Inviato May 30, 2008 Rimozione Rootkit Bagle Agg. al 8-01-09 La procedura va eseguita alla lettera: Procedura di rimozione Bagle per Vista e XP Disattiva il ripristino configurazione di sistema Scarica questi programmi e lasciali sul Desktop -Avenger Se hai già Avenger eliminalo per poi riscaricarlo. -Elibagla.asp Disconnettiti da internet spegnendo il modem o staccando il cavo del Router -Lancia Elibagla (se non dovesse avviarsi insisti riavviando il sistema più volte) e clicca su Explorar -Una volta terminato lo scan riavvia il S.O in modalità provvisoria (dovrebbe funzionare) e usa nuovamente Elibagla. Sempre in modalità provvisoria scompatta il file Avenger.zip -Individua Avenger.exe e avvialo. -Inserisci questo script nel box bianco Drivers to disable: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\drivers\srosa2.sys %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe %SystemDrive%\WINDOWS\system32\drivers\winfilse.exe Files to delete: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\winfilse.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\drivers\srosa2.sys %SystemDrive%\WINDOWS\system32\wintems.exe %SystemDrive%\WINDOWS\system32\hldrrr.exe %SystemDrive%\WINDOWS\system32\trusted.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %UserProfile%\Dati applicazioni\hidires\hidr.exe %UserProfile%\Dati applicazioni\hidires\rosa.sys %UserProfile%\Dati applicazioni\m\list.oct %UserProfile%\Dati applicazioni\m\data.oct %UserProfile%\Dati applicazioni\m\flec006.exe %UserProfile%\Dati applicazioni\m\svrlist.oct %SystemDrive%\system32\re_file.exe %SystemDrive%\elist.xpt %UserProfile%\Dati applicazioni\hidires\m_hook.sys %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe %SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_ %SystemDrive%\WINDOWS\system32\mdelk.exe %SystemDrive%\WINDOWS\system32\drivers\mdelk.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %SystemDrive%\WINDOWS\system32\edlm.exe %SystemDrive%\WINDOWS\system32\edlm2.exe %SystemDrive%\Windows\system32\ldR64.dll %SystemDrive%\WINDOWS\system32\german.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX %SystemDrive%\WINDOWS\system32\mdelk.exe.XXX %SystemDrive%\WINDOWS\system32\wintems.exe.XXX %SystemDrive%\WINDOWS\system32\1.exe Folders to delete: %SystemDrive%\WINDOWS\exefqd %SystemDrive%\WINDOWS\exefnd %SystemDrive%\WINDOWS\exefld %UserProfile%\Dati applicazioni\hidires %UserProfile%\Dati applicazioni\hidn %UserProfile%\Dati applicazioni\m\shared %UserProfile%\Dati applicazioni\m %SystemDrive%\WINDOWS\System32\drivers\down %SystemDrive%\WINDOWS\system32\drivers\downld %SystemDrive%\WINDOWS\temp\ %UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5 %UserProfile%\Impostazioni locali\Temporary Internet Files %UserProfile%\Impostazioni locali\Temp Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\srosa2 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA2 HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 HKLM\SYSTEM\CurrentControlSet\Services\rosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa HKLM\SYSTEM\CurrentControlSet\Services\m_hook HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA2 HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs -Clicca su Execute Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu) -Allega il log che verrà creato in C:\Avenger -Esegui anche una scansione online (usando IExplorer) con Nod32 (che elimina ciò che trova) http://www.eset.com/onlinescan/ spunta le caselle: -Remove found threats -Scan unwanted applications Apri la lista dei Servizi Start > Esegui >digitate SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, clic con il tasto destro su Proprietà >Automatico > Ok > Avvia > Ok). Se ti è scomparsa l'opzione "visualizza i file e le cartelle nascosti" fai così: Scarica questo FILE lo estrai doppio clic>si>ok RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema: - NDISUIO - RPC - apri il blocco note di windows - copia ed incolla questo testo: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc] "UuidSequenceNumber"=dword:0cdae01e [HKEY_CURRENT_USER\Session\Information] "ProgramCount"=dword:00000004 -salva sul desktop il file creato, con il nome registro.reg ( l'estensione .REG e non .TXT) e lo esegui: -doppio clic>si>ok per apportare le modifiche fatte, è necessario riavviare il computer Ora riabilita il ripristino configurazione di sistema almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito ATTENZIONE: I software di sicurezza vanno tutti reinstallati Se avete problemi particolari il Forum è sempre disponibile Condividi questo messaggio Link di questo messaggio Condividi su altri siti