Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Script per nuova versione Bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Rispondi al messaggio

Messaggioda crazy.cat » lun ott 29, 2007 1:02 pm

doblece ha scritto:Ho già scaricato il avenger, aspetto allora le vostri indicazione :)

Sembra che sia già stato rimosso tutto quanto.

Hai già disattivato il ripristino della configurazione?
http://www.MegaLab.it/2330
Se è ancora attivo, disattivalo prima di cominciare.

Passa questo script ad avanger e poi posta il txt che esce dopo il riavvio

C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Scaricati http://www.ccleaner.com/download per fare pulizia di temp e temporanei vari.

Poi nei log non si vede altro di pericoloso.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda doblece » lun ott 29, 2007 1:39 pm

Heheh!!!
Il LEGACY_SROSA non e più nel registro!
Non ha trovato niente altro perché erano già eliminati.
Ma almeno ora mi sento più tranquilla :)

Peccato che non ho pensato a inviare il srosa.sys e il hidr.exe per analisi... ma come faceva se le ho eliminato da la command line?

Penso che ci siano altre mutazioni girando nella rete, sembra essere molto inteligente, questo "megadrv3" ma non sale con questo nome in nessuna parte...

Anyway, bisogna stare attenti, qualsiasi cosa postate per essere "al giorno" :)

Tante grazie a tutti, bacini e saluti, e la più bella settimana per voi!

[rotolo]
Avatar utente
doblece
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 12:13 am
Top

Messaggioda sathurn » lun ott 29, 2007 6:36 pm

anche io vi ringrazio...ho debellato tutto!! LA cosa strana è che si era annidato in un file di pc maclan, un programma per creare reti miste mac e pc.
Avatar utente
sathurn
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun ott 29, 2007 10:50 am
Top
Top

Messaggioda squartana » mer ott 31, 2007 10:42 am

buongiorno a tutti, sono nuovo di pacca....mi sono iscritto dopo aver seguito alla lettera tutta la procedura di rimozione del beagle, ma purtroppo con scarsi risultati...vi posto il file di log di gmer, se qualcuno gentilmente mi aiuta a creare il file da mettere poi nell'avenger (anche se avenger mi risponde in malo modo,cioe' impossibilitato a cancellare diversi file perche' bloccati).
grazie a tutti in anticipo
Avatar utente
squartana
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer ott 31, 2007 10:24 am
Top

Messaggioda crazy.cat » mer ott 31, 2007 10:47 am

squartana ha scritto:buongiorno a tutti, sono nuovo di pacca....mi sono iscritto dopo aver seguito alla lettera tutta la procedura di rimozione del beagle, ma purtroppo con scarsi risultati...vi posto il file di log di gmer, se qualcuno gentilmente mi aiuta a creare il file da mettere poi nell'avenger (anche se avenger mi risponde in malo modo,cioe' impossibilitato a cancellare diversi file perche' bloccati).
grazie a tutti in anticipo

Più che il log di gmer (che non hai postato) serve quello della scansione online di kaspersky.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda squartana » mer ott 31, 2007 10:49 am

ok provvedo a fornirvi quello di kaspersky (scusate ma non avevo capito come si inseriva il file nel messaggio)..

Finito!vi posto il log di kaspersky...ve ne prego ditemi che da questa situazione ne posso uscire. e' il computer del negozio, c'e' tutto e di piu' e non mi posso permenttere di formattare..
Avatar utente
squartana
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer ott 31, 2007 10:24 am
Top

Messaggioda squartana » mer ott 31, 2007 5:40 pm

ho fatto anche altre scansioni online (con i vari report) ditemi se vi devo postare pure quelle.
Avatar utente
squartana
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer ott 31, 2007 10:24 am
Top

Messaggioda crazy.cat » gio nov 01, 2007 8:29 am

Non si vedono più dei gran resti del bagle, prova questo script e poi posta il txt che esce al riavvio del pc.


files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\Prefetch\explorer.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre
Top

Messaggioda squartana » gio nov 01, 2007 12:27 pm

crazy.cat ha scritto:Non si vedono più dei gran resti del bagle, prova questo script e poi posta il txt che esce al riavvio del pc.



Mi ero accorto anche io del fatto che il beagle non ci fosse piu'...eppure continua a non farmi installare gli antivirus e a darmi l'errore di host process che fa riavviare il computer...sono scoperto come il posto dove non batte mai il sole di un macaco...
Avatar utente
squartana
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer ott 31, 2007 10:24 am
Top

Messaggioda squartana » gio nov 01, 2007 12:36 pm

Ecco la risposta di avenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lrexaods

*******************

Script file located at: \??\C:\Documents and Settings\kpqkhqrg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



File C:\WINDOWS\Prefetch\explorer.exe not found!
Deletion of file C:\WINDOWS\Prefetch\explorer.exe failed!

Could not process line:
C:\WINDOWS\Prefetch\explorer.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
squartana
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer ott 31, 2007 10:24 am
Top
Precedente
Rispondi al messaggio

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising