami esattamente cosa fare una volta fatto lo scansystem
grazie x la velocità di risposta.
Ora ho disattivato avg (versione commerciale a pagamento) e provo kaspersky, intanto vedere se rileva q.cosa, ti farò sapere anche in quel caso
ciao

[patrizio69]

ciao questo il report: http://www.savefile.com/files/2146562
Ora mi risulta difficile (non si attiva proprio) i link per le scansioni online, ho installato kaspersky, ha beccato un virus ma quando ho provato a leggere il dettaglio si è impallato tutto di nuovo....

[Deifobe]

ciao, scusa pe ril ritardo..
non ho capito se alla fine il file è stato rimosso... mi sembra di capire di no..

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

folders to delete:
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga16
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga15
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga14
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga13
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga11
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga12
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaF
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga10
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaD
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaE
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaC
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaB
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaA
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga9
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\VBE
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5C
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5B
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga8
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga7
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga6
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga4
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga3
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga2
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga1

files to delete:
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\qxtkajos.kqg
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jhokdxyk.ayp
C:\WINDOWS\temp\cch6E3.tmp
C:\WINDOWS\temp\cch6E2.tmp
C:\WINDOWS\temp\cch6CE.tmp
C:\WINDOWS\temp\cch6CD.tmp
C:\WINDOWS\temp\cch6C5.tmp
C:\WINDOWS\temp\cch6C4.tmp
C:\WINDOWS\temp\cch6BE.tmp
C:\WINDOWS\temp\cch6BF.tmp
C:\WINDOWS\temp\cch3DE.tmp
C:\WINDOWS\temp\cch3DF.tmp
C:\WINDOWS\temp\cch47.tmp
C:\WINDOWS\temp\cch46.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga16.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga15.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga13.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga14.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga11.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga12.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaF.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga10.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaD.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaE.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaC.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaB.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vgaA.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga9.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5B.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5C.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmpD.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga7.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga8.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmpB.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga5.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga6.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga4.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga3.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga2.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\vga1.tmp

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


ora i file nascosti li visualizzi è da ripristinare?

[patrizio69]

ciao e come sempre grazie per le risposte e indicazioni che dai (chi lo ha detto che è in ritardo?)
comunque allora i file nascosti, leggendo un altro post alla fine anche con la utility sono riuscito a rivisualizzarli x il resto non credo, nonostante alcune operazioni, di essere riuscito a togliere il virus.
Appena possibile eseguo l'operazione che mi hai scritto e ti farò sapere allegando il report della scansione
ciao

[Deifobe]

ok..

[patrizio69]

ciao ho fatto come mi hai detto questo è il log dopo il removal
http://www.savefile.com/files/2150290

[Deifobe]

quali problemi riscontri in effetti? perchè dici di non essere certo di averlo rimosso?
prova a postare un altro systemscan e vediamo se ci sono altre cose da ripulire ma già nel vecchio rapporto, ad eccezione di quella pulizia fatta, non mi sembrava di vedere altro..

eventualmente eseguiamo qualche scansione on line..