MegaLab.it

Inviato: **sab dic 29, 2007 8:23 pm**

Ciao a tutti.
Con leggerezza ho avviato un file scaricato dal mulo e la connessione wireless di xp è andata, stessa sorte per l'antivirus che ho provato a reinstallare senza successo...
Leggendo l'articolo su Bagle e varie discussioni di questo forum credo proprio che la causa di questi malfunzionamenti siano dovuti a questo virus...
Ho letto che per la rimozione occorre usare Avanger ma non essendo troppo esperto non saprei come compilare lo script per questo volevo chiedere aiuto a voi cortesemente, dato che potrei fare piu danni di quelli che ho gia fatto...

Allego log delle scansioni fatte con hijackthis,gmer e kaspersky

Grazie per la disponibilità.

Inviato: **dom dic 30, 2007 2:56 am**

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su http://www.freefilehosting.net e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

qualora systemscan non si avviasse per la mancanza di alcuni privilegi (il SeDebugPrivilege) scarica anche questo tool

http://download.bleepingcomputer.com/sU ... estore.exe

e usalo. poi riavvia il pc, dopo di che potrai usare systemscan

Inviato: **dom dic 30, 2007 8:53 am**

questo è il tuo script per avenger, posta poi il txt che esce al riavvio del pc.
Dopo dovrai reinstallarti windows media player, l'unico file infetto dal bagle è proprio del player.

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\pci32.sys C:\windows\system32\drivers\hldrrr.exe C:\Programmi\Windows Media Player\WMPNSCFG.exe folders to delete: C:\WINDOWS\exefnd C:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Inviato: **dom dic 30, 2007 1:57 pm**

Ciao,
ho eseguito Avenger con lo script postato e credo proprio che abbia funzionato infatti ho potuto reinstallare l'antivirus, ho eseguito la scansione del pc e riattivato i servizi.

Come suggerito dalla guida sono andato nel registro di sistema ad eliminare le chiavi:
in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
eliminati: hldrrr.exe e WMPNSCFG.exe
in HKEY_CURRENT_USER\Software
eliminata: FirstRRRun
(qui non ho trovato la chiave DateTime4, ho trovato invece una chiave FirtR c'entra qualcosa?devo eliminare anche quella?)

ho provato ad avviare Media Player e funziona lo devo comunque reinstallare?

ecco il log di avenger e antivirus: http://www.freefilehosting.net/download/39k71

puoi confermarmi che è tutto ok?
grazie dell'aiuto!

ps:di mia iniziativa ho eliminato la cartella ..\system32\drivers\down\ che conteneva vari eseguibili con nome casuale, l'antivirus ne aveva tolti solo 3, spero di aver fatto bene

Inviato: **dom dic 30, 2007 2:33 pm**

se l'antivirus adesso funziona va bene così.
Fagli magari fare un controllo generale a lui.

Inviato: **dom dic 30, 2007 3:38 pm**

Si infatti per adesso tutto ok

Spero di aver imparato la lezione e non avviare piu roba sospetta!

Grazie mille per l'aiuto!

Inviato: **dom dic 30, 2007 3:47 pm**

pavel ha scritto:Spero di aver imparato la lezione e non avviare piu roba sospetta!

Le robe sospette bisogna provarle prima su questo sito
http://www.MegaLab.it/2425
poi si usano.

Inviato: **mar gen 08, 2008 4:52 pm**

Anche io avrei bisogno di aiuto!!non riesco più ad installare l'antivirus e ho trovato il virus bagle nel pc...aiuto please...

Inviato: **mar gen 08, 2008 5:02 pm**

panino_89 ha scritto:Anche io avrei bisogno di aiuto!!non riesco più ad installare l'antivirus e ho trovato il virus bagle nel pc...aiuto please...

Anche per te valgono queste istruzioni (che nessuno legge...)
http://www.MegaLab.it/forum/viewtopic.php?t=34966

Inviato: **mar gen 08, 2008 5:32 pm**

Ok...ora mi ci metterà una vita a fare la scansione....una volta che ho finito invio il file di log a te? nn so proprio cosa inserire in The Avenger....ho provato con lo script generico ma nn riesco proprio ad installare NOD32

Inviato: **mar gen 08, 2008 5:42 pm**

panino_89 ha scritto:.una volta che ho finito invio il file di log a te?

Basta che fai copia e incolla, qui nella discussione, del testo del file html che salvi alla fine della scansione.

Inviato: **mar gen 08, 2008 7:12 pm**

E' ancora al 57% la scansione con Kaspersky...Stasera dovrebbe finire...

Inviato: **mar gen 08, 2008 10:22 pm**

E' possibile che dopo 5 ore di scansione sia ancora all'87%???

Inviato: **mar gen 08, 2008 11:11 pm**

Ecco...Finito

Inviato: **mer gen 09, 2008 8:49 am**

panino_89 ha scritto:Ecco...Finito

Riesci (o qualcuno ci riesce) ad incollarmi solo il testo del file html?
Dal pc dove mi trovo non posso aprire i file rar.

Inviato: **mer gen 09, 2008 1:59 pm**

Già che ci sono faccio io lo script, d'accordo?

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\Documents and Settings\Davide\Dati applicazioni\TuneUp Software\TuneUp Utilities\Backups\00000019.rcb
C:\Programmi\DAP\Offers\VA21_DAPSO.exe
C:\Programmi\eMule\Incoming\Nero 7.x Keygen.EXE
C:\Programmi\ShoppingReport
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\drivers\down\101625.exe
C:\WINDOWS\system32\drivers\down\119765.exe
C:\WINDOWS\system32\drivers\down\155781.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Inviato: **mer gen 09, 2008 2:38 pm**

ste_95 ha scritto:d'accordo?

Assolutamente si.

Inviato: **gio gen 10, 2008 11:33 pm**

Aiuto, anch'io per colpa di un maelo eseguibile di emule mi sono rimasto vittima di bagle. Il problema è che ho windows vista. Cosa devo fare? vi prego aiutatemi...Matteo

Inviato: **ven gen 11, 2008 7:08 am**

La prima cosa è eseguire la scansione online con kaspersky.

Inviato: **ven gen 11, 2008 8:14 am**

C'ho provaturtroppo questo antivirus non funziona con windows vista. Sono disperato perché purtroppo il computer mi serve e non posso permettermi di formattarlo...Cosa posso fare?

MegaLab.it

Script Avenger per rimuovere Bagle

Script Avenger per rimuovere Bagle