Eliminare Bagle

[kip196]

Salve, sono nuovo e visitando il vostro forum per capire come cancellare stò benedetto bagle ma non ci riesco anche avenger non parte, potete aiutarmi?
grazie in anticipo non sò più che fare......

[Deifobe]

cosa hai gia' fatto, esattamente? (a parte lanciare avenger).
Hai gia' provaro con Baglegui ed elibagla?

[kip196]

ciao, grazie per avermi risposto,ho soltanto provato con avenger una volta che si è aperto a incollare dei log postati su internet ( ma adesso avenger non si apre più? poi n programmino della symantec ma niente , kill process ma non riesco ad eliminare dal task manager hldrr.exe, non sò più che fare.....
aiutoooooo

[Deifobe]

Scarica dal Toll_rimoz_Bagle Sophos BAGLEGUI, Avenger, elibagla, CCleaner

Disattiva il ripristino configurazione di sistema: start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema"

Esegui BAGLEGUI (clicca su "GO" per iniziare la scansione).
Esegui ELIGABLA e poi CCleaner (ripulisci sia i file temporanei e cookie che il registro - esegui 2 volte).

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run | hldrrr

(Modifica mettendo al posto dello "user" (in rosso) il tuo user. Non lasciare spazi)
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger

Controlla che l'antivirus funzioni. Se non funziona e se i risultati delle ultime 2 scansioni sono buoni, disinstallalo e prova a reinstallarlo.

NB: [u]I report rilasciati vanno postati su Sendmefile.

[kip196]

purtroppo avenger non si apre

[Deifobe]

mi posti i risultati delle scansioni?

[kip196]

i log scusa se sono lunghi ma non so come altro fare, adesso che è andato avenger sono riuscito anche a caricare l'antivirus che fà una scansione prima dell'avvio (avast) ma anche prima a fatto così non ha trovato virus ma subito nel tsk manager cera hldrr.exe tutto d'accapo fammi sapere ciao.
average

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vemnbfjq

*******************

Script file located at: \??\E:\Program Files\gequaiko.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hidrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.ex_ failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.ex_
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File c:\WINDOWS\system32\hlpuybtr.exe not found!
Deletion of file c:\WINDOWS\system32\hlpuybtr.exe failed!

Could not process line:
c:\WINDOWS\system32\hlpuybtr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



Could not open file c:\Documents and Settings\kip\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file c:\Documents and Settings\kip\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file c:\Documents and Settings\kip\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file c:\Documents and Settings\kip\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



Could not open file c:\Documents and Settings\kip\Dati applicazioni\hidires\srosa.sys for deletion
Deletion of file c:\Documents and Settings\kip\Dati applicazioni\hidires\srosa.sys failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidires\srosa.sys
Status: 0xc000003a



Could not open file c:\Documents and Settings\kip\Dati applicazioni\hidn\hidn2.exe for deletion
Deletion of file c:\Documents and Settings\kip\Dati applicazioni\hidn\hidn2.exe failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidn\hidn2.exe
Status: 0xc000003a



Could not open file c:\Documents and Settings\kip\Dati applicazioni\hidn\hldrrr.exe for deletion
Deletion of file c:\Documents and Settings\kip\Dati applicazioni\hidn\hldrrr.exe failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidn\hldrrr.exe
Status: 0xc000003a



Folder c:\WINDOWS\exefld not found!
Deletion of folder c:\WINDOWS\exefld failed!

Could not process line:
c:\WINDOWS\exefld
Status: 0xc0000034



Folder c:\WINDOWS\exefnd not found!
Deletion of folder c:\WINDOWS\exefnd failed!

Could not process line:
c:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\system32\drivers\down not found!
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc0000034



Folder c:\Documents and Settings\kip\Dati applicazioni\hidires not found!
Deletion of folder c:\Documents and Settings\kip\Dati applicazioni\hidires failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidires
Status: 0xc0000034



Folder c:\Documents and Settings\kip\Dati applicazioni\hidn not found!
Deletion of folder c:\Documents and Settings\kip\Dati applicazioni\hidn failed!

Could not process line:
c:\Documents and Settings\kip\Dati applicazioni\hidn
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pci32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run|hldrrr
Deletion of registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run|hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.





Wed Jan 30 17:12:45 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
E:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
E:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\ERROR.TXT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 30 17:12:58 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\Programmi\Creative\ShareDLL\CTNOTIFY.EXE --> Eliminado Bagle.dldr
E:\Programmi\eMulemorph\incoming\THE SIMS LAST CASTLE HOUSE.ZIP --> Eliminado Bagle.dldr

Nº Total de Directorios: 12278
Nº Total de Ficheros: 195207
Nº de Ficheros Analizados: 12545
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Wed Jan 30 17:16:46 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 591
Nº Total de Ficheros: 33386
Nº de Ficheros Analizados: 4360
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Jan 30 17:22:04 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
E:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
E:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

[Deifobe]

mi sa che non avevi fatto le scansioni prima.. (?)

vai in modalità provvisoria ed elimina:
E:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
E:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).




poi fai questa scansione: Sophos-anti-rootkit

[kip196]

sembra tutto risolto, non sò come ringraziarti DEIFOBE ti sono tanto riconoscente,sembra che funzioni tutto, ho reistallato anti vir e firew
ciao e grazie.

[Deifobe]

no no, dove vai..
quei due files li hai cercati? Hai fatto la scansione?