Login


Top Formazione

Flashtoons. Animazioni con Adobe Flash
Flashtoons_Animazioni_con_Adobe_Flash_585_thumb Diventa un esperto di animazione!

Manuali.net Social

Facebook? Twitter? RSS Feed

Newsletter







Su Facebook!

Manuali.net su Facebook
  #1  
Vecchio 22-12-2008, 01:30
L'avatar di DucaBianco
DucaBianco DucaBianco non è in linea
Moderatore Security
 
Registrato dal: May 2006
Messaggi: 855
predefinito Rimozione Rootkit Bagle

Rimozione Rootkit Bagle
Agg. al 8-01-09

La procedura va eseguita alla lettera:

Procedura di rimozione Bagle per Vista e XP


Disattiva il ripristino configurazione di sistema

Scarica questi programmi e lasciali sul Desktop
-Avenger
Se hai già Avenger eliminalo per poi riscaricarlo.

-Elibagla.asp

Disconnettiti da internet spegnendo il modem o staccando il cavo del Router

-Lancia Elibagla (se non dovesse avviarsi insisti riavviando il sistema più volte) e clicca su Explorar
-Una volta terminato lo scan riavvia il S.O in modalità provvisoria (dovrebbe funzionare)e usa nuovamente Elibagla.

Sempre in modalità provvisoria scompatta il file Avenger.zip
-Individua Avenger.exe e avvialo.
-Inserisci questo script nel box bianco

Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\winfilse.ex e

Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\winfilse.ex e
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.X XX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe

Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA
HKLM\SYSTEM\CurrentControlSet\Services\srosa2
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRO SA2
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI 32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ros a
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA2
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SK9OU0S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SK9OU0S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SK9OU0S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SK9OU0S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SK9OU0S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sK9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s K9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s K9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s K9Ou0s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s K9Ou0s

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |drv_st_key

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


-Clicca su Execute
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)


-Esegui anche una scansione online (usando IExplorer) con Nod32 (che elimina ciò che trova)
http://www.eset.com/onlinescan/
spunta le caselle:
-Remove found threats
-Scan unwanted applications


Apri la lista dei Servizi
Start > Esegui >digitate SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, clic con il tasto destro su Proprietà >Automatico > Ok > Avvia > Ok).
Se ti è scomparsa l'opzione "visualizza i file e le cartelle nascosti" fai così:
Scarica questo FILE lo estrai doppio clic>si>ok

RIPRISTINO DI ZERO CONFIGURATION RETI SENZA FILI

per ripristinare il servizio Zero Configuration reti senza fili è necessario riattivare queste componenti di sistema:
- NDISUIO
- RPC


- apri il blocco note di windows
- copia ed incolla questo testo:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004



-salva sul desktop il file creato, con il nome registro.reg ( l'estensione .REG e non .TXT) e lo esegui:
-doppio clic>si>ok
per apportare le modifiche fatte, è necessario riavviare il computer

Ora riabilita il ripristino configurazione di sistema almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito

ATTENZIONE: I software di sicurezza vanno tutti reinstallati


Se avete problemi particolari il Forum è sempre disponibile
__________________


Kaspersky OnLine | VirusTotal

Anche l'uomo più miserabile è in grado di scoprire le debolezze del più degno,
anche il più stupido è in grado di scoprire gli errori del più saggio.
- Theodor Wiesengrund Adorno -

Ultima modifica di DucaBianco : 10-01-2009 a 01:56.
Condividi la discussione con i tuoi amici su Facebook Segnala la discussione su Twitter
Chiudi la discussione

Segnalibri / Condividi

Strumenti della discussione Cerca in questa discussione
Cerca in questa discussione:

Ricerca avanzata
Modalità di visualizzazione Valuta questa discussione
Valuta questa discussione:

Regole d'invio
Non puoi inserire discussioni
Non puoi inserire repliche
Non puoi inserire allegati
Non puoi modificare i tuoi messaggi

BB code è attivo
Le smilies sono attive
Il codice IMG è attivo
il codice HTML è attivo
Salto del forum


Tutti gli orari sono GMT +1. Attualmente sono le 11:19.