Problema con HP Compaq (forse W32/Bagle.gen)

[darkkik]

Ciao a tutti,

ultimamente ho un problema fastidioso, ho un Pc HP Compaq che monta XP Pro SP2...dunque...

. all'avvio, se il cavo di rete è inserito, sta delle ore alla schermata "Applicazione impostazioni in corso...", se lo stacco invece carica tutto in tempi normali.

.In modalità provvisoria non entra (schermata blu) ho fatto un chkdsk /f ma il problema persiste.

.Staccando l'HD e collegandolo a un altro PC con McAfee Enterprise 8.0 mi ha rilevato W32/Bagle.gen e W32/sdbot.worm...rimossi...

.Successivamente ho provato a installare Spybot, HiJack e AVG anti spyware, ma dopo l'installazione non permette di farli partire e da l'errore "SpybotSD.exe non è un applicazione di Win32 valida", idem con Avg e con Hijack.

.L'antivirus che monta su (Symantec corporate 10.0) non si riesce ad aggiornarlo.

Consigli?

[amvinfe]

Ciao,
scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Puoi caricare il file su www.sendmefile.com ricordati di scrivere poi l'URL per scaricare il report.

Ricordati d'effettuare la scansione non connesso.

[darkkik]

Grazie...lo provo subito.

[darkkik]

Fatto...

http://www.sendmefile.com/00619218

[amvinfe]

scarica
ELIBAGLA.CA%D8CB%D8%D8H.zip
decomprimilo sul desktop, sempre non connesso e con eventuali antivirus, antispyware o moduli HIPS non attivi eseguilo.

Verifica che sia spuntata la voce
"Eliminar Ficheros Automaticamente"
ora clicca su
"Explorar"
finita la scansione riavvia. Dopo il riavvio portati in C:\ apri, copia ed incolla il contenuto di InfoSat.txt

Esegui un nuovo scan con SystemScan e posta il nuovo URL

[darkkik]

Ok, ci sentiamo alla fine.

[darkkik]

Tue Mar 25 16:03:19 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Mar 25 16:03:37 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5177
Nº Total de Ficheros: 72789
Nº de Ficheros Analizados: 11025
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Mar 26 14:57:02 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Mar 26 14:57:26 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4945
Nº Total de Ficheros: 69786
Nº de Ficheros Analizados: 9256
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Mar 26 15:10:05 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Mar 26 15:10:26 2008
EliBagle v11.18 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4944
Nº Total de Ficheros: 69787
Nº de Ficheros Analizados: 9255
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

[darkkik]

La cosa strana è che dopo il riavvio riparte, fa ancora la scansione, alla fine si ferma e resta lì...clicco su salir, vado a vedere i files che segnala ma in system32 non ve ne è traccia...sbaglio qualcosa? :master:

[darkkik]

Nuovo scan con suspectfile:

http://www.sendmefile.com/00619238

Grazie

[amvinfe]

sempre disconnesso:

apri SystemScan e seleziona l'opzione "Removal Script"
all'interno del box bianco inserisci questo script

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
c:\WINDOWS\system32\drivers\down\405765.exe
c:\WINDOWS\system32\drivers\down\129484.exe
c:\WINDOWS\system32\drivers\down\132468.exe
c:\WINDOWS\system32\drivers\down\216812.exe
c:\WINDOWS\system32\drivers\down\219437.exe
c:\WINDOWS\system32\drivers\down\240203.exe
c:\WINDOWS\system32\drivers\down\247765.exe
c:\WINDOWS\system32\drivers\down\249734.exe
c:\WINDOWS\system32\drivers\down\251421.exe
c:\WINDOWS\system32\drivers\down\255187.exe
c:\WINDOWS\system32\drivers\down\269421.exe
c:\WINDOWS\system32\drivers\down\292671.exe
c:\WINDOWS\system32\drivers\down\300625.exe
c:\WINDOWS\system32\drivers\down\304531.exe
c:\WINDOWS\system32\drivers\down\309625.exe
c:\WINDOWS\system32\drivers\down\322171.exe
c:\WINDOWS\system32\drivers\down\324375.exe
c:\WINDOWS\system32\drivers\down\330109.exe
c:\WINDOWS\system32\drivers\down\332156.exe
c:\WINDOWS\system32\drivers\down\337187.exe
c:\WINDOWS\system32\drivers\down\338953.exe
c:\WINDOWS\system32\drivers\down\346093.exe
c:\WINDOWS\system32\drivers\down\355218.exe
c:\WINDOWS\system32\drivers\down\358453.exe
c:\WINDOWS\system32\drivers\down\364500.exe
c:\WINDOWS\system32\drivers\down\387593.exe
c:\WINDOWS\system32\drivers\down\401765.exe
c:\WINDOWS\system32\drivers\down\408781.exe
c:\WINDOWS\system32\drivers\down\413125.exe
c:\WINDOWS\system32\drivers\down\422328.exe
c:\WINDOWS\system32\drivers\down\435515.exe
c:\WINDOWS\system32\drivers\down\444531.exe
c:\WINDOWS\system32\drivers\down\459062.exe
c:\WINDOWS\system32\drivers\down\483453.exe
c:\WINDOWS\system32\drivers\down\496796.exe
c:\WINDOWS\system32\drivers\down\510968.exe
c:\WINDOWS\system32\drivers\down\519437.exe
c:\WINDOWS\system32\drivers\down\568031.exe
c:\WINDOWS\system32\drivers\down\5761468.exe
c:\WINDOWS\system32\drivers\down\5767078.exe
c:\WINDOWS\system32\drivers\down\579812.exe
c:\WINDOWS\system32\drivers\down\5838046.exe
c:\WINDOWS\system32\drivers\down\5847453.exe
c:\WINDOWS\system32\drivers\down\5856468.exe
c:\WINDOWS\system32\drivers\down\5899031.exe
c:\WINDOWS\system32\drivers\hldrrr.exe

clicca sul bottone
"Proceed with removal"

al riavvio del pc portati in C:\ troverai il file avenger.txt aprilo e copia/incolla il risultato.

NB.
le procedure vanno effettuate non connesso e con il cavo di rete scollegato naturalmente