www.MegaLab.it

da **cinquino** » sab apr 19, 2008 9:27 pm

Ho fatto una ricerca in merito al problema che vi sto per esporre. Ho visto che ci sono state altre richieste simili, in passato, ma senza risposta. Spero di essere piu' fortunato... [;)]

Dopo essere incappato in bagle ed averlo rimosso secondo i vari protocolli evidenziati nel forum, ho riacquistato quasi totalmente l'uso del PC, se non per un aspetto davvero curioso: dopo qualche minuto di funzionamento, dopo l'accensione, la navigazione internet si blocca, mentre mail, ftp, ping etc, funzionano.
Ho come l'impressione che l'http o la porta 80 vengano bloccate, gli scan non trovano nulla, qualcuno ha un'idea da suggerirmi prima che formatti il tutto?

ciao e grazie.

da **crazy.cat** » dom apr 20, 2008 7:49 am

Il bagle è appena mutato ed ha inserito nuove "funzioni".

Prova ad usare questo programma per cercare di capire chi usa e blocca la porta 80 in quel momento.
http://www.nirsoft.net/utils/cports.html

da **cinquino** » dom apr 20, 2008 2:32 pm

...domenticavo di dire che anche in modalita' provvisoria si manifesta il problema. Ora do un'occhiata alle porte....

edit: l'https funzia, quindi il problema sembra essere proprio sulla porta 80. Per ora non sono riuscito a ricavare nulla di certo dall'analisi delle porte, sembra che dopo un poco i processi che hanno come porta remota l'80 vengano indirizzati su 127.0.0.1, in locale.

da **crazy.cat** » dom apr 20, 2008 4:03 pm

Vediamo un log della scansione di hijackthis e di gmer nella sezione rootkit.

Per allegare i log segui queste regole.
http://www.MegaLab.it/forum/viewtopic.php?t=42331

da **cinquino** » dom apr 20, 2008 5:31 pm

crazy.cat ha scritto:Vediamo un log della scansione di hijackthis e di gmer nella sezione rootkit.

Zacchete!! [rotolo]

Il comportamento mi faceva sospettare qualche azione "tipo firewall", ma lo ZoneAlarm che avevo al momento dell'infezione era disabilitato ( dopo che bagle se lo era lavorato ben bene...), o almeno, cosi' credevo.

Preparando il log di gmer ho visto il VSDATANT.SYS, che da una rapida ricerca risulta installato da zonealarm, che era stato corrotto da bagle...ho attivato al volo avenger e l'ho cancellato (ho prima provato ad andare su gestione periferiche, attivare l'opzione per mostrare quelle nascoste e disabilitare da li' vsdatant.sys, ma niente..).

Ora vi sto scrivendo dal pc ormai ex-infetto (almeno spero), la connessione sta durando, spero che queste poche note possano essere d'aiuto.

enrico.

ps. cosa posso utilizzare per pulire il registro, che avra' varie linee orfane, dopo tutte queste cancellazioni "d'autorita'".. [fischio]

www.MegaLab.it

l'http si blocca improvvisamente dopo rimozione Bagle.

l'http si blocca improvvisamente dopo rimozione Bagle.

Chi c’è in linea