| Autore |
 Discussione  |
|
luk
Junior Member
57 Messaggi |
 Inserito il - 28/01/2009 : 16:27:23
|
Buongiorno, un saluto a tutti, sono nuovo del forum.
ho preso il virus/bagle winupgro.
Leggendo qua e la ho visto che il problema di solito si risolve con tools come combofix, findykill, avenger, elibagla ecc.
ma l'unico programma che riesco a far partire io è findykill. Dopo aver terminato le operazioni se provo a usare avenger (rinominato) come descritto da Death in un altro post, mi da lo stesso errore (applicazione non valida di win32)
che mi da sia con avast che con combofix (rinominato).
Se provo elibagla mi da subito questo messaggio:
"por favor, envienos una muestra del fichero
C:/muesrtas/winupgro.exe.Muestra Elibagle v12.15
a"virussatinfo.es". Gracias"
Non so piu che fare, aiuto
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/01/2009 : 16:32:19
|
Buona sera e benvenuto su Notrace, se funziona findykill siamo già a buon punto, per essere certi che sia pulito, ti lascio la procedura:
scarica FindyKill
collegate eventuali pen drive e hard disk esterni, doppio click sull'icona del programma e vi appariranno le seguenti opzioni:
1) Recherche des fichiers infectieux >>>>>>>> Ricerca di file infetti
2) Suppression des fichiers infectieux >>>>>>> Elimina i file infetti
3) Desinstaller FindyKill >>>>>>>>>>>>>>>>> Disinstallare FindyKill
4) Quitter FindyKill >>>>>>>>>>>>>>>>>>>> Chiudere FindyKill
premete il tasto 1 e date invio, attendete la schermata finale dovre leggerete che il rapporto si trova in c:\FindyKill.txt
Prima di eliminare tutto, postami il rapporto in opzione 1 |
 |
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 28/01/2009 : 16:38:49
|
| htt*://freefilehosting.net/download/44fd7 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/01/2009 : 16:45:46
|
Dunque a parte un file del bagle non ci sono tracce secondo findykill, rileva queste voci come sospette:
C:\Documents and Settings\Luca\Desktop\Plugins\crac.exe
C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programmi\Native Instruments\Absynth 4\Absynth 4.exe
C:\Programmi\Native Instruments\Akoustik Piano\AkoustikPiano.exe
C:\Programmi\Native Instruments\B4 II\B4 II.exe
C:\Programmi\Native Instruments\Battery 3\Battery 3.exe
C:\Programmi\Native Instruments\Elektrik Piano 1.5\Elektrik Piano 1.5.exe
C:\Programmi\Native Instruments\FM8\FM8.exe
C:\Programmi\Native Instruments\Guitar Rig 3\Guitar Rig 3.exe
C:\Programmi\Native Instruments\Kontakt 3\Kontakt 3.exe
C:\Programmi\Native Instruments\Massive\Massive.exe
C:\Programmi\Native Instruments\Pro-53\Pro-53.exe
C:\Programmi\Native Instruments\Reaktor 5\Reaktor5.exe
Queste applicazioni le hai installate tu?
EDIT: intendo quelle sotto native, il primo file è infetto, il secondo è legittimo di Adobe.
|
Modificato da - death in data 28/01/2009 16:48:03 |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 28/01/2009 : 23:05:15
|
si quelli native fanno parte di un bundle che ho installato da dvd.
è il crac.exe che mi ha fatto il danno. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 08:32:49
|
Buon giorno, vediamo se questo programma funziona, mi serve una scansione del tuo pc per rimuovere i files a mano, segui la procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 12:47:05
|
Ciao, intanto grazie di tutto!! ancora non ti avevo ringraziato..
Qui c'è il report
htt*://freefilehosting.net/download/44g72
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 12:48:37
|
| Buon giorno, questa sera appena ho cenato te lo controllo e poi ti posto la procedura. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 21:11:32
|
Buona sera, il rapporto è pulito, del bagle non ci sono tracce da quello che è visibile nel report, segui la procedura:
Lancia systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan
Copia nel riquadro il testo in rosso e premi il pulsante "Proceed with removal" , il programma procederà ad una verifica dello script, se ci fosserò errori la procedura verrà interrotta, se la procedura è corretta ti verrà chiesto di procedere, il pc si riavverà da solo.
Al riavvio troverai aperta la finestra di systemscan e una segnalazione dell'avvenuta esecuzione dello script, puoi vedere anche la scritta in blu che ne conferma l'avvenuta esecuzione, se la procedura non fosse andata a buon fine troverai la segnalazione e la scritta rossa.
Posta il report rilasciato lo trovi in c:\avenger.
files to delete:
C:\WINDOWS\iun6002.exe
C:\Documents and Settings\Luca\Desktop\Plugins\crac.exe
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 21:34:32
|
mi dice Script error, please copy and paste valid script file
Cosa sbaglio..? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 21:42:57
|
| Buona sera, non devi lasciare spazio in alto, non ci devono essere righe vuote e devi inserire lo script da files to delete incluso. |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 21:53:07
|
niente, ho fatto come hai detto, ho anche tolto tutte le righe vuote, ma mi coninua a dare script error.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 22:27:26
|
Buona sera, non capisco cosa non digerisca, riprova con il tuo avenger normale se funziona, altrimenti, riprova con systemscan ma nello script inserisci solo questo:
files to delete:
C:\WINDOWS\iun6002.exe
C:\Documents and Settings\Luca\Desktop\Plugins\crac.exe
voglio capire se è systemscan o se non funzionano le stringhe abbreviate.
|
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 22:35:02
|
| Così ha funzionato |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/01/2009 : 22:37:25
|
| Perfetto, quelli erano gli unici 2 files infetti che ho trovato, gli altri che avevo inserito sono files comuni del bagle, ora riprova elibagla, se ti dà il messaggio (ti chiede di inviargli i files, tutto qui) da i ok e vedi se continua la scansione, se parte avenger normale, riesegui tutto il primo script, dovrebbe funzionarti tutto, io dal report di systemscan non vedo nulla. |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 22:44:47
|
Come non detto...il file crac.exe non è riuscito a cancellarlo...
htt*://freefilehosting.net/download/44gdh
|
|
|
|
Discussione |
|
Bagle Winupgro
Forum Bloccato
