www.MegaLab.it

da **Jon Paul Lord** » gio apr 17, 2008 10:40 am

L'altro ieri, ho scaricato un file, l'ho scaricato e mi è venuta una schermata con la scritta "select file to crack"; l'ho chiusa, e McAfee mi ha segnalato un virus, sRosa.sys, che però non è riuscito ad eliminare. Mi sono documentato e ho scoperto l'importanza, la pericolosità di questo virus, e la difficoltà a toglierlo.
Al che, ho chiamato in causa Spyware Doctor, il quale ha rilevato il virus e l'ha eliminato correttamente. Dopo un po', ho riavviato il pc e mi è ricomparsa la schermata "select file to crack"; sono risalito al processo e ho trovato "hldrr.exe". A terminare il processo, lo termino, però mi ricompare ogni volta. Il mio pc non ha ancora dato forti segni di un attacco virus, però, vista la pericolosità di questo "Bagle", potreste aiutarmi a toglierlo prima che la situazione degeneri? [cry+]

Grazie in anticipo... [8)]

da **ste_95** » gio apr 17, 2008 12:54 pm

Direi che non ti ha ancora infettato per bene:

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\windows\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\downld Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

da **Jon Paul Lord** » gio apr 17, 2008 1:09 pm

ste_95 ha scritto:Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
-->

the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Adesso devo rifare la scansione???

da **ste_95** » gio apr 17, 2008 1:36 pm

Hai ancora problemi?

da **Jon Paul Lord** » gio apr 17, 2008 1:40 pm

ste_95 ha scritto:Hai ancora problemi?

L'ho riavviato e non mi è apparsa la schermata "select a file to crack"... Quindi è eliminato, spero... Per fortuna l'ho preso per i capelli in tempo...

Grazie milleeeeeeeeeeee, siete grandissimi....

da **Jon Paul Lord** » mer apr 23, 2008 1:05 pm

Ho fatto il procedimento, però mi è ricapitato 2 o 3 volte... Non mi dà più il problema della finestra "select a file to crack", però, spywere doctor, individua e blocca, appena acceso il computer, un file che tentava di scrivere il registro (srosa)!!! Tengo a precisare che non mi capita sempre, però ogni tanto mi si ripresenta... Io continuo a toglierlo con Avenger, però, evidentemente, non l'ho tolto completamente... [V]

da **ste_95** » mer apr 23, 2008 1:13 pm

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.

da **Jon Paul Lord** » mer apr 23, 2008 2:29 pm

ste_95 ha scritto:Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.

Qui mi dice di non postare il log della scansione... Invece, per fare la scansione su kaspersky, devo andare sul sito?

da **ste_95** » mer apr 23, 2008 2:42 pm

Devi andare sul sito della scansione.

http://www.kaspersky.com/virusscanner

da **Jon Paul Lord** » gio mag 01, 2008 8:05 pm

Ho provato a fare la scansione ma dopo un'ora stava all'1%... Ci sarebbe un altro modo?
Devo sottolineare una cosa...
Mi rileva il virus frequentemente, anche lo stesso giorno che l'ho eliminato...
-Durante l'utilizzo di avenger, mi dice due volte "impossibile avviare regedit l'applicazione sta per essere chiusa"
- All'avvio mi dice "cleanup.exe file non trovato"

da **ste_95** » gio mag 01, 2008 8:07 pm

Ci sarebbe un altro modo

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trovi malware, in caso positivo eliminali.

da **Jon Paul Lord** » mer mag 07, 2008 11:13 am

Secondo te, sarebbe sicuro mettere questo script in avenger?

Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzx

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

L'ho visto su un altro blog per l'eliminazione del Bagle...

da **ste_95** » mer mag 07, 2008 1:00 pm

Non è utile ormai, in quanto Bagle infetta uno o più file in esecuzione automatica per "rimanere in vita".

da **Jon Paul Lord** » ven mag 09, 2008 10:51 am

Scusa la mia ignoranza... Ma il MegaLab CD si può scrivere su un DVD (è che al momento a casa sono sprovvisto di CD)?
P.S. Ogni volta che spywere doctor blocca l'azione di scrittura del registro da parte di "services.exe", e quindi mi infetto, nella cartella drivers di System 32 trovo i files hldrr.exe e mdelk.exe con la stessa icona che appariva sulla finestra "select a file to crack"...

da **Jon Paul Lord** » ven mag 09, 2008 10:55 am

Un'altra cosa: questo "services.exe" che tenta di scrivermi il registro è dannoso? So che si trova nella cartella "system 32"...

da **crazy.cat** » ven mag 09, 2008 11:03 am

Jon Paul Lord ha scritto:Un'altra cosa: questo "services.exe" che tenta di scrivermi il registro è dannoso? So che si trova nella cartella "system 32"...

Dipende da cosa vuole scrivere, è un file di sistema di windows, ma se fosse infetto diventa pericoloso.

Jon Paul Lord ha scritto:Ma il MegaLab CD si può scrivere su un DVD

si, usa un dvd.

da **Jon Paul Lord** » ven mag 09, 2008 11:09 am

crazy.cat ha scritto:Dipende da cosa vuole scrivere

Mi dice che tenta la scrittura del registro e mi da il percorso...
Questo percorso (ora non ricordo, però dovrebbe partire da HKEY_LOCAL qualcosa) va a finire su "srosa.sys"! C'è un modo per sapere se è infetto e magari sostituirlo?

GRAZIE

da **crazy.cat** » ven mag 09, 2008 11:17 am

srosa.sys è sempre parte del virus bagle.

Per analizzare un singolo file lo puoi caricare sul sito www.virustotal.com

da **Jon Paul Lord** » ven mag 09, 2008 11:23 am

Mi dice "il file è già stato analizzato"...

da **Jon Paul Lord** » ven mag 09, 2008 11:25 am

Ah, ok, ora lo sta analizzando...

www.MegaLab.it

Bagle, penso leggero...

Bagle, penso leggero...

Chi c’è in linea