www.MegaLab.it

da **johncoscia** » mar apr 15, 2008 8:26 am

allora:

l'audio è ripristinato,ma la cosa che mi preoccupa è che ho provato a installare 2 antivirus freschi di download ma esce purtroppo lo stesso errore:applicazione non valida x WIN32

credo che sto c.....o di Bagle sia ancora in giro

come facciamo??

aiutami

da **johncoscia** » mar apr 15, 2008 9:04 am

è saltato di nuovo l'audio.

è tutto infetto ...ci risiamo

nello script forse manca qualche passaggio??

aiutatemi per favore

da **crazy.cat** » mar apr 15, 2008 9:27 am

Lo script è anche giusto, evidentemente qualcosa di nuovo non viene rilevato durante la scansione con kaspersky e allora ricrea ogni volta l'infezione.
Questa volta la vedo difficile.

Dobbiamo andare per tentativi purtroppo e si rischia di non combinare niente.

Proviamo a vedere una scansione di hijackthis
http://www.MegaLab.it/2286
e una di systemscan
http://www.suspectfile.com/systemscan

da **johncoscia** » mar apr 15, 2008 10:12 am

hijackthis non funziona

suspectfile sta operando (anche se l'ho già riavviato xchè si era bloccato)

se finisce la scansione cosa devo fare?

da **johncoscia** » mar apr 15, 2008 10:31 am

suspectfile si blocca

[nonono]

da **ste_95** » mar apr 15, 2008 12:53 pm

johncoscia ha scritto:suspectfile si blocca

Prova a farlo girare tralasciando il punto in cui si blocca, se il problema persiste Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trovi malware.

da **johncoscia** » mar apr 15, 2008 2:18 pm

STO FACENDO L'ENNESIMA SCANSIONE CON kASPERSKY ONLINE

Ho eliminato qualcosa manualmente e dovrebbero esserci meno file infetti

che ne dici??

da **ste_95** » mar apr 15, 2008 2:19 pm

Se Kaspersky non rilevava prima, non credo lo farà adesso, perché non usare Antivir quando il rootkit non è attivo?

da **johncoscia** » mar apr 15, 2008 2:24 pm

ok allora fermo tutto e procedo come dici tu....Grazie

da **johncoscia** » mar apr 15, 2008 5:24 pm

ecco il report di suspectfile

http://www.mediafire.com/?sj1x9yzmlgm

da **johncoscia** » mar apr 15, 2008 5:28 pm

le uniche spunte che ho saltato percheè si bloccava sono :

alternate data streams

EFS DUMPING

sto provando adesso a scansionare solo le due voci sopraindicate

da **johncoscia** » mar apr 15, 2008 5:36 pm

ecco finalmente anche il resto e' stato esaminato qui la seconda parte del report :

http://www.mediafire.com/?k3mdbyax2tx

da **ste_95** » mar apr 15, 2008 5:39 pm

L'infezione è in WINDOWS1 e non in WINDOWS. [acc2]

Disabilita il ripristino configurazione di sistema.

Questo è il tuo nuovo script:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS1\system32\drivers\srosa.sys C:\WINDOWS1\system32\wintems.exe C:\windows1\system32\drivers\hldrrr.exe C:\WINDOWS1\system32\mdelk.exe C:\WINDOWS1\system32\drivers\mdelk.exe Folders to delete: C:\WINDOWS1\system32\drivers\downld Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

da **johncoscia** » mar apr 15, 2008 5:46 pm

ecco il report di avenger......l'audio è ricomparso

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Apr 15 18:43:24 2008

18:43:24: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS1\system32\drivers\srosa.sys" deleted successfully.
File "C:\WINDOWS1\system32\wintems.exe" deleted successfully.
File "C:\windows1\system32\drivers\hldrrr.exe" deleted successfully.
File "C:\WINDOWS1\system32\mdelk.exe" deleted successfully.
File "C:\WINDOWS1\system32\drivers\mdelk.exe" deleted successfully.
Folder "C:\WINDOWS1\system32\drivers\downld" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

da **ste_95** » mar apr 15, 2008 5:47 pm

Prova a reinstallare un antivirus e i driver audio.

da **johncoscia** » mar apr 15, 2008 6:33 pm

sembra tutto a posto ....non posso crederci

adesso sto facendo la scansione con NOD32

l'audio funziona

i file nascosti ripristinati

non so che dire

veramente grazie

siete MITICI

FORZAAAA MegaLab

da **johncoscia** » mar apr 15, 2008 6:34 pm

ps per il ripristino della modalità provvisoria?

da **ste_95** » mar apr 15, 2008 6:36 pm

Ripristina la modalità provvisoria utilizzando questo file.

da **johncoscia** » mer apr 16, 2008 4:30 pm

ciao,un altra cosa che noto è che non ricevo aggiornamenti x Windows XP SP2

dal centro di sicurezza PC,nella sezione aggiornamenti Automatici, ho la spunta su :"Avvisa ma non scaricare gli aggiornamenti"

da **ste_95** » mer apr 16, 2008 5:24 pm

Controlla se nei servizi (Start -> Esegui -> services.msc) il servizio Aggiornamenti automatici è abilitato.

www.MegaLab.it

Virus bagle, richiesta aiuto

Chi c’è in linea