Virus e Spyware Aiuto, ho un Bagle!!!

[CIANOVITO]

ragazzi!!!

Spero che qualcuno di voi sappia aiutarmi...
Purtroppo sono testardo come un mulo e curiosone e quindi mi è capitato di scaricare un virus da Emule...
Credo si tratti di un Bagle, dato che la descrizione è proprio il mio caso e i sintomi sono gli stessi di questa guida redatta in un altro forum: programmi di sicurezza bloccati, l'audio non funziona e l'errore di windows che dice "Applicazione di Win32 non valida".

Purtroppo ho provato con tutti i programmi lì citati, ma nessuno mi è stato di aiuto:
-Combo Fix mi rileva che Avira antivir è in funzione ma lo stato del programma mi dice interrotto e non l'icona nella barra di stato;
-Elibagle ci ho provato 4 volte, ma non mi trova niente, come per Malwarebytes;
-ho provato anche con il live-cd di Avira (Rescue System)...

Qualcuno può dirmi come togliere questo maledetto virus? Non vorrei formattare, perciò ho contattato voi...



EDIT: Se anche volessi formattare, non me lo fa fare: mi dice che nessun disco rigido è collegato e quindi devo uscire per forza dalla formattazione, anche se ho visto ed è tutto a posto

[LadyHawke]

Anche se Combofix rileva Avira puoi andare avanti lo stesso, comunque si trattasse di Bagle Combofix non dovrebbe avviarsi se non rinominato e Elibagla troverebbe sicuramente qualcosa: cerca di terminare con Combofix e allega il log (non dovesse avviarsi, riscaricalo e rinominalo)

[CIANOVITO]

lady

innanzitutto per la risposta.

Infatti ComboFix non potevo eseguirlo perchè mi usciva il solito errore "Applicazione di win32 non valida", quindi dovevo riscaricarlo ed eseguirlo direttamente.

Allego il report di combofix (ne ho fatte due per sbaglio, cambia qualcosa?) più il file.txt dei file messi in quarantena da combofix.

[DeST]

Non ho mai preso un Bagle...

Anche Wikipedia propone delle soluzioni (Findykill sebra buono!):
http://it.wikipedia.org/wiki/Bagle#T...zione_di_Bagle

non so se ti è possibile ma puoi arrivare al pannello di ripristino?
ripristinando lo stato precedente al Bagle dovresti uscirne facilmente

prova anche con la versione portable di a-squared free

[CIANOVITO]

dest e anche a te

Il problema è che eliminando il virus, ma rimanendo annidato anche in questi file di backup creati da Windows, esso non verrà mai eliminato e si ripresentarà ogni volta che vuole. Per impedire che ciò accada bisogna dire al sistema di non creare ed eliminare eventuali “ripristini” fatti in precedenza. A tal scopo, sono andato sulle proprietà da risorse del computer --> ripristino configurazione di sistema --> e ho spuntato la voce "Disattiva ripristino configurazione di sistema su tutte le unità". Ho fatto bene?

[LadyHawke]

Si, hai fatto bene, anche se fintanto appunto che i punti di ripristino non vengono usati non possono far danni.

In effetti ci sono tracce di Bagle, non mi capacito di come Elibagla non trovasse nulla
Ora scarica Avenger, poi disconnetti da Internet e lancialo: nel box bianco di input copiaincolla queste righe:

Codice:

Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\winfilse.exe
%appdata%\drivers\winupgro.exe  
%appdata%\drivers\srosa.sys  
%appdata%\drivers\srosa2.sys

Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\winfilse.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%UserProfile%\Dati applicazioni\hidires\flec003.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
%SystemRoot%\system32\mdelk.exe  
%SystemRoot%\system32\wintems.exe  
%SystemRoot%\system32\ban_list.txt  
%appdata%\drivers\winupgro.exe  
%appdata%\drivers\srosa.sys  
%appdata%\drivers\srosa2.sys

Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp
%appdata%\m\shared   
%appdata%\m\ 
%appdata%\drivers\downld  
%appdata%\drivers

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\ControlSet001\Services\srosa   
HKLM\SYSTEM\ControlSet002\Services\srosa  
HKLM\SYSTEM\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\srosa2
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA2
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA2
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s
HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s
HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s
HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s
HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key

Registry values to replace with dummy: 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

(è in parte un'eccesso di zelo, ma meglio non rischiare)
In Avenger clicca su Execute

Il pc dovrebbe riavviarsi altrimenti fallo tu

-Allega il log che verrà creato in C:\Avenger

Esegui anche una scansione online (usando IExplorer) con Nod32 spuntando le caselle:
-Remove found threats
-Scan unwanted applications

E' probabile che dovrai riabilitare qualche servizio:
Apri la lista dei Servizi
Start > Esegui >digita SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi se disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS)

Se hai necessità di ripristinare anche la Modalità Provvisoria puoi utilizzare il file .reg in allegato

Adesso puoi riattivare il Ripristino di Sistema e reinstallare tutti i programmi inerenti la sicurezza che avevano cessato di funzionare




[EDIT] puoi allegare anche il file C:\Qoobox\Quarantine\C\WINDOWS\system32\autorun.inf.vir che vorrei dargli un'occhiata?

[Andy86]

(usando IExplorer)

Scusa se mi intrometto, ma, perché?
(Usare il browser meno sicuro di sempre per trovare un malware. )

[LadyHawke]

IExplorer non deve fortunatamente trovare nulla ma solo far funzionare correttamente lo scan della Eset : tutti gli antivirus online sono sicuramente compatibili con IExplore perchè in genere utilizzano gli ActiveX, mentre spesso non lo sono con altri browser.

[CIANOVITO]

Buondì

Ho fatto come tu mi hai detto, ed ora il risultato è che non si avvia più windows normalmente (infatti sto scrivendo dalla modalità provvisoria con rete): arriva alla schermata "avvio di windows in corso" e si riavvia automaticamente...

Ora sto scansionando il pc con nod32 online (è molto molto lento), ma ci avevo già provato con le versioni online di bitdefender, panda security e nanospycall...

[LadyHawke]

In quale preciso momento windows non si è più riavviato in maniera normale? Dopo che hai fatto cosa?