www.MegaLab.it

da **cobax** » mer mag 21, 2008 9:46 am

Chiedo aiuto per rimuovere il virus bagle (ho tutti i sintomi descritti nelle altre discussioni).
Nell'allegato riporto tutti i file infetti riconosciuti da KASPERSKY.

http://www.mediafire.com/?4eyxhxtne1m

Se c'è bisogno invio l'html intero ma penso che così andate meglio.

Ho scaricato the avenger ma non ho capito bene che codice incollare.
Cosa devo fare?

Ringrazio fin da ora.

da **vegnone23** » mer mag 21, 2008 9:59 am

cobax ha scritto:Ho scaricato the avenger ma non ho capito bene che codice incollare.
Cosa devo fare?

questa è la procedura generica x i bagle, aggiungi allo script di avenger i files infetti segnalati da kaspersky: se, dopo aver cliccato sì al primo avviso, avenger ti dà un errore, riscrivi a mano "files to delete:" ricordando bene i due punti:

**************************************************
Istruzioni generiche da seguire, ogni script deve essere completato con il resto dei file infetti che vengono trovati dalla scansione di Kaspersky.
**************************************************

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger nuova versione http://swandog46.geekstogo.com/avenger.zip

Se non dovesse funzionare (Applicazione non valida) utilizzate questi
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe

folders to delete:
C:\WINDOWS\system32\drivers\downld
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente.

se sei fortunato al termine di questo processo potresti aver risolto (prova a reinstallare l'antivirus, se ne hai uno gratis il migliore è antivir, e se funziona hai tolto il grosso del bagle), altrimenti posta il log di avenger e ti aiuterà chi ne sa più di me.

[ciao]

da **cobax** » mer mag 21, 2008 10:07 am

Devo inserire anche questo ??

Codice: Seleziona tutto: folders to delete: C:\WINDOWS\system32\drivers\downld c:\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

[/quote][/code]

da **cobax** » mer mag 21, 2008 10:33 am

ho incollato il codice dei file infetti (Senza "Files to delete: ")
e mi ha dato 3 errori:

Error: invalid script. A valid script must begin with a command directive. Aborting execution!

Error: can’t oper fine ‘c:\avenger.txt’ (error 2: impossibile trovare il file specificato)

Error: Could not log error message to file (error 6: handle non valido)

poi ho incollato nuovamente il codice preceduto da "Files to delete: " e mi ha dato nuovamente errori
mi dici esattamente cosa devo scrivere? il codice che hai postato sopra e standard per tutti i pc?

da **vegnone23** » mer mag 21, 2008 11:37 am

cobax ha scritto:[b]ho incollato il codice dei file infetti (Senza "Files to delete: ")

non devi togliere "files to delete:"!

cobax ha scritto:poi ho incollato nuovamente il codice preceduto da "Files to delete: " e mi ha dato nuovamente errori
mi dici esattamente cosa devo scrivere?

l'inghippo sta su "files to delete:" io ho risolto al secondo tentativo: devi cancellarlo e riscriverlo tu, ricordandoti di mettere i due punti; io l'ho scritto con la f minuscola ed è andata.

cobax ha scritto:il codice che hai postato sopra e standard per tutti i pc?

non ci sono codici per pc "diversi". intendi linux o xp? io dico per xp, non so se per linux è lo stesso. il codice è quello standard per il virus.

da **cobax** » mer mag 21, 2008 11:48 am

niente. continua a darmi errori, anche riscrivendo "files to delete:"

Quello che intendevo per pc diversi/uguali era:
Ho capito che devo sostituire il mio codice dopo FILES TO DELETE
ma poi il codice resta questo: ?

Codice: Seleziona tutto: folders to delete: C:\WINDOWS\system32\drivers\downld c:\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

una cosa: ho scaricato avenger nella nuova versione (la prima proprio non partiva) e si chiude dopo tot secondi. è normale? [boh]

helpo !!!!
[/code]

da **vegnone23** » mer mag 21, 2008 12:04 pm

cobax ha scritto:ma poi il codice resta questo: ?

Codice: Seleziona tutto
folders to delete: C:\WINDOWS\system32\drivers\downld c:\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

no: devi metterci sia lo script di base di avenger che ti ho linkato prima sia i files che ti ha trovato kaspersky, che credo siano questi qui che ti ho quotato, no?

cobax ha scritto:una cosa: ho scaricato avenger nella nuova versione (la prima proprio non partiva) e si chiude dopo tot secondi. è normale? helpo !!!!
[/code]

non ne ho idea. [boh]

per sicurezza aspetta chi ne sa più di me. io ti parlo da vittima di bagle, non da cervellone! [std]

da **stex2005** » mer mag 21, 2008 12:06 pm

Io consiglio di usare la vecchia versione modificata che non da errori mentre le altre si...

***********************
Vecchia versione di Avenger e Hijackthis.

http://www.mediafire.com/?3c93tgzyvcm
http://www.wikifortio.com/997003/Megala ... ecchio.zip
http://w16.easy-share.com/1700186673.html

Estrai Avenger in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla lo script nella box bianca che si è aperta:

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Riscarica gli installer dei programmi di sicurezza e prova a reinstallare un antivirus.

ok? [std]

da **ste_95** » mer mag 21, 2008 1:46 pm

Le istruzioni sono le seguenti, non è utile rimuovere Bagle se si tralasciano file infetti [;)]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\windows\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\1.exe C:\WINDOWS\system32\drivers\mdelk.exe C:\WINDOWS\system32\drivers\1.exe C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\01KLYHYV\b64[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\01KLYHYV\b64_2[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\M1CNQZUJ\b64[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\M1CNQZUJ\b64[2].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\M1CNQZUJ\b64_1[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\M1CNQZUJ\b64_2[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\M1CNQZUJ\b64_3[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\MZ49OTYR\b64_1[1].jpg C:\Documents and Settings\Enrico\Impostazioni locali\Temporary Internet Files\Content.IE5\MZ49OTYR\b64_2[1].jpg C:\Programmi\eMule\Incoming\Flash Decompiler Trillix 3.1.0.570.zip C:\Programmi\eMule\Incoming\Sothink_SWF_Decompiler-Flash_Decompiler_3.7_build_70607_(KeyGen).zip C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe Folders to delete: C:\WINDOWS\system32\drivers\downld C:\WINDOWS\system32\drivers\down C:\Documents and Settings\Enrico\Dati applicazioni\m Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

da **cobax** » mer mag 21, 2008 2:21 pm

grazie.
ho ri provato.
allora, il vecchio avenger non si avvia proprio (manda in bomba windows).
il nuovo mi restituisce una serie di errori!

vi copio gli errori?

da **ste_95** » mer mag 21, 2008 2:23 pm

Quali sono gli errori che la nuova versione di Avenger ti rilascia?

Con vecchia versione, intendi quella modificata, vero?

da **cobax** » mer mag 21, 2008 2:28 pm

ho preso quelle suggerite:

Nuova versione di Avenger e Hijackthis
http://www.mediafire.com/?xyyeet1bzdm

***********************
Vecchia versione di Avenger e Hijackthis.
http://www.mediafire.com/?3c93tgzyvcm

_________________________________

ERRORI:

error: can't open file 'C:\cleanup.bat"

error: could not open cleanup batch! Aborting execution! (error 6)

error: can't open file 'C:\avenger.txt"

error: could not log error messages to file. (error 6)

da **ste_95** » mer mag 21, 2008 2:34 pm

Uff..! Li abbiamo già visti e rivisti, oggi scrivo a Swandog46 per chiedere se il problema è un bug del programma o Bagle è riuscito a bloccare pure questo.

Hai gli stessi problemi con le versioni modificate? Se già usavi quelle, hai provato con quelle originali?

da **cobax** » mer mag 21, 2008 2:44 pm

si con entrambe le versioni. Vecchia e nuovA.

Ma dimmi una cosa, le 3 versioni che suggerite per il download sono 3 progammini uguali o diversi?

perché io ne ho provata solo una della versione vecchia e solo una della versione nuova.
[cry+]

da **ste_95** » mer mag 21, 2008 2:45 pm

Sono tre programmi uguali, ma in versioni diverse, provale tutte e tre.

da **stex2005** » mer mag 21, 2008 2:51 pm

Ade che ricordo a me era partito con la versione vecchia del secondo link... perché il primo non mi apriva proprio la pagina...

da **stex2005** » mer mag 21, 2008 2:52 pm

Ade che ricordo a me era partito con la versione vecchia del secondo link... perché il primo non mi apriva proprio la pagina...

da **cobax** » mer mag 21, 2008 2:53 pm

provato tutti e 3 i vecchi e tutti i 3 i nuovi..
Niente da fare!

Attendo news!

Ti ringrazio per il tuo aiuto

da **cobax** » mer mag 21, 2008 2:56 pm

come dice stex2005 il secondo del vecchio funziona. mi si è aperta una pagina con un semaforo e altro... ora seguo le istruzioni

da **ste_95** » mer mag 21, 2008 2:57 pm

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi ->Gestione Risorse -> A43.

Da qui, naviga nel tuo hard disk ed elimina tutti i file indicati nello script di Avenger. Al riavvio, dovresti aver eliminato il problema.

www.MegaLab.it

chiedo Aiuto. Virus BAGLE

chiedo Aiuto. Virus BAGLE

Re: chiedo Aiuto. Virus BAGLE

Chi c’è in linea