Condividi:        

Win32.Bagle.SUQ@mm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 17/12/09 13:14

Ciao, se hai pazienza tra un pò ti preparo una procedura da eseguire.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Sponsor
 

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 17/12/09 13:43

Grazie, di tutto....
adesso vado in ufficio....fai pure con comodo....
ti auguro buon appetito....ciaaooo
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 17/12/09 14:25

Ciao, scusami ma mi ero dimenticato una cosa:
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip nel solito sito di hosting (dove hai inserito gli altri) e indica, in un post, il link per poterlo vedere

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 19/12/09 15:34

Ciao Shel,
scusa se nn ho risposto in tempi rapidi, ma sono stato fuori...inoltre ieri nn sono rieusiti a far partire il suspectfile che mi hai consigliato. Si bloccava piu vlte su alcune voci trovandomi nelle cndizioni di riavviare, fin quando nn mi sono rotto... :-)
Stranamente oggi è finalmente partito facendo la scnsione che ti sto postando...... Augurandoti una buona domenica resto in attesa di ulteriori istruzioni....
Ringraziandoti ti invio i piu cordiali saluti.
Ciaooo
report.txt
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 19/12/09 19:41

Ciao, segui questa procedura, alla lettera, magari stampa la pagina:

1) apri un file di testo al suo interno copia e incolla il seguente script:

Codice: Seleziona tutto
Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
;


salva il file in C chiamandolo C:\fix.reg, ovviamente cambi l'estensione del file da .txt a .reg.

2)esegui due volte a fila elibagla

3) poi vai qui:
http://www.wikifortio.com/773133/123.zip

scarica il file, estrailo sul desktop. Copia il seguente script:

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

Folders to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\downld
C:\WINDOWS\temp
C:\DOCUME~1\XPSP3V~1\IMPOST~1\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Programs to launch on reboot:
C:\fix.reg


avvia il file estratto,
nella schermata seleziona Input Script manually, premi la lente di ingrandimento sulla destra, nello spazio bianco che si apre, incolla lo script, premi Done e due successivi sì alle domande che ti saranno poste.
Al riavvio del computer, posta il report c:\avenger.txt
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 19/12/09 21:09

Ciao Luke57,

intanto grazie per la tua cortese assistenza.
Ho eseguito alla lettera la tua procedura, ed ho riscontrato che finalmente è partito avenger, cosa che in precedenza non mi era possibile fare....!
Adesso ti posto il file risultante d avenger, e resto in attesa di sapere cosa sarà possibile fare.
Cortesi saluti. Antonio
avenger.txt
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 19/12/09 22:01

Ciao, ok, adesso prova a disistallare i programmi di sicurezza ormai resi inservibili dall'infezione e a reistallarli. Poi vai qui:
http://www.malwarebytes.org/mbam-download.php

(se hai già una versione nel computer disistallala)

installa malwarebytes, aggiornalo e fai una scansione completa del computer postando il report
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 19/12/09 23:09

ciao luke57,

ho fatto la scansione con quel programma che mi hai consigliato(malwarebytes) e ti posto il log.
mbam-log-2009-12-19 (23-05-09).txt
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi shel » 19/12/09 23:15

riavvia il programma ed elimina tutto

scarica Ccleaner

http://www.filehippo.com/download_ccleaner/

1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte


clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati. Riavvia il computer

scarica

http://dc108.4shared.com/download/75022 ... 1-de3379fb

Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 20/12/09 00:08

Eccomi ancora qui...ti posto il log di findkill. dopo aver fatto tutto quando alla lettera come tua descrizione dettagliata.
Inoltre volevo chiederti un consiglio su un antivirus free per il momento....ho instellato kaspersky internet securety in prova per un mese, ma sembra nn andare bene in quanto mi avvisa che "alcuni componenti nn possono essere abilitati".
Forse perche' si tratta di una versione di prova?
Accetto tuo consiglio..grazie
FindyKill.txt
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 20/12/09 10:01

Ciao, adesso sono io ;) Bagle è andato, le ultime voci di registro sono state eliminate da findykill. Per gli antivirus free puoi optare per avira, versione anche in italiano:
http://dlce.antivir.com/package/wks_avi ... nal_it.exe
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 20/12/09 10:35

Ciao Luke,
ho appena letto la tua risposta e ti ringrazio per avermi risolto il problema...quasi nn ci speravo più.
Ho fatto piu scansioni con kaspersky in prova e non mi risulta piu nulla :-). Ne ho fatta una ulteriore online con fsecure e nulla anche qui. Ho ancora un solo problema ma spero nulla di grave, infatti all'avvio di windows sul desktopo mi appaioni tre avvisi che dicono mancante il file prremote.exe mancante....boh!
Intanto il grosso è andato..ti ringrazio davvero dic uore....e ti auguro una buona domenica.....ciaoooo
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi shel » 20/12/09 11:06

ciao

se il nome esatto del file mancante e' PR_REMOTE dovrebbe appartenere a kaspersky

puoi darmi il nome esatto?
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Win32.Bagle.SUQ@mm

Postdi incontrocasa » 20/12/09 13:05

Ciao Shel,

intanto volevo ringraziarti per aver contribuito alla soluzione del problema.
Il file di cui sopra è: prremote.dll
ceh fa parte di kaspersky(l'ho letto dai motori di ricerca), ma visto che ho installati kaspesky internet securety in prova, non capisco come mai mi appare ancora quel messaggio....boh....
incontrocasa
Utente Junior
 
Post: 22
Iscritto il: 16/12/09 10:20

Re: Win32.Bagle.SUQ@mm

Postdi shel » 20/12/09 14:04

il file prremote.dll potrebbe essere stato eliminato anche per sbaglio o l'infezione che hai avuto nel pc lo ha danneggiato

prova a disinstallare kaspersky e reinstallarlo e vedi se esce ancora quella voce
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Win32.Bagle.SUQ@mm

Postdi casconero » 25/03/10 09:53

Luke57 ha scritto:Ciao, segui questa procedura, alla lettera, magari stampa la pagina:

1) apri un file di testo al suo interno copia e incolla il seguente script:

Codice: Seleziona tutto
Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
;


salva il file in C chiamandolo C:\fix.reg, ovviamente cambi l'estensione del file da .txt a .reg.

2)esegui due volte a fila elibagla

3) poi vai qui:
http://www.wikifortio.com/773133/123.zip

scarica il file, estrailo sul desktop. Copia il seguente script:

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

Folders to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\downld
C:\WINDOWS\temp
C:\DOCUME~1\XPSP3V~1\IMPOST~1\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Programs to launch on reboot:
C:\fix.reg


avvia il file estratto,
nella schermata seleziona Input Script manually, premi la lente di ingrandimento sulla destra, nello spazio bianco che si apre, incolla lo script, premi Done e due successivi sì alle domande che ti saranno poste.
Al riavvio del computer, posta il report c:\avenger.txt


CIAO LUKE
ho anche io il problema con quel diavolo di worm...ho fatto tutto quello che hai detto tu (è già ti ringrazio perchè senza persone come te noi poveri mortali faremo una brutta fine) ma quando scarico il file http://www.wikifortio.com/773133/123.zip mi scarica il file hanhtriCDF1.mpg.024 (che in principio non aprivo, poi con vlc l'ho aperto ed è una messa!!! :( . Probabilmente il file che segnalavi tu è stato spostato. Riesci ad aiutarmi come hai fatto con incontrocasa ?? Ti ringrazio comunque per la attenzione! Ciao!
casconero
Newbie
 
Post: 8
Iscritto il: 25/03/10 09:45

Re: Win32.Bagle.SUQ@mm

Postdi casconero » 25/03/10 13:41

casconero ha scritto:
Luke57 ha scritto:Ciao, segui questa procedura, alla lettera, magari stampa la pagina:

1) apri un file di testo al suo interno copia e incolla il seguente script:

Codice: Seleziona tutto
Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
;


salva il file in C chiamandolo C:\fix.reg, ovviamente cambi l'estensione del file da .txt a .reg.

2)esegui due volte a fila elibagla

3) poi vai qui:
http://www.wikifortio.com/773133/123.zip

scarica il file, estrailo sul desktop. Copia il seguente script:

Codice: Seleziona tutto
Files to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

Folders to delete:
C:\Documents and Settings\XPSP3VLGen\Dati applicazioni\drivers\downld
C:\WINDOWS\temp
C:\DOCUME~1\XPSP3V~1\IMPOST~1\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Programs to launch on reboot:
C:\fix.reg


avvia il file estratto,
nella schermata seleziona Input Script manually, premi la lente di ingrandimento sulla destra, nello spazio bianco che si apre, incolla lo script, premi Done e due successivi sì alle domande che ti saranno poste.
Al riavvio del computer, posta il report c:\avenger.txt


CIAO LUKE
ho anche io il problema con quel diavolo di worm...ho fatto tutto quello che hai detto tu (è già ti ringrazio perchè senza persone come te noi poveri mortali faremo una brutta fine) ma quando scarico il file http://www.wikifortio.com/773133/123.zip mi scarica il file hanhtriCDF1.mpg.024 (che in principio non aprivo, poi con vlc l'ho aperto ed è una messa!!! :( . Probabilmente il file che segnalavi tu è stato spostato. Riesci ad aiutarmi come hai fatto con incontrocasa ?? Ti ringrazio comunque per la attenzione! Ciao!


Allora volevo dire che ho quasi risolto...lo script che hai fornito lo fatto partire con Suspectfile e sembra che è riuscito a risolvere quasi tutti i problemi..tranne il fatto che non mi fa installare windows live messenger e non me lo fa neanche disinstallare :( come posso fare?? ciao grazie infinite!!!
casconero
Newbie
 
Post: 8
Iscritto il: 25/03/10 09:45

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 25/03/10 19:30

Ciao, scarica una nuova versione di systemscan, se non l'hai. Poi esegui una scansione barrando tutte le opzioni e inserisci il report.zip in un sito di hosting come wiikifortio o simili. Poi indica il link per poterlo vedere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Win32.Bagle.SUQ@mm

Postdi casconero » 26/03/10 16:50

Ciao
Intanto ti ringrazio per l'assistenza, ho fatto come hai detto tu. ecco il link http://www.easy-share.com/1909655101/report454545.txt. Grazie mille ciao! Michael
casconero
Newbie
 
Post: 8
Iscritto il: 25/03/10 09:45

Re: Win32.Bagle.SUQ@mm

Postdi Luke57 » 26/03/10 19:36

Ciao, scarica Combofix direttamente sul desktop dal link seguente:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- disconnetti da internet
- disattiva il tuo antivirus
- esegui ComboFix.exe
- non installare la RECOVERY CONSOLE quando ti verrà chiesto
- non interferire con la scansione del programma
- a scansione ultimata vai in C:\ e copia/incolla qui sul forum il log contentuto nel file
Combofix.txt
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Win32.Bagle.SUQ@mm":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27
win32/sinowal.gen!y
Autore: diego78
Forum: Sicurezza e Privacy
Risposte: 15

Chi c’è in linea

Visitano il forum: Nessuno e 20 ospiti