Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Bagle mi colpisce per la seconda volta

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Bagle mi colpisce per la seconda volta

Messaggioda Danigian » dom ago 24, 2008 3:18 pm

Salve a tutti. Circa un annetto fa fui infettato dalla prima variante di questo virus e mi ritrovo ad affrontarlo ancora. Il file infetto so qual è (scaricato a causa della rottura del cd di installazione ( CD STOMPER 2.5 E' IL FILE RAR O ZIP INFETTO. NON SCARICATELO!! ) )
Da quanto ho capito il virus è la variante che si installa su HD E penne usb esterne perché appena ho inserito la penna usb nel portatile esso mi ha rilevato un virus autorun.inf.
Non riesco in nessun modo a levare il virus.
Tutte le versioni di Avenger che ho provato non fanno altro che chiudersi.
Help Me please!
( sto provando a fare la scansione con Kaspersky che si blocca però sull'update delle definizioni! HELP MEEEEEE! )
Avatar utente
Danigian
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: sab feb 10, 2007 5:53 pm

Messaggioda ste_95 » dom ago 24, 2008 5:08 pm

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Quindi, riprova a fare la scansione online con Kaspersky.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda leolas » dom ago 24, 2008 5:26 pm

dopo aver ripulito il pc, onde evitare di prenderlo di nuovo, magari installa un HIPS come EQS, RealTimeDefender, Online Armor 2/3beta (che integra un firewall) o Comodo 3 (che integra un firewall)
Avatar utente
leolas
Senior Member
Senior Member
 
Messaggi: 177
Iscritto il: ven dic 28, 2007 10:11 pm
Località: Modena


Messaggioda Danigian » dom ago 24, 2008 5:31 pm

ALLELUIA HO RISOLTO! ( Mi riparte il NOD )
La procedura di ste_95 l'ho fatta in tutti i modi possibili almeno 5 volte oggi ma il virus non andava via. Ho scaricato allora EliBaglA e MegaLab CD Utility con tutti i plugin. Avviando EliBaglA da CD Utility dopo 5 minuti circa si chiudeva da solo ( come faceva da windows ). Allora ho provato e riprovato quando non mi ha tolto il file flec006.exe ( na cosa del genere ). Ho riavviato e magicamente GMER e Avenger funzionavano. Allora ho messo lo script di ste_95 che al riavvio mi ha cancellato questi file.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wintems.exe" not found!
Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\drivers\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\drivers\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\mdelk.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\mdelk.exe" deleted successfully.
Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ho reinstallato dunque il NOD e patatrac al riavvio funziona!!
Grazie a voi di MegaLab e ai vostri consigli!
@leolas: ho sentito parlare bene di Comodo 3. Ci penserò su ;)
Avatar utente
Danigian
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: sab feb 10, 2007 5:53 pm

Re: Bagle mi colpisce per la seconda volta

Messaggioda Amantide » dom ago 24, 2008 5:46 pm

Danigian ha scritto:Da quanto ho capito il virus è la variante che si installa su HD E penne usb esterne perché appena ho inserito la penna usb nel portatile esso mi ha rilevato un virus autorun.inf.

A quanto pare ce l'hai anche il Perlovga, non solo Bagle.
Fai anche la scansione con Perlovga Removal Tool.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Danigian » lun ago 25, 2008 7:52 am

Ho fatto una scansione completa con penne usb e hd esterni attaccati con antivir e ha trovato residui di Bagle nei file temporanei (? il che mi risulta strano). Niente perlovga.
L'utilizzo di Comodo 3 comporta un rallentamento dei vari servizi internet? ( Parlo in generale MSN P2P e altri )
Avatar utente
Danigian
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: sab feb 10, 2007 5:53 pm

Messaggioda ste_95 » lun ago 25, 2008 9:28 am

Danigian ha scritto:Ho fatto una scansione completa con penne usb e hd esterni attaccati con antivir e ha trovato residui di Bagle nei file temporanei (? il che mi risulta strano). Niente perlovga.

E' normale.

L'utilizzo di Comodo 3 comporta un rallentamento dei vari servizi internet? ( Parlo in generale MSN P2P e altri )

Beh, è un firewall, quindi un pochino il traffico di rete lo rallenta.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising