www.MegaLab.it

[amedeo2074]

ciao a tutti
sono nuovo e mi trovo molto in inbarazzo per l utilizzo del software Avenger (non voglio fare danni) per un virus bagle (credo da fenomeni che a creato) preso stanotte da un file scaricato con il mulo.
mi ha disinsallato subito avg e reso inpossibile la installazione di qualunque antivirus e antispyware che ho scaricato e anche un cattivo funzionamento di explorer.
come suggerito dal forum ho effettuato uno scan online con kasperski e con ihijackthis e gmer. questi i risultati per me di difficile interpretazione
se qualcuno mi puo aiutare nella compilazione dello script e su quello che devo poi fare sarei infinitamente grato
grazie

[crazy.cat]

Disattiva il ripristino della configurazione (lo riattivi solo al termine di tutte le operazioni)
http://www.MegaLab.it/2330
e poi applicahi lo script che trovi qui sotto con avenger http://www.MegaLab.it/2656 nell'articolo è spiegato come usarlo.

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\windows\system32\drivers\hldrrr.exe
C:\Documents and Settings\amedeo\Desktop\Max RAM Optimizer 1.0.0.002.zip
C:\Documents and Settings\amedeo\Impostazioni locali\Temp\wzaebf\Max RAM Optimizer 1.0.0.002.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\RECYCLER\S-1-5-21-1645522239-573735546-839522115-1003\Dc2.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\rey2\qopre83122.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

al riavvio del pc esce un file txt e ne posti il contenuto qui.
Provi anche a reinstallare l'antivirus.

Rifai la scansione con hijackthis e selezioni le caselle di queste prime tre righe e premi fix checked per eliminarle
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O20 - Winlogon Notify: awtttut - awtttut.dll (file missing)

Se queste righe non le hai inserite tu nei siti autorizzati selezioni anche queste e le elimini
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)

[amedeo2074]

grazieeeee!!!
ho fatto tutto come mi hai indicato e ho gia reinstallato l antivirus avg
e lanciato un ulteriore scan
grazie ancora
dimenticavo il file del riavvio