www.MegaLab.it

[Katia]

Credo di essermi beccata un fortissimo attacco di bagle nel modo più classico e cioé scaricando un file, evidentemente infetto, da Lphant, un programma p2p che sfrutta la rete di emule.
Anche i sintomi sono quelli classici: antivirus (Avast) disattivato, firewall bloccato e tutto il centro sicurezza del pc k.o., impossibile il ripristino configurazione del sistema. Inoltre rete wireless fuori uso e così anche le porte usb.
Perfino connettersi tramite cavo ethernet é molto difficile e ci riesco solo dopo vari tentativi.
La situazione é dunque disperata. Sto facendo la scansione online con Kaspersky e sto adando al contrario e cioé iniziando dalle cartelle potenzialmente incriminate: drivers (che oltretutto compare nella scansione ma é scomparsa nella ricerca manuale, cioé andando in system32, questa cartella non compare); quindi system32 e poi Windows, ma per ora Kaspersky non ha trovato nulla.
Premetto che non posso usare né Avager (in nessuna delle due versioni, ma questo non da adesso), nè Gmer; non so il perché ma questi due tools non hanno mai voluto saperne di funzionare sul mio pc.
L' unica é hijackthis, di cui allego il report.
Per favore qualcuno mi aiuti al più presto, ne ho veramente bisogno.
Grazie!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.37.59, on 01/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

[ste_95]

La scansione online con Kaspersky è fondamentale e va eseguita estesa.

Non funzionano neanche i tool (Avenger e HijackThis, GMER non abbiamo ancora trovato un modo per farlo girare anche con Bagle) modificati?

[Katia]

Avanger e Gmer non hanno mai funzionato, non solo adesso che ho beccato il virus, in nessuna versione, HijackThis sì.
Adesso sto facendo la scansione con Kaspersky ma
non posso farla per esteso perché il pc si surriscalda e sono costretta a spegnerlo, magari per esperienza potete suggerirmi dove guardare con priorità e poi poco alla volta passare ad altre sezioni. Se devo aspettare la scasione completa con le pause che sono costretta a fare, mi conviene formattare e ricominciare daccapo.
Intanto ho completato la scansione di system32 e secondo Kaspersky il risultato é quello che posto. Ci vedete qualcosa?

http://www.mediafire.com/?2f1my2cdgyz

[ste_95]

Prova a usare lo script di base:

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[Katia]

Io lo farei, ma come ho detto Avanger non mi funziona in nessuna delle due versioni: una dice che é non é un' applicazione 32 valida e l' altra che funziona su XP ed io ho Vista.
Anche tempo fa avevo avuto un altro problema e mai che avessimo potuto usare Avanger, sempre cercare una soluzione alternativa. In ogni caso mi pare che invece Gmer stia funzionando anche se non so se reggerà fino in fondo. Lo devo usare?
Io li eliminerei anche manualmente i files indicati ma é che non ci sono proprio nelle cartelle system32, drivers ecc. Che fare?
Novità anche a me non proprio all' avvio ma poco dopo si é aperta una cartella che mi dice "Selec file to crack" proprio su system32.
Come procedere?

[Katia]

Ho felicemente risolto ed ho pensato di indicare la procedura in un post a parte perché é un po' diversa da quella standard.

[ste_95]

Possiamo sapere come hai risolto?