Pagina 1 di 1
Ancora su Bagle...
Inviato:
sab mar 29, 2008 1:21 pmda parappap
gentilissimi, ho un pc con 2 sistemi operativi(Vista in C: e Xp in D:), il servizio di windows Vista "wlan" si è bloccato non consentendomi di usare la rete wifi, probabilmente a causa del virus in oggetto; ho fatto la scansione online con Kaspersky e ho il log, che allego.
come devo individuare i files incriminati dal log e compilare lo script per Avenger visto che molti files appaiono "locked"?
lo devo eseguire in modalità provvisoria?
qual è la probabilità che si sia infettato anche Win XP, visto che la scheda wifi non funziona neanche in XP?
vi ringrazio in anticipo...
Roberto
Inviato:
sab mar 29, 2008 4:26 pmda ste_95
Disabilita il ripristino configurazione di sistema.
Scarica
Avenger
Estrailo in una cartella a tua scelta
Esegui il file
avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:
- Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Togli il segno di spunta dalla voce
Scan for Rootkits
Premi il pulsante
Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.
Inviato:
mer apr 02, 2008 4:24 pmda parappap
ancora nulla, ho provato sia con avenger, che pero mi da errore script non valido, sia con il MegalabCD, però non trovo i files da cancellare, solo la cartella Down....t
stamattina ho rifatto la scansione con kaspersky, di cui allego il log...
preciso che utilizzo Win Vista...
Vi ringrazio in anticipo!!
Inviato:
mer apr 02, 2008 5:24 pmda ste_95
Prova più volte con Avenger. Gli antivirus funzionano?
Inviato:
gio apr 03, 2008 2:19 pmda parappap
avrei bisogno di alcune precisazioni:
cosa vuol dire insistere con Avenger?, nel senso, dovo effettuare molti tentativi di seguito nonostante l'errore (in questo caso ne avrò fatti più di 50) oppure provare, e in caso di errore riavviare e riprovare?
altra cosa: non è stranoche nel log di Kaspersky non sia segno è segnalata la presenza dedl virus in nessun file anche se i sintomi sono tutti quelli dell'infezione?
per rispondere a ste_95: non l'antivirus non funziona, appplicazione non valida... ma questo è ormai un dato di fatto nelle infezioni da Bagle...
qualche idea??
ringrazio comunque per il prezioso supporto!
Inviato:
gio apr 03, 2008 2:23 pmda crazy.cat
Prova le versioni modificate di avenger
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172
Bagle lascia una serie di file infetti e rootkit (nascosti) che non sempre, anzi quasi mai, appaiono nella scansione di kaspersky.
Ormai i nomi li conosciamo e quindi sono di default inseriti nello script.
Inviato:
gio apr 03, 2008 3:51 pmda parappap
nulla di fatto...
come mai se avvio dal megalabcd non trovo i files incriminati da eliminare??
Inviato:
gio apr 03, 2008 4:11 pmda H.J
prova così
Scarica ELIBAGLA
http://www.zonavirus.com/datos/descarga ... ibagla.asp
Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar
Posta il log C:\InfoSat.txt
scarica otmoveit2.exe
http://download.bleepingcomputer.com/ol ... oveIt2.exe
se ti riesce ad andare in modalità provvisoria fallo
disconnettiti completamente da Internet (Tira il cavo o spegni il modem)
disattiva tutti i programmi di sicurezza che hai
Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders to be moved"
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE .
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
clicca su MoveIT
Se ti viene proposto il riavvio clicca su YES e alla fine allega il log C:\_OTMoveIt\MovedFiles
Inviato:
ven apr 04, 2008 8:49 amda parappap
ecco i due log...
da quel che leggo non trova nessun file...
qualche altra idea?
grazie
Inviato:
ven apr 04, 2008 11:36 amda H.J
Ma i tuoi programmi di sicurezza funzionano?
Scarica Combofix
http://subs.geekstogo.com/ComboFix.exe
Salvalo sul desktop.
- Doppio click su combofix.exe, comparirà la seguente videata:
http://img293.imageshack.us/img293/8500 ... fn6zj1.jpg
- Digita 1, premi Invio e segui le indicazioni.
- Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
- Posta il log creato
Inviato:
ven apr 04, 2008 12:46 pmda ste_95
Ricorda che dopo un'infezione di Bagle, i programmi di sicurezza vanno disinstallati, RISCARICATI e solo dopo reinstallati
![[;)]](http://www.megalab.it/forum/images/smilies/wink.gif "Occhiolino")
.
Inviato:
ven apr 04, 2008 4:44 pmda parappap
ecco il log...
ma da quel che ho capito, dovrei aver eliminato l'infezione e i vari malwares scaricati dal virus nella cartella down...
come faccio però a riattivare il servizio wlan che non ne vuole sapere di ripartire??
Inviato:
ven apr 04, 2008 4:58 pmda H.J
Bene Combofix
![[^]](http://www.megalab.it/forum/images/smilies/Oh-yea.gif "Approvazione")
Qui è spiegato come ripristinare la rete wireless
http://www.MegaLab.it/2657/4
Inviato:
mar apr 08, 2008 3:25 pmda parappap
ok, risolto il problema e installato Avira antivirus...
ripristinata la rete wifi...
sembrano non esserci problemi...
Vi ringrazio davvero per l'aiuto!!!!
Ciao!!!
Roberto
Inviato:
mar apr 08, 2008 3:26 pmda ste_95
Ripristina anche la modalità provvisoria utilizzando
questo file.
