HELP Bagle - winupgro.exe

[KziPpu]

Buon giorno a voi, un po meno a mè!
Lanciato file ecc... mi si chiude msn e antivirus e vedo un cenno di riavvio, ma non si è riavviato. Leggendo qui nel forum ho cominciato a seguire la procedura lanciando SystemScan e uppando il file txt.
E' disponibile qui http://freefilehosting.net/download/43bhl

Chi è disponibile ad aiutarmi grazie mille!

[amvinfe]

scarica sul desktop e decomprimi il file http://www.suspectfile.com/forum/dow...ile.php?id=963 ed eseguilo.
Segui attentamente le procedure che ti vengono via-via consigliate.

NB
ricordati che non deve esserci connessione internet.
Non usare il pc, mouse compreso durante le procedure di rimozione.

Il log lo trovi in C:\ (ComboFix.txt)

[KziPpu]

ecco qui http://freefilehosting.net/download/43bka

[amvinfe]

Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla

Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\bisoft]
;

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva sul desktop.
Esegui fix.reg, accetta le modifiche ma non riavviare.



Apri SystemScan clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA

Files to delete:
C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\nomeutente\Desktop\winupgro.exe
C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Documents and Settings\nomeutente\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\nomeutente\Dati applicazioni\drivers\srosa2.sys

Folders to delete:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
C:\Documents and Settings\nomeutente\Dati applicazioni\drivers
C:\Documents and Settings\nomeutente\Dati applicazioni\m

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Postami il log di avenger (C:\avenger.txt) un nuovo SystemScan, nel log di ComboFix ho visto alre infezioni.

[KziPpu]

Ok grazie provo.

[amvinfe]

scusa, avevo copiato uno script che avevo preparato giorni fa e non ho sostituito il nome utente, non tenere conto del primo script te lo riscrivo corretto scusami.

[amvinfe]

questo lo script corretto, per il resto procedi come ti ho indicato

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA

Files to delete:
C:\Documents and Settings\Admin\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\Admin\Desktop\winupgro.exe
C:\Documents and Settings\Admin\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Documents and Settings\Admin\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\Admin\Dati applicazioni\drivers\srosa2.sys

Folders to delete:
C:\Documents and Settings\LocalService\Dati applicazioni\drivers
C:\Documents and Settings\Admin\Dati applicazioni\drivers
C:\Documents and Settings\Admin\Dati applicazioni\m

[KziPpu]

Non mi sono accorto del tuo errore e ho caricato il primo script..... dandomi alla fine errori vari ecc
Provo a ricaricare questo tuo ultimo script?

[amvinfe]

sì grazie, non avevo messo il tuo nome utente.

[KziPpu]

Ti ringrazio.
Ma dopo quel tentativo il pc è diventato instabile, e lentissimo. Ho optato per un bella formattazione.
Ti ringrazio per la disponibilità, spero a presto per altre occasioni...
Ciao