Pagina 1 di 1

Altra vittima di Bagle

MessaggioInviato: dom feb 03, 2008 3:39 pm
da f.punzi
Anch'io sono una vittima di Bagle. Innanzitutto, vi ringrazio in anticipo per le informazioni contenute nei vostri articoli, che ho già cercato di mettere a frutto. Infatti, ho disattivato il ripristino di sistema ed eseguito una scansione online con Kaspersky, ma solo delle "aree critiche" del pc e ho trovato questo C:\WINDOWS\system32\mdelk.exe. Così ho lanciato The Avenger con lo script che ho copiato dal vostro sito, che già conteneva C:\WINDOWS\system32\mdelk.exe. Dal file log risultava che alcuni file e cartelle non erano stati trovati ma altri sì e cancellati (tra cui mdelk.exe). Eppure, nulla è cambiato. Ho provato così a ripetere l'operazione e il risultato è stato il seguente:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\DateTime4


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\FirstRRRun


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dqcljjof

*******************

Script file located at: elvitess

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Mi sono accorto, leggendo questo forum, che la scansione con Kaspersky va fatta su tutto il pc, così l'ho rilanciata ed è tuttora in corso. Il problema è che dopo mezz'ora è ancora bloccata sulla cartella C:\Avenger dove ha trovato mdelk.exe.

Inoltre, uno degli effetti collaterali del virus, oltre al blocco degli antivirus, è che ogni nuova finestra di internet explorer (versione 6) ci mette qualche minuto per aprirsi.

Un bel pasticcio, mi rendo conto. Come mi consigliate di procedere?

Grazie!

MessaggioInviato: dom feb 03, 2008 3:41 pm
da ste_95
E' necessaria la scansione on-line estesa con kaspersky. Quanto finisce salva il file in formato html, comprimilo e allegalo a un tuo messaggio.

MessaggioInviato: dom feb 03, 2008 3:47 pm
da f.punzi
Ti ringrazio per l'attenzione. Ho lanciato la scansione estesa, ma dopo quasi un'ora è ancora bloccata sulla cartella C:\Avenger (dove ha trovato mdelk.exe). E' normale? Proseguo?

MessaggioInviato: dom feb 03, 2008 3:48 pm
da ste_95
Si, se non si è bloccato lascialo andare avanti.

MessaggioInviato: dom feb 03, 2008 3:53 pm
da f.punzi
Ok. E in effetti, poco dopo aver postato, la scansione si è rimessa in moto e adesso sta andando avanti.

grazie

MessaggioInviato: lun feb 04, 2008 8:55 am
da f.punzi
Buongiorno, ecco il report della scansione estesa con Kaspersky. Sono 25 gli oggetti infettati, mi pare non tutti da Bagle. Mi chiedo se Avenger funzionerà, visto che nella sua stessa cartella c'è il virus.

MessaggioInviato: lun feb 04, 2008 9:38 am
da ste_95
Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Avenger\backup.zip
C:\Avenger\backup-02.02.2008-14.44.44,06.zip
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

MessaggioInviato: lun feb 04, 2008 10:39 am
da f.punzi
Grazie, ecco il log, ma non credo che abbia avuto buon esito. Appena partito si è fermato e si è aperto il txt con questo risultato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rmbiojyt

*******************

Script file located at: thkbxtcw

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

MessaggioInviato: lun feb 04, 2008 10:48 am
da ste_95
Sei sicura di incollare correttamente tutto lo script? Questo è quello che dovresti inserire:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Avenger\backup.zip
C:\Avenger\backup-02.02.2008-14.44.44,06.zip
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg
C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

MessaggioInviato: lun feb 04, 2008 10:50 am
da f.punzi
Per scrupolo riprovo, ma sono quasi sicuro di averlo incollato tutto.

MessaggioInviato: lun feb 04, 2008 11:04 am
da f.punzi
Ho fatto un paio di aggiunte allo script per neutralizzare il fallimento precedente:
C:\Avenger\backup-04.02.2008-10.33.23,79.zip
C:\Avenger\mdelk.exe

Stavolta credo sia andata (le finestre di explorer mi si aprono di nuovo velocemente). Ecco il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dactarli

*******************

Script file located at: \??\C:\obaqgqmf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\windows\system32\drivers\hldrrr.exe deleted successfully.
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Avenger\backup.zip deleted successfully.
File C:\Avenger\backup-02.02.2008-14.44.44,06.zip deleted successfully.
File C:\Avenger\backup-04.02.2008-10.33.23,79.zip deleted successfully.
File C:\Avenger\mdelk.exe deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_1[3].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\0RQ76NI3\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\3IYX1PHL\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\AP8PA5M1\b64_2[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[1].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[2].jpg deleted successfully.
File C:\Documents and Settings\winxp\Impostazioni locali\Temporary Internet Files\Content.IE5\ZACDIM4L\b64_31[3].jpg deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MessaggioInviato: lun feb 04, 2008 11:08 am
da ste_95
Prova a reinstallare un antivirus.

MessaggioInviato: lun feb 04, 2008 11:15 am
da f.punzi
Ok, ti faccio sapere.

Intanto grazie davvero!

MessaggioInviato: lun feb 04, 2008 12:35 pm
da f.punzi
Antivirus reinstallato e tutto tornato alla normalità.
C'è qualcos'altro che devo risistemare? Lo riattivo il ripristino di configurazione?

ciao e grazie di cuore!

MessaggioInviato: lun feb 04, 2008 12:36 pm
da ste_95
Ripristina anche la modalità provvisoria utilizzando questo file.

Se il ripristino lo usi o ti è utile puoi riattivarlo.