www.MegaLab.it

[30dailyheartaches]

Salve, ebbene ci sono cascato anch'io, dopo anni e anni di assiduo uso del computer, nel tranello di quel maledetto bagle.
Mi serviva solo uno stupido programmino per il countdown che scarico da emule, eseguo senza nemmeno pensarci ( ) e mi si blocca il pc, appare la tanto amata blue screen of death e si riavvia.

Al riavvio è scomparso l'audio e non riconosce la relativa scheda, gli antivirus/spyware non partono, la modalità provvisoria non va, il sistema e internet funzionano lentamente e addirittura le ventole del pc hanno cominciato a fare un rumore esagerato.

Mi informo un po' e scopro di avere il bagle, quindi faccio lo scan online di ben 12 ore su kaspersky come spiegato qui e ho adesso questo report: http://www.mediafire.com/?3xr5cgjt5me
A questo punto mi serve il vostro aiuto..

A quanto ho capito tutti i sintomi sono abbastanza risolvibili ma non spiego il fruscio maggiore emesso dal case del pc, insopportabile..

[crazy.cat]

Il problema più grosso è che bagle è appena mutato e anche gli antivirus non lo riconoscono ancora.
Infatti nel tuo log di bagle non si vede quasi nessuna traccia.

dovresti intanto provare a far analizzare questo strano file sul sito www.virustotal.com per vedere di cosa si tratta
C:\WINDOWS\system32\helpnt.VVdll

In quanto al nuovo bagle lo dobbiamo analizzare per vedere cosa combina.

[ste_95]

In quanto al nuovo bagle lo dobbiamo analizzare per vedere cosa combina.

L'ho provato io ieri, a parte il nascondere completamente ogni suo componente, non ho notato altre variazioni consistenti.

Quindi, oltre all'analisi suggerita da crazy.cat, proverei a procedere con il solito script.

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\1JT7CMWC\b64_1[1].jpg 
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\36C9KF4R\b64_3[1].jpg 
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\RCBR5Z00\b64_2[1].jpg 

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\down

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[30dailyheartaches]

Questo è il risultato di Avenger (ho dovuto usare la versione vecchia perché la nuova dava errore) al riavvio:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pwrwyuqg

*******************

Script file located at: \??\C:\lichgixc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034



File C:\WINDOWS\system32\1.exe not found!
Deletion of file C:\WINDOWS\system32\1.exe failed!

Could not process line:
C:\WINDOWS\system32\1.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.


File C:\WINDOWS\system32\drivers\1.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\1.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\1.exe
Status: 0xc0000034

File C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\1JT7CMWC\b64_1[1].jpg deleted successfully.
File C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\36C9KF4R\b64_3[1].jpg deleted successfully.
File C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\RCBR5Z00\b64_2[1].jpg deleted successfully.
Folder C:\WINDOWS\system32\drivers\downld deleted successfully.


Folder C:\WINDOWS\system32\drivers\down not found!
Deletion of folder C:\WINDOWS\system32\drivers\down failed!

Could not process line:
C:\WINDOWS\system32\drivers\down
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Poi ho fatto analizzare il file su virustotal e mi appare una schermata bianca con la frase "0 bytes size received / Se ha recibido un archivo vacio"

Adesso comunque ho notato che l'audio è ritornato a funzionare e il case non fa più quel fruscio rompi timpani..c'è qualcosa che posso fare per capire se il virus è totalmente scomparso?

[ste_95]

Prova a reinstallare un antivirus.

[30dailyheartaches]

Ho reinstallato antivir, spybot e uninstaller pro e pare vadano bene.

[ste_95]

Ripristina anche la modalità provvisoria utilizzando questo file.

[30dailyheartaches]

Perfetto, ho ripristinato anche l'opzione per i documenti nascosti con il file nell'articolo del bagle, adesso sembra tutto come prima... si spera.

Grazie di tutto, siete stati rapidi e chiari!