MegaLab.it

Ciao a tutti, sono iscritto da poco. come molti , anche io sono stato infettato dal virus BAGLE. Ho eseguito tutte le procedure indicate nel Forum compreso la scanzione online con KasperSky. Adesso ho il problema che non riesco ad installare Avenger, il messaggio che ricevo è "avenger.exe non è una applicazione Win32 valida". Come posso risolvere questo problema? Invio il log della scansione, sperando che potete aiutarmi a proseguire alla risoluzione del problema e anche con lo script da inserire in Avenger...quando riuscirò...se riuscirò ad installarlo.
Vi ringrazio

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\Documents and Settings\Antonio\CHDAudPropShortcut.exe
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_1[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_2[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_2[2].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_3[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[2].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[3].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_1[2].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_2[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_2[2].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_2[3].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_1[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_2[1].jpg
C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_2[2].jpg
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\CHDAudPropShortcut.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Finalmente sono riuscito a far partire Avenger, ho eseguito il tutto come tu mi hai indicato. Ti mando il log finale. Ci sono due errori...non so cosa significa. Comunque sembra che adesso il sistema riparte regolarmente con tutte le sue funzioni. Devo solo reinstallare l'antivirus. Comunque proverò a rifare una scanzione online di controllo. Dato che sei stato cosi gentile ad aiutarmi voglio chiederti un ultimo consiglio, come posso fare per controllare tutte le memorie esterne usb(hardisk e pen) evitando di riinfettare il sistema operativo?

Ti ringrazio infinitamente per l'aiuto!!!



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


File "C:\WINDOWS\system32\drivers\srosa.sys" deleted successfully.
File "C:\WINDOWS\system32\wintems.exe" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.


File "C:\WINDOWS\system32\mdelk.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\1.exe" not found!
Deletion of file "C:\WINDOWS\system32\1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\1.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


File "C:\Documents and Settings\Antonio\CHDAudPropShortcut.exe" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_1[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_2[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_2[2].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_2[3].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\EW31LVC7\b64_3[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[1].jpg" deleted successfully.

Error: file "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[1].jpg" not found!
Deletion of file "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[1].jpg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\LDXWLB7B\b64_1[3].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_1[2].jpg" deleted successfully.

Error: file "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_1[2].jpg" not found!
Deletion of file "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_1[2].jpg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_2[2].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_2[3].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\O41JE3Q9\b64_3[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_1[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_2[1].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_2[2].jpg" deleted successfully.
File "C:\Documents and Settings\Antonio\Local Settings\Temporary Internet Files\Content.IE5\QW2FR9ZB\b64_3[1].jpg" deleted successfully.
File "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" deleted successfully.
File "C:\WINDOWS\system32\CHDAudPropShortcut.exe" deleted successfully.

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: folder "C:\WINDOWS\system32\drivers\down" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ok, sembra tutto a posto, prova a reinstallare un antivirus.

Hai collegato memorie esterne nella "Degenza" del tuo pc? In caso positivo, scarica il Perlovga Removal Tool ed esegui una scansione di tutte le unità che potrebbero essersi infettate.

Sembra tutto ok...menomale!!!
Sei un GENIO!!!
Purtroppo ho collegato le memorie esterne quando il computer era infettato, provo a risolvere gli eventuali problemi evitando di disturbarti più di troppo...comunque ti faccio sapere.
Grazie infinitamente!!!

Ricorda di reinserire le memorie infette premendo SHIFT, il pulsante con la freccia in su, altrimenti ti reinfetterai.

Ciao, scrivo qui per non aprire un nuovo 3d dal momento che ho un problema simile. Anche a me dava errore win32 non valida con avenger. Ho scaricato la versione che hai dato tu. Avenger parte però al momento di eseguire lo script dice che non ha trovato C:/cleanup.bat

Problema già avuto, purtroppo. Hai fatto la scansione online con Kaspersky?

Mi stavo rompendo le scatole, ho attaccato l'hd al mio portatile con debian ed ho fatto tabula rasa dei file indicati nel tutorial. Problema risolto.

Usare Kapersky Online significa vedere i risultati domani.

Grazie per l'informazione, fortunatamente ancora non avevo eseguito il controllo delle memorie.
Un'altra domanda:
da momento che è tutto risolto, si puo riabilitare il "Ripristino configurazione di Sistema" nelle "Proprietà di Sistema"?
Grazie.

Sì.

Ripristina anche la modalità provvisoria utilizzando questo file.