Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

bagle (srosa.sys) ha infettato pure me

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

bagle (srosa.sys) ha infettato pure me

Messaggioda Ganondolf » gio mag 01, 2008 11:47 am

Ciao a tutti... un paio di giorni fa mi è purtroppo capitato di prendermi bagle da un file scaricato da emule... visto il nome del file su AVG (che fnziona ancora, in quasi tutte le sue componenti) srosa.sys e vedendo che anche dopo che l'avevo cancellato il problema permaneva, ho provato a cercare in internet, e ho trovato questo forum.. ho seguito le istruzioni base, e ho già anche fatto la scansione con Kaspersky (durata 18 ore... [cry] ).
Mi potreste aiutare a compilare lo script di avenger? grazie mille [:)]
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda crazy.cat » gio mag 01, 2008 11:55 am

Bagle non sembra aver preso possesso del pc, oppure lo avevi già rimosso?
Quale problema ti rimaneva?

Prova questo script e le altre istruzioni.

Disattiva il ripristino della configurazione su tutti i dischi poi riavvia il pc
http://www.MegaLab.it/2330

Scarica Avenger nuova versione http://swandog46.geekstogo.com/avenger.zip

Se non dovesse funzionare (Applicazione non valida) utilizzate questi
http://www.MegaLab.it/forum/viewtopic.p ... 172#325172

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\trusted.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\1.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\HP_Proprietario\Documenti\Giacomo\Altro\Dejà View\xyz\nwn1+xp1&2+2\cdkeys\Neverwinter Nights 2 Crack.zip    
C:\Documents and Settings\HP_Proprietario\Documenti\Giacomo\Altro\Dejà View\xyz\SpeedBit.Download.Accelerator.Plus.v5.3.Incl.KeyGen.RiFLE-FREAK.eMule.nl.rar

folders to delete:
C:\WINDOWS\system32\drivers\downld
c:\WINDOWS\system32\drivers\down

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Dopo prova a reinstallare subito l'antivirus e cancella la cartella c:\avenger.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Ganondolf » gio mag 01, 2008 11:59 am

AVG 8 funziona ancora, con l'anti-rootkit avevo rilevato un po' di minacce e le ho cancellate... mi aveva chiesto anche di riavviare, ma gli ho detto di no e ho proceduto con la scansione di kaspersky..
comunque ora provo lo script

dimenticavo: al momento c'è una penna usb attaccata al mio computer, xké avevo problemi di connessione su questo e allora mi ero scaricato i programmi utili sulla penna e li avevo portati qui... se si è infettata, come lo scopro?
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am


Messaggioda Ganondolf » gio mag 01, 2008 12:23 pm

2 cose: 1 mi si è riavviato il computer di sua sponte prima che avessi il tempo di far partire avenger.. [...] al riavvio avg ha rilevato di nuovo hldrrr e l'ha spostato in quarantena.
la seconda cosa è che ho provato a far partire avenger dopo che si è riavviato, ma mi ha dato errore, dicendo che nn riesce ad aprire cleanup.bat dato che nn lo trova...
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda crazy.cat » gio mag 01, 2008 12:36 pm

Allora bagle è ancora in giro.
Hai provato ad usare la vecchia versione di avenger?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Ganondolf » gio mag 01, 2008 12:39 pm

no, ora provo
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda Ganondolf » gio mag 01, 2008 1:28 pm

ok è andato

appena si è riavviato comunque ho visto il resident di spybot che mi chiedeva a proposito di una modifica al registro:

hldrrr
valore aggiunto

io glie l'ho negata comunque..
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda Ganondolf » ven mag 02, 2008 4:32 pm

beagle è stato sradicato, ma purtroppo ha lasciato problemi al mio computer:
in particolare, explorer è diventato molto instabile, e tende a crashare molto spesso (anche 7-8 volte al giorno) specie quando ci sono più applicazioni aperte e il comsumo di RAM è elevato... mi potete aiutare?
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda ste_95 » ven mag 02, 2008 5:34 pm

Segui le istruzioni di questa pagina per eliminare gli ultimi problemi generati dall'infezione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Ganondolf » ven mag 02, 2008 6:14 pm

l'avevo già fatto, ma nn serve a risolvere il problema... credo che sia derivante forse da AVG, che durante l'infezione ho utilizzato x bloccare alcuni processi del virus, o da ccleaner che poterbbe aver cancellato qualcosa di troppo (è possibile?), o dal sistema, che aveva attivato la protezione esecuzione programmi... (pannello di controllo> sistema> avanzate> prestazioni (impostazioni)> protezione esecuzione programmi) che era attivo su tutti i processi.. ho ripristinato l'opzione di default (solo programmi e servizi essenziali) ma non è servito
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda ste_95 » ven mag 02, 2008 6:18 pm

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Ganondolf » ven mag 02, 2008 6:44 pm

Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda ste_95 » ven mag 02, 2008 7:55 pm

I log sono puliti.

Esegui una nuova scansione online con Kaspersky e vedi se rileva qualcosa.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Ganondolf » ven mag 02, 2008 7:59 pm

ok... ci vediamo tra altre 18 ore
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda Ganondolf » sab mag 03, 2008 1:45 am

ci ha messo molto meno stavolta, ecco il log:

http://www.freefilehosting.net/download/3gfe2

a me comunque sembra abbastanza pulito
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am

Messaggioda ste_95 » sab mag 03, 2008 6:08 am

Il Bagle è effettivamente sparito.

specie quando ci sono più applicazioni aperte e il consumo di RAM è elevato

Quale processo occupa più RAM, anche se è un comportamento abbastanza normale?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Ganondolf » dom mag 04, 2008 12:27 am

firefox o emule, dipende, ma noto che il consumo di explorer si è molto alzato..
(anche quello di avg, ma credo sia normale avendolo recentemente uppato dal 7.5 all' 8.0)
Avatar utente
Ganondolf
Neo Iscritto
Neo Iscritto
 
Messaggi: 22
Iscritto il: gio mag 01, 2008 11:36 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising