Virus Bagle, non parte nemmeno avenger!

[Ferra88]

Ciao a tutti, sono in difficoltà

Non riesco ad eliminare questo maledetto virus!!! Spybot non va, CCleaner nemmeno!

Ho seguito la vostra guida nel link

http://forum.html.it/forum/showthrea...readid=1099648

ma non riesco ad avviare nemmeno avenger! ho provato ad eseguire la cancellazione dei file a mano, ma non li trovo!!!
L'unica cartella che ho trovato è C:\WINDOWS\System32\drivers\downld piena di applicazioni con la "chiave"... provato ad eliminarli ma si ricreano subito...

Ho windows Vista... A prop! in Opzioni cartella non c'è + l'opzione visualizza file nascosti!!

Grazie mille per l'aiuto!!!!!

[Deifobe]

1) scarica elibagla, eseguilo e clicca su Explorar - riavvia il pc quando finisce. Posta il rapporto (C:\Infosat.txt)

2) scarica SystemScan, disconnetti il pc da internet => esegui systemscan => clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

3) apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\hidden.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Advanced\Folder\Hidden"
notepad C:\hidden.txt

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file
ed eseguilo
carica il file zippato su savefile e posta il link (lo trovi anche in C:\hidden.txt)

ciao

[Ferra88]

Grazie mille per l'aiuto! allora, ecco i risultati:

InfoSat.txt:


Wed Oct 08 00:28:49 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle

Wed Oct 08 00:30:19 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Oct 08 11:11:51 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed Oct 08 15:48:02 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Oct 08 15:51:46 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Oct 08 15:52:57 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\ANDRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Wed Oct 08 15:53:30 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Synaptics\SynTP\SYNTPENH.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 20211
Nº Total de Ficheros: 183794
Nº de Ficheros Analizados: 19168
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1







-----------------

http://www.savefile.com/files/1828021

e infine il file hidden.txt

http://www.savefile.com/files/1828032

ora come devo procedere? GRAZIE INFINITE!!!!

[Deifobe]

nel frattempo che guardo il rapporto, ti invio con un messaggio privato un file.
eseguilo, accetta le modifiche al registro, riavvia il pc e controlla se ora si vedono.
se non dovessi vederli (per via dell'infezione ancora attiva) non cestinare il file perchè ti servirà.


edit: un rapporto di... 4,19 Mb accipicchia...

[Ferra88]

già... il programma ha impiegato un sacco di tempo.... ho installato le chiavi di registro e riavviato, ma non so come si fa a controllare!

[Deifobe]

un sacco di tempo? doveva immettere solo:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,0 0,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00 ,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c ,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

roba di 1-2 secondi...
vabbè, comunque..

1) Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti" => chiudi il programma

2) termina dal task manager:
C:\WINDOWS\System32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe.ren
C:\WINDOWS\System32\drivers\hldrrr.exe

3) entra nel registro (esegui "regedit" sempre dal task manager) e vai in
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run

nella finestra a destra trova ed elimina le voci in rosso:
"drvsyskit" => "C:\Windows\system32\drivers\hldrrr.exe"
"german.exe" => "C:\Windows\system32\wintems.exe"
"mule_st_key" => "C:\Users\Andre\AppData\Roaming\m\flec006.exe"

(cliccaci sopra con il tasto destro del mouse e seleziona "elimina")
chiudi il registro

4) apri il risorse del computer, imposta la visualizzazione dei file nascosti e di sistema ed elimina:
C:\WINDOWS\System32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe.ren
C:\WINDOWS\System32\drivers\hldrrr.exe
C:\WINDOWS\System32\mdelk.exe
C:\WINDOWS\System32\drivers\downld

5) Con malwearebytes segui una "scansione completa" (seleziona l'opzione)

Per eseguitlo, cliccaci sopra con il tasto destro del mouse e seleziona esegui come => amministratore
A scansione completata, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto.




edit : ah si, scusa... per visualizzare i files nascosti:
non è ricomparsa la voce in "opzioni cartella"? Controlla. Se è ricomparsa allora dovrebbe essere tutto ok

[Ferra88]

Allora, nel task manager ho solo una di quelle tre applicazioni: wintems.exe

che naturalmente se clicco su termina processo mi da Accesso Negato....
Uffa!!!!

[Deifobe]

va avanti
se proprio la situazione non si sblocca usiamo combofix..

[Ferra88]

ok, lascio l'applicazione aperta...

sono andato nel registro, ma non ho nessuna di quelle voci!

in HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run
ho 2 file e una cartella:
(predefinito) TIPO reg_sz
Spybotsd TeaTimers TIPO reg_sz
la cartella invece si chiama AdobeUpdater e contiene la voce (predefinito) TIPO reg_sz



O.T. Grazie mille per tutto il tempo e la pazienza che stai perdendo!!!

[Ferra88]

Non ci capisco più niente... ma scusa, com'è possibile che non vedo questi file?!?!


C:\WINDOWS\System32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe.ren
C:\WINDOWS\System32\drivers\hldrrr.exe
C:\WINDOWS\System32\mdelk.exe
C:\WINDOWS\System32\drivers\downld


La cartella DOWNLD esiste perchè se digitata nella barra degli indirizzi compare, ma non la vedo nella cartella!!! Eppure i file nascosti li vedo! (ho fattu una prova con una immagine nascosta, e c'è!)