www.MegaLab.it

[ubpapi]

Salve a tutti ragazzi, dal titolo avete capito che ho un problema con questo virus.
Premetto che ho letto diversi post in diversi forum (soprattutto qui ) per cui ho, più o meno, chiara la situazione.
Ho anche già fatto la scansione con Kaspersky (online), solo che la scansione on line l'avevo iniziata prima ancora di rendermi conto che si trattasse di bagle, per cui non avevo disattivato il ripristino della configurazione. cosa che ho fatto stamattina, dopo che è finita la scansione.
Premetto che ho due HD, il primo è partizionato in due (una con Win xp sp2 e l'altra con Ubuntu 7.10); il secondo in unica partizione dedicato esclusivamente a file e dati.

Vi allego il report della scansione in modo che qualche anima buona possa aiutarmi e seguirmi nella procedura.

[crazy.cat]

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger nuova versione http://swandog46.geekstogo.com/avenger.zip

Se non dovesse funzionare (Applicazione non valida) utilizzate questi
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1NF33RJK\b64_2[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1NF33RJK\b64_31[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1YHQIKY9\b64_31[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1YHQIKY9\b64_31[2].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\3IDEJ2MS\b64_1[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\3IDEJ2MS\b64_2[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\RVSA209F\b64_1[1].jpg
C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\RVSA209F\b64_2[1].jpg
C:\WINDOWS\system32\AnalFTP2.exe
D:\Privacy\Privacy_MULTILANGUAGE.rar
D:\Privacy\003.part

folders to delete:
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.

Dovrai, quasi sicuramente, riscaricare i file d'installazione dei programmi di sicurezza perché danneggiati dal virus.

[ubpapi]

grazie crazy.cat, solo una curiosità:
perche' nel log non hai inserito anche i "C:\System Volume Information\_restore{CEFA3EB0..........................."
e i "D:\System Volume Information\_restore{CEFA3EB0..........................." ?

Ancora grazie

[crazy.cat]

grazie crazy.cat, solo una curiosità:

perché dicendoti questo

Codice: Seleziona tutto

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/articoli.php?id=510

ti faccio già cancellare quei file

[ubpapi]

ah.. ok...
grazie, allora dovrebbero gia' essere cancellati, dato che l'ho gia' fatto stamattina la disattivazione del ripristino....


P.S:
in effetti ho controllato e quei "file" non ci sono piu'. (sto scrivendo da ubuntu dove ho montato sia la partizione di win che il disco D; che grande cosa avere le due partizioni, si potrebbe fare tutto manualmente da qui, tranne per il registro naturalmente....)

ancora grazie.
a dopo per il risultato...

[ubpapi]

allora, dopo tanto tribolare, purtroppo la situazione non è ancora ristabilita completamente:

Ho fatto tutta procedura e questo è il file di log di avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com



Platform: Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



File "C:\WINDOWS\system32\drivers\srosa.sys" deleted successfully.

File "C:\WINDOWS\system32\wintems.exe" deleted successfully.



Error: file "C:\WINDOWS\system32\trusted.exe" not found!

Deletion of file "C:\WINDOWS\system32\trusted.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

the object does not exist



File "C:\WINDOWS\system32\drivers\hldrrr.exe" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1NF33RJK\b64_2[1].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1NF33RJK\b64_31[1].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1YHQIKY9\b64_31[1].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\1YHQIKY9\b64_31[2].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\3IDEJ2MS\b64_1[1].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\3IDEJ2MS\b64_2[1].jpg" deleted successfully.

File "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\RVSA209F\b64_1[1].jpg" deleted successfully.



Error: file "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\RVSA209F\b64_2[1].jpg" not found!

Deletion of file "C:\Documents and Settings\Papi\Impostazioni locali\Temporary Internet Files\Content.IE5\RVSA209F\b64_2[1].jpg" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

the object does not exist





File "C:\WINDOWS\system32\AnalFTP2.exe" deleted successfully.

File "C:\WINDOWS\system32\mdelk.exe" deleted successfully.

File "D:\Documenti\Ex Desktop C\tpk\Torpark 2.0.0.3a\App\Tconfig.exe" deleted successfully.

File "D:\Privacy\Privacy_MULTILANGUAGE.rar" deleted successfully.

File "D:\Privacy\003.part" deleted successfully.





Folder "c:\WINDOWS\system32\drivers\down" deleted successfully.

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.

Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.



Completed script processing.



*******************



Finished! Terminate.

[ubpapi]

Al riavvio subito si è ripristinato anche Spybot, perché TeaTimer ha subito bloccato il reinserimento nell'esecuzione automatica di questi due valori:
drvsyskit richiesto da (hldrrr) e di german.exe richiesto da (wintems).
Questo basta per capire che è rimasto ancora qualcosa, sicuramente nel registro, di questo maledetto.
Ho subito avviato spybot e l'ho fatto girare e mi ha trovato questo:

--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Impostazioni (Modifica al registro, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start



IPFW: [SBI $FC681CD8] Dati (File, nothing done)

C:\WINDOWS\system32\1.exe



Win32.Agent.bgy: [SBI $3FF5579E] Impostazioni (Chiave di registro, nothing done)

HKEY_USERS\S-1-5-21-329068152-1965331169-725345543-1003\Software\FirstRRRun



Win32.Bagle.E: [SBI $FC4E0548] Impostazioni (Chiave di registro, nothing done)

HKEY_USERS\S-1-5-21-329068152-1965331169-725345543-1003\Software\DateTime4





ed ho provveduto ad eliminare; per la verità aveva anche trovato che la "protezione Pc di windows era disabilitata" e per questo ho attivato il relativo servizio manualmente.

Contemporaneamente il video "lampeggia", ovvero si freeza per una decina di secondi poi riprende, con il monitor che diventa nero per un secondo e poi qualche secondo di movimenti e di nuovo freeza (questo il loop:
freeza-->nero-->normale-->freeza...). Ho notato anche con task manager che quando freeza la cpu và al 100% di utilizzo....
Ho disinstallato Avast, ho messo Avira dal cd di "pc professionale" che mi trovavo qui in casa; ho fatto una pulizia con CCleaner, sia dei file che del registro.....
Adesso dopo tre riavvi che ho fatto io manualmente, all'ultimo ho visto che anche Avira non parte piu'... non c'è piu' nel tray....
E ora cosa si fa?

P.S: scusate la lungaggine ma ho preferito fare una "piccola" relazione per chiarire al massimo (spero...)

[sconsolato]

[crazy.cat]

Ho paura che dovrai rifare la scansione sul sito di kaspersky.
Lo script sembra anche aver eliminato quello che doveva togliere, non è che hai riutilizzato qualche programma infetto?

[ubpapi]

no... non ho utilizzato nessun programma, a parte quelli che ho indicato nel post (Spybot, Ccleaner, disinstallato Avast, installato Avira da CD, Usato YU Uninstaller solo per eliminare file temp)....

Secondo me nel registro c'è altro... non è che potresti indicarmi il percorso "probabile" dove andare a verificare almeno?

Poi provo di nuovo con lo scan dal sito kaspersky...
Grazie
e

AUGURI DI BUONA PASQUA A TUTTI !

[ubpapi]

Nuovo aggiornamento:
Ho fatto fare una scansione totale ad Avira su entrambi i dischi e mi ha trovato ancora un po' di schifezze che ho prontamente eliminato (se vi interessa il log lo posto, ma si tratta di file [random_num].exe presenti nel cestino di ubuntu, che io avevo comunque svuotato, ma chissà perché sono rimasti li.... uhm....).
Dopo ho riavviato e lo schermo dopo pochi secondi di "normalità" è diventato tutto nero freezato, non tornava piu' alla normalità.
Ho premuto il reset sul case e quindi riavviato.... adesso funziona bene senza piu' nessun freez e nessun schermo nero ad intermittenza.
L'unica cosa che è rimasta è uno "sfasamento del video" sempre dopo l'avvio in windows (allego foto) che dura un paio di secondi, poi tutto ok.
Adesso provo a reinstallare i driver della scheda video e vedo se mi rifà il problema. Con ubuntu questo "difetto" non si presenta.
Ciao

P.S: un ultima cosa: il file "safeboot.zip" presente su questo sito, posso tranquillamente utilizzarlo per aggiungere di nuovo la "modalità provvisoria" al mio win_xp_professional_sp2 ? Va bene per tutti i "win_xp"?
Ancora grazie.

[crazy.cat]

Il file safeboot va bene per tutti i windows xp.

[ubpapi]

eccomi di nuovo, allora, il problema sembra definitivamente risolto, sia per il virus Bagle che per la sk.video. per quest'ultima confermo che avevo un problema di driver (forse lo stesso virus ha potuto creare anche questo problemuccio.... )che ho reinstallato nuovamente e ora niente piu'"sfasamento" e schermate nere .
Adesso carico il safeboot e sono di nuovo "on the road" grazie ad un "SUPER crazy.cat" che saluto davvero affettuosamente e rinnovo gli Auguri di una Felice Pasqua.

La prima cosa che faro' sarà di dire la mia nel 3d relativo agli antivirus, nel quale scongliero' vivamente di tenere Avast (che non è stato in grado di difendermi da Bagle, visto che la scansione sul file infetto l'ho richiesta io a manina prima di lanciare l'eseguibile e non mi ha segnalato nulla .

A presto
Ciao