(riješeno) Kako ukloniti win32.bagle.ix?

[ROMO]

Naime,pokupio sam doticni virus,crv ili sto je vec i nikako da ga se rijesim.Nisam imao instaliran antivirusni program,a i prihvatio sam u brzini i nekakvu zamjenu datoteka u svojoj naivnosti.

Sada ne mogu instalirati nijedan antivirusni program,tijekom instalacija mi uvijek javi da nije mogao stvoriti recimo avg.exe file jer ga navodno nema i slicno.Inace simptomi su,pored ovog prvog, blesavi:
1.-Ne mogu pokrenuti nijednu 3d aplikaciju
2.-Ne mogu ugasiti racunalo,uvijek se iznova boota


Pokusao sam i sa stinger.exe, ali nije islo.(preporuka prijatelja).Znate li tko sto uciniti?Hvala unaprijed.

[kasko]

napravi scan s HiJackThisom i postavi log ili još bolje Screenshot

[ROMO]

Evo,sorry kaj kasnim ljudi,nisam imao hijack.

[kasko]

evo malo sam ti popravio startup... ako i dalje sere reci da to još posložim ( za kaj ti je neki program Bonjour??)

[ROMO]

Hej,puno hvala whisperer.Pokusat cu odmah.Ne znam kaj je Bonjour,mislim da sam ga pregledavao, da je nekaj od Adobe-a ili vezano bar uz Adobe.Javim je li uspjelo.

[ROMO]

Night-whisper,jos jednom ti hvala,ali nije uspjeo.Pokrene se sve,ali taman kad je instalacija ili popravak trebao zavrsiti,restartao mi je komp.

Mislim da je problem u tome jer sam stisnuo "yes to all" kada me je dokument koji je bio inficiran,pitao da treba zamijeniti neke file-ove.Kasnije sam jednom prilikom,ne znam kako,dobio poruku da su zamjenjene neke windowsove datoteke.

Htio sam napraviti repair s cd-om od winxp-a,ali ne mogu jer imam service pack 2,a na cd-u je prvi winxp.Bi li se moglo kada bih imao winxp-sp2,ili kada bih mozda deinstalirao sp2,pa onda probao?

[Vejita]

Evo malo njuskam za to i ajd pogledaj i izbrisi ako imas ovo "C:\WINDOWS\system32\drivers\srosa.sys" za to ljudi pišeju da nakon toga su mogli instalirati antivirusne programe pa ono probaj.
Evo stranice di morete uploadati file koji "mislite" da bi mogao biti opasan http://www.virustotal.com/
Evo covjek je poslo ovdje o tome i evo kaj su mu rekli kako srosa.sys antivirusi registriraju

File srosa.sys received on 08.27.2007 21:00:02 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 Worm/Bagle.IX.44
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 Win32:Beagle-WF
AVG 7.5.0.484 2007.08.27 I-Worm/Bagle.WY
BitDefender 7.2 2007.08.27 Trojan.Rootkit.Bagle.F
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.27 -
DrWeb 4.33 2007.08.27 Win32.HLLM.Beagle
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.27 -
Fortinet 2.91.0.0 2007.08.27 -
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.27 Email-Worm.Win32.Bagle.ix
Ikarus T3.1.1.12 2007.08.27 Email-Worm.Win32.Bagle.ix
Kaspersky 4.0.2.24 2007.08.27 Email-Worm.Win32.Bagle.ix
McAfee 5106 2007.08.27 -
Microsoft 1.2803 2007.08.27 -
NOD32v2 2486 2007.08.27 -
Norman 5.80.02 2007.08.27 W32/Bagle.ZB
Panda 9.0.0.4 2007.08.27 -
Prevx1 V2 2007.08.27 -
Rising 19.38.02.00 2007.08.27 -
Sophos 4.21.0 2007.08.27 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.27 -
TheHacker 6.1.9.173 2007.08.27 W32/Bagle.ix
VBA32 3.12.2.3 2007.08.27 -
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 Worm.Bagle.IX.44
Additional information
File size: 60736 bytes
MD5: a1dba12ebe2be234d3946a7fd6776d65
SHA1: b70707f0c89630ed70a7c25d51bc320e5a3036a2
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

[ROMO]

Hvala ti puno,kao prvo.Nema tog file-a.Ne znam vise sto napraviti,ne snalazim se bas,a kopati po windowsovim file-ovima koje ni inace ne znam mi nije pametno,pogotovo jer ih je vjerojatno vise zamjenjeno.Pa je li ima ovome uopce spasa?

[greenfly]

Probaj skenirat sa Trojan remover-om,,,on će ti reć gdje je ali ga nemože izbrisat..

[Vejita]

Pogleđ ovo srosa.sys i hidr.exe i obavezno ukopcaj da ti win pokazu skrivene fajlove (to sam zaboravio gore napisati) stoga peglaj opet i nemoj stavit ekstenziju od fajlova.

[kasko]

ovo koristi na vlastitu odgovornost ali mislim da neće ništa bit kompu samo ti se neće pokrenut neki program od Sony-a i Messenger. napravi backup pa poslije lako vratiš ak baš bude frka, ali ponavljam mislim da neće bit problema

[ROMO]

Dakle,nisam vidio ni srosa ni hidr,ali sada sam instalirao Rootkit unhooker i on je prikazao 2 file-a koji su skriveni od Microsoft API-a.Jedan je hidr.exe,a drugi .../Applicatin data/m/flec006.exe.
E sad,sto uciniti s njima?Kill proces,force kill ili nesto trece-erase ili kaj.Strah me jer,kao sto sam rekao zamijenjene su vjerojatno neke windowsove datoteke pa da ne bi ostao sa srusenim sistemom.(nisam jos napravio backup,btw je li moram za D: particiju ili samo sistemsku?

EDIT: Je li mozda najbolje da napravim screenshotove od ovog programcica,tj njegovog scana?Ima tu i u hidden drivers sekciji nekih,nepoznatih od strane programa,drivera za koje kaze unknown id.
I kako najjednostavnije napraviti screenshotove?(nisam bas neki power user)

[kasko]

za screenshot stisni win tipku i PrtScr i onda je u clipboardu i otvori paint i paste sliku i gotov si

[ROMO]

Evo sada screen reporta Root Unhookera.Nisam sam se mogao koristiti printScreenom jer slike budu prevelike da bi ih mogao postaviti(oko 5mb).Ako to nije dovoljno,predlozite kako da postam screenshotove.Mozda fileshack,pa postam URL(molim objasnite i to jer ga nisam jos koristio).

Oprostite na nesnalazenju i jos jednom HVALA na ustrajanju da mi pomognete.

[domy_os]

Skini sliku u JPG formatu pa će onda biti manja od pola MB i uploadaj na ImagesForMe.

http://www.imagesforme.com/

[ROMO]

[IMG=http://www.imagesforme.com/thumbs/2384report.JPG]

[IMG=http://www.imagesforme.com/thumbs/1993hooksdetector1.JPG]

[IMG=http://www.imagesforme.com/thumbs/2323Hooksdetector2.JPG]

[IMG=http://www.imagesforme.com/thumbs/2133Hooksdetector3.JPG]

[IMG=http://www.imagesforme.com/thumbs/7243Hooksdetector4.JPG]

[IMG=http://www.imagesforme.com/thumbs/2627Hooksdetector5.JPG]


[IMG=http://www.imagesforme.com/thumbs/8979HiddenProcesses.JPG]

[IMG=http://www.imagesforme.com/thumbs/4186HiddenDrivers1.JPG]

[IMG=http://www.imagesforme.com/thumbs/1349HiddenDrivers2.JPG]

[IMG=http://www.imagesforme.com/thumbs/3264HiddenDrivers3.JPG]

[IMG=http://www.imagesforme.com/thumbs/5462codeHooks.JPG]

Evo to su svi screenovi iz ovog programa osim Hidden files detector sekcije koja je ogromna,ako treba i nju recite pa mozda da probam odvojiti samo probleme,ako se moze kako.

[greenfly]

Mogu ti savjetovati da probaš napravit on-line scan sa Kaspersky-em (to moraš sa Internet explorerom),,,pa ako ti ga skuži- pukni si trial !!!

http://www.kaspersky.com/virusscanner


Meni ga je skužio......

[ROMO]

Uspio sam!Ni sam nisam siguran kako tocno,ali unistio sam ga.Prvo sam sa Rootkit Unhookerom napravio force kill+erase file onih hidr.exe i flec006.exe,unhook all sam stisnuo,deinstalirao sve antivirusne programe,instalirao Kaspersky,replace sve stare Kaspersky fileove,jer neki su ostali jer je virus unistio instalaciju prije,pokrenuo scan.Malo koji file je mogao biti dezinficiran,sve sam ih izbrisao.Sada napokon radi.Mogu restartati,ugasiti,igrati igre.Napravio sam i registry repair i defragmentaciju.Cini mi se ipak da je ostalo nekih posljedica,trbao bih mozda jos i windows repair obaviti.Naime kada ukljucim komp i win se digne,dobijem poruku Can't open ASiO.sys !! (2) .to bi to bilo?Mozda ima veze sa Asusovim PCprobe-om?

Al sto se tice virusa--RIJESENO!
Hvala svima,svi ste pomogli.E da,Vejita,kada je Kaspersky cistio,naletio je i na hidr.exe i na srosa.exe,al ih se iz wina nije nikako moglo vidjeti,samo sa Rootkit unhooker-om.Zanimljiv programcic,bio na Bugovom dvd 178.