[adrysev]

qualcuno che mi aiuta?
ho un problema grave ho beccato in worm bagle e fin qui
il problema e che nell'effettuare tentativi di ripristino
da task ho modificato la boot.ini per riavviare in modalità provvisoria e da lì in poi altri problemi perchè non sapevo che quel virus blocca anche la modalità provv.
ho inserito un disco di ripristino e o cercato di recuperare ... invece mi si è bloccata anche il ripristino ora si riavvia continuamente e mi dice che in modalità provvisoria non si puo' effettuare una reistallazione... non vorrei perdere i dati ... come posso fare

[jambo]

Se succedesse a me una cosa del genere, presumo che tu non abbia partizioni destinate ai dati, separate dal sistema operativo, aprirei il case, scollegherei il disco e lo collegherei ad un'altra macchina, come disco secondario, copierei tutti i dati importanti nel disco della nuova macchina, e procederei con un bel formattone.

Dopo di che creerei almeno due partizioni, una per i dati e l'altra per il sistema.

Una volta fatto ciò si possono copiare i dati di nuovo nell'hard disk, nella partizione dedicata ai dati, e reinstallare il sistema operativo nella partizione creata appositamente, (o ripristinare se hai un disco di ripristino).

Probabilmente fai prima a fare tutto questo che a cercare di rimettere in sesto un sistema cosi compromesso.

[adrysev]

ti ringrazio vivamente ci avevo pensato ma potrebbe accadere che si infetti anche il disco primario del secondo computer?
e poi se posso un altra curiosità
ma se metto questo disco in un secondo computer .. per prima cosa non mi chiederebbe di formattarlo .... grazie ancora

[jambo]

Il virus si dovrebbe attivare insieme al sistena operativo, pertanto se non è avviato anche bagle dovrebbe essere inattivo, volendo pui fargli fare anche una scansione con l'antivirus.
No, collegando il disco ad un'altro pc non ti viene chiesto di formattarlo , lo riconoscerà automaticamente, e dovresti avere accesso alle cartelle.
Recuperi tutti i file che ti interessano, attenzione a non copiarti anche il virius e fai tabula rasa.

[adrysev]

ma c'è un modo per accedere all'hard disk ad esempio attraverso un portatile senza smotarlo dal computer, visto che ho un case piccolo i pezzi sono tutti incastrati e dovrei togliere tante cose.
dico attraverso un portatile con un collegamento usb è troppo complicato?
nel caso non ci fosse modo... dispongo di un magnex hd multimediale che monta hd ata ide nel caso c'è un modo per montare il mio sata compromesso?

[jambo]

Per accedere al disco senza smontarlo puoi utilizzare un live cd, magari Ubuntu, imposti come prima unità di boot il CD/DVD rom, e avrai un sistema operativo avviato da CD rom, senza che installi nulla.
Non so se è possibile vedere anche un portatile, collegato con un cavo di rete, alla tua macchina, con questo tipo di avvio.
Ci vorrebe il parere di qulcuno piu esperto in questo tipo di sistemi.

[giancarlo31]

Cosi non fai nulla con il Bagle che è già difficile eliminare con programmi specifici e metodiche adatte questa è una di quelle:

Scarica Ccleaner

http://www.ccleaner.com/

* Disconnetti completamente da Internet

* Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) metti la spunta su: Visualizza file e cartelle nascoste
2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

http://www.kuma215.it/WI/Ripristino.html

* Avvia in modalità provvisoria

http://www.kuma215.it/WI/Mod_Provv.html

Avvia hijackthis,clicca su Do a system scan only metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet, premi su fix checked

Scarica questi programmi e e lasciali sul desktop
http://download.bleepingcomputer.com.../OTMoveIt2.exe

http://www.zonavirus.com/datos/desca...5/elibagla.asp


Disattiva ripristino configurazione sistema (click tasto dx su risorse del computer, proprietà, ripristino di configurazione sistema, metti la spunta a "disattiva.....">OK)
Ora fai uno scan online usando IE QUI:
http://www.eset.com/onlinescan/scanner.php?i_agree=14 spunta le due
caselle prima dello scan, iniziata la scansione disconnettiti da internet spegnendo il modem
finito con eset lancia elibagla(se non dovesse avviarsi insisti
riavviando il sistema più volte) e clicca su explorar,terminato riavvia e usa nuovamente elibagla.
Solo dopo aver usato elibagla avvia il S.O in modalità provvisoria (dovrebbe funzionare- premi ripetutamente il tasto f8 all'accensione del computer prima che si carichi windows. Nella schermata grigia che appare scegli mod.provvisoria spostandoti con le freccette e confermando con invio)

Una volta entrato in modalità provvisoria, Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders
to be moved"

Codice:

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp

clicca su MoveIT
Se ti viene proposto il riavvio non farlo e usa nuovamente elibagla,ora
riavvia e prova ad installare il tuo antivirus.

Allega infine il log di elibagla C:\InfoSat.txt e di OTMoveIt2 in C:\_OTMoveIt\MovedFiles.


-----------------------------------------------------------------

[jambo]

Scritto da : adrysev qualcuno che mi aiuta? ho un problema grave ho beccato in worm bagle e fin qui il problema e che nell'effettuare tentativi di ripristino da task ho modificato la boot.ini per riavviare in modalità provvisoria e da lì in poi altri problemi perchè non sapevo che quel virus blocca anche la modalità provv. ho inserito un disco di ripristino e o cercato di recuperare ... invece mi si è bloccata anche il ripristino ora si riavvia continuamente e mi dice che in modalità provvisoria non si puo' effettuare una reistallazione... non vorrei perdere i dati ... come posso fare

Ma se non riesce ad avviare il pc in nessun modo.

[giancarlo31]

Scritto da : jambo Ma se non riesce ad avviare il pc in nessun modo.

Davvero non avvia, chiunque conosce questa metodica per avviare:
Poi farà il resto:

http://giancarlof-giancarlo.blogspot...da-cd-rom.html

[adrysev]

già ho provato questa procedura dopo aver cliccato r mi si è bloccato tutto mi dice che l'installazione verrà riavviata e si riavvia in eterno senza combinare nulla
.... per jambo ...il problema è che non posso accedere alla boot attraverso operazioni normali le uniche operazioni che mi permette di fare riguardano il bios o mi permette di scegliere il cd rom o l hd o mi aggiunge tra le scelte una cosa che sembra la sigla una scheda audio tipo realtek ..ma pur cliccando ricomincia tutto da capo quando ho nominato il portatile era per usarlo come strumento attivo che mi riconoscesse il pc di casa compromesso almeno solo come contenitore di dati trascurandone il sistema operativo in modo tale da avviarne la scansione. ps mi spieghi meglio come posso utilizzare questo ubuntu? ormai è diventata una sfida gli haker non la possono avere vinta
per giancarlo... ho provato a scaricare qualsiasi antivirus prima che si bloccasse il pc ma bagle me li ha bloccati tutti...... compreso la possibilita di accedere alla modalità provvisoria

[Luke57]

Cio, è stato proprio il tentativo di accedere alla provvisoria, disinibita dal virus, che non ti permette di riavviare. Riallacciandosi al discorso di jambo, segui questa discussione relativa a ubuntu, in particolare il suggerimento di Astrus85:
Vista: impossibile trovare reti e antivirus bloccati
se riesci ad avviare dal CD, eliminare il bagle è più facile, anche manualmente.
Di solito sono questi:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Cartelle:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati Applicazioni\m

[adrysev]

scusa solo una cosa ma se scarico ubuntu poi lo posso mettere su un cd ? o me lo scarica direttamente su cd ovviamente queste operazioni le faccio da un altro computer quello è inutilizzabile

[Luke57]

Ciao, devi masterizzare l'immagine su cd, senza installare il sistema, da un altro computer. Poi avviare il computer "malato" da tale cd e qui dovrai modificare, penso, l'impostazione del bios, vedi qui:
http://www.megalab.it/articoli.php?id=944

[adrysev]

quindi giusto per essere precisi dalla discussione a cui mi hai inviato mi fa aprire la pagina di ubuntu non capisco l'inglese ma dice che posso mettere una spunta per aver una copia sul cd .... lo faccio oppure mi consigli di scaricar sul desktop e poi mastrizzare?

[Luke57]

Ciao, scaricalo sul desktop e poi masterizza l'immagine.
http://www.pcopen.it/01NET/HP/0,1254..._68939,00.html