Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Messaggioda linkyn » ven dic 28, 2007 3:17 pm

Ciao a tutti, sono nuovo di qeusto forum e l'ho trovato molto interessante.Da ieri credo di avere il virus cosiddetto Bagle, infatti non riuscivo ad installare nod32 ne altri antivirus e mi dava un errore, che poi controllando su discussione ho visto che era dovuto al virus Bagle. Ho provato in tutti i modi a toglierlo, anche seguendo la vostra discussione su questo forum...ma niente! Ho fatto comunque la scansione con Kaspersky, ma non so come aggiungerli a the avenger, infatti mi da sempre un errore oppure avenger non funziona causa bagle.Vi metto il link della mia scansione, vi prego di dirmi come fare, passo passo perché non sono un esperto del pc.Grazie in anticipo.

Friday, December 28, 2007 2:49:28 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 28/12/2007
Kaspersky Anti-Virus database records: 498894


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 72121
Number of viruses found 4
Number of infected objects 7
Number of suspicious objects 0
Duration of the scan process 01:24:10

Infected Object Name Virus Name Last Action

C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\S38NSEE5\Galaxy[1].htm Infected: Trojan-Downloader.JS.Agent.ann skipped

C:\Programmi\HP\HP Software Update\hpwuSchd2.exe Infected: Trojan-Downloader.Win32.Bagle.gy skipped

C:\RECYCLER\S-1-5-21-1343024091-839522115-854245398-1003\Dc16\SROSA.SYS.Muestra EliBagle v10.78 Infected: Trojan-Downloader.Win32.Bagle.gx skipped

C:\WINDOWS\EXbsjRHPKe.exe Infected: Trojan.Win32.Dialer.zd skipped

C:\WINDOWS\OfIFiaDUW.exe Infected: Trojan.Win32.Dialer.zd skipped

C:\WINDOWS\tccaeREk.exe Infected: Trojan.Win32.Dialer.zd skipped

C:\WINDOWS\YGcwiOh.exe Infected: Trojan.Win32.Dialer.zd skipped

Scan process completed.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Re: AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Messaggioda crazy.cat » ven dic 28, 2007 3:26 pm

Questo è lo script giusto, se ancora non ti funziona spiega i passaggi che fai e quale errore ottieni.

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\S38NSEE5\Galaxy[1].htm
C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\RECYCLER\S-1-5-21-1343024091-839522115-854245398-1003\Dc16\SROSA.SYS.Muestra EliBagle v10.78
C:\WINDOWS\EXbsjRHPKe.exe
C:\WINDOWS\OfIFiaDUW.exe
C:\WINDOWS\tccaeREk.exe
C:\WINDOWS\YGcwiOh.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


(non serve che mi mandi tanti messaggi privati o email, ne parliamo sul forum e non ho la minima idea di cosa sia un bikers)
Ultima modifica di crazy.cat il ven dic 28, 2007 3:29 pm, modificato 1 volta in totale.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Messaggioda linkyn » ven dic 28, 2007 3:28 pm

crazy.cat ha scritto:Questo è lo script giusto, se ancora non ti funziona spiega i passaggi che fai e quale errore ottieni.

Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\S38NSEE5\Galaxy[1].htm
C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\RECYCLER\S-1-5-21-1343024091-839522115-854245398-1003\Dc16\SROSA.SYS.Muestra EliBagle v10.78
C:\WINDOWS\EXbsjRHPKe.exe
C:\WINDOWS\OfIFiaDUW.exe
C:\WINDOWS\tccaeREk.exe
C:\WINDOWS\YGcwiOh.exe

folders to delete:
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Praticamente apro avenger ed incollo tutto questo che hai scritto, poi chiudo avenger, riavvio il computer e bagle dovrebbe essere sparito?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm


Re: AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Messaggioda crazy.cat » ven dic 28, 2007 3:30 pm

linkyn ha scritto:Praticamente apro avenger ed incollo tutto questo che hai scritto, poi chiudo avenger, riavvio il computer e bagle dovrebbe essere sparito?

E' scritto tutto qui
http://www.MegaLab.it/2656
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: AIUTO! Ho il virus bagle....non so come TOGLIERLO !!

Messaggioda linkyn » ven dic 28, 2007 3:37 pm

crazy.cat ha scritto:
linkyn ha scritto:Praticamente apro avenger ed incollo tutto questo che hai scritto, poi chiudo avenger, riavvio il computer e bagle dovrebbe essere sparito?

E' scritto tutto qui
http://www.MegaLab.it/2656


Ho fatto come dici, ho riavviato e ho notato questo:appena aperto il desktop, mi si è avviata una procedura di installazione di hp, da sola, e mi chiedeva di inserire il cd di installazione...non so se c'entra qualcosa...quando aprivo il cd mi usciva la cartella di windows32....ti ricordo che ho tolto il ripristino configurazione di sistema e sto ancora cosi....e mi è uscito uno script di avenger....cosa faccio?

p.s. scusami per gli mp...un bikers è un motociclista....sorry

ti posto il log di avenger....

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uupyxqwt

*******************

Script file located at: \??\C:\WINDOWS\hpdrmqjq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.


File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\S38NSEE5\Galaxy[1].htm deleted successfully.
File C:\Programmi\HP\HP Software Update\hpwuSchd2.exe deleted successfully.
File C:\RECYCLER\S-1-5-21-1343024091-839522115-854245398-1003\Dc16\SROSA.SYS.Muestra EliBagle v10.78 deleted successfully.
File C:\WINDOWS\EXbsjRHPKe.exe deleted successfully.
File C:\WINDOWS\OfIFiaDUW.exe deleted successfully.
File C:\WINDOWS\tccaeREk.exe deleted successfully.
File C:\WINDOWS\YGcwiOh.exe deleted successfully.


Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » ven dic 28, 2007 3:46 pm

Hai provato a reinstallare il tuo antivirus?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda linkyn » ven dic 28, 2007 3:47 pm

ste_95 ha scritto:Hai provato a reinstallare il tuo antivirus?


Si fatto...mi da ancora errore 106....quindi bagle c'è ancora?
Ho provato da ieri tutti i fix esistenti, ma niente e nemmeno questa volta nulla?Che devo fare?
Ultima modifica di linkyn il ven dic 28, 2007 4:02 pm, modificato 1 volta in totale.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda crazy.cat » ven dic 28, 2007 4:01 pm

puoi provare ad installare antivir pe?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda linkyn » ven dic 28, 2007 4:02 pm

crazy.cat ha scritto:puoi provare ad installare antivir pe?


Si credo di si...lo sto scaricando...avvio la scansione con quello e poi?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda crazy.cat » ven dic 28, 2007 4:06 pm

http://www.free-av.com/

scarica il file da 17 Mb che trovi in
Avira AntiVir PersonalEdition Classic (download from Avira)
Windows 2000 / XP / Vista 32 Bit and 64 Bit
Date: 09-24-2007 - Version: 7.06.00.270
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda linkyn » ven dic 28, 2007 4:14 pm

crazy.cat ha scritto:http://www.free-av.com/

scarica il file da 17 Mb che trovi in
Avira AntiVir PersonalEdition Classic (download from Avira)
Windows 2000 / XP / Vista 32 Bit and 64 Bit
Date: 09-24-2007 - Version: 7.06.00.270


Scaricato questa versione....mentre lo installo mi compare questa finestra:

Some files could not be created
please close alla applicatons,rebbot windows and restart this installation

ho riavviato windows chiudendo le installazioni e mi da ancora lo stesso errore.....

cosa faccio?oddio ma è un incubo....
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » ven dic 28, 2007 4:19 pm

Puoi postare due nuovi log i GMER?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda linkyn » ven dic 28, 2007 4:20 pm

ste_95 ha scritto:Puoi postare due nuovi log i GMER?


e come si fa? prima ho postato il log di avenger e ora?sto facendo la scansione con GMER e poi?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda linkyn » ven dic 28, 2007 4:25 pm

linkyn ha scritto:
ste_95 ha scritto:Puoi postare due nuovi log i GMER?


e come si fa? prima ho postato il log di avenger e ora?sto facendo la scansione con GMER e poi?


in allegato il log di gimer....avevo provato a scrivere il log ma forse è troppo lungo..metto un allegato ma non ci riesco....
Ultima modifica di linkyn il ven dic 28, 2007 4:29 pm, modificato 1 volta in totale.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » ven dic 28, 2007 4:27 pm

Riesegui lo script citato da crazy.cat
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda linkyn » ven dic 28, 2007 4:29 pm

ste_95 ha scritto:Riesegui lo script citato da crazy.cat


fatto...al riavvio mi dice impossibile creare il log di avenger o una cosa simile...

SSDT[37]
SSDT sptd.sys SSDT[41]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[71]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[73]
SSDT sptd.sys SSDT[119]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[145]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[160]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[173]
SSDT sptd.sys SSDT[177]
SSDT sptd.sys SSDT[247]
Ultima modifica di linkyn il ven dic 28, 2007 4:39 pm, modificato 1 volta in totale.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » ven dic 28, 2007 4:39 pm

Riposta il log di GMER
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda linkyn » ven dic 28, 2007 4:42 pm

ste_95 ha scritto:Riposta il log di GMER


continua da sopra...

---- Kernel code sections - GMER 1.0.13 ----

? \WINDOWS\system32\ntoskrnl.exe Impossibile trovare il file specificato.
? C:\WINDOWS\system32\drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.text USBPORT.SYS!DllUnload F7F2162C 5 Bytes JMP 832495A0

---- User code sections - GMER 1.0.13 ----

.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxParamA 77D288E1 5 Bytes JMP 7E38C4D5 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxIndirectParamW 77D32598 5 Bytes JMP 7E38C510 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxIndirectA 77D3AEF1 5 Bytes JMP 7E38C491 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxExW 77D50559 5 Bytes JMP 7E38C3D9 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxExA 77D5057D 5 Bytes JMP 7E38C413 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!DialogBoxIndirectParamA 77D56CED 5 Bytes JMP 7E38C54B C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programmi\Internet Explorer\iexplore.exe[3608] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 7E38C44D C:\WINDOWS\system32\IEFRAME.dll

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F8738AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F8738C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F8738B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F8739748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F873961E] sptd.sys

---- Devices - GMER 1.0.13 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 833D81E8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 833D81E8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSE 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP 82FDD500
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP 82FDD500
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE 831691E8
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE 831691E8
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda crazy.cat » ven dic 28, 2007 4:45 pm

linkyn ha scritto:SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[71]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys

direi che il vermicello è ancora presente.

Insisti con lo script, deve andare.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda linkyn » ven dic 28, 2007 4:46 pm

crazy.cat ha scritto:
linkyn ha scritto:SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys SSDT[71]
SSDT \??\C:\WINDOWS\system32\drivers\srosa.sys

direi che il vermicello è ancora presente.

Insisti con lo script, deve andare.



---- Processes - GMER 1.0.13 ----

Process C:\WINDOWS\system32\drivers\hldrrr.exe (*** hidden *** ) 1864

---- Files - GMER 1.0.13 ----

File C:\Programmi\Movie Maker\Shared
File C:\Programmi\Movie Maker\Shared\Empty.txt
File C:\Programmi\Movie Maker\Shared\Filters.xml
File C:\Programmi\Movie Maker\Shared\news.png
File C:\Programmi\Movie Maker\Shared\paint.png
File C:\Programmi\Movie Maker\Shared\Profiles
File C:\Programmi\Movie Maker\Shared\Profiles\Blank.txt
File C:\Programmi\Movie Maker\Shared\Sample1.jpg
File C:\Programmi\Movie Maker\Shared\Sample2.jpg
File C:\WINDOWS\ime\shared
File C:\WINDOWS\ime\shared\res
File C:\WINDOWS\system32\drivers\hldrrr.exe
File C:\WINDOWS\system32\drivers\srosa.sys

---- EOF - GMER 1.0.13 ----

INSISTO CON LO SCRIPT CON AVENGER???
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising