[HELP] [RISOLTO]Problema SERIO con windows,forse virus BAGLE

[Soul Reaver]

Mi porta oggi il pc un suo amico mi dice:"sta combinato male",beh...è stato fin troppo buono.Siamo a un passo dalla formattazione.
Provo a disistallare un pò di applicazioni e va in crash il sistema ogni volta che ci si prova.
Dall'inizio la cpu va al 100% inesorabilmente.
Il pc non è riavviabile in modalità provvisoria:errore con schermata blu di windows
Il pc non ha punti di ripristino di configurazione di sistema attivati
Sicuramente c'è qualche virus malefico e qualche spyware,visto che all'apertura di firefox mi apre contemporaneamente 4-5 pagine(lottomatica,casinò etc..etc...)
Ma la cosa più bella di tutte è che...NON MI FA INSTALLARE NULLA DI NULLA,cioè avvio l'installazione di qualunque programma e o l'installazione non va a termine per un qualunque errore di windows oppure fa finta di installare un programma ma poi
1)o non me lo fa partire>>>come nel caso di ccleaner(cliccando 2 volte su non succede nulla...ho provato anche a lanciarlo con esegui,ma nulla)
2)o mi da errore>>>come nel caso di AVG antispyware...impossibile avviare l'applicazione re-installare il programma alla terza volta che rifacevo la stessa cosa,mi sono sentito preso per i fondelli e ho lasciato perde
Inoltre ho notato che tutti i file in C si trovano SOLO in lettura e che NON E' POSSIBILE CAMBIARE LA CONFIGURAZIONE(tornano inpiegabilmente sempre e solo in lettura)
Provo a fare la scansione online con KAV e non mi installa le ACTIVE X,le installa ma quando va ad aggiornare le firme,dice che è scaduta la licenza(a me me pare na strunzata)
Comunque,nse po fa una mazza....
Forse ho trovato la causa,il virus si chiama BAGLE,che:
disattiva gli antivirus,
non te li fa più installà,
la modalità provvisoria non funziona,
cancella i programmi di sicurezza sul pc,
una scansione con GMER evidenzia file in rosso come HIDR.EXE...
Brutta bestia me sa

[Sworm]

1)Quali erano gli AV o Antispy già presenti nel sistema?


2) Da dove hai visto che si tratta di quel Virus? Che variante è?

[Soul Reaver]

prima aveva un nod32...la variante per ora non la conosco
ma sono in attesa che finisca la scansione online da kav polacco:icon8:
ha iniziato la scansione,ancora non è finita e mi segnala come infetti,per ora,IGFXPERS.EXE e IGFXTRAY.EXE che in teoria sono 2 files di sistema(visto che il primo è legato alla gestione dei plug-in della NVIDIA e il secondo dovrebbe essere qualcosa di intel....
Oppure è un trojan fijo de ntrocchia che se camuffa da file de sistema appositamente...staremo a vedere,vi tengo aggiornati

[Soul Reaver]

Allora il kav ha scansionato solo le aree critiche
questo è ciò che ha trovato:
c:\WINDOWS\system32\config\system.LOG object is locked
c:\WINDOWS\system32\config\software.LOG object is locked
c:\WINDOWS\system32\config\default.LOG object is locked
c:\WINDOWS\system32\config\SECURITY object is locked
c:\WINDOWS\system32\config\SAM object is locked
c:\WINDOWS\system32\config\SECURITY.LOG object is locked
c:\WINDOWS\system32\config\SYSTEM object is locked
c:\WINDOWS\system32\config\SOFTWARE object is locked
c:\WINDOWS\system32\config\DEFAULT object is locked
c:\WINDOWS\system32\config\SysEvent.Evt object is locked
c:\WINDOWS\system32\config\AppEvent.Evt object is locked
c:\WINDOWS\system32\SecEvent.Evt object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER object is locked
c:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP object is locked
c:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP object is locked
c:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A object is locked
c:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR object is locked
c:\WINDOWS\system32\CatRoot2\edb.log object is locked
c:\WINDOWS\system32\CatRoot2\tmp.edb object is locked
c:\WINDOWS\system32\h323log.txt object is locked
c:\WINDOWS\system32\i.exe Trojan-Downloader.Win32.Agent.mba
c:\WINDOWS\system32\npiqwavykkhj.exe Trojan-Downloader.Win32.Agent.mba
c:\WINDOWS\system32\mdelk.exe Email-Worm.Win32.Bagle.of
c:\WINDOWS\Temp\CLML_AGENT_LOG1.txt object is locked
c:\WINDOWS\Temp\sqlite_zuvO1BZVYEZVNpk object is locked
c:\WINDOWS\Debug\PASSWD.LOG object is locked
c:\WINDOWS\wiaservc.log object is locked
c:\WINDOWS\Sti_Trace.log object is locked
c:\WINDOWS\wiadebug.log object is locked
c:\WINDOWS\SchedLgU.Txt object is locked
c:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe object is locked
c:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe object is locked


riccà divertiti....

[Sworm]

Allora il kav ha scansionato solo le aree critiche
questo è ciò che ha trovato:
c:\WINDOWS\system32\config\system.LOG object is locked
c:\WINDOWS\system32\config\software.LOG object is locked
c:\WINDOWS\system32\config\default.LOG object is locked
c:\WINDOWS\system32\config\SECURITY object is locked
c:\WINDOWS\system32\config\SAM object is locked
c:\WINDOWS\system32\config\SECURITY.LOG object is locked
c:\WINDOWS\system32\config\SYSTEM object is locked
c:\WINDOWS\system32\config\SOFTWARE object is locked
c:\WINDOWS\system32\config\DEFAULT object is locked
c:\WINDOWS\system32\config\SysEvent.Evt object is locked
c:\WINDOWS\system32\config\AppEvent.Evt object is locked
c:\WINDOWS\system32\SecEvent.Evt object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P object is locked
c:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER object is locked
c:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP object is locked
c:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP object is locked
c:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A object is locked
c:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR object is locked
c:\WINDOWS\system32\CatRoot2\edb.log object is locked
c:\WINDOWS\system32\CatRoot2\tmp.edb object is locked
c:\WINDOWS\system32\h323log.txt object is locked
c:\WINDOWS\system32\i.exe Trojan-Downloader.Win32.Agent.mba
c:\WINDOWS\system32\npiqwavykkhj.exe Trojan-Downloader.Win32.Agent.mba
c:\WINDOWS\system32\mdelk.exe Email-Worm.Win32.Bagle.of
c:\WINDOWS\Temp\CLML_AGENT_LOG1.txt object is locked
c:\WINDOWS\Temp\sqlite_zuvO1BZVYEZVNpk object is locked
c:\WINDOWS\Debug\PASSWD.LOG object is locked
c:\WINDOWS\wiaservc.log object is locked
c:\WINDOWS\Sti_Trace.log object is locked
c:\WINDOWS\wiadebug.log object is locked
c:\WINDOWS\SchedLgU.Txt object is locked
c:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe object is locked
c:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe object is locked


riccà divertiti....

Occhio che quello è pericoloso , si autoinvia e infetta i contatti....

Dammi qualche minuto, il tempo di reperire il necessario e te lo invio!
Una volta che li abbiamo rimossi,
poi dovrai scansionare il sistema completo!

[Sworm]

allora,
riesci a fare una scansione completa con lo scannero on-line di kav?

Devi darmi le basi per creare lo script per poter così utilizzare un programma specifico per la rimozione......

riesci?

Fammi sapere!

[fuffolo]

so io:c'è fuffolo qui con me e ho approfittato per iscriverlo e creargli l'account.
così sono connesso dal pc infetto,quello da cui ti sto scrivendo
ora accedo su msn col mio account
sterminiamo sto merdoso

[Sworm]

Allora, come ti ho già spiegato, questo è un tentativo che non so se andrà a buon fine, inquanto posso solo basarmi su ipotesi non avendo a disposizione il log completo di KAV. Nell'allegato di questo post ci troverai 3 files :
AntiKnight
Avenger
Elibagla

dovrai utilizzarli nell'ordine in cui li ho inseriti.

Partiamo dal primo,
Estrai AntiKnight e copialo interamente in una cartella vuote e spostalo in un pendrive visto che l'avvio da pc è improponibile con quel Worm.
Clicca su "buscar y reparar" rimuovi la pendrive e riavvia il pc.

Ora estrai Avenger sul Desktop , esegui il file avenger.exe, ti apparirà una finestra "View/edit script" , all'interno del campo bianco , copia questi script così come li ho inseriti:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Programmi\IncrediMail\bin\IncrediMail_Install.e xe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\nsinet.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\Documents and Settings\Administrator\Impostazioni locali\Temp
C:\Programmi\TopSearch
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Clicca il pulsante Execute , il pc si riavvierà da solo , se così non fosse, riavvialo manualmente. Una volta riavviato, posta qui il log di avenger, che è un file di testo situato in C:\avenger.txt .
Ora disattiva anche il ripristino configurazione di sistema.

arrivato a questo punto, esegui il file EliBagla spunti la casella "elimina ficheros automaticamente" e fai una scansione, e poi posta il log che trovi in:
C:\infosat.txt.

[Jung]

Cacchio ragà me stà a veni il mal di testa speriamo che il problema si risolva presto,se no ..formattate e chi si è visto si è visto,ma è strano come fai a connetterti dal pc infetto se è infetto non ti puoi connettere..forza sbrigatevi se no m'ammazzo!!!!

[Sworm]

Ok,
visto che la procedura ha sbloccato la situazione, sposto in Help-me il mio pc è infetto!!!!! - Rimozione Virus

Magari (spero di no), potrebbe servire ad altri con un problema simile.