Bagle: problemi con nod32

[fabio.ermejo]

CIAO... VI PREGO AIUTATEMI!!!
NOD è IMPROVVISAMENTE SCOMPARSO E QUANDO PROVO A LANCIARLO MI DICE c:\programmi\eset\nod32.exe non è un'applicazione di win 32 valida
QUESTI SONO I RISULTATI DI ELIBAGLE

Sun Jul 27 16:27:45 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.62
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Jul 27 16:41:58 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2328
Nº Total de Ficheros: 42939
Nº de Ficheros Analizados: 912
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun Jul 27 17:19:13 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.62
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jul 27 17:19:19 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Detectada Infección en el fichero:
C:\RECYCLER\S-1-5-21-1390067357-963894560-1801674531-1003\DC53.ZIP

¿Desea Eliminarlo?Detectada Infección en el fichero:
C:\RECYCLER\S-1-5-21-1390067357-963894560-1801674531-1003\DC55.ZIP

¿Desea Eliminarlo?
Nº Total de Directorios: 6992
Nº Total de Ficheros: 96962
Nº de Ficheros Analizados: 20485
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Sun Jul 27 17:45:31 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 235
Nº Total de Ficheros: 594
Nº de Ficheros Analizados: 6
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun Jul 27 17:45:37 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
DC53.ZIP -> BagleDC55.ZIP -> Bagle
Nº Total de Directorios: 6992
Nº Total de Ficheros: 96962
Nº de Ficheros Analizados: 20485
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

SONO ENTRATO IN MODALITà PROVVISORIA MA NON TROVO I FILES DA CANCELLARE TIPO:

C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe

NON NE TROVO... COME POSSO FARE?? GRAZIE!!!

[hell's bells]

ciao, vedo che mi hai ascoltato, segui questa procedura e vediamo se riusciamo a rimuovere almeno i file principali.

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/avenger2.html

lo lanci ed all'interno della finestra bianca copi questo (fai copia e incolla)



files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe


inclusa la dicitura files to delete

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.

Poi rifai la procedra con elibagle.

[fabio.ermejo]

c'è un problema lo avevo già fatto ma mi blocca anke quello e mi dice "...avenger.exe non è un'applicazione di Win32 valida"...

[hell's bells]

Ho letto ora, vai in modalità provvisoria che dovrebbe essere stata ripristinata, poi segui queste istruzioni:

Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”

e cerca manualmente i files che ti ho scritto nella finestra per avenger, quando li trovi li elimini.

[fabio.ermejo]

avevo già fatto cosi perchè avevo letto il consiglio che avevi dato ad un altro.. solo che non trovo i file neanche la cartella drivers all'interno della cartella system32.
Nonostante avere modificato le opzioni di visualizzazione... speriamo di venirne fuori!! hai qualche consiglio?

[hell's bells]

Prova dalla provvisoria ad utilizzare la funzione cerca, i file sono presenti visto che elibagle li vede ma non riesce ad eliminarli.
Se neppure così funziona passiamo ad altri metodi.

[fabio.ermejo]

di male in peggio... altro problema adesso non mi entra più in modalità provvisoria cioè all'accensione dopo aver premuto F8 e aver selezionato modalità provvisoria viene una schermata nera con in basso scritto "premere Esc to cancel loading sptd.sys" e non entra in modalità provvisoria..

[hell's bells]

Hai provato a schiacciare esc e vedere se entra comunque?

In modalità normale riesegui elibagle e poi riprova la provvisoria, se non funziona prova con questa soluzione:

prima di tutto: da start>esegui digita regedit, ti si aprirà l'editor del registro di windows, clicca su file e poi su esporta e salva una copia del registro.


Usa il tool che trovi qui http://www.didierstevens.com/files/data/SafeBoot.zip lo scarichi, lo decomprimi, all'interno vedrai che ci sono 2 files con estensione .reg seleziona quello relativo ad xp ed estrailo sul desktop. Poi cliccaci sopra 2 volte, accetta le mofidiche al registro e riavvia, poi riprova la modalità provvisoria.

[fabio.ermejo]

in modalità provvisoria ho trovato solo 2 dei file ke mi avevi detto e dopo averli cancellati sono rientrato in modalità normale e ho rifatto l' EliBagle e questi sono i risultati, prima trovava solo 2 file infetti adesso 5...

Mon Jul 28 13:16:46 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Jul 28 13:16:50 2008
EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
DC53.ZIP -> BagleDC55.ZIP -> BagleC:\RECYCLER\S-1-5-21-1390067357-963894560-1801674531-1004\DC126.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\system32\drivers\downld\15701203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\211781.EXE --> Eliminado Bagle

Nº Total de Directorios: 7517
Nº Total de Ficheros: 99595
Nº de Ficheros Analizados: 20787
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

[hell's bells]

Bene, riprova con avenger e vediamo se parte.