www.MegaLab.it

[dredg_97]

Ciao a tutti, scusate l'oggetto innanzi tutto, l'argomento è trito e ritrito e saprei 'cosa fare'...
Solo che con le numerose varianti del virus sono un pochino disorientato.

Ieri pomeriggio ho contratto il virus su Emule, al successivo riavvio windows non si avvia e mi compare la schermata blu con la dicitura del file srosa.sys...
Non parte nemmeno in modalità provvisoria...a questo punto ho smontato l'HD e l'ho portato su un altro PC, installandolo come slave.

Sto seguendo la procedura di rimozione spiegata molto bene sul sito...volevo solo sapere se sono sulla strada giusta...

Quindi, al momento il disco 'infetto' è slave su un altro pc, nel quale sto facendo la scansione online tramite Kaspersky solo sull'HD infetto appunto.
Terminato la scansione, procedo con Avenger modificato come da guida?

L'alternativa, visto che ho accesso ai dati dell'HD infetto, è copiare quanto mi serve e poi formattare il tutto, anche se prima di arrivare a tanto volevo vedere se riuscivo a debellare il Bagle.

Grazie in anticipo per ogni risposta.

[dredg_97]

Piccolo aggiornamento...terminato lo scan con KasperSky ecco i file individuati come infetti:

E:\WINNT\system32\drivers\srosa.sys Infected: Trojan-Downloader.Win32.Bagle.mm 1
E:\WINNT\system32\drivers\winfilse.exe Infected: Trojan-Downloader.Win32.Bagle.adx 1

A questo punto ho aperto Avenger modificato (versione 2.0 valida anche per Windows Vista) ed ho inserito il seguente script:

Files to delete:
E:\WINNT\system32\drivers\srosa.sys
E:\WINNT\system32\wintems.exe
E:\WINNT\system32\drivers\hldrrr.exe
E:\WINNT\system32\mdelk.exe
E:\WINNT\system32\drivers\mdelk.exe
E:\WINNT\system32\drivers\winfilse.exe

folders to delete:
E:\WINNT\system32\drivers\downld
%UserProfile%\Dati Applicazioni\m

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA






Il problema è che Avenger mi dà una serie di errori e non fa il suo dovere...
Mi dice che lo script non è valido e che dovrebbe cominciare con una 'command directive' (anche se mi pare ci sia..)
Poi mi dice che non può aprire il file c:\avenger.txt (error 5, accesso negato)....

Non so che fare, ho notato poi che non posso accedere ad alcune cartelle del disco infetto in slave (esempio la cartella documenti o comunque tuta la cartella utente) e non posso cancellare alcun file...è protetto da scrittura (forse questo è dovuto alle impostazioni delpc in cui ho installato l'HD infetto).

Grazie mille per ogni aiuto...

P.S. mi sno dimenticatodi dire...sull'HD infetto c'è installato Win2000, mentre il pc su cui l'HD infetto è installato come slave gira WinXP.

Ciao.

[Amantide]

Il problema è che Avenger mi dà una serie di errori e non fa il suo dovere...
Mi dice che lo script non è valido e che dovrebbe cominciare con una 'command directive' (anche se mi pare ci sia..)

DA LEGGERE: Virus bagle (non si reinstalla l'antivirus)

Codice: Seleziona tutto

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[dredg_97]

Grazie mille per l'aiuto...avevo letto il thread, qui pare che io sia in una situazione anomala, nel senso che probabilmente Avenger non parte perché non ho i privilegi di scrivere sull'HD 'infetto', ricordo, installato in salve su questo pc da dove scrivo.

Ho riprovato ridigitando il testo della riga di comando ma...nulla...messaggio di errore (non trova un file in C ,HD master di questo PC, e che centra?)...

L'unica è provare in un pc dove sono administrator (ovvero a casa mia), il problema è che con l'HD infetto non riesco proprio ad accedere a windows per eseguire Avenger...
Se solo riuscissi ad accedere a windows e a lavorare direttamente sul disco...

Non lo so, faccio qualche altro tentativo, poi vedo solo il format come soluzione..

Ciao e grazie ancora.

[Amantide]

Puoi creare il MegaLab CD ed effettuare tutte le scansioni da li

[dredg_97]

MegaLab CD, interessante...solo che non ho il cd di winXP ma solo win2000...

Aggiornamento della situazione...mi sono collegato al pc con un altro utente che ha maggiori privilegi e a questo punto ecco che Avenger funziona! ;)

Ecco il log che ne esce fuori...

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "E:\WINNT\system32\drivers\srosa.sys" deleted successfully.

Error: file "E:\WINNT\system32\wintems.exe" not found!
Deletion of file "E:\WINNT\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "E:\WINNT\system32\drivers\hldrrr.exe" not found!
Deletion of file "E:\WINNT\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "E:\WINNT\system32\mdelk.exe" not found!
Deletion of file "E:\WINNT\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: file "E:\WINNT\system32\drivers\mdelk.exe" not found!
Deletion of file "E:\WINNT\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "E:\WINNT\system32\drivers\winfilse.exe" deleted successfully.
Folder "E:\WINNT\system32\drivers\downld" deleted successfully.

Error: folder "C:\Documents and Settings\jdaddiego\Dati Applicazioni\m" not found!
Deletion of folder "C:\Documents and Settings\jdaddiego\Dati Applicazioni\m" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

Qualcosa ha tolto, qualcosa non ha trovato...
Rifaccio girare l'antivirus (installato su questo pc) per scansire l'HD infetto..e faccio lo stesso con KasperSky....se non ci trovo nulla smonto l'HD infetto e lo riporto a casa...lo reinstallo e spero che windows parta...rifacendo il procedimento da lì se necessario...

Vi tengo aggiornati, grazie mille per il supporto e la competenza!

[Amantide]

Prova a fare la scansione anche con ComboFix. Scaricalo da qui ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.

[ste_95]

Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

[Amantide]

Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti.

P.S. mi sno dimenticatodi dire...sull'HD infetto c'è installato Win2000,

...mentre i file .reg dell'articolo sono per WinXP.

[dredg_97]

Ciao!
Allora, gli ultimi aggiornamenti (grazie in anticipo per la cordialità, tempestività, disponiblità, competenza e quant'altro!!)...
Ho eseguito di nuovo lo scan con kaspersky non riscontrando virus...

QUindi ho provato ad eseguire ComboFix, il problema è che non so se la scansione la faccia anche sul disco slave che di fatto è quello infetto!
Temo l'abbia fatta solo su C, ovvero il disco master di questo pc...

Come procedere ora, beh...dopo queste pulizie, spero almeno come risultato di riuscire ad accedere a windows....vado a casa ed installo il disco 'infetto' al suo posto nel case del PC di casa...
Se appunto riesco ad accedere a windows, proseguo con tutte le pulizie del caso, offline, i file ce li ho e le guide in cartaceo pure...a quel punto dovrei riuscire a debellare il virus...

Se invece non accedo a windows...a questo punto rimetto il disco in slave in questo pc e mi salvo i dati importanti...e poi...format!

Vi faccio sapere, ancora grazie, a presto!

[dredg_97]

Ciao a tutti, ultimo aggiornamento...evidentemente le pulizia effettuate hanno rimosso il virus ma di fatto reinstallando l'HD come master nel pc di origine il boot di windows non avviene...
Qualcosa si è perso...chi lo sa...comunque la cosa importante è che i dati siano integri, mi salvo quello che serve e poi faccio un bel format...

L'impossibilità di accedere al sistema operativo mi ha complicato le cose...ad ogni modo tutto questo è dovuto per aver aperto un file di dubbia provenienza, errore mio...

Grazie comunque per il supporto, ciao!!!