PDA

Visualizza versione completa : win32.bagle.cu


k501
28-03-2008, 22.43.52
Ciao!
Ho beccato questo simpatico animaletto... Si tratta di un verace rootkit, molto difficile da rimuovere. E' riuscito a disabilitare i drivers audio, parte dell'applicativo della scheda video (tanto che l'iconcina vicino all'orologio di sistema era sparita) e mi impediva il collegamento ad internet. Ebbene, con comandi da console (software come avenger o simili vanno in errore a causa dell'infezione) ho eliminato:

%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe

e questa directory:

C:\WINDOWS\system32\drivers\down

Ed inoltre ho ripulito anche il registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
E naturalmente le voci hidrrr.exe e hidr.exe

Fatto questo l'audio ha ripreso "voce", l'icona video è riapparsa e riesco a collegarmi e navigare in internet (non mi sento molto tranquillo...). Ora vorrei fare una scansione con i classici antivirus in circolazione, ma non ne funziona neppure uno! Non riesco a utilizzare neanche software come Gmer, avenger, icesword e altro. il messaggio comune di errore è "non è una applicazione valida win32". Pertanto è certo che è rimasta qualche traccia in giro... Ma dove? E sopratutto cosa dovrei cercare ancora?
Se avete idee o suggerimenti vi ringrazio in anticipo.
Ciao

Sergio Neddi
29-03-2008, 00.38.34
Il bagle scassa fisicamente gli eseguibili che poi danno quel messaggio.
Se li avevi già nel PC pirma dell'infezione dovrai sostituirli con puliti, se li hai inseriti dopo e ti danno quell'errore probabilmente hai ancora qualche pezzo di schifezza in circolazione che li scassa.
Ci sono dei tool di rimozione, prova con questo: http://www.sophos.it/support/cleaners/baglegui.com

crazy.cat
29-03-2008, 08.27.23
Almeno uno dei file in esecuzione automatica è infetto, anche se hai eliminato i file che hai scritto, ti rimane quell'unico vermicello che ti ricrea l'infezione.
L'unico metodo consigliato è di fare la scansione online sul sito della kaspersky, dopo quando sai tutti i file infetti si usa avenger "modificato"
(questa è la versione nuova per Vista)
http://www.wikifortio.com/634658/Tools-Anti-Bagle.zip
(qui c'è la versione vecchia per xp)
http://www.wikifortio.com/630243/AntiBagle.zip

Conoscendo bene come affrontare la bestiaccia non è così difficile farla fuori.

Hai lasciato fuori mdelk.exe e ultimamente aggiunge anche 1.exe.
Qualche file potrebbe anche non esserci, ma non importa.

Questo è lo script, ci aggiungi gli altri file infetti che trova Kaspersky.

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA

i tools di rimozione a cominciare dall'elibagla servono a poco o niente.

k501
30-03-2008, 08.48.18
Grazie ragazzi dell'aiuto e i consigli dati! Ora provo con i tools.
Sergio, purtroppo ho provato con i tools nuovi e non già presenti nel pc, quindi, come dici, ne è rimasta qualche traccia. ;)

k501
31-03-2008, 10.38.46
Fatto! Si trattava proprio di mdelk.exe e 1.exe.
Sono riuscito ad eliminarli con la procedura di Crazy.cat! E meno male... Ahime i tools non hanno individuato nulla...

Sergio Neddi
31-03-2008, 21.50.51
Ma vaffan-tool! Meno male che hai risolto!

daniel_paqa
31-03-2008, 23.06.42
avg

daniel_paqa
31-03-2008, 23.14.55
ciao! sono un nuovo membro.vorrei la vostra op.su un problema:mi é sparito il driver di controller memoria di massa e nonostante tutto il pc funziona normalmente,apparte qualche errore comprensibile(vista home premium 32 bit ,cazzata),come faccio ad individuarlo perche non mi da nessun dato del driver.inoltre ho provato col cd d"istallazione ma non lo trova.volevo scaricarlo per essere sicuro poi dopo.aspetto la vostra collaborazine

k501
01-04-2008, 09.30.58
Ma vaffan-tool! Meno male che hai risolto!

Macchè risolto! :inkaz:
Ieri sera mi son accorto che ancora qualcosa non andava... Ho rifatto una scansione online con kaspersky, ed ha trovato un unico file infetto in system32 (non dentro drivers). Il file in questione è wintems.exe.del
Si, avete capito bene, con altra estensione, .del appunto. Quindi sono riuscito a rimuoverlo killando explorer e da console, perchè neanche Avenger con il riavvio era riuscito ad eliminarlo.
Sembra tutto a posto, e invece no! Stessi problemi, hijackthis, icesword, gmer vanno in errore ancora. Messo in scansione ancora kaspersky non trova altro. Adirittura gmer manda in crash il pc. C'è ancora qualcos'altro, dannazione! Insieme al file wintems.exe.del trovata ed eliminata ancora una volta la directoy "down". Gli altri files ed eseguibili che mi avete consigliato di eliminare non ci son più... Non so cos'altro cercare, a questo punto.
Idee?
grazie, ancora

k501
01-04-2008, 09.33.00
ciao! sono un nuovo membro.vorrei la vostra op.su un problema:mi é sparito il driver di controller memoria di massa e nonostante tutto il pc funziona normalmente,apparte qualche errore comprensibile(vista home premium 32 bit ,cazzata),come faccio ad individuarlo perche non mi da nessun dato del driver.inoltre ho provato col cd d"istallazione ma non lo trova.volevo scaricarlo per essere sicuro poi dopo.aspetto la vostra collaborazine

Ciao Daniel e benvenuto.
Fai la stessa procedura che ha consigliato anhe a me cray cat: scansione online con kaspersky e salva il log da qualche parte in locale, poi postaci la lista di quello che ha trovato. ;)

crazy.cat
01-04-2008, 10.32.59
Ciao Daniel e benvenuto.
Fai la stessa procedura che ha consigliato anhe a me cray cat: scansione online con kaspersky e salva il log da qualche parte in locale, poi postaci la lista di quello che ha trovato. ;)
non credo sia un problema di Bagle quello di daniel.
E' meglio se apre una discussione separata nella sezione windows specificando il suo modello di pc e cosa gli manca.


X k501
Mi sa che hai beccato un nuovo bagle, siamo in periodo di mutazione del virus.
L'antivirus non ti funziona più adesso?

Prova questo a vedere se sbuca qualche nuovo rootkit
http://seem.about.free.fr/rel/Seem_v4.1b.en.zip

Hai provato a rifare lo script con avenger?

k501
01-04-2008, 11.13.34
non credo sia un problema di Bagle quello di daniel.
E' meglio se apre una discussione separata nella sezione windows specificando il suo modello di pc e cosa gli manca.


X k501
Mi sa che hai beccato un nuovo bagle, siamo in periodo di mutazione del virus.
L'antivirus non ti funziona più adesso?

Prova questo a vedere se sbuca qualche nuovo rootkit
http://seem.about.free.fr/rel/Seem_v4.1b.en.zip

Hai provato a rifare lo script con avenger?

Fatto e rifatto lo scrpit con Avenger più volte, con quello che mi hai linkato tu perchè quello che ho io non funzia!
Ma kaspersky non rileva solo bagle, a quanto pare. Pensavo fosse una soluzione ideale se per caso anche a lui non gira hijackthis o simili (per questo dovremmo chiederglielo...)
Scarico anche questo e stasera vediamo se riesce a far qualcosa...
Grazie

crazy.cat
01-04-2008, 11.27.29
Ma sullo script che ti avevo detto io, hai aggiunto gli altri file infetti che ha trovato lo scan di kasperky?

exion
01-04-2008, 11.37.16
Contro i virus più recenti e contro i rootkit, i tradizionali antivi-virus stanno diventando molto velocemente obsoleti e inutili.

La stessa Microsoft ritiene che sia preferibile, una volta accertata l'infenzione, masterizzare la workstation e ripristinarla a partire da una immagine di backup.

Personalmente penso che ci sia una soluzione alternativa, che però non piace a Microsoft per una questione di licenze.

L'unico sistema efficace, sicuro al 100%, conservativo e relativamente veloce (da 45mn 1h30) per rimuovere questi virus, è una scansione con antivirus aggiornato a partire da un sistema pulito. Il che significa o una seconda installazione di Windows in un'altra cartella (ad esempio \WINAV) o l'avvio del sistema con un live CD (ad esempio UBCD for Windows).

Tutti gli altri sistemi, se lanciati all'interno del Windows già infetto, sono destinati o a fallire oppure a richiedere giorni di lavoro e scansioni per venire a capo dell'infezione.

k501
01-04-2008, 12.49.12
Ma sullo script che ti avevo detto io, hai aggiunto gli altri file infetti che ha trovato lo scan di kasperky?

Certo che sì! ed ha funzionato.
L'unico intoppo è stato appunto wintems.exe.del, scoperto ieri sera che fino a prima non era presente!

daniel_paqa
01-04-2008, 23.03.02
ok cambio sezione,comunque io ho il nod 32comeanti v. e il sistema é pulito

k501
02-04-2008, 09.58.09
Purtroppo "Seem" non funziona e va in errore come gli altri (hijackthis ecc...)
Sono riuscito ad installare Unhackme e Regrun della stessa software house e in fase di boot mi dicono che "srosa.sys" è presente in System32\drivers. inutili tutti i tentativi di eliminarlo, ad ogni riavvio ripartire il servizio associato al EXE e mi ritrovo sempre il srosa. Ho verificato come prima da console togliendo gli attributi -r -h -s ai files delle cartelle system32 e drivers, ma non riesco a visualizzare i files infetti. Avenger ha già eliminato i files di cui sopra e facendolo ripartire gli stessi non li trova più! Quindi presumo non ci siano veramente più. C'è qualcos'altro che rompe e che ci sfugge?

PS=facevo prima a formattare... Purtroppo ho del lavoro grosso da ultimare (diversi gb di video da montare in un'unica clip)

crazy.cat
02-04-2008, 10.58.12
Posso vedere il log di kaspersky e lo script che hai passato ad avenger?

k501
02-04-2008, 12.41.11
Posso vedere il log di kaspersky e lo script che hai passato ad avenger?

Ho tutto a casa, ho dimenticato di farne una copia nella mia chiavetta...
Stavo provando a farmi un cd di boot con bartpe con virit aggiornato ed altre cosucce, come hai saputo. purtroppo la creazione dell'immagine va ancora in errore. Ho dovuto aprire un thread diverso per questo, sennò sarei stato OT
:inn:

k501
02-04-2008, 15.46.44
Risolto il problema di bartPE; è il mio Windows che perde colpi, su un altro pc tutto bene! Chiedo scusa...
Stasera provo con il virit installato come plugin in bartpe

k501
03-04-2008, 11.50.01
Niente, neanche il Virit in bartpe funziona!
Ho ripetuto l'eliminazione dei files srosa.sys, hldrrr.exe e della cartella "down" che ricompaiono ogni volta al riavvio.

Qui lo script con l'eliminazione dei files con avenger: (quelli in rosso sono quelli trovati ed eliminati gli altri non sembra siano presenti)

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\wintems.exe.del
C:\WINDOWS\system32\mdelk.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO



Probabilmente c'è qualcosa che mi sfugge, ma non vedo e non so cosa.

Sergio Neddi
03-04-2008, 13.21.35
Hai provato con Prevx CSI? la versione gratuita non rimuove ma almeno segnala cosa trova e poi uno si arrangia a rimuovere a mano.
Ieri mi ha trovato un rootkit sul PC di un cliente che AntiVir, McAfee, Dr.Web, VirIT non trovavano.

http://info.prevx.com/downloadprevx2.asp

Richiede una connessione attiva durante la scansione perché controlla ciò che trova con un database su Internet.

k501
03-04-2008, 14.07.10
Hai provato con Prevx CSI? la versione gratuita non rimuove ma almeno segnala cosa trova e poi uno si arrangia a rimuovere a mano.
Ieri mi ha trovato un rootkit sul PC di un cliente che AntiVir, McAfee, Dr.Web, VirIT non trovavano.

http://info.prevx.com/downloadprevx2.asp

Richiede una connessione attiva durante la scansione perché controlla ciò che trova con un database su Internet.

Devo provare se funziona perchè tutto il resto non "gira", viene bloccato dall'infezione. In secondo luogo non ho adsl ma mi collego con connessione UMTS. Tempo e MB in questi casi sono a rischio bolletta.

k501
03-04-2008, 14.10.45
Di seguito un log file con servizi e file nel portatile, devo tagliarlo a metà perchè tutto in un unico post è troppo!
Se qualcuno ha la voglia e pazienza.... :rolleyes:

UPX! 12/09/2006 12.46.24 RHS 227328 C:\WINDOWS\SYSTEM32\ac3DX.ax
UPX! 13/01/2006 0.23.26 RHS 123904 C:\WINDOWS\SYSTEM32\AVCDX.ax
UPX! 17/05/2007 17.30.48 318976 C:\WINDOWS\SYSTEM32\avisynth.dll
UPX! 16/08/2006 15.53.32 RHS 175104 C:\WINDOWS\SYSTEM32\CoreAAC.ax
aspack 05/12/2005 17.09.18 2323664 C:\WINDOWS\SYSTEM32\d3dx9_28.dll
aspack 31/03/2006 11.40.58 2388176 C:\WINDOWS\SYSTEM32\d3dx9_30.dll
PEC2 19/08/2004 13.00.00 41144 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 18/01/2005 0.26.36 RHS 179200 C:\WINDOWS\SYSTEM32\DiracSplitter.ax
UPX! 03/05/2006 11.06.54 RHS 163328 C:\WINDOWS\SYSTEM32\flvDX.dll
UPX! 25/01/2004 70656 C:\WINDOWS\SYSTEM32\i420vfw.dll
UPX! 15/03/2008 17.16.50 82432 C:\WINDOWS\SYSTEM32\IEDFix.exe
PTech 24/04/2007 10.32.06 1485696 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
UPX! 10/03/2006 22.48.48 RHS 169472 C:\WINDOWS\SYSTEM32\MatroskaDX.ax
PECompact2 27/06/2007 23.57.28 16256984 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 27/06/2007 23.57.28 16256984 C:\WINDOWS\SYSTEM32\MRT.exe
PEC2 21/02/2007 12.47.16 RHS 31232 C:\WINDOWS\SYSTEM32\msfDX.dll
PECompact2 21/02/2007 12.47.16 RHS 31232 C:\WINDOWS\SYSTEM32\msfDX.dll
aspack 19/08/2004 13.00.00 729600 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 19/08/2004 13.00.00 674816 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 25/11/2005 21.46.34 RHS 161792 C:\WINDOWS\SYSTEM32\RealMediaDX.ax
UPX! 21/11/2003 RHS 54784 C:\WINDOWS\SYSTEM32\RLAPEDec.ax
UPX! 27/04/2004 RHS 37888 C:\WINDOWS\SYSTEM32\RLMPCDec.ax
UPX! 13/02/2005 RHS 186880 C:\WINDOWS\SYSTEM32\RLOgg.ax
UPX! 13/02/2005 RHS 51712 C:\WINDOWS\SYSTEM32\RLSpeexDec.ax
UPX! 13/02/2005 RHS 67584 C:\WINDOWS\SYSTEM32\RLTheoraDec.ax
UPX! 06/02/2005 RHS 92672 C:\WINDOWS\SYSTEM32\RLVorbisDec.ax
PEC2 13/11/2007 9.31.46 399360 C:\WINDOWS\SYSTEM32\Smab.dll
PECompact2 13/11/2007 9.31.46 399360 C:\WINDOWS\SYSTEM32\Smab.dll
PEC2 17/12/2007 14.43.00 HS 27648 C:\WINDOWS\SYSTEM32\Smab0.dll
PECompact2 17/12/2007 14.43.00 HS 27648 C:\WINDOWS\SYSTEM32\Smab0.dll
UPX! 27/04/2006 16.49.30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe
UPX! 29/08/2006 18.43.54 135168 C:\WINDOWS\SYSTEM32\swreg.exe
UPX! 09/01/2006 9.36.06 40960 C:\WINDOWS\SYSTEM32\swsc.exe
UPX! 01/12/2006 5.20.34 79360 C:\WINDOWS\SYSTEM32\swxcacls.exe
UPX! 14/03/2008 9.09.32 86528 C:\WINDOWS\SYSTEM32\VACFix.exe
UPX! 05/09/2007 23.22.24 289144 C:\WINDOWS\SYSTEM32\VCCLSID.exe
PEC2 04/02/2008 20.26.34 HS 151040 C:\WINDOWS\SYSTEM32\VistaUltm.dll
PECompact2 04/02/2008 20.26.34 HS 151040 C:\WINDOWS\SYSTEM32\VistaUltm.dll
winsync 19/08/2004 13.00.00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PEC2 02/11/2006 22.36.12 8284672 C:\WINDOWS\SYSTEM32\wmploc.dll
UPX! 03/10/2007 23.36.46 25600 C:\WINDOWS\SYSTEM32\WS2Fix.exe
UPX! 28/02/2005 13.16.22 240128 C:\WINDOWS\SYSTEM32\x.264.exe
UPX! 25/01/2004 70656 C:\WINDOWS\SYSTEM32\yv12vfw.dll

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
24/03/2008 9.36.04 S 2048 C:\WINDOWS\bootstat.dat
05/02/2008 18.04.02 H 9884 C:\WINDOWS\super.chm
20/03/2008 21.22.28 RHS 2 C:\WINDOWS\winstart.bat
04/02/2008 20.26.34 HS 151040 C:\WINDOWS\system32\VistaUltm.dll
24/03/2008 9.36.44 H 1024 C:\WINDOWS\system32\config\default.LOG
24/03/2008 9.36.26 H 1024 C:\WINDOWS\system32\config\SAM.LOG
24/03/2008 9.46.10 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
24/03/2008 9.47.46 H 1024 C:\WINDOWS\system32\config\software.LOG
24/03/2008 9.41.10 H 1024 C:\WINDOWS\system32\config\system.LOG
24/03/2008 9.36.04 H 6 C:\WINDOWS\Tasks\SA.DAT

k501
03-04-2008, 14.15.42
»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
23/07/2007 11.15.42 1737 C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
21/07/2007 8.56.02 HS 84 C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
21/07/2007 10.34.48 HS 62 C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
28/07/2007 7.02.00 953 C:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma.lnk
21/07/2007 8.56.02 HS 84 C:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
21/07/2007 10.34.48 HS 62 C:\Documents and Settings\Stefano\Dati applicazioni\desktop.ini
24/07/2007 10.24.04 87608 C:\Documents and Settings\Stefano\Dati applicazioni\ezpinst.exe
24/07/2007 10.24.04 7824 C:\Documents and Settings\Stefano\Dati applicazioni\pcouffin.cat
24/07/2007 10.24.04 1144 C:\Documents and Settings\Stefano\Dati applicazioni\pcouffin.inf
24/07/2007 10.24.10 34 C:\Documents and Settings\Stefano\Dati applicazioni\pcouffin.log
24/07/2007 10.24.04 47360 C:\Documents and Settings\Stefano\Dati applicazioni\pcouffin.sys

crazy.cat
03-04-2008, 14.32.59
:fiufiu: :fiufiu:
Posso vedere il log di kaspersky

Basterebbe vedere questo......

k501
03-04-2008, 16.33.45
Mannaggia... Ho preso il log di "winpfind"!
:wall:

exion
04-04-2008, 15.12.17
E' da una settimana che stai lottando in vano contro questo virus!

Se mi avessi dato ascolto, a quest'ora il tuo PC sarebbe pulito da 3 giorni. :)

gianni24
06-04-2008, 14.22.51
Il bagle scassa fisicamente gli eseguibili che poi danno quel messaggio.


Questo nel mio caso NON è vero, lo stesso file messo su una chiavetta ed eseguito sulla macchina infetta da il problema "non è una applicazione win32 valida" eseguito su di una macchina pulita funziona bene.

Sergio Neddi
06-04-2008, 21.32.56
Questa è una buona cosa, nel mio caso, invece, un mio collega ha pensato bene di collegare un PC di un cliente da ripulire (il PC, non il cliente!) in rete e di lanciare i tool di pulizia direttamente dalla cartella nella quale li metto per poi aggiornare i CD di pulizia e le chiavette USB dell'azienda.
Risultato: i tool di pulizia non funzionavano più e me ne sono accorto quando ho controllato il PC di un cliente.
Pensavo che pure questo avesse Bagle e ci sono impazzito dietro per un bel po' senza esito, ettecredo! Il PC era in realtà pulito, erano i tool scassati dal Bagle che il mio collega aveva tentato di curare. Ho dovuto riscaricare tutto (dopo aver tirato le orecchie al mio collega).

k501
07-04-2008, 14.23.52
E' da una settimana che stai lottando in vano contro questo virus!

Se mi avessi dato ascolto, a quest'ora il tuo PC sarebbe pulito da 3 giorni. :)

deduco tu non abbia letto tutti i miei posts!
Ho fatto una scansione pure con un live cd, e quando l'antivirus agisce sulla cartelle infetti si chiude da solo. Ti invito a rileggere prima di trarre conclusioni di questo tipo ;)
Buh!

k501
07-04-2008, 14.33.06
Allora, piccolo aggiornamento:
Con un utility sono riuscito a trovare quanto segue (questo è parte del log, quella con l'infezione trovata)

Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLISTART.EXE --> Eliminado Bagle.dldr
C:\Programmi\Greatis\RegRunSuite\WATCHDOG.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 4849
Nº Total de Ficheros: 45759
Nº de Ficheros Analizados: 9748
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Fatto questo ho fatto partire nuovamente Avenger, con la richiesta di eliminare ancora una volta tutti i files:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\wintems.exe.del
C:\WINDOWS\system32\mdelk.exe

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO

Dopodichè, con un'altra utility ancora, ho elminato questo:

RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

Checking for registry keys affected by W32/Bagle

Deleted registry key HKCU\software\datetime4

System scan finished at 08:58 on 30 March 2008

Processes found : 0
Processes terminated or disinfected : 0
Registry keys affected : 1
Registry keys changed : 1
Files found : 0
Files deleted : 0

Al riavvio "reanimator", "regrun" e "unhackme" non segnalano più in fase di boot la presenza di srosa, mentre prima era un continuo bombardamento di segnalazioni.
Ho fatto una scansione in locale con un antivirus (removeit pro) e questo mi ha trovato altre schifezze che mi ha elminato, ma purtroppo non ha salvato alcun log.
ora lo tengo monitorato e vediamo che succede stasera...

PS=crazy.cat, ho cercato invano il log di kaspersky, ma inutilmente. non risulta in locale nè con estensione log ne come txt. Ho cercato nella cartella di origine e con il "trova", ma nulla da fare, sembra inesistente...

crazy.cat
07-04-2008, 16.09.08
PS=crazy.cat, ho cercato invano il log di kaspersky, ma inutilmente. non risulta in locale nè con estensione log ne come txt. Ho cercato nella cartella di origine e con il "trova", ma nulla da fare, sembra inesistente...
E' un file html e va salvato nel momento in cui finisce la scansione online.

Eliminando questo
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLISTART.EXE -
potresti aver risolto il problema.

k501
07-04-2008, 16.13.05
E' un file html e va salvato nel momento in cui finisce la scansione online.

Eliminando questo
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLISTART.EXE -
potresti aver risolto il problema.

Si... Questo forse spiegherebbe il fatto che anche il driver video risulta in parte corrotto...

exion
07-04-2008, 21.57.50
deduco tu non abbia letto tutti i miei posts!
Ho fatto una scansione pure con un live cd, e quando l'antivirus agisce sulla cartelle infetti si chiude da solo. Ti invito a rileggere prima di trarre conclusioni di questo tipo ;)
Buh!


Allora vai con l'installazione di un secondo XP in dual boot. 3 settimane fa ho risolto sul PC della mia fidanzata in questo modo (bagle.cu come nel tuo caso).

crazy.cat
08-04-2008, 10.46.00
X tutti gli interessati

L'ultima versione di bagle, uscita da due giorni, infetta per bene anche le chiavette usb, blocca gmer e disattiva hijackthis pochi secondi dopo che è stato lanciato, ha dei file dialer che puntano a dei numeri a pagamento, è in grado di danneggiare il cerca di windows e la visione dei file nascosti e di sistema, è stato spostato uno dei file infetti standard, attualmente solo Antivir e Kasperksy (dei grandi antivirus) lo riconoscono .

Ma non hanno niente di meglio da fare quelli che creano questo virus?