Bagle, winupgro.exe

**brbcld** · 22-12-2008, 17:37

Ciao mi chiamo Claudio, sono nuovo e scrivo da Reggio Emilia e da un paio di giorni, dopo aver scaricato in file .zip ho il pc in crisi.

Credo di avere anche io lo stesso problema, ho anche io gli stessi file nella cartella DRIVERS: srosa.sys e winupgro.exe.

Ho fatto una scansione con Systemscan e il risultato (che per me è incomprensibile) me lo ha fatto scaricare da qui:
http://freefilehosting.net/download/43888

Ho anche scaricato kaspersky rescue disk e ho provato ad eliminarli ma al riavvio erano ancora lì.

Qualcuno riesce a darmi dei suggerimenti o addirittura la soluzione???

Grazie in anticipo!!!

**amvinfe** · 22-12-2008, 19:44

La prossima volta apri una discussione tutta tua. Grazie.

Ti carico un file e ti posto il link per scaricarlo, ti spiegherò come usarlo.

**amvinfe** · 22-12-2008, 19:53

scarica il file sul desktop
http://www.savefile.com/files/1943620

decomprimilo.

Disconnettiti da internet.
Chiudi tutti i programmi, browser compreso.

Esegui il file, verrai informato del riavvio del pc a causa di un rootkit. Lascia che riavvii.

A fine scansione ti verrà mostrato un file testo relativo al report, lo troverai anche in C:\ (ComboFix.txt), caricalo su http://freefilehosting.net e posta il link.

NB
durante l'utilizzo del programma NON devi usare il pc, mouse compreso.

**brbcld** · 23-12-2008, 20:40

Fatto, ecco il link:

http://freefilehosting.net/download/43973

Grazie x l'aiuto

**amvinfe** · 23-12-2008, 23:06

Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla

Windows Registry Editor Version 5.00
[-HKEY_USERS\S-1-5-21-1275210071-1383384898-1202660629-1003\Software\Local AppWizard-Generated Applications\winupgro]
[-HKEY_USERS\.DEFAULT\Software\bisoft]

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva sul desktop.
Esegui fix.reg, accetta le modifiche ma non riavviare.

Apri SystemScan clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA

Files to delete:
C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\cb\Desktop\winupgro.exe
C:\Documents and Settings\cb\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Documents and Settings\cb\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa2.sys

Folders to delete:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
C:\Documents and Settings\cb\Dati applicazioni\drivers
C:\Documents and Settings\cb\Dati applicazioni\m

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Postami il log di avenger (C:\avenger.txt) e un nuovo SystemScan

**brbcld** · 25-12-2008, 14:19

Fatto tutto.
Ecco il log di avanger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\owrenqbj

*******************

Script file located at: \??\C:\WINDOWS\system32\bi^hfcde.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\system\currentcontrolset\services\srosa not found!
Deletion of registry key HKLM\system\currentcontrolset\services\srosa failed!

Could not process line:
HKLM\system\currentcontrolset\services\srosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034

Could not open file C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa.sys for deletion
Deletion of file C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa.sys failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa.sys
Status: 0xc000003a

File C:\Documents and Settings\cb\Desktop\winupgro.exe not found!
Deletion of file C:\Documents and Settings\cb\Desktop\winupgro.exe failed!

Could not process line:
C:\Documents and Settings\cb\Desktop\winupgro.exe
Status: 0xc0000034

Could not open file C:\Documents and Settings\cb\Dati applicazioni\drivers\winupgro.exe for deletion
Deletion of file C:\Documents and Settings\cb\Dati applicazioni\drivers\winupgro.exe failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\drivers\winupgro.exe
Status: 0xc000003a

File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034

File c:\windows\system32\ban_list.txt not found!
Deletion of file c:\windows\system32\ban_list.txt failed!

Could not process line:
c:\windows\system32\ban_list.txt
Status: 0xc0000034

File c:\windows\system32\mdelk.exe not found!
Deletion of file c:\windows\system32\mdelk.exe failed!

Could not process line:
c:\windows\system32\mdelk.exe
Status: 0xc0000034

Could not open file C:\Documents and Settings\cb\Dati applicazioni\m\flec006.exe for deletion
Deletion of file C:\Documents and Settings\cb\Dati applicazioni\m\flec006.exe failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\m\flec006.exe
Status: 0xc000003a

Could not open file C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa2.sys for deletion
Deletion of file C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa2.sys failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\drivers\srosa2.sys
Status: 0xc000003a

Folder C:\Documents and Settings\LocalService\Dati applicazioni\drivers not found!
Deletion of folder C:\Documents and Settings\LocalService\Dati applicazioni\drivers failed!

Could not process line:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
Status: 0xc0000034

Folder C:\Documents and Settings\cb\Dati applicazioni\drivers not found!
Deletion of folder C:\Documents and Settings\cb\Dati applicazioni\drivers failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\drivers
Status: 0xc0000034

Folder C:\Documents and Settings\cb\Dati applicazioni\m not found!
Deletion of folder C:\Documents and Settings\cb\Dati applicazioni\m failed!

Could not process line:
C:\Documents and Settings\cb\Dati applicazioni\m
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Program C:\Documents and Settings\cb\Desktop\sys40301.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

e anche il nuovo systemscan:

http://freefilehosting.net/download/43a8b

Grazie ancora

**amvinfe** · 26-12-2008, 15:28

Apri SystemScan clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto

Files to delete:
C:\WINDOWS\system32\drivers\dthvebeo.sys
C:\zip.exe
C:\^ccrqtst.bat
C:\avexport.bat
C:\ComboFix.txt

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | okmiyyjm

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

NB
una raccomandazione.
Il malware infetta gli eseguibili di programmi per la sicurezza come antivirus, antispyware, moduli hips....
quello che ti consiglio è disinstallare questi programmi, eliminare eventuali residui (cartelle presenti in C:\Programmi) e procedere con nuove installazioni.

**Sam** · 30-10-2009, 10:55

Io ho beccato anche questo winupgro.exe ma nn riesco a fare niente...

La pagina che hai dato tu :

scarica il file sul desktop
http://www.savefile.com/files/1943620

non me la apre.. mi si apre una pagina con scritto Sorry! We almost done.

By the way... if you can see this page, that means you're viewing Savefile from the new servers

é stato spostato il collegamento...

Come fò ?

Discussione: Bagle, winupgro.exe

Strumenti discussione

Ricerca discussione

Visualizza

Stesso problema

ok

ok

Permessi di invio