www.MegaLab.it

da **Akelas** » ven dic 28, 2007 11:43 pm

ora mi sono accorto che mi ha anche fatto saltare kerio!! Io faccio ripartire kaspersky. Se hai altri suggerimenti spara pure!!
Grazie

da **crazy.cat** » sab dic 29, 2007 12:30 pm

ci serve vedere il report di kaspersky. lo devi caricare su questo sito
http://www.mediafire.com/
e poi posti qui il link che ti viene restituito.

Se hai ancora il file originale che ha dato il via all'infezione, mi servirebbe averlo per studiarlo. Lo carichi sullo stesso sito e poi mi passi il link in privato,

Ho diviso la tua discussione dall'altra visto che diventava difficile seguirle.

da **Akelas** » sab dic 29, 2007 1:08 pm

crazy.cat ha scritto:ci serve vedere il report di kaspersky. lo devi caricare su questo sito
http://www.mediafire.com/
e poi posti qui il link che ti viene restituito.

Se hai ancora il file originale che ha dato il via all'infezione, mi servirebbe averlo per studiarlo. Lo carichi sullo stesso sito e poi mi passi il link in privato,

Ho diviso la tua discussione dall'altra visto che diventava difficile seguirle.

Prima cosa grazie mille!!
Questo è il link con il risultato di Kaspersky:
http://www.mediafire.com/?6itant2xpdb

Adesso in privato ti passo il link del File infetto!!
Dammi conferma che li hai avuti entrambi!
Ancora grazie

da **crazy.cat** » sab dic 29, 2007 1:14 pm

Akelas ha scritto:Dammi conferma che li hai avuti entrambi!

Ricevuto tutto.
Adesso preparo lo script e poi ti rispondo.

da **Akelas** » sab dic 29, 2007 1:16 pm

Io ho nod32 2.50.32 , Kerio 4.3.268 e spybot 14 dici che vanno bene e se si mi potresti indicare una guida come settarli al meglio?? Magari dopo averlo sconfitto!!!
Grazie!!

da **crazy.cat** » sab dic 29, 2007 1:31 pm

Questo è lo script da dare in pasto ad avenger, quando riavvii il pc esce un txt e ne posti poi il contenuto qui nella discussione.
http://www.MegaLab.it/2656

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\pci32.sys C:\windows\system32\drivers\hldrrr.exe C:\avenger\backup.zip C:\Documents and Settings\Dott. Passantino\Desktop\Oxygen Phone Manager II 2.15 (Cracked)\Oxygen Phone Manager II 2.15 (Cracked).exe C:\Programmi\Rainlendar2\Rainlendar2.exe C:\Programmi\Eset\infected\EZLFDXCA.NQF C:\Programmi\Eset\infected\ILDHURBA.NQF C:\Programmi\Eset\infected\LUAF3FCA.NQF C:\Programmi\Eset\infected\N5R404CA.NQF C:\Programmi\Eset\infected\OPZLNUBA.NQF C:\Programmi\Eset\infected\OVPXDKBA.NQF C:\Programmi\Eset\infected\PEB5EICA.NQF C:\Programmi\Eset\infected\PXZJDEAA.NQF C:\Programmi\Eset\infected\QSJYFXDA.NQF C:\Programmi\Eset\infected\RXBBVWCA.NQF folders to delete: C:\WINDOWS\exefnd C:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Non aggiungo i file pieni di virus che hai sul disco D E F leggi in fondo al report e vedi quali devi eliminare, non hanno bagle ma sono sempre dei virus.

ti ricordo anche questo sito dove puoi far controllare i file prima di usarli, ed evitare tante infezioni
http://www.virustotal.com/it/

Solo kaspersky ha riconosciuto il file che mi hai mandato come una variante di bagle e pochi altri antivirus lo segnalano come pericoloso.

svuota il cestino delle mail, una ha un virus.

Nod 2.5 e spybot 1.4 sono ormai vecchi e superati, con nod siamo arrivati alla versione 3 e spybot è alla 1.5.

Kerio non lo conosco, io uso comodo firewall.
http://www.MegaLab.it/2592

Nod 2.7 come settarlo
http://www.MegaLab.it/2775
Io però gli preferisco antivir pe, più nuovo e aggiornato.
http://www.MegaLab.it/2595

da **Akelas** » sab dic 29, 2007 1:37 pm

eseguo e ti faccio sapere. Grazie

da **Akelas** » sab dic 29, 2007 1:48 pm

Ecco il contenuto del TXT.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jtotuldo

*******************

Script file located at: \??\C:\lengtulg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.

File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.

File C:\avenger\backup.zip not found!
Deletion of file C:\avenger\backup.zip failed!

Could not process line:
C:\avenger\backup.zip
Status: 0xc0000034

File C:\Documents and Settings\Dott. Passantino\Desktop\Oxygen Phone Manager II 2.15 (Cracked)\Oxygen Phone Manager II 2.15 (Cracked).exe deleted successfully.
File C:\Programmi\Rainlendar2\Rainlendar2.exe deleted successfully.
File C:\Programmi\Eset\infected\EZLFDXCA.NQF deleted successfully.
File C:\Programmi\Eset\infected\ILDHURBA.NQF deleted successfully.
File C:\Programmi\Eset\infected\LUAF3FCA.NQF deleted successfully.
File C:\Programmi\Eset\infected\N5R404CA.NQF deleted successfully.
File C:\Programmi\Eset\infected\OPZLNUBA.NQF deleted successfully.
File C:\Programmi\Eset\infected\OVPXDKBA.NQF deleted successfully.
File C:\Programmi\Eset\infected\PEB5EICA.NQF deleted successfully.
File C:\Programmi\Eset\infected\PXZJDEAA.NQF deleted successfully.
File C:\Programmi\Eset\infected\QSJYFXDA.NQF deleted successfully.
File C:\Programmi\Eset\infected\RXBBVWCA.NQF deleted successfully.

Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034

Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

da **Akelas** » sab dic 29, 2007 1:52 pm

Io devo andare a prendere mio zio a Pescara che arriva e torno in serata. Scusa a dopo!

da **Akelas** » dom dic 30, 2007 5:54 am

Appena finito di installare tutto!!! Sembra funzioni tutto!!! YuppY!!!
Grazie mille a tutti!!! Siete degli angeli custodi!!!! [applauso+]

Auguri di buon anno...spero di essere utile in futuro anche io!!!

www.MegaLab.it

Bagle il ritorno (nuova versione?)

Chi c’è in linea