www.MegaLab.it

[Houdini]

Buongiorno a tutti,
sono quasi certo di aver contratto beagle: ho scaricato un file .exe (mea culpa) e dopo averlo lanciato ho avuto una schermata blu ed il restart del PC.
McAfee security center è stato parzialmente disabilitato (antivirus) mentre il controllo parentale per l'accesso ad internet ed il firewall sembrano ancora operativi. Se provo a lanciare l'antivirus di McAfee ho un messaggio di errore che dice +/- che l'applicazione non è compatibile con WIN32.
Come già verificato in altri casi, non è possibile installare altri antivirus e/o stinger.
Quindi seguendo le vostre istruzioni per la rimozione del suddetto virus, ho disabilitato il "punto di ripristino", quindi sono andato sul sito di kasperky per scaricare il client per effettuare la scansione on line; purtroppo dopo circa 1 minuto che ha avviato il DL mi compare un messaggio che per continuare l'operazione devo essere on line (?) e quindi non posso andare più avanti.
la causa di questo impedimento potrebbe essere imputata al FW ancora attivo? (almeno così presumo).
C'è un modo alternativo? magari utilizzando avenger vecchio tipo?
Dimenticavo il S.O. è Win XP regolarmente aggiornato.
Attendo fiducioso una vostra indicazione su come procedere per risolvere il problema.
Grazie in anticipo.

[ste_95]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Quindi, riprova a fare la scansione online con Kaspersky.

[Houdini]

Innanzi tutto grazie per la tempestiva risposta e per i suggerimenti!
Avenger non ha dato problemi, a parte il messaggio che trovi nel file error_message.doc (contiene il print screen con il messaggio).
Ad ogni modo i dischi ci sono entrambi e sono accessibili.

Questo invece è il risultato fornito da avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.

Completed script processing.

*******************

Non ho ancora provato a fare lo scan on line di kasperky, attendo un vostro riscontro.

[Houdini]

Ciao a tutti,
la situazione non è risolta:
appena lanciato avenger nuovo, giusto il tempo di copiare lo script ed il programma scompare!
Utilizzando avenger vecchio cancella un paio di file, (di seguito il log) ma se lo rilancio nuovamente, cancella nuovamente gli stessi file.
Il ripristino della configurazione è sempre disabiltato.
Lo scanner online di kasperky non parte a causa di un problema java, ma credo che sia strettamente legato a questi benedetti files che non riesco a cancellare.
Sbaglio qualcosa? Avete altri sugerimenti?

Grazie in anticipo

_____________________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yaljgdgp

*******************

Script file located at: \??\C:\Documents and Settings\ecwmrjpy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\mdelk.exe not found!
Deletion of file C:\WINDOWS\system32\mdelk.exe failed!

Could not process line:
C:\WINDOWS\system32\mdelk.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\mdelk.exe deleted successfully.


File C:\windows\system32\hldrrr.exe not found!
Deletion of file C:\windows\system32\hldrrr.exe failed!

Could not process line:
C:\windows\system32\hldrrr.exe
Status: 0xc0000034

Folder C:\WINDOWS\system32\drivers\downld deleted successfully.


Folder C:\Documents and Settings\Proprietario\Dati applicazioni\m not found!
Deletion of folder C:\Documents and Settings\Proprietario\Dati applicazioni\m failed!

Could not process line:
C:\Documents and Settings\Proprietario\Dati applicazioni\m
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[ste_95]

Lo scanner online di kasperky non parte a causa di un problema java, ma credo che sia strettamente legato a questi benedetti files che non riesco a cancellare.

Java va installato, dopo averlo fatto, puoi riprovare con la scansione.

[Houdini]

Grazie per avermi risposto.
Allora java è installato ed aggiornato alla versione 6 update 7.
Kaspersky online si installa ma fallisce l'aggiornamento del db, con messaggio che dice che devo essere on line!
comunque non ho capito perché se lancio n volte avenger con lo script da voi suggerito i files malefici vengono cancellati n volte.

[ste_95]

Probabilmente c'è qualcosa che li ricrea...

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trovi malware, in caso eliminali.

[Houdini]

Scusami ho ancora bisogno di qualche chiarimento relativo alla creazione del CD di MegaLab:
1 posso scaricare e masterizzare il cd dal pc infetto?
2 il S.O. del pc infetto è windows xp home edition con SP3, però il cd di installazione non ha nemmeno il SP1, come posso fare per aggiungere i SP mancanti?

Grazie ancora per l'aiuto che mi state fornendo.