www.MegaLab.it

da **enricoros** » dom nov 04, 2007 8:05 pm

Salve a tutti! Allora sono incappato, attraverso un file di un programma p2p, nel virus Bagle. Ho seguito le istruzioni di questo sito, ho scansionato online con kapersky e mi ha effettivamente trovato qualche virus. Ho scaricato the avenger e ora, qualcuno mi potrebbe dire per filo e per segno quali cose devo immettere in The Avenger? Grazie e controllate il rapporto che ho caricato.

da **crazy.cat** » lun nov 05, 2007 11:24 am

Non si vede nessun bagle nel log di kaspersky, perché dici di averlo?

Hai provato lo script classico?

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

da **enricoros** » lun nov 05, 2007 5:53 pm

crazy.cat ha scritto:Non si vede nessun bagle nel log di kaspersky, perché dici di averlo?

Hai provato lo script classico?

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Bè allora spiegami perché tutti i file exe di avast sono spariti, non me lo fa reinstallare (neppure spybot), mi si erano disattivati zero configuration e centro sicurezza pc? Mi sembra proprio un virus. Lo script classico non va.

da **enricoros** » lun nov 05, 2007 6:04 pm

Questo è il report di avenger con lo script classico. Va bene?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wxmejcqs

*******************

Script file located at: \??\C:\Documents and Settings\qrnyhyud.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.

File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034

Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

da **crazy.cat** » lun nov 05, 2007 6:52 pm

Eppure il virus lo ha rimosso....

enricoros ha scritto:File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.

Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Hai disattivato il ripristino della configurazione prima di dare lo script?

Hai provato un altro antivirus come antivir pe?

da **enricoros** » lun nov 05, 2007 7:06 pm

crazy.cat ha scritto:Eppure il virus lo ha rimosso....

enricoros ha scritto:File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.

Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Hai disattivato il ripristino della configurazione prima di dare lo script?

Hai provato un altro antivirus come antivir pe?

Allora ripristino disattivato, altri antivirus no ma io vorrei tenermi avast.. comunque adesso anche se ha cancellato il virus come dovrei fare per reinstallare avast? perché in installazione applicazioni nn c'è, e neanche nella cartella principale c'è l'uninstall.

da **crazy.cat** » lun nov 05, 2007 7:11 pm

Te lo riscarichi e lo reinstalli
http://files.avast.com/iavs4pro/setupita.exe

da **enricoros** » lun nov 05, 2007 7:13 pm

crazy.cat ha scritto:Te lo riscarichi e lo reinstalli
http://files.avast.com/iavs4pro/setupita.exe

ma la cartella che c'è già di avast non me la cancella perché dice che ashSHELL.dll è in uso!

da **enricoros** » lun nov 05, 2007 7:25 pm

buone notizie: spybot me lo reinstalla correttamente e parte anche.. però voglio vedere avast se lo reinstalla..

da **crazy.cat** » lun nov 05, 2007 7:32 pm

enricoros ha scritto:
crazy.cat ha scritto:Te lo riscarichi e lo reinstalli
http://files.avast.com/iavs4pro/setupita.exe
ma la cartella che c'è già di avast non me la cancella perché dice che ashSHELL.dll è in uso!

Prova questo tools di rimozione
http://www.avast.com/eng/avast-uninstall-utility.html
e poi riavvia il pc.

da **enricoros** » lun nov 05, 2007 9:53 pm

crazy.cat ha scritto:
enricoros ha scritto:
crazy.cat ha scritto:Te lo riscarichi e lo reinstalli
http://files.avast.com/iavs4pro/setupita.exe
ma la cartella che c'è già di avast non me la cancella perché dice che ashSHELL.dll è in uso!

Prova questo tools di rimozione
http://www.avast.com/eng/avast-uninstall-utility.html
e poi riavvia il pc.

Grazie ho reinstallato avast e spybot e ora vanno! Grazie si può chiudere

www.MegaLab.it

Problema virus Bagle e The Avenger

Problema virus Bagle e The Avenger

Chi c’è in linea