MegaLab.it

Ciao a tutti... un paio di giorni fa mi è purtroppo capitato di prendermi bagle da un file scaricato da emule... visto il nome del file su AVG (che fnziona ancora, in quasi tutte le sue componenti) srosa.sys e vedendo che anche dopo che l'avevo cancellato il problema permaneva, ho provato a cercare in internet, e ho trovato questo forum.. ho seguito le istruzioni base, e ho già anche fatto la scansione con Kaspersky (durata 18 ore... ).
Mi potreste aiutare a compilare lo script di avenger? grazie mille

Bagle non sembra aver preso possesso del pc, oppure lo avevi già rimosso?
Quale problema ti rimaneva?

Prova questo script e le altre istruzioni.

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger nuova versione http://swandog46.geekstogo.com/avenger.zip

Se non dovesse funzionare (Applicazione non valida) utilizzate questi
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\HP_Proprietario\Documenti\Giacomo\Altro\Dejà View\xyz\nwn1+xp1&2+2\cdkeys\Neverwinter Nights 2 Crack.zip    
C:\Documents and Settings\HP_Proprietario\Documenti\Giacomo\Altro\Dejà View\xyz\SpeedBit.Download.Accelerator.Plus.v5.3.Incl.KeyGen.RiFLE-FREAK.eMule.nl.rar

folders to delete:
C:\WINDOWS\system32\drivers\downld
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

AVG 8 funziona ancora, con l'anti-rootkit avevo rilevato un po' di minacce e le ho cancellate... mi aveva chiesto anche di riavviare, ma gli ho detto di no e ho proceduto con la scansione di kaspersky..
comunque ora provo lo script

dimenticavo: al momento c'è una penna usb attaccata al mio computer, xké avevo problemi di connessione su questo e allora mi ero scaricato i programmi utili sulla penna e li avevo portati qui... se si è infettata, come lo scopro?

2 cose: 1 mi si è riavviato il computer di sua sponte prima che avessi il tempo di far partire avenger.. al riavvio avg ha rilevato di nuovo hldrrr e l'ha spostato in quarantena.
la seconda cosa è che ho provato a far partire avenger dopo che si è riavviato, ma mi ha dato errore, dicendo che nn riesce ad aprire cleanup.bat dato che nn lo trova...

Allora bagle è ancora in giro.
Hai provato ad usare la vecchia versione di avenger?

no, ora provo

ok è andato

appena si è riavviato comunque ho visto il resident di spybot che mi chiedeva a proposito di una modifica al registro:

hldrrr
valore aggiunto

io glie l'ho negata comunque..

beagle è stato sradicato, ma purtroppo ha lasciato problemi al mio computer:
in particolare, explorer è diventato molto instabile, e tende a crashare molto spesso (anche 7-8 volte al giorno) specie quando ci sono più applicazioni aperte e il comsumo di RAM è elevato... mi potete aiutare?

Segui le istruzioni di questa pagina per eliminare gli ultimi problemi generati dall'infezione.

l'avevo già fatto, ma nn serve a risolvere il problema... credo che sia derivante forse da AVG, che durante l'infezione ho utilizzato x bloccare alcuni processi del virus, o da ccleaner che poterbbe aver cancellato qualcosa di troppo (è possibile?), o dal sistema, che aveva attivato la protezione esecuzione programmi... (pannello di controllo> sistema> avanzate> prestazioni (impostazioni)> protezione esecuzione programmi) che era attivo su tutti i processi.. ho ripristinato l'opzione di default (solo programmi e servizi essenziali) ma non è servito

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

http://www.freefilehosting.net/download/3gf71

http://www.freefilehosting.net/download/3gf7f

I log sono puliti.

Esegui una nuova scansione online con Kaspersky e vedi se rileva qualcosa.

ok... ci vediamo tra altre 18 ore

ci ha messo molto meno stavolta, ecco il log:

http://www.freefilehosting.net/download/3gfe2

a me comunque sembra abbastanza pulito

Il Bagle è effettivamente sparito.

specie quando ci sono più applicazioni aperte e il consumo di RAM è elevato

Quale processo occupa più RAM, anche se è un comportamento abbastanza normale?

firefox o emule, dipende, ma noto che il consumo di explorer si è molto alzato..
(anche quello di avg, ma credo sia normale avendolo recentemente uppato dal 7.5 all' 8.0)