www.MegaLab.it

[Skysurfer]

Salve a tutti sono nuovo in questo forum e scrivo poiché sono stato attaccato dal worm Bagle, e nonostante abbia seguito passo passo le vostre esaurienti guide non riesco a rimuovere il virus...non so più dove sbattere la testa

ho scritto Nuova versione poiché presenta delle novità non inserite nell'ultimo aggiornamento

1) spesso (anche senza riavvio del computer) imposta attivo il ripristino configurazione sistema

2) è allegato con qualche trojan remoto (infatti non appena mi collego a forum come il vostro,eseguo l'avenger o metta insomma a repentaglio chi c'è dietro ..tempo 5 minuti e mi si riavvia il computer)

3) non permette nemmeno alla scansione online di kaspersky di avviarsi

4) attraverso l' msconfig ho trovato 2 servizi impossibili da eliminare poiché segnati come "essenziali" che credo siano collegati al trojan sono:
- RPC locator
- RPC (Remote Procedure Call)

5) alcuni file di registro del virus non esistono, non risiedono nelle cartelle specificate o non possono essere eliminati...

vi allego l'ultimo log dell'avenger





Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kvopfohi

*******************

Script file located at: \??\C:\WINDOWS\system32\alstwxak.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Folder C:\WINDOWS\system32\drivers\down deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


in attesa di una vostra risposta...
Grazie [/b]

[ste_95]

Che errore ricevi con kaspersky?

[Skysurfer]

nessun errore...semplicemente alla scheramata accept/decline
se premo accetta anche 1000000000 volte aspettando anche molto tempo tra l'altro non succede nulla
non appena metto decline si toglie la finestra

[ste_95]

La scansione funziona solo con Internet Explorer, usi esso come browser per fare la scansione?

[Skysurfer]

no uso il Firefox...adesso provo con l'explorer

comunque forse sono riuscito almeno a riattivare il firewall
grazie comunque
ti tengo aggiornato

[Skysurfer]

ti dirò sono anche riuscito a reinstallare il kaspersky...
tuttavia nel registro e all'avvio sono ancora presenti quei programmi
(li ho cercati manulamente)
adesso faccio la scansione..

[Skysurfer]

lol se solo leggo ora k sta al 9%
ho contratto

- 5 Bagle
- 21 trojan Subseven
- 2 trojan k non avevo mai sentito (Pakes.pwy)



forse stavolta è la volta buona...

[crazy.cat]

l- 2 trojan k non avevo mai sentito (Pakes.pwy)

Viene portato dentro da una delle ultime varianti di bagle.

Le varianti di bagle sono ormai tante, ed ogni tanto le rinnovano, preferiamo mettere le caratteristiche più comuni del virus, avvertendo che alcune potrebbero non esserci.