| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 29/01/2009 : 23:01:28
|
|
ehmm domanda.[.com]e mai io nello script scrivo C:\Documents and Settings\Luca\Desktop\Plugins\crac.exe e nel report di avenger mi ritrovo C:\Documents and Setiings\Luca\Desktop\Plugins\crac.exe è ovvio che non lo cancella non esiste la cartella, fai copia e incolla di quello che ti ho scritto e ripeti avenger, non è possibile si cambi i nomi delle cartelle da solo. Poi per cortesia riprova avenger normale, vorrei solo capire se funziona o se il pc è ancora bloccato. |
 |
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 29/01/2009 : 23:42:02
|
Si scusa avevo copiato male... Ora sembra tutto a posto, ha cancellato tutto
Qui c'è il report di avenger:
htt*://freefilehosting.net/download/44ged
GRAZIE MILLE!!
Senti, già che ci sono e visto che sei molto ferrato, che antivirus mi consiglieresti?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/01/2009 : 08:15:53
|
Buon giorno, quello che mi hai postato è un nuovo systemscan non il report di avenger  , ora, te lo chiedo di nuovo, per cortesia mi provi se avenger normale funziona ed utilizzi il primo script che ti avevo preparato, a questo punto non sto capendo se quel pc è ancora infetto o se funziona tutto. |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 02:00:43
|
htt*://freefilehosting.net/download/44j5j
spero di aver giusto stavolta... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 08:18:08
|
Buon giorno, si era corretto, di tutti i files tipici del bagle non ha trovato nulla, vediamo di finire le pulizie, poi facciamo una serie di verifiche:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 20:42:44
|
Lo sto scaricando, però ho di nuovo il problema, stasera appena acceso il computer è partito da solo il programma che mi era partito cliccando quel famoso crac.exe.
E non mi fa usare di nuovo le varie applicazioni come ad esempio elibagla ecc. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 20:57:45
|
Buona sera, da dove sia risaltato fuori resta un mistero, prova ad utilizzare avenger e vediamo se funziona:
scarica questo file che ti ho predisposto htt*://wikisend[.com]/download/576428/fix.reg lo devi salvare in c:\
Esegui avenger normale (non quello integrato in systemscan) e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%UserProfile%\Dati applicazioni\drivers\downld\srosa.sys
%UserProfile%\Dati applicazioni\drivers\downld\winupgro.exe
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\re_file.exe
%SystemDrive%\WINDOWS\system32\ban_list.txt
%SystemDrive%\WINDOWS\system32\elist.xpt
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\WINDOWS\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\Programmi\File comuni\tnhkd.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%UserProfile%\Dati applicazioni\drivers\downld
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKLM\SOFTWARE\Microsoft\Windows\Security Center
HKLM\SOFTWARE\Microsoft\Windows\Security Center\Svc
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system | EnableLUA solo per win vista
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Se avenger non funziona, esegui la scansione con findykill, prima in modalità 1 e poi in modalità 2 e posta i report. |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 21:42:46
|
Avenger non me lo fa usare 
qui il report di findykill
htt*://freefilehosting.net/download/44k19
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 21:51:31
|
Prova avenger normale ora, se non funziona, lancia systemscan (devi aver scaricato il mio file fix.reg in c:\)
Clicca sul pulsante "Removal Script" nella finestra principale di Systemscan
Copia nel riquadro il testo in rosso e premi il pulsante "Proceed with removal" , il programma procederà ad una verifica dello script, se ci fosserò errori la procedura verrà interrotta, se la procedura è corretta ti verrà chiesto di procedere, il pc si riavverà da solo.
Al riavvio troverai aperta la finestra di systemscan e una segnalazione dell'avvenuta esecuzione dello script, puoi vedere anche la scritta in blu che ne conferma l'avvenuta esecuzione, se la procedura non fosse andata a buon fine troverai la segnalazione e la scritta rossa.
Posta il report rilasciato lo trovi in c:\avenger.
Files to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers\winupgro.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Waves\Documents\XCrackle.lnk
Folders to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKLM\SOFTWARE\Microsoft\Windows\Security Center
HKLM\SOFTWARE\Microsoft\Windows\Security Center\Svc
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system | EnableLUA solo per win vista
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
programs to launch on reboot:
c:\fix.reg
Poi bisogna che tu faccia delle enormi pulizie..ma te le comunico in privato. |
Modificato da - death in data 02/02/2009 21:52:13 |
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 22:03:02
|
anche stavolta mi dice 'please copy and paste a valid script file'.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 22:05:23
|
Colpa mia, mi dimentico sempre che non accetta le abbreviazioni, prova così:
Files to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers\winupgro.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Waves\Documents\XCrackle.lnk
Folders to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKLM\SOFTWARE\Microsoft\Windows\Security Center
HKLM\SOFTWARE\Microsoft\Windows\Security Center\Svc
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system | EnableLUA solo per win vista
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
programs to launch on reboot:
c:\fix.reg
|
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 22:23:41
|
dunque, al riavvio mi ha chiesto se volevo aggiungere i dati al registro C:/reg o qualcosa del genere, io ho detto si, non so se ho fatto bene...
Poi è ripartito quel programma maledetto, e mi ha riavviato il pc.
Qui c'è il report
htt*://freefilehosting.net/download/44k1g
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 22:49:34
|
Buona sera, il file base non lo fà rimuovere e questo non è un bene, mi dici quale è il programma che parte all'avvio? poi eseguimi una scansione con systemscan e posta il report, la scansione la esegui con l'antivirus disattivato e disconnesso da internet. Questa volta l'hai impiastricciato per bene.
Ti ho mandato una mail 2 ore fà.
|
|
|
|
luk
Junior Member
57 Messaggi |
Inserito il - 02/02/2009 : 23:19:19
|
Non so che programma è, gira una manciata di secondi e poi basta.
é qualcosa tipo Flight Scan o Flight Schedule...
io ho provato a cancellare i file che mi hai detto via mail con systemscan, non so se sono riuscito, non so magari bastava cestinarli?
Questo è il nuovo report di systemscan:
htt*://freefilehosting.net/download/44k22
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/02/2009 : 08:00:29
|
Buon giorno, appena ho tempo ti controllo il report. Se ti è possibile evita di stare connesso con quel pc, il bagle ha il brutto vizio di scaricare quintali di schifezze dalla rete.
EDIT: i file che ti ho detto di scaricare, era sottointeso che dovevi cestinarli normalmente, altrimenti ti creavo uno script per rimuoverli, in relazione al programma che parte in avvio, è un simulatore di volo , segui la procedura:
Riesegui findykill con l'opzione 2
poi
scarica questo file in c:\ htt*://wikisend[.com]/download/713362/fix1.reg (al riavvio del pc dopo avenger ti chiederà di accettare le modifiche al registro, accetta come hai fatto in precedenza)
Lancia systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan
Copia nel riquadro il testo in rosso e premi il pulsante "Proceed with removal" , il programma procederà ad una verifica dello script, se ci fosserò errori la procedura verrà interrotta, se la procedura è corretta ti verrà chiesto di procedere, il pc si riavverà da solo.
Al riavvio troverai aperta la finestra di systemscan e una segnalazione dell'avvenuta esecuzione dello script, puoi vedere anche la scritta in blu che ne conferma l'avvenuta esecuzione, se la procedura non fosse andata a buon fine troverai la segnalazione e la scritta rossa.
Posta il report rilasciato lo trovi in c:\avenger.
files to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers\winupgro.exe
C:\Documents and Settings\Luca\Dati applicazioni\drivers\wfsintwq.sys
folders to delete:
C:\Documents and Settings\Luca\Dati applicazioni\drivers
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
programs to launch on reboot:
c:\fix1.reg
Se il pc rifunziona e non ricarica l'infezione, prova a visualizzare i files nascosti seguendo questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer C:\WINDOWS\system32\drivers\r^lthgdo.sys clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
|
Modificato da - death in data 03/02/2009 09:10:59 |
|
|
|
Discussione |
|
Bagle Winupgro
Forum Bloccato
