Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Schifoso worm bagle

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Schifoso worm bagle

Messaggioda Fish » ven ago 22, 2008 8:03 pm

Ciao, sono nuovo di questo forum, e ho letto abbastanza topic riguardo al worm bagle nel vostro e su molti altri forum ma non son riuscito a trovare la soluzione al mio problema.

Da quello che ne ho capito è il worm di "ultima generazione".. ho quindi seguito le istruzioni sull'utilizzo di avenger2 e dei vostri link (tra cui quello MegaLab.it_a_v_e_n_g_e_r).. ma nulla!

Per prima cosa il sistema operativo infetto (come primo...) è windows vista business (SP1) installato sul mio portatile.. vi è collegato anche un hard disk esterno da 500gB (che immagino si sia infettato..) e che adesso ho disconnesso.. All'inizio della mia ricerca ho utilizzato il computer di casa per cercare in internet soluzioni e scaricare removal-kit per il worm.. che logicamente non hanno funzionato e, oltre il danno la beffa! Utilizzando una chiavetta usb per trasferire i programmi ho infettato anche il computer di casa (in cui è installato windows xp SP2)..

La cosa ora più importante è il mio portatile..
Quando sono in internet (che con vista mi funziona ma con windows xp no), apro internet explorer.. il caricamento della prima pagina (google) è lentissimo ma dopo se utilizzo quella scheda aperta, internet mi va discretamente.. se tento però di aprire un'altra scheda e/o finestra di IE, mi si aprono le finestre ma non carica nulla e si impalla... la prima pagina continua però a funzionare... ????Misterioso..!!
Ho cercato dunque di scaricare avanger dal vostro link.. lo lancio, inserisco gli script, mi dà un errore riguardante il primo script, quindi riscrivo la prima riga.. non mi dà più quell'errore ma me ne tira fuori un altro, si blocca e sparisce la schermata di avenger..
Cerco dunque di scaricare un'altra vostra versione come da link "Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione".. ma nulla! Non me lo apre!

Non so più cosa fare, e del portatile ne ho veramnete bisogno!! [cry]
Sono completamente disperato.. [cry+] .. ma vista la vostra competenza, leggendo i vari topics, spero che mi possiate aiutare!!!

Grazie mille!!!
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda ste_95 » sab ago 23, 2008 9:11 am

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fish » sab ago 23, 2008 11:51 am

Non riesco ad utilizzare kaspersky..
Sono andato sul sito, ho letto di ricaricare IE con tasto destro-->run as administrator.. rivado dunque sul sito... clicco installa activex in alto su IE, mi ricarica la pagina e mi si apre una finestra con il seguente messaggio:

Internet Explorer- Security Warning
Windows has blocked this software because it can't verify the publisher.

Name: default/
Publisher: Unknown Publisher


E potevo soltanto chiudere la finestra... Il tasto "Accepted" di kaspersky era incliccabile.

Ho provato ad andare sulle opzioni di IE, di metter la sicurezza al minimo (medium), disattivare "protected mode" e inserire www.kaspersky.com come "trusted sites".. rifaccio il tutto e mi riappare la stessa finestra di avviso..
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm


Messaggioda ste_95 » sab ago 23, 2008 1:40 pm

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Quindi, riprova con la scansione online.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fish » sab ago 23, 2008 6:34 pm

Prima cosa: la disabilitazione del ripristino configurazione di sistema.. l'avevo già fatto da un bel po' ma sembra non funzionare più di tanto.. Soprattutto quando faccio riavvia da windows, una volta rientrato in vista per 2 o 3 volte crasha, scheramta blu e si riavvia.. dopo 2-3, a volte 4 riavvi, è come se si stabilizzasse e non fa più la schermata blu..
Internet invece peggiora sempre un po' di più..

Seguendo le tue istruzioni, e ti ringrazio sin da ora per il tempo che mi dedichi, ho scaricato la prima versione di avenger: problema con win32, e si chiude.. Scarico dunque la seconda versione da te indicata, inserisco gli scripts specificati e, dopo avermi chiesto se voglio continuare, ecc ecc.. avenger mi dà i seguenti problemi:

1° errore:
Error: Can't open file 'C:\cleanup.bat' (error2: the system cannot find the file specified)

2° errore:
Error: Could not open Cleanup batch.
Aborting execution! (error6: the handle is invalid)

3° errore:
Error: Can't open file 'C:\avenger.txt' (error2: the system cannot find the file specified)

4° errore:
Error: Could not log error messages to file (error6: the handle is invalid)

Facendo ok su tutti, decido di chiudere avenger, e mi dà questo messaggio:
No action has been queued for next reboot. Are you sure you want to quit The Avenger?
Che io facia "yes" o "no", avenger si chiude da solo..
Riavvio il computer, riprovo numerose volte ma avviene sempre la solita trafila..


Penso sia veramente cazzuto sto warm! ...oppure io o il mio computer siamo veramente messi male! [uhm]
Ti chiedo allora se non convenga forse formattare.. un problema però sorge: se formattassi, avrei bisogno di salvare numerosi dati.. come fare? utilizzare un hard disk esterno oppure masterizzare dvd? E se formatto e il warm si nasconde anche nell'hard disk esterno o nei dvd, non è che me lo ribecco rimettendo i dati sul mio portatile finalmente formattato?

Insomma capisci che sono veramante in crisi.. nulla funziona come dovrebbe!
Ti ringrazio comunque per il tempo che mi stai dedicando..
Spero tu possa ancora aiutarmi..
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda ste_95 » sab ago 23, 2008 6:37 pm

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trovi malware, in caso positivo eliminali senza pietà. Tornato su Windows, vedi come va.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fish » lun ago 25, 2008 10:43 am

Allora.. il cd non l'ho provato perché un utente mi ha detto di provare a seguire le istruzioni presenti in questo link: http://www.wininizio.it/forum/index.php?showtopic=93833

La procedura sembra aver funzionato!! [applauso+]
Sono riuscito ad installare un antivirus (avast!), e un firewall.. e sembrano ben funzionare!

Sono poi andato sul sito di kaspersky e sono finalmente riuscito a capire perché non partiva (miracolosamente una finestra mi si è aperta automaticamente per spiegarmelo!.. chissà perché non prima?!!! [uhm] ): bisognava scaricare java..!! Una volta scaricato ho lanciato lo scan e vi allego dunque lo "scan report" (http://www.mediafire.com/?sharekey=16e653d9ff468269d2db6fb9a8902bda) dove mi trova ancora 2 threats e 6 infected objects.. che fare ora dunque?!

Un'altra domanda: che fare con l'hard disk esterno e la chiavetta che avevo collegato al computer quando era ben infetto? Se li collego l'antivirus riuscirà a bloccarmi il worm oppure me lo beccherò nuovamente sul computer?

Grazie mille.
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda ste_95 » lun ago 25, 2008 10:59 am

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\Users\MC\Downloads\eMule\Incoming\SlovoEd_Windows_Smartphone_English-Italian_Gold_Dictionary_1.0(1).zip   
C:\Windows\System32\RtHDVCpl.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
C:\Muestras
C:\_OTMoveIt

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fish » lun ago 25, 2008 11:45 am

Voilà il logfile di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\mdelk.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Users\MC\Downloads\eMule\Incoming\SlovoEd_Windows_Smartphone_English-Italian_Gold_Dictionary_1.0(1).zip" deleted successfully.
File "C:\Windows\System32\RtHDVCpl.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.
Folder "C:\Muestras" deleted successfully.
Folder "C:\_OTMoveIt" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.




Rifaccio la domanda: con l'hard disk esterno e la chiavetta usb, che fare?

Thanks a lot.
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda ste_95 » lun ago 25, 2008 1:51 pm

Fish ha scritto:Rifaccio la domanda: con l'hard disk esterno e la chiavetta usb, che fare?

Scarica il Perlovga Removal Tool e fallo girare su tutte le unità. Il problema dovrebbe risolversi.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Fish » lun ago 25, 2008 5:52 pm

Grazie.. ho scaricato il programmino..
Adesso provo a fare uno scan di tutto con kaspersky.. sperando bene!

A risentirci dopo lo scan...
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda Fish » lun ago 25, 2008 8:51 pm

Grandisssssssimoooooo!!!!! [rotolo]

Kaspersky non ha rilevato nulla da nessuna parte! Grandioso!
Veramente grazie per l'aiuto che mi hai dato!

[applauso+]
Alla prossima starò attento ai p2p..

Grazie ancora!
Avatar utente
Fish
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven ago 22, 2008 7:32 pm

Messaggioda ste_95 » lun ago 25, 2008 9:03 pm

Segui le istruzioni di questa pagina per ripristinare la rete senza fili, la modalità provvisoria e la visualizzazione dei file nascosti. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising