www.MegaLab.it

[bunkka]

avendo dei dubbi su come costruire il mio script per avenger chiedo lumi così come riportato dal vostro articolo sui bangle versione 2008.
grazie in anticipo

[ste_95]

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\avenger\backup-15.03.2008-23.56.35,07.zip
C:\Config.Msi\4a24b.rbf
C:\Documents and Settings\Nello.NELLOPC\Impostazioni locali\Temp\svh0st.exe
C:\dpiw5h.exe
C:\Programmi\File comuni\Wise Installation Wizard\WIS5581E9FD99CD4BCBB9A90BCA5ACC32F4_5_1_4_0.MSI
C:\WINDOWS\system32\Cuteqq_Cn.exe
C:\wsusupd.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\qoobox

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

[bunkka]

ecco il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bsyiagcq

*******************

Script file located at: \??\C:\WINDOWS\mdqovrts.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\windows\system32\drivers\hldrrr.exe not found!
Deletion of file C:\windows\system32\drivers\hldrrr.exe failed!

Could not process line:
C:\windows\system32\drivers\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File C:\avenger\backup-15.03.2008-23.56.35,07.zip deleted successfully.


File C:\Config.Msi\4a24b.rbf not found!
Deletion of file C:\Config.Msi\4a24b.rbf failed!

Could not process line:
C:\Config.Msi\4a24b.rbf
Status: 0xc0000034



File C:\Documents and Settings\Nello.NELLOPC\Impostazioni locali\Temp\svh0st.exe not found!
Deletion of file C:\Documents and Settings\Nello.NELLOPC\Impostazioni locali\Temp\svh0st.exe failed!

Could not process line:
C:\Documents and Settings\Nello.NELLOPC\Impostazioni locali\Temp\svh0st.exe
Status: 0xc0000034



File C:\dpiw5h.exe not found!
Deletion of file C:\dpiw5h.exe failed!

Could not process line:
C:\dpiw5h.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Wise Installation Wizard\WIS5581E9FD99CD4BCBB9A90BCA5ACC32F4_5_1_4_0.MSI not found!
Deletion of file C:\Programmi\File comuni\Wise Installation Wizard\WIS5581E9FD99CD4BCBB9A90BCA5ACC32F4_5_1_4_0.MSI failed!

Could not process line:
C:\Programmi\File comuni\Wise Installation Wizard\WIS5581E9FD99CD4BCBB9A90BCA5ACC32F4_5_1_4_0.MSI
Status: 0xc0000034



File C:\WINDOWS\system32\Cuteqq_Cn.exe not found!
Deletion of file C:\WINDOWS\system32\Cuteqq_Cn.exe failed!

Could not process line:
C:\WINDOWS\system32\Cuteqq_Cn.exe
Status: 0xc0000034



File C:\wsusupd.exe not found!
Deletion of file C:\wsusupd.exe failed!

Could not process line:
C:\wsusupd.exe
Status: 0xc0000034



Folder C:\WINDOWS\system32\drivers\down not found!
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc0000034



Folder C:\qoobox not found!
Deletion of folder C:\qoobox failed!

Could not process line:
C:\qoobox
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


il problema persiste. Al riavvio mi si apre la schermata di nod32 senza che accada nulla, o meglio mi da "errore di comunicazione con il server kernel" (ovviamente cercando nel pc il programma non risulta installato). Premesso che avevo erroneamente (seguendo comunque le vostre istruzioni) provato da solo ad eliminare la minaccia, con conseguente installazione antivirus andata male, e premesso che con sono riuscito a spuntare SCAN FOR ROOTKITS perché non ho capito dove trovarlo(ho avenger versione MegaLab scaricato dal vostro forum), come posso risolvere il problema?
helpppppppppppppppppppppppppp!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[ste_95]

La scansione con kaspersky era vecchia? Non c'era nessun file...

[bunkka]

la scansione, sia quella che ti ho postato che quella precedente, l'ho fatta stanotte.
Come posso procedere?Brancolo nel buio e sono disperato perché ho bisogno di lavorare al pc.

[ste_95]

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

[bunkka]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.23.00, on 16/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Documents and Settings\Nello.NELLOPC\Documenti\File ricevuti\programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://194.244.16.123/g_bin/eng/solitaire_2_0_0_28.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_34.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8154783125
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://194.244.16.123/g_bin/eng/poker_2_0_0_48.cab
O16 - DPF: {A854AD6D-6DB5-41FB-8044-0BD38092A007} (Ganymede Sudoku) - http://194.244.16.123/g_bin/eng/sudoku_2_0_0_15.cab
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://194.244.16.123/g_bin/eng/marbles_2_0_0_32.cab
O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://194.244.16.123/g_bin/eng/darts_2_0_0_40.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssi ... 0_0_48.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://194.244.16.123/g_bin/eng/mahjong_2_0_0_29.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4272 bytes

[ste_95]

Il log è pulito.

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

[bunkka]

http://www.freefilehosting.net/download/3dg16

http://www.freefilehosting.net/download/3dg2j

speriamo bene

[ste_95]

Anche in questi non c'è traccia di nulla. Sei pulito.

[bunkka]

quindi come mai non riesco ad installare nessun antivirus?
come posso procedere?
mi dispiace essere assillante ma uso il pc per lavoro e ho dati importanti salvati e non vorrei correre in brutte sorprese
ovvimente ti ringrazio per quanto già fatto

[ste_95]

Non ne riesci a installare nessuno o uno in particolare? Avevi riscaricato il file di installazione?

[bunkka]

ho provato con nod32 scaricando la versione trial dal sito ufficiale.Ho sempre usato quello e non mi ha dato mai problemi.
Non so se sia il migliore, pertanto chiedo lumi a te su come operare.

[ste_95]

Prova a installare Avira Antivir:

www.avira.com