Duca Bianco

Rimozione Rootkit Bagle

1 messaggio in questa discussione

Rimozione Rootkit Bagle

Agg. al 8-01-09

La procedura va eseguita alla lettera:

Procedura di rimozione Bagle per Vista e XP

Disattiva il ripristino configurazione di sistema

Scarica questi programmi e lasciali sul Desktop

-Avenger

Se hai già Avenger eliminalo per poi riscaricarlo.

-Elibagla.asp

Disconnettiti da internet spegnendo il modem o staccando il cavo del Router

-Lancia Elibagla (se non dovesse avviarsi insisti riavviando il sistema più volte) e clicca su Explorar

-Una volta terminato lo scan riavvia il S.O in modalità provvisoria (dovrebbe funzionare) e usa nuovamente Elibagla.

Sempre in modalità provvisoria scompatta il file Avenger.zip

-Individua Avenger.exe e avvialo.

-Inserisci questo script nel box bianco

Drivers to disable:

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe

%SystemDrive%\WINDOWS\system32\drivers\srosa.sys

%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys

%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe

%SystemDrive%\WINDOWS\system32\drivers\winfilse.exe

Files to delete:

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe

%SystemDrive%\WINDOWS\system32\drivers\winfilse.exe

%SystemDrive%\WINDOWS\system32\drivers\srosa.sys

%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys

%SystemDrive%\WINDOWS\system32\wintems.exe

%SystemDrive%\WINDOWS\system32\hldrrr.exe

%SystemDrive%\WINDOWS\system32\trusted.exe

%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

%UserProfile%\Dati applicazioni\hidires\hidr.exe

%UserProfile%\Dati applicazioni\hidires\rosa.sys

%UserProfile%\Dati applicazioni\m\list.oct

%UserProfile%\Dati applicazioni\m\data.oct

%UserProfile%\Dati applicazioni\m\flec006.exe

%UserProfile%\Dati applicazioni\m\svrlist.oct

%SystemDrive%\system32\re_file.exe

%SystemDrive%\elist.xpt

%UserProfile%\Dati applicazioni\hidires\m_hook.sys

%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe

%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_

%SystemDrive%\WINDOWS\system32\mdelk.exe

%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe

%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

%SystemDrive%\WINDOWS\system32\edlm.exe

%SystemDrive%\WINDOWS\system32\edlm2.exe

%SystemDrive%\Windows\system32\ldR64.dll

%SystemDrive%\WINDOWS\system32\german.exe

%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX

%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX

%SystemDrive%\WINDOWS\system32\wintems.exe.XXX

%SystemDrive%\WINDOWS\system32\1.exe

Folders to delete:

%SystemDrive%\WINDOWS\exefqd

%SystemDrive%\WINDOWS\exefnd

%SystemDrive%\WINDOWS\exefld

%UserProfile%\Dati applicazioni\hidires

%UserProfile%\Dati applicazioni\hidn

%UserProfile%\Dati applicazioni\m\shared

%UserProfile%\Dati applicazioni\m

%SystemDrive%\WINDOWS\System32\drivers\down

%SystemDrive%\WINDOWS\system32\drivers\downld

%SystemDrive%\WINDOWS\temp\

%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5

%UserProfile%\Impostazioni locali\Temporary Internet Files

%UserProfile%\Impostazioni locali\Temp

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\srosa

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\CurrentControlSet\Services\srosa2

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA2

HKLM\SYSTEM\CurrentControlSet\Services\pci32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

HKLM\SYSTEM\CurrentControlSet\Services\rosa

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

HKLM\SYSTEM\CurrentControlSet\Services\m_hook

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA2

HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA2

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

-Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

-Allega il log che verrà creato in C:\Avenger

-Esegui anche una scansione online (usando IExplorer) con Nod32 (che elimina ciò che trova)

http://www.eset.com/onlinescan/

spunta le caselle:

-Remove found threats

-Scan unwanted applications

Apri la lista dei Servizi

Start > Esegui >digitate SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, clic con il tasto destro su Proprietà >Automatico > Ok > Avvia > Ok).

Se ti è scomparsa l'opzione "visualizza i file e le cartelle nascosti" fai così:

Scarica questo FILE lo estrai doppio clic>si>ok

RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI

per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:

- NDISUIO

- RPC

- apri il blocco note di windows

- copia ed incolla questo testo:

Windows Registry Editor Version 5.00
					   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
					   "Start"=dword:00000003
					   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
					   "UuidSequenceNumber"=dword:0cdae01e
					   [HKEY_CURRENT_USER\Session\Information]
					   "ProgramCount"=dword:00000004

-salva sul desktop il file creato, con il nome registro.reg ( l'estensione .REG e non .TXT) e lo esegui:

-doppio clic>si>ok

per apportare le modifiche fatte, è necessario riavviare il computer

Ora riabilita il ripristino configurazione di sistema almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito

ATTENZIONE: I software di sicurezza vanno tutti reinstallati

Se avete problemi particolari il Forum è sempre disponibile

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti