MegaLab.it


http://www.megalab.it/forum/

Impazzire col Bagle

./viewtopic.php?f=33&t=35182&start=0

Pagina 1 di 1

Impazzire col Bagle

MessaggioInviato: lun set 24, 2007 1:52 pm
da yksel
Ciao,
sono tornato da un lungo viaggio e mi sono ritrovato il computer con strani comportamenti. Avast, non si attiva più, ed è impossibile reinstallarlo, Windows Defender, mi da errore alla partenza e non c'è stato alcun verso di disinstallare Prevx 2.0. Ho tentato tutte le strade, scoprendo che anche entrare in modalità provvissoria era impossibile, ho provato a eliminare molti dei file che ho saputo poi essere stati creati da Bagle, ma a quanto pare, ce ne sono ancora in giro...
Vi posto il log di Gmer e quello del Karspersky. E invoco nel vostro prezioso aiuto!

MessaggioInviato: lun set 24, 2007 5:06 pm
da crazy.cat
ripulisci la posta infetta
C:\Documents and Settings\Cris\Documenti\Testi\Cris\Cris\Setup\Microsoft Outlook\Backup.pst/Cartelle personali/Posta in arrivo/Indirizzi/20 Jun 2007 06:06 from 348 89456745:Invio Immgini da 34889456745/Domenica.zip/IMAGE_DOWNLOAD.exe Infected: Trojan-Clicker.Win32.Agent.ip skipped
C:\Documents and Settings\Cris\Documenti\Testi\Cris\Cris\Setup\Microsoft Outlook\Backup2.pst/Cartelle personali/Posta in arrivo/Indirizzi/20 Jun 2007 06:06 from 348 89456745:Invio Immgini da 34889456745/Domenica.zip/IMAGE_DOWNLOAD.exe Infected: Trojan-Clicker.Win32.Agent.ip skipped

disattiva il ripistino della configurazione e riavvia il pc
http://www.MegaLab.it/2330

ripulisci i virus di java
http://www.MegaLab.it/2467

questo è lo script per avenger

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\Internet\Mail\Qurb\QSP-3.0.311.7\QOELoader.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\j2re1.4.2_08\bin\jusched.exe
C:\WINDOWS\2kadiras.EXE

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

dopo il riavvio esce un txt che posterai qui e poi prova a reinstallare antivirus e segui le istruzioni dell'articolo per sistemare la modalità provvisoria.

MessaggioInviato: lun set 24, 2007 6:14 pm
da yksel
Ecco il txt di Avenger, una volta completato il riavvio.
Ora provo a reinstallare gli antivirus...

MessaggioInviato: lun set 24, 2007 6:45 pm
da yksel
Tutto pare funzionare nuovamente... Grazie infinite, questo è stato il virus più "st**nzo" che mi sia mai capitato...
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/